一、数据安全核心
随着《数据安全法》草案的批准,数据安全已提升到国家安全水平的重要地位,数据已成为水电等重要生产要素。确保数据的安全发展和利用是各生产部门和监管机构的重要责任。
数据安全能力的建设也紧紧围绕着数据的生存周期,这一概念诞生了DSMM框架逐渐成为主流的施工规范。作为数据的核心载体,数据库的安全保护是首要任务,而数据库审计是数据库安全防御系统的重要组成部分。本文将尝试从“以数据为中心”重新梳理数据库审计的技术进化方向。
二是数据库审计的重要性
在数据库审计中gartner在咨询机构2019年发布的安全产品超生存周期图中,与数据库加密等产品一起进入成熟产品。作为一种指向性强、基本不易偏离的安全产品,其发展历程经历了数据库日志审计、数据库流量审计、数据库业务审计和保护等多个阶段。它在数据库安全防御矩阵中起着核心作用,也在等待合规建设中发挥着重要作用“基本款”。
三、数据库审计不足
数据库审计已经成熟,作为单一产品已经完成,基本满足客户需求。正如汤姆生在20世纪初所说,物理建筑已经建成,天空晴朗,只有两朵乌云覆盖。在过去两年数据安全的新发展形势下,这两朵乌云逐渐扩大和扩散,我们的员工必须高度重视它们。
1. 重行为,轻数据审计思路
传统的数据库审计注重上行流量审计,注重用户做什么,如何做。这不仅是安全企业实现思路的问题,也是相关安全审计国家标准要求中操作行为审计的大规模描述。在传统的网络安全中,注重操作的合规性是可以理解的,但这方面的重点违反了以数据为中心的核心概念。我们以小偷入室盗窃为例,记录小偷是否入室,使用什么工具,何时何地犯罪,然后注意小偷的犯罪金额。
如果基于数据安全的概念,备案应优先考虑家庭物品的损失,包括因偷窃、偷窃、盗窃、销毁等造成个人财产损失的资产信息。这种概念的差异会导致案件定义的不一致。数据库操作也是如此,数据库审计可以很容易地判断sql语句是否有害,但对于同一操作语句,如 “select * from AA;”,但缺乏判断依据,从行为上看对数据库无害,但如果AA如果是存储用户帐户的表格,则执行此语句可能会导致敏感数据泄漏事故。
因此,我们必须依靠查询的表对象和字段列表来判断,而部分业务信息是手动梳理的,效率低下,难以实现。在这种轻数据的设计理念下,很难发挥数据库审计的最佳效果。
2. 业务审计,只是三层关联怎么够
目前,所有产品都实现了业务审计。所谓的业务审计主要依靠三层相关审计,从人-应用-数据库三层的访问链路关联,以进一步定位源访问信息。三层审计主要包括两类。一个是基于web流量和数据库流量从操作语句特征、访问时间戳等维度拟合。这种方法在并发量高时精度低,基本无法匹配。另一个是基于agent方式,利用JAVA的特性,hook底层jdbc实现访问层web自动关联信息和数据库信息。将数据日志传输到数据库审计系统进行统一存储和显示。
这种实现方式精度高,基本无误报,业务方无需进行网络改造和业务改造。然而,需要在应用程序系统中加载插件并共享一个过程,这将带来一定的性能损失和稳定性风险。用户对这种方法的接受度不太高。因此,虽然目前有三层相关性,但真正实施的价值并不多。
三、数据库审计新技术思路
通过以上分析,总结了数据安全时代数据库审计的一些技术点。
(1) 突出数据审计
数据库审计的下行流量具有大量的敏感信息。充分利用数据分类和分级管理结果,建立成熟有效的更新机制,重点审计访问敏感的数据库表和字段。建立一套依赖于AI能力数据基线从用户账户、获取敏感数据量、执行时间段、流量等维度综合判断异常。由于现实中存储能力有限,关键字段和关键字段应根据分类和分类的字段列表进行选择性存储。
(2) 完全拥抱业务审计
业务关联有利于提高整体审计价值,追溯到真正的人。正如前面提到的,这两种主流的实现方法都有自己的缺点。如果我们从数据本身开始,不再追求操作行为的一致性,那么这个问题似乎就会得到更好的解决。例如,用户通过浏览器发起请求,返回一系列手机号码列表,后台数据库也发生了一个查询事件,返回一系列手机号码列表。通过判断两者数据之间的强相关性,访问信息和数据库操作行为自动绑定,尽管两者在逻辑上与内部业务实现不一致。不断从两者返回数据中匹配模式,不再基于时间戳和访问特征的拟合,准确性将大大提高,真正实现业务相关审计。
(3) 拥抱大数据时代
无论是自建大数据分析引擎还是引入UEBA技术概念、用户行为分析、描述用户肖像或将数据转发给第三方大数据分析平台,并退化为流量探测器。对于数据库审计来说,显示和使用智能审计结果是不可避免的。随着审计数据的激增,传统的存储引擎不再适用,大数据分布式存储引擎正在大规模引入。在数据安全的背景下,数据库审计被探测到,SDK化学几乎是不可避免的。
四、总结
数据库审计是一种高度成熟的产品,短期内没有具有挑战性的发展路线图。在数据安全管理的背景下,为了更好地发挥数据库的安全价值,需要积极适应和做出一些改变。