數(shù)據(jù)安全視角下的數(shù)據(jù)庫審計(jì)技術(shù)進(jìn)化
一、數(shù)據(jù)安全的核心
隨著《數(shù)據(jù)安全法》草案的審議通過,數(shù)據(jù)安全被提升到了國家安全級別的重要地位,數(shù)據(jù)變成如同水電一般重要的生產(chǎn)要素。保障數(shù)據(jù)安全發(fā)展和利用,是各個生產(chǎn)部門,監(jiān)管單位的重要責(zé)任。
數(shù)據(jù)安全能力建設(shè)也緊緊圍繞著數(shù)據(jù)這一關(guān)鍵要素的生存周期來展開,以此理念而誕生的DSMM框架逐漸成為主流建設(shè)規(guī)范。數(shù)據(jù)庫作為數(shù)據(jù)的核心載體,其安全防護(hù)是重中之重,而數(shù)據(jù)庫審計(jì)則是數(shù)據(jù)庫安全防御體系的重要組成部分。本文將嘗試從“以數(shù)據(jù)為中心”的角度來重新梳理數(shù)據(jù)庫審計(jì)的技術(shù)進(jìn)化方向。
二、數(shù)據(jù)庫審計(jì)的重要性
數(shù)據(jù)庫審計(jì)在gartner咨詢機(jī)構(gòu)2019年發(fā)布的安全產(chǎn)品超生存周期圖譜中,與數(shù)據(jù)庫加密等產(chǎn)品一起劃到了成熟期產(chǎn)品里。作為一款指向性很強(qiáng),基本不太容易走偏的安全產(chǎn)品,其發(fā)展路程經(jīng)歷了數(shù)據(jù)庫日志審計(jì)、數(shù)據(jù)庫流量審計(jì)、數(shù)據(jù)庫業(yè)務(wù)審計(jì)與防護(hù)等多個階段。在數(shù)據(jù)庫安全防御矩陣中起到了核心角色作用,也是等保合規(guī)建設(shè)中的“基本款”。
三、數(shù)據(jù)庫審計(jì)的不足
數(shù)據(jù)庫審計(jì)發(fā)展成熟,其作為單品已經(jīng)完備而且基本滿足客戶需求,就如同20世紀(jì)初湯姆生說的,物理大廈已經(jīng)建成,天空一片晴朗,只有那兩朵烏云遮罩。在這兩年的數(shù)據(jù)安全新的發(fā)展形勢下,這兩朵烏云逐漸放大、彌漫,我們從業(yè)人員已經(jīng)不得不對其保持高度重視態(tài)度。
1. 重行為,輕數(shù)據(jù)的審計(jì)思路
傳統(tǒng)的數(shù)據(jù)庫審計(jì)注重上行流量審計(jì),關(guān)注用戶做什么,怎么做。這不止是安全企業(yè)的實(shí)現(xiàn)思路問題,相關(guān)安全審計(jì)國標(biāo)要求里也是大篇幅描述操作行為審計(jì)。在傳統(tǒng)的網(wǎng)絡(luò)安全中,注重操作的合規(guī)性,這可以理解,但是這一側(cè)重點(diǎn)違背了以數(shù)據(jù)為中心的核心理念。我們以一個小偷入室偷竊為例子,備案重點(diǎn)記錄小偷是否入室,用的什么工具,何時何地作案等行為,然后才關(guān)注小偷的作案金額數(shù)量。
如果基于數(shù)據(jù)安全的理念,備案應(yīng)優(yōu)先重點(diǎn)關(guān)注家里的物品是否損失,包括偷看,偷摸,偷盜,銷毀等造成個人財(cái)產(chǎn)損失的資產(chǎn)信息。這種理念的差異會導(dǎo)致案情界定的不一致。對于數(shù)據(jù)庫操作來說也是一樣的,數(shù)據(jù)庫審計(jì)可以輕易判斷sql語句是否有危害,但是針對同一個操作語句,比如 “select * from AA;”,卻缺乏判斷依據(jù),其本身從行為上看對數(shù)據(jù)庫無害,但如果AA是存儲用戶帳號的表,那么執(zhí)行這條語句就可能會引發(fā)一起敏感數(shù)據(jù)泄漏事故。
所以必須依靠查詢的表對象和字段列表來判斷,而這個偏業(yè)務(wù)的信息靠人工梳理,效率低且難以實(shí)現(xiàn)。在這種輕數(shù)據(jù)的設(shè)計(jì)思路下,難以發(fā)揮出數(shù)據(jù)庫審計(jì)最佳的效果。
2. 業(yè)務(wù)審計(jì),只是三層關(guān)聯(lián)怎么夠
目前各家產(chǎn)品都實(shí)現(xiàn)了業(yè)務(wù)審計(jì)。所謂業(yè)務(wù)審計(jì)主要靠三層關(guān)聯(lián)審計(jì),從人-應(yīng)用-數(shù)據(jù)庫這三層的訪問鏈路關(guān)聯(lián)來進(jìn)一步定位源訪問信息。三層審計(jì)主要實(shí)現(xiàn)思路包括兩大類。一種是基于web流量和數(shù)據(jù)庫流量,從操作語句特征、訪問時間戳等維度進(jìn)行擬合。這種方式在并發(fā)量高的時候準(zhǔn)確度低下,基本無法匹配上。另一種是基于agent方式,利用JAVA的特性,hook底層jdbc訪問層,實(shí)現(xiàn)web信息和數(shù)據(jù)庫信息的自動關(guān)聯(lián)。通過將數(shù)據(jù)日志傳輸?shù)綌?shù)據(jù)庫審計(jì)系統(tǒng)統(tǒng)一存儲和展示。
這種實(shí)現(xiàn)方式精度高,基本無誤報(bào)漏報(bào),對于業(yè)務(wù)方也無需做網(wǎng)絡(luò)改造和業(yè)務(wù)改造。但是需要在應(yīng)用系統(tǒng)加載插件,共享一個進(jìn)程,會帶來一定的性能損耗和穩(wěn)定性風(fēng)險。用戶對這一方法的接受度也不太高。所以目前雖然說三層關(guān)聯(lián),但是真正落地產(chǎn)生價值的并不多。
三、數(shù)據(jù)庫審計(jì)新技術(shù)思路
通過以上分析,我們總結(jié)了一些技術(shù)點(diǎn),在數(shù)據(jù)安全時代,可以讓數(shù)據(jù)庫審計(jì)發(fā)揮更大的價值。
(1) 突顯數(shù)據(jù)審計(jì)
數(shù)據(jù)庫審計(jì)下行流量帶有大量的敏感信息。充分利用數(shù)據(jù)分類分級管理成果,建立一套成熟有效的更新機(jī)制,對訪問敏感的數(shù)據(jù)庫表、字段進(jìn)行重點(diǎn)審計(jì)。建立一套依賴于AI能力的數(shù)據(jù)基線,從用戶帳號、獲取敏感數(shù)據(jù)量、執(zhí)行時間段、流量等各個維度綜合判斷異常。由于現(xiàn)實(shí)中,存儲能力有限,應(yīng)該根據(jù)分類分級的字段列表,選擇性的存儲關(guān)鍵表、關(guān)鍵字段。
(2) 全面擁抱業(yè)務(wù)審計(jì)
業(yè)務(wù)關(guān)聯(lián)有利于提升整體的審計(jì)價值,追溯定位到真正的人。如前所述,兩種主流實(shí)現(xiàn)方式都有自己的弊端。如果我們從數(shù)據(jù)自身出發(fā),不再追求操作行為的一致性,那么問題似乎會好解決一些。比如:用戶通過瀏覽器發(fā)起一個請求,返回了一串手機(jī)號列表,同時后臺數(shù)據(jù)庫也發(fā)生了一起查詢事件,返回了一串手機(jī)號列表。通過判斷二者數(shù)據(jù)的強(qiáng)關(guān)聯(lián)性,自動將訪問信息和數(shù)據(jù)庫操作行為關(guān)聯(lián)綁定,盡管二者在內(nèi)部業(yè)務(wù)實(shí)現(xiàn)邏輯上是不一致的。不斷的從二者返回?cái)?shù)據(jù)中進(jìn)行模式匹配,不再基于時間戳和訪問特征的擬合,準(zhǔn)確率會大大提高,真正的做到業(yè)務(wù)關(guān)聯(lián)審計(jì)。
(3) 擁抱大數(shù)據(jù)時代
不管是自建大數(shù)據(jù)分析引擎、引入UEBA技術(shù)理念,進(jìn)行用戶行為分析,刻畫用戶畫像還是將數(shù)據(jù)轉(zhuǎn)發(fā)給第三方大數(shù)據(jù)分析平臺,自身退化成流量探針,對于數(shù)據(jù)庫審計(jì)來說,審計(jì)結(jié)果展示和利用智能化都不可避免。隨著審計(jì)數(shù)據(jù)量的暴漲,傳統(tǒng)的存儲引擎不再適用,大數(shù)據(jù)分布式存儲引擎正在大規(guī)模的引入。在數(shù)據(jù)安全背景下,數(shù)據(jù)庫審計(jì)探針化、SDK化幾乎不可避免。
四、總結(jié)
數(shù)據(jù)庫審計(jì)是一個成熟化很高的產(chǎn)品,短期內(nèi)看不到具有挑戰(zhàn)性的發(fā)展路線圖。在數(shù)據(jù)安全治理背景下,需要主動適應(yīng),做一些改變,才能更好的發(fā)揮數(shù)據(jù)庫安全價值。
