作者:guanan2019來源:FreeBuf|2020-10-0818:29收藏分享
一、數據安全的核心
隨著《數據安全法》草案的審議通過,數據安全被提升到了國家安全級別的重要地位,數據變成如同水電一般重要的生產要素。保障數據安全發展和利用,是各個生產部門,監管單位的重要責任。
數據安全能力建設也緊緊圍繞著數據這一關鍵要素的生存周期來展開,以此理念而誕生的DSMM框架逐漸成為主流建設規范。數據庫作為數據的核心載體,其安全防護是重中之重,而數據庫審計則是數據庫安全防御體系的重要組成部分。本文將嘗試從“以數據為中心”的角度來重新梳理數據庫審計的技術進化方向。
二、數據庫審計的重要性
數據庫審計在gartner咨詢機構2019年發布的安全產品超生存周期圖譜中,與數據庫加密等產品一起劃到了成熟期產品里。作為一款指向性很強,基本不太容易走偏的安全產品,其發展路程經歷了數據庫日志審計、數據庫流量審計、數據庫業務審計與防護等多個階段。在數據庫安全防御矩陣中起到了核心角色作用,也是等保合規建設中的“基本款”。
三、數據庫審計的不足
數據庫審計發展成熟,其作為單品已經完備而且基本滿足客戶需求,就如同20世紀初湯姆生說的,物理大廈已經建成,天空一片晴朗,只有那兩朵烏云遮罩。在這兩年的數據安全新的發展形勢下,這兩朵烏云逐漸放大、彌漫,我們從業人員已經不得不對其保持高度重視態度。
1.重行為,輕數據的審計思路
傳統的數據庫審計注重上行流量審計,關注用戶做什么,怎么做。這不止是安全企業的實現思路問題,相關安全審計國標要求里也是大篇幅描述操作行為審計。在傳統的網絡安全中,注重操作的合規性,這可以理解,但是這一側重點違背了以數據為中心的核心理念。我們以一個小偷入室偷竊為例子,備案重點記錄小偷是否入室,用的什么工具,何時何地作案等行為,然后才關注小偷的作案金額數量。
如果基于數據安全的理念,備案應優先重點關注家里的物品是否損失,包括偷看,偷摸,偷盜,銷毀等造成個人財產損失的資產信息。這種理念的差異會導致案情界定的不一致。對于數據庫操作來說也是一樣的,數據庫審計可以輕易判斷sql語句是否有危害,但是針對同一個操作語句,比如“select*fromAA;”,卻缺乏判斷依據,其本身從行為上看對數據庫無害,但如果AA是存儲用戶帳號的表,那么執行這條語句就可能會引發一起敏感數據泄漏事故。
所以必須依靠查詢的表對象和字段列表來判斷,而這個偏業務的信息靠人工梳理,效率低且難以實現。在這種輕數據的設計思路下,難以發揮出數據庫審計最佳的效果。
2.業務審計,只是三層關聯怎么夠
目前各家產品都實現了業務審計。所謂業務審計主要靠三層關聯審計,從人-應用-數據庫這三層的訪問鏈路關聯來進一步定位源訪問信息。三層審計主要實現思路包括兩大類。一種是基于web流量和數據庫流量,從操作語句特征、訪問時間戳等維度進行擬合。這種方式在并發量高的時候準確度低下,基本無法匹配上。另一種是基于agent方式,利用JAVA的特性,hook底層jdbc訪問層,實現web信息和數據庫信息的自動關聯。通過將數據日志傳輸到數據庫審計系統統一存儲和展示。
這種實現方式精度高,基本無誤報漏報,對于業務方也無需做網絡改造和業務改造。但是需要在應用系統加載插件,共享一個進程,會帶來一定的性能損耗和穩定性風險。用戶對這一方法的接受度也不太高。所以目前雖然說三層關聯,但是真正落地產生價值的并不多。
三、數據庫審計新技術思路
通過以上分析,我們總結了一些技術點,在數據安全時代,可以讓數據庫審計發揮更大的價值。
(1)突顯數據審計
數據庫審計下行流量帶有大量的敏感信息。充分利用數據分類分級管理成果,建立一套成熟有效的更新機制,對訪問敏感的數據庫表、字段進行重點審計。建立一套依賴于AI能力的數據基線,從用戶帳號、獲取敏感數據量、執行時間段、流量等各個維度綜合判斷異常。由于現實中,存儲能力有限,應該根據分類分級的字段列表,選擇性的存儲關鍵表、關鍵字段。
(2)全面擁抱業務審計
業務關聯有利于提升整體的審計價值,追溯定位到真正的人。如前所述,兩種主流實現方式都有自己的弊端。如果我們從數據自身出發,不再追求操作行為的一致性,那么問題似乎會好解決一些。比如:用戶通過瀏覽器發起一個請求,返回了一串手機號列表,同時后臺數據庫也發生了一起查詢事件,返回了一串手機號列表。通過判斷二者數據的強關聯性,自動將訪問信息和數據庫操作行為關聯綁定,盡管二者在內部業務實現邏輯上是不一致的。不斷的從二者返回數據中進行模式匹配,不再基于時間戳和訪問特征的擬合,準確率會大大提高,真正的做到業務關聯審計。
(3)擁抱大數據時代
不管是自建大數據分析引擎、引入UEBA技術理念,進行用戶行為分析,刻畫用戶畫像還是將數據轉發給第三方大數據分析平臺,自身退化成流量探針,對于數據庫審計來說,審計結果展示和利用智能化都不可避免。隨著審計數據量的暴漲,傳統的存儲引擎不再適用,大數據分布式存儲引擎正在大規模的引入。在數據安全背景下,數據庫審計探針化、SDK化幾乎不可避免。
四、總結
數據庫審計是一個成熟化很高的產品,短期內看不到具有挑戰性的發展路線圖。在數據安全治理背景下,需要主動適應,做一些改變,才能更好的發揮數據庫安全價值。
