近年来,随着相关法律法规的完善、国家等级化保护要求,以及行业风险管理和内控指标的出台,安全审计产品慢慢的为大家所熟悉。而近年来数据盗窃和数据泄露等高危事件频发,数据安全也越来越受各大企业和单位的重视。数据库审计就是一款保护用户数据安全的产品。
数据库审计现状与局限
数据库审计相关产品已经问世很长时间了,各大厂商的审计系统的工作原理都基本相似,如旁路数据采集、审计规则、报警等,下图展示为基本工作流程:
其中审计规则功能一直在传统数据库审计系统中占据重要位置,通过配置不同的审计规则,能够识别数据库中的异常操作,并针对该操作进行报警,提醒审计员有违规操作发生。
一般来说,审计规则功能在可以满足大部分用户的基本需求。但是在实际的数据库审计使用过程中,需求越来越复杂,通过常规的审计规则无法满足数据库操作安全审计的需求:
案例一
某三甲医院的业务系统非常庞大,部门和医务人员也特别多,使用的数据库账号达2000多个,而且还会不定期增加。医院为了审计这些账号是否有越权违规操作,需要将这2000多个数据库账号都录入到审计规则中,一一配置其对应的可访问的数据表,并且还要定时更新。
对管理员来说,这简直是个噩梦!一来这上千条规则配置所需时间成本是用户无法承受的,二来加载如此之多的审计规则,将会导致数据库审计设备的性能直线下降。
案例二
某上市公司,发现内部有人非法篡改数据,但是通过审计设备查看,所有的数据库操作都是业务应用系统发起,没有非法客户端程序或IP地址的接入,而且被篡改的表和数据在正常业务中也会被修改,同时审计规则也无从配置,因为无法对不可预期的操作配置规则。
可以说,面对内鬼管理人员束手无策……
随着技术的发展,用户业务系统日益复杂,类似的案例已非个案,大多数企业或单位面临着同样的问题:
权限划分和用户管理不明确
数据篡改泄密的源头和方式大都是未知的
对常规数据库审计产品来说这些用户环境太过复杂,要么需要定制,要么无法解决。这些、缺陷使得很多用户购买了产品却无法真正的使用,成为了应付检查的手段,造成了资源的浪费。
基线技术带来的产品变革
如何能做到既保证审计产品功能的完整和专业性,又满足用户的各种需求,在各种不同用户场景都能发现未知的风险,已经成为急需解决的问题,国都兴业公司凭借在信息安全审计领域十多年的经验和技术积累,创造性的在数据库审计中引入了动态基线技术。
基线:
在心理学中有一个术语叫“基线行为”,是指人们在自然情形下,陈述真实内容的行为表现。一旦知道这种基线行为,人们就可以将观察到的行为与基线行为进行比较,有助于帮助判断人们是否在说谎。而数据库的操作基线,是指在正常情况下,业务系统或数据库客户端在数据库中执行操作的行为习惯。一旦知道这个基线,审计系统就可以将审计到的操作与基线操作进行比较,发现数据库上有潜在风险的操作。
在上面的案例一中,如果有了数据库的操作基线,那么不用配置几千条规则也能知道客户端操作有没有违规;同样在案例二中只要将操作与已知的数据库操作基线对比就知道是否有人执行了非法操作,通过业务系统篡改了本不应该被修改的数据。
下图描述了基线是如何建立和对比的:
动态基线
基线在用户的业务系统中并不是一成不变的,当用户有新的业务加入,或者当前业务有更新,势必会导致其基线发生变化,如果这时还保持之前学习到的基线,则会产生大量的误报,影响审计运维人员的判断,这个时候,动态基线技术就能智能的识别到这种业务的升级或者变化,同时动态的调整基线自身,以适应用户业务环境的变化。
当应用规模越来越大,环境越来越复杂,传统的数据库审计产品也越来越无法满足用户的需求,那么势必有更多的新的技术应用于审计系统来解决用户遇到的问题,动态基线不是第一个,也不会是最后一个应用到数据库审计系统的新技术,但是它的出现势必将数据库审计带入一个新的纪元,开启数据库审计技术变革的新时代,只有这样才能不断满足用户日益变化的需求,实现数据库审计产品真正的价值。
本文出自 “国内IT审计开创者” 博客,请务必保留此出处http://guoduxingye.blog.51cto.com/9243873/1536411
动态基线技术——技术开创数据库审计新纪元,布布扣,bubuko.com
原文地址:http://guoduxingye.blog.51cto.com/9243873/1536411