數(shù)據(jù)安全建設(shè)中,“人”是最關(guān)鍵的因素,但也是最薄弱的環(huán)節(jié)和漏洞。近年來,“內(nèi)鬼式數(shù)據(jù)泄露”、“數(shù)據(jù)庫惡意篡改”、“刪庫跑路“等事件屢見不鮮,嚴(yán)峻程度逐年升高。

Verizon《2021年數(shù)據(jù)泄露調(diào)查報(bào)告》統(tǒng)計(jì),當(dāng)前,85%的數(shù)據(jù)泄露事件都與人為因素有關(guān)。企業(yè)多年傾心竭力打造的“堅(jiān)固堡壘”,正因?yàn)榘踩�意識薄弱、內(nèi)部默認(rèn)可信任機(jī)制、數(shù)據(jù)安全措施落實(shí)不到位等“沉疴”,越來越像一枚“硬殼軟糖”!

內(nèi)部數(shù)據(jù)安全風(fēng)險(xiǎn)源自何處?

數(shù)字化轉(zhuǎn)型時(shí)代,數(shù)據(jù)極易失控,多渠道擴(kuò)散如今,數(shù)據(jù)已成為生產(chǎn)要素,參與到企業(yè)組織生產(chǎn)經(jīng)營的各個(gè)環(huán)節(jié),數(shù)據(jù)流動(dòng)屬性加倍釋放,隨各類流量穿越于各個(gè)終端,以實(shí)現(xiàn)更便捷的數(shù)據(jù)訪問、數(shù)據(jù)共享、數(shù)據(jù)應(yīng)用,向更多人、更多終端輸送,給個(gè)人、社會、企業(yè)等群體帶來不同程度的影響,數(shù)據(jù)多渠道擴(kuò)散,安全邊界隨之無限擴(kuò)大,面臨的風(fēng)險(xiǎn)在加速增長。

基于網(wǎng)絡(luò)邊界的安全防護(hù)模式,內(nèi)部安全防護(hù)效果欠佳傳統(tǒng)IDS、IPS、下一代防火墻、WAF等傳統(tǒng)安全設(shè)備在抵御常見的網(wǎng)絡(luò)攻擊發(fā)揮重要作用,但如今在日漸模糊的網(wǎng)絡(luò)邊界中,如果仍依賴以“網(wǎng)絡(luò)為中心”的防御方式,安全防護(hù)措施的片面性將帶來防護(hù)重心的嚴(yán)重失衡,現(xiàn)如今企業(yè)內(nèi)部風(fēng)險(xiǎn)盛行:黑客入侵內(nèi)網(wǎng)后,通過盜取數(shù)據(jù)庫賬號登陸數(shù)據(jù)庫即可竊取數(shù)據(jù),運(yùn)維環(huán)境本身多職位、多人員的數(shù)據(jù)庫訪問造成內(nèi)部數(shù)據(jù)泄露、刪庫跑路,這都已超越傳統(tǒng)安全手段的能力范圍。

運(yùn)維與業(yè)務(wù)場景的一攬子管理,亟需精準(zhǔn)定位泄露源頭從數(shù)據(jù)庫的訪問來源我們將訪問流量分為業(yè)務(wù)流量和運(yùn)維流量。業(yè)務(wù)流量更多由前端業(yè)務(wù)訪問者,途徑前端業(yè)務(wù)系統(tǒng),再由業(yè)務(wù)系統(tǒng)作為媒介連接數(shù)據(jù)庫,涉及TCP/IP、HTTP通訊等協(xié)議,更多面臨外部攻擊風(fēng)險(xiǎn);而運(yùn)維流量指內(nèi)部運(yùn)維人員、開發(fā)人員通過工具,使用IP地址及賬號憑證訪問數(shù)據(jù)庫。顯然,不同場景對載體的配置有著不同要求,數(shù)據(jù)庫運(yùn)維過程中,如何保護(hù)敏感數(shù)據(jù)安全不能與前者混為一談,一攬子管理。

內(nèi)部數(shù)據(jù)泄露更隱蔽,攻擊手段更具“合理化”,難以被識別目前絕大多數(shù)單位組織都會引入第三方駐場人員進(jìn)行信息系統(tǒng)開發(fā)、測試甚至是運(yùn)維,無論是內(nèi)部還是外部駐場人員,“人”及社會關(guān)系的不確定性,都有可能造成不亞于黑客攻擊、危害性更大的事件,如外部人員通過利誘系統(tǒng)維護(hù)人員進(jìn)行數(shù)據(jù)盜取,系統(tǒng)維護(hù)人員通過內(nèi)部網(wǎng)絡(luò)或自主終端機(jī)的網(wǎng)絡(luò)登陸數(shù)據(jù)庫后,直接進(jìn)行后臺統(tǒng)計(jì)操作,然后將數(shù)據(jù)進(jìn)行本地保存,由于其權(quán)限的看似合理化,組織往往無法追責(zé)到“幕后黑手”,且潛伏時(shí)間更久,更難以被發(fā)現(xiàn)。

難以突破數(shù)據(jù)庫自身權(quán)限單一管理機(jī)制、實(shí)現(xiàn)精細(xì)化管理

企業(yè)安全管理員為運(yùn)維、開發(fā)、測試人員提供數(shù)據(jù)庫登陸憑證時(shí),普遍采用多人單一賬號管理機(jī)制,意味著眾多人員采用同一賬戶,賬戶也大多由簡易名稱、弱密碼組成,企業(yè)管理者普遍有“有賬戶,所有訪問操作即是合法”的認(rèn)知錯(cuò)覺,而全然不知賬號正由于員工的親密關(guān)系、離職合同解除、個(gè)人情緒等原因向外擴(kuò)散。

DBA權(quán)限最具代表性,數(shù)據(jù)庫分配的DBA權(quán)限賬戶擁有天然高權(quán)限,可以任意操控?cái)?shù)據(jù)庫,如創(chuàng)建數(shù)據(jù)庫、刪除數(shù)據(jù)庫等,而正是這種高權(quán)限又不受監(jiān)管的運(yùn)維頻頻給數(shù)據(jù)庫的正常運(yùn)行帶來故障,有意時(shí),隨意增刪改查數(shù)據(jù),無意時(shí),DBA運(yùn)維失誤,其自身又難以定位出故障原由,白白增加運(yùn)維負(fù)擔(dān)。

以“身份”和“資產(chǎn)”為中心,實(shí)現(xiàn)運(yùn)維安全有效管控

如上所說,組織機(jī)構(gòu)內(nèi)部若建立行之有效的數(shù)據(jù)安全防護(hù)體系,顯然需從根本消除對內(nèi)部人員的無條件信任,對 “人”在數(shù)據(jù)訪問過程中所具備的一切特征進(jìn)行重新的審視、定義,建立以“身份”和“資產(chǎn)”為中心的主動(dòng)式防護(hù)體系。

對此,為了解決當(dāng)下數(shù)據(jù)庫運(yùn)維場景面臨的越權(quán)訪問數(shù)據(jù)、非法/無意操縱數(shù)據(jù)、敏感數(shù)據(jù)外泄的難題,美創(chuàng)科技推出數(shù)據(jù)庫防水壩系統(tǒng)。

作為一款通過幫助用戶主動(dòng)建立運(yùn)維訪問模型,保證敏感數(shù)據(jù)資產(chǎn)可管、用戶訪問行為可控、返回結(jié)果可遮蓋的數(shù)據(jù)庫運(yùn)維安全風(fēng)險(xiǎn)管控產(chǎn)品,產(chǎn)品從敏感數(shù)據(jù)的快速發(fā)現(xiàn)和管理、嚴(yán)密的身份準(zhǔn)入機(jī)制、資產(chǎn)細(xì)粒度管控、動(dòng)態(tài)訪問控制、誤操作恢復(fù)、合規(guī)審計(jì)等方面全面支持?jǐn)?shù)據(jù)庫運(yùn)維安全管控。

產(chǎn)品遵循以下思路:

不主動(dòng)信任。改變以保密的合同框架、道德標(biāo)準(zhǔn)為僅有的評判準(zhǔn)則,以“默認(rèn)不信任”為基礎(chǔ)理念。

權(quán)責(zé)分離。約束高權(quán)賬號的開放式訪問管理難題,在原有數(shù)據(jù)庫訪問機(jī)制上,全面推進(jìn)職責(zé)分離制度。

多因素準(zhǔn)入控制。打破只基于賬號密碼的準(zhǔn)入機(jī)制,并在此基礎(chǔ)上大力擴(kuò)充準(zhǔn)入因子。

細(xì)粒度資產(chǎn)訪問控制。以“敏感數(shù)據(jù)資產(chǎn)”為核心,建立更加精細(xì)的數(shù)據(jù)資產(chǎn)訪問安全管控機(jī)制,即權(quán)限的可作用范圍從原有的表格最小化到列。

建立基線行為。建立嚴(yán)密的數(shù)據(jù)庫安全運(yùn)維管控機(jī)制,預(yù)定義用戶訪問畫像,以“只允許事先授權(quán)的、擁有合法權(quán)限的人,基于合理的意圖,訪問合理范圍的數(shù)據(jù)資產(chǎn)”為目標(biāo),做到事前有底、事中阻斷、事后追溯。

數(shù)據(jù)隱私化防護(hù)。全面考慮數(shù)據(jù)天然的隱私性帶來的數(shù)據(jù)泄露問題,如實(shí)時(shí)訪問的數(shù)據(jù)隱私化變形、數(shù)據(jù)訪問批量導(dǎo)出限制,圈定每一步操作的合理范圍,避免數(shù)據(jù)披露泄露。

產(chǎn)品總體架構(gòu)及功能模塊:

風(fēng)險(xiǎn)治理模塊

防護(hù)力量聚焦于價(jià)值性隱私數(shù)據(jù),通過主動(dòng)、快速發(fā)現(xiàn)敏感資產(chǎn),一鍵快速的配置敏感資產(chǎn)集合,對不同的資產(chǎn)集合采用不同的安全策略,支持SCHEMA、表、列級別的資產(chǎn)梳理及管控,從而實(shí)現(xiàn)有的放矢,防止高危操作或大批量數(shù)據(jù)泄露。

準(zhǔn)入控制模塊

提供多因素認(rèn)證(如IP、UKEY、登陸時(shí)間等)、撞庫檢測防御、免密登陸等功能,聚力身份真實(shí)性、訪問合法性確認(rèn),讓通過準(zhǔn)入機(jī)制校驗(yàn)的“人”是合法的,而非仿冒、盜用憑證等行為。

實(shí)時(shí)風(fēng)險(xiǎn)防御模塊

全方位考量人、資產(chǎn)、行為,針對預(yù)先設(shè)置的行為基線,將資產(chǎn)防護(hù)細(xì)粒到人、權(quán)責(zé)分離,加之實(shí)時(shí)的上下文分析,快速阻斷威脅行為,如賬戶管理操作(Create user、Alter user、drop user等),授權(quán)管理操作(Grant),敏感數(shù)據(jù)操作(Truncat table,drop table)以及代碼操作(修改Package,view)等,形成主動(dòng)、動(dòng)態(tài)的防御模塊。

從而幫助用戶實(shí)現(xiàn):

與傳統(tǒng)的運(yùn)維安全風(fēng)險(xiǎn)管理平臺相比,美創(chuàng)數(shù)據(jù)庫防水壩除了主動(dòng)式防御理念,同時(shí)具備以下天然優(yōu)勢:

全面的訪問渠道覆蓋:面對數(shù)據(jù)庫多樣化訪問路徑,全面支持本地、代理、直連等訪問渠道的安全管控,顛覆傳統(tǒng)只能管控邏輯串接的代理訪問來源,全渠道的監(jiān)測機(jī)制讓用戶所有訪問路徑無所遁形。

全流程式安全風(fēng)險(xiǎn)防護(hù):數(shù)據(jù)訪問前暴力破解防護(hù)、數(shù)據(jù)訪問中權(quán)限合法性監(jiān)測、數(shù)據(jù)請求值脫敏處理、數(shù)據(jù)合法訪問后的文件加密導(dǎo)出等功能,防護(hù)機(jī)制及防護(hù)能力沉淀于用戶真實(shí)訪問的各個(gè)環(huán)節(jié),全面封鎖數(shù)據(jù)泄露路徑。

同時(shí),美創(chuàng)科技提供數(shù)據(jù)庫防水壩與堡壘機(jī)聯(lián)動(dòng)方案,實(shí)現(xiàn)從主機(jī)到數(shù)據(jù)庫、從數(shù)據(jù)庫至數(shù)據(jù)表的集中安全管控,幫助用戶消除數(shù)據(jù)操作過程無法透明管控的安全盲區(qū),實(shí)現(xiàn)向“運(yùn)維過程全面管理”的轉(zhuǎn)變,保障數(shù)據(jù)安全,全面滿足運(yùn)維安全內(nèi)部控制和各類法規(guī)要求。

頻發(fā)的內(nèi)部數(shù)據(jù)泄露事件警醒著各行各業(yè)需重新審視安全體系的構(gòu)建。事前充分防御與控制風(fēng)險(xiǎn),事中實(shí)時(shí)管控惡意行為,事后快速溯源定責(zé)。唯有如此,才能避免成為威脅的受害者。