4000-110-253
等保2.0硬件篇之數(shù)據庫審計(jì)産品發展. 2023-07-05
原因有(yǒu)以下幾點:
首先,無論是國家(jiā)級的法律或标準,還(hái)是等保以及行(xíng)業級的安全标準都對使用數(shù)據庫審計(jì)有(yǒu)明(míng)确要求,是所有(yǒu)網絡運營者必須建設的基礎能力之一。
其次,數(shù)據庫作(zuò)為(wèi)數(shù)據資産的存儲載體(tǐ),其重要性無需贅述。如此重要的對象,必須要掌握誰在用、怎麽用、何時(shí)用、何地用、用了哪些(xiē)基礎信息。這些(xiē)基礎信息幾乎是我們判斷是否出現洩密事件、是否需要調整安全策略、是否需要追責定責的唯一支撐。數(shù)審系統發揮的作(zuò)用就是回答(dá)以上(shàng)這些(xiē)追問。可(kě)以說,如果沒有(yǒu)數(shù)據庫審計(jì),數(shù)據安全的管理(lǐ)和(hé)建設将舉步維艱、寸步難行(xíng)。
再次,核心數(shù)據資産所在的數(shù)據庫,必定是惡意人(rén)員最頻繁入侵的領地,它面臨多(duō)重威脅,既有(yǒu)外部入侵威脅,又不得(de)不防範層出不窮的內(nèi)部惡意行(xíng)為(wèi)。身為(wèi)管理(lǐ)者,一定希望在數(shù)據庫受到威脅時(shí)能夠第一時(shí)間(jiān)獲取風險信息。如何實現?靠人(rén)工24小(xiǎo)時(shí)監控數(shù)據庫的一切訪問行(xíng)為(wèi)幾乎難以實現,因此,借助工具的力量,引入數(shù)審産品才是成熟的做(zuò)法。
數(shù)據庫審計(jì)不僅具備識别風險的能力,而且還(hái)可(kě)以發出告警,方便管理(lǐ)者和(hé)運維工程師(shī)及時(shí)處理(lǐ)風險。建立數(shù)審體(tǐ)系,無論是外部還(hái)是內(nèi)部,隻要出現了針對數(shù)據庫的惡意操作(zuò),數(shù)據庫審計(jì)就能夠第一時(shí)間(jiān)識别并發出告警,讓管理(lǐ)者第一時(shí)間(jiān)進行(xíng)處理(lǐ),能夠有(yǒu)效降低(dī)甚至避免損失。所以,數(shù)據庫審計(jì)對于數(shù)據安全防護來(lái)說是必要一環。
最後,對于已知風險可(kě)以通(tōng)過內(nèi)置規則和(hé)模型,第一時(shí)間(jiān)進行(xíng)告警通(tōng)知,但(dàn)對于特别複雜的風險模型或新型安全攻擊方法造成的安全事件,風險預警未必來(lái)得(de)及或未必能全部處理(lǐ)。這時(shí)候,就需要對安全事件進行(xíng)倒追溯源。溯源的前提一定是建立在完整的數(shù)據庫訪問日志(zhì)的基礎上(shàng),全量的、訪問要素齊全的、準确地記錄所有(yǒu)SQL日志(zhì),讓數(shù)審系統成為(wèi)數(shù)據庫溯源小(xiǎo)能手。
當然,幾乎所有(yǒu)優秀産品的發展都是由用戶需求驅動和(hé)技(jì)術(shù)環境支撐的,數(shù)審産品也不例外。從最初解決有(yǒu)無逐步發展到智能分析,數(shù)審産品曆經至少(shǎo)四代演進,可(kě)以說每一代産品的發展史就是用戶的需求進化史。
第一代:解決有(yǒu)無
時(shí)間(jiān):2003年前後
用戶需求:能夠專門(mén)審計(jì)數(shù)據庫活動
此前的3-5年,網絡安全在國內(nèi)迅速發展。除了網絡防火(huǒ)牆、IPS等邊界防護産品,在旁路技(jì)術(shù)領域,網絡審計(jì)系統已經嶄露頭腳。用戶此階段的關注點在于:數(shù)據庫端能不能有(yǒu)一類專門(mén)的旁路産品,能做(zuò)到在全量訪問行(xíng)為(wèi)記錄的同時(shí),還(hái)能風險告警。
衆所周知,在Oracle、MySQL、SQLServer等大(dà)型數(shù)據庫産品中,均自帶了審計(jì)服務模塊,具備完整準确記錄SQL日志(zhì)的能力。然而,數(shù)據庫自身的審計(jì)受限于自身的管理(lǐ)體(tǐ)系,DBA用戶可(kě)根據需要随時(shí)停掉審計(jì)服務,幹壞事時(shí)甚至可(kě)以不審計(jì),或人(rén)工删除日志(zhì)消除痕迹,不符合安全審計(jì)的第三方獨立性原則;加之自身與數(shù)據庫服務器(qì)本地部署,往往消耗30%以上(shàng)性能,因此也需要引入第三方審計(jì)産品。
在此背景下,2003年左右,國內(nèi)第一代數(shù)審産品誕生(shēng),主要功能設計(jì)為(wèi)針對數(shù)據庫活動行(xíng)為(wèi)的監控,變黑(hēi)盒為(wèi)白盒,變未知為(wèi)已知,解決用戶的數(shù)據庫安全管理(lǐ)焦慮。實際上(shàng),這一代的數(shù)審産品是由網絡審計(jì)簡單變形而來(lái),針對數(shù)據庫的流量包進行(xíng)基于正則表達式匹配的審計(jì)技(jì)術(shù),解決的是有(yǒu)無問題,但(dàn)無法對數(shù)據庫操作(zuò)全量,進行(xíng)精準審計(jì),特别是複雜語句超長語句等等,更别談執行(xíng)的結果類要素信息。
對于數(shù)據庫審計(jì)來(lái)說,正則表達式是一種簡易的通(tōng)用字符串匹配方法,通(tōng)常用于簡單場(chǎng)景下對指定字符的匹配。一旦面對超長、多(duō)層嵌套、多(duō)表關聯等複雜的SQL語句,使用正則表達式很(hěn)容易造成誤識别或漏識别,更無法有(yǒu)效區(qū)别數(shù)據庫品牌不同導緻的差異。
第一代數(shù)審産品給人(rén)的總體(tǐ)印象: 具備基本SQL語句的記錄能力,複雜類的操作(zuò)往往審不到。無法做(zuò)到精準告警,無效告警、誤報頻頻發生(shēng)。
第一代數(shù)審總體(tǐ)生(shēng)存狀況:合規性用戶勉強使用,需求性用戶輕易還(hái)不用。
第一代數(shù)審總體(tǐ)評分:●●○○○
正是這樣的局限性,推動了數(shù)審産品的繼續進化。
第二代:準确性需求
時(shí)間(jiān):2009年前後
用戶需求:能否審計(jì)得(de)更準一點、不添亂
第一代數(shù)審産品推向市場(chǎng)并接受檢驗,各種性能問題逐漸暴露,産品服務提供商修修補補進行(xíng)完善,使得(de)産品日漸成熟穩定。但(dàn)産品穩定了,用戶群同時(shí)也不斷擴大(dà),審計(jì)日志(zhì)不準确的問題也逐漸顯露出來(lái),漏審、誤審、漏報、誤報現象成了家(jiā)長便飯,導緻用戶基于審計(jì)日志(zhì)所作(zuò)的判斷,常常是錯的,從而誤導了對安全事件的追蹤、溯源和(hé)響應。
随着用戶的不斷反饋,産品廠商逐漸意識到第一代數(shù)審産品存在的原理(lǐ)缺陷,僅靠修修補補無法從根本上(shàng)解決問題,産品的設計(jì)必須推翻重建。2009年前後,廠商推出第二代數(shù)審系統,摒棄第一代架構重新設計(jì),采用了基于數(shù)據庫協議的語法、語義的解析技(jì)術(shù)。此種解析技(jì)術(shù)采用準确“翻譯”的方式,不受限于SQL語句的長度或複雜度等因素,能夠精确定義每一條SQL語句,準确理(lǐ)解其真正的含義,從而實現精準審計(jì)和(hé)告警。
第二代數(shù)據庫審計(jì)技(jì)術(shù)幫助用戶真正掌握了完整且準确的數(shù)據庫活動。為(wèi)數(shù)據庫層出現的違規、惡意事件提供準确判斷、溯源和(hé)定責的證據支撐,避免了誤判。
随着第二代數(shù)審系統逐漸成熟,越來(lái)越多(duō)的用戶開(kāi)始使用數(shù)審産品,特别是在等級保護的助推下,數(shù)審産品掀起了一股小(xiǎo)熱潮。這一階段的用戶隻是願意買、敢于買,并未有(yǒu)人(rén)太去關注真正的使用效果如何,以及出了安全事件能不能快速溯源、能不能快速完成突發事件的排查等。因為(wèi)高(gāo)端場(chǎng)景并未出現,金融、電(diàn)信等業務量較大(dà)的企業用戶仍未登場(chǎng)。
第二代審計(jì)産品給人(rén)的總體(tǐ)印象: 複雜類的操作(zuò)能解析記錄,準确度大(dà)幅提升。但(dàn)往往是偏向政府類或中小(xiǎo)企業客戶,這些(xiē)客戶的等級保護政策要求較高(gāo),性能要求往往不太高(gāo)。
第二代數(shù)審總體(tǐ)生(shēng)存狀況:合規性用戶大(dà)幅增加,需求性用戶基本願意購買,但(dàn)高(gāo)端用戶暫時(shí)無人(rén)問津。
第二代數(shù)審總體(tǐ)評分:●●●○○
第三代:高(gāo)質量要求開(kāi)始登場(chǎng)
時(shí)間(jiān):2014年前後
用戶需求:能否審計(jì)得(de)更多(duō)、更久一點
随着用戶數(shù)據庫訪問規模的逐步增加,需要審計(jì)系統單位時(shí)間(jiān)內(nèi)執行(xíng)的入庫量迅速增多(duō),存儲日志(zhì)量也相應增加,此時(shí),數(shù)據庫審計(jì)記錄的日志(zhì)可(kě)以用“海量”日志(zhì)來(lái)形容,在海量日志(zhì)中高(gāo)效檢索就成為(wèi)極大(dà)挑戰。此時(shí),第二代數(shù)審系統開(kāi)始出現性能瓶頸問題,已經完全無法支撐對大(dà)型和(hé)超大(dà)型業務系統的審計(jì)需求,尤其是高(gāo)端行(xíng)業的審計(jì)需求。
随着國家(jiā)和(hé)政府對網絡安全的重視(shì),特别要求金融等關鍵基礎信息行(xíng)業在安全領域鼓勵使用國産自主産品,給予國産安全軟件以最大(dà)的門(mén)檻開(kāi)放度。至此,國産數(shù)審産品拉開(kāi)了性能上(shàng)追逐國際大(dà)牌的序幕。在突破高(gāo)性能階段,擺在國內(nèi)廠商面前的實際挑戰相當大(dà)。高(gāo)性能意味着高(gāo)入庫性能、高(gāo)查詢性能、高(gāo)存儲效能。
直到2017年,才有(yǒu)若幹優秀廠商,憑借全文檢索、列存儲數(shù)據庫、多(duō)進程并發等技(jì)術(shù),完成了高(gāo)性能産品的突破,真正開(kāi)始在大(dà)銀行(xíng)、大(dà)保險公司的重要業務系統上(shàng)應用。
第三代審計(jì)産品給人(rén)的總體(tǐ)印象: 性能大(dà)幅提升,已經可(kě)以滿足很(hěn)多(duō)政企、教育、醫(yī)療等行(xíng)業用戶的海量日志(zhì)檢索性能需求。不過,在更高(gāo)端的場(chǎng)景下,滿足需求的優質産品仍然鳳毛麟角、寥寥無幾。
第三代數(shù)審總體(tǐ)生(shēng)存狀況:合規性用戶暴增,需求性用戶也大(dà)幅增加,有(yǒu)的廠商甚至靠一款優秀的數(shù)審産品就能解決生(shēng)存問題。
第三代數(shù)審總體(tǐ)評分:●●●●○
第四代:智能化需求
時(shí)間(jiān):2017年前後
用戶需求:能否有(yǒu)“今日頭條”款的智能數(shù)審産品
如果從單純做(zuò)“審計(jì)”來(lái)說,第三代數(shù)審系統已經基本夠用,但(dàn)是,随着數(shù)據庫審計(jì)逐漸成為(wèi)保障數(shù)據安全的“剛需”,其扮演的角色越來(lái)越重要,加之數(shù)據資産暴增和(hé)數(shù)據安全事件呈幾何級增長,用戶必然對其提出更高(gāo)要求。
用戶需求這幾年間(jiān)進一步升級:管理(lǐ)的數(shù)據庫品牌類型能否越來(lái)越多(duō);能否自動識别數(shù)據庫類型,而非人(rén)工指定數(shù)據庫IP和(hé)類型,因為(wèi)有(yǒu)的用戶動辄幾百個(gè)庫,上(shàng)千個(gè)庫,實在連自己都不清楚台賬;數(shù)據庫的策略能否給出智能的配置建議,而非全開(kāi)全關,難以掌握;能否做(zuò)到精準指導,因為(wèi)用戶有(yǒu)很(hěn)多(duō)數(shù)據庫,買了很(hěn)多(duō)數(shù)據庫審計(jì)設備,但(dàn)審計(jì)的核心目标畢竟是敏感數(shù)據的行(xíng)為(wèi),所以希望能夠做(zuò)到不浪費資源,實現精準指導。
此時(shí),第三代數(shù)審産品的不足表現為(wèi):第一,對數(shù)據庫類型的支持非常被動,往往被用戶牽着走;第二,欠缺自動化識别數(shù)據庫類型的能力,衆多(duō)數(shù)據庫需要一一指定IP和(hé)數(shù)據庫類型,非但(dàn)不準确還(hái)易手工出錯、不是累死客戶就是累死廠商自己;第三,缺少(shǎo)通(tōng)過基線學習智能地給用戶推送策略的能力;第四,沒有(yǒu)真正與敏感數(shù)據的定位相結合。
2017年,第四代數(shù)審系統逐漸開(kāi)始研發,主攻“智能發現”、“主動推送”等智能技(jì)術(shù)方向。第四代數(shù)審産品通(tōng)過機器(qì)自學,聚類訪問來(lái)源、操作(zuò)行(xíng)為(wèi)特征、資産信息,全面掌握每個(gè)數(shù)據庫被訪問的基礎情況,有(yǒu)效建立基線,形成高(gāo)密度可(kě)信邊界。當訪問來(lái)源發生(shēng)變化或訪問來(lái)源的操作(zuò)行(xíng)為(wèi)發生(shēng)變化時(shí),自動伸縮基線,同時(shí)輔以通(tōng)用型的輕量級策略,輕松建立防護圈。人(rén)工參與極大(dà)降低(dī),安全策略可(kě)落地。
核心功能如下:
資産梳理(lǐ):深入梳理(lǐ)網絡中的數(shù)據資産,形成數(shù)據台賬;
分級打标:導入分級策略,對梳理(lǐ)出的數(shù)據進行(xíng)分級打标;
主動推送:通(tōng)過對數(shù)據位置、數(shù)據級别及數(shù)據流動等信息的掌握,自動分析風險并主動推送防護策略建議,降低(dī)使用難度,提高(gāo)安全效果;
智能發現:持續監視(shì)數(shù)據庫結構變化,與安全防護策略形成聯動調整,一旦防護目标出現結構變化,防護策略會(huì)跟随變化,确保防護的針對性及防護效果始終處于正确基線。
第四代審計(jì)産品給人(rén)的總體(tǐ)印象: 聰明(míng)、智能,由原來(lái)的體(tǐ)力活,變成真正高(gāo)科技(jì)。
第四代數(shù)審總體(tǐ)生(shēng)存狀況:生(shēng)存體(tǐ)面,需求性用戶面前赢得(de)尊重,且量大(dà)價高(gāo)。
第四代數(shù)審總體(tǐ)評分:●●●●◐
未來(lái)的路
數(shù)據庫審計(jì)或将成為(wèi)數(shù)據安全的神經網絡觸點
技(jì)術(shù)的發展是無止境的,對安全的需求也沒有(yǒu)盡頭。隻要威脅在演變,技(jì)術(shù)在革新,防禦手段就需要不斷進化以至平衡。近年來(lái),越來(lái)越多(duō)的用戶已經不僅僅滿足于對執行(xíng)操作(zuò)的精準審計(jì),還(hái)要對結果集數(shù)據進行(xíng)保存用于日後取證追溯等。
也許不久之後,第四代數(shù)審産品,除了自身要具備高(gāo)智能、高(gāo)性能的氣質之外,還(hái)可(kě)能成為(wèi)數(shù)據安全集中管控和(hé)安全大(dà)數(shù)據分析的神經網絡觸點,所有(yǒu)安全防護核心能力交由平台型産品進行(xíng)統一調度、防禦和(hé)分析,而數(shù)據庫審計(jì)作(zuò)為(wèi)數(shù)據和(hé)行(xíng)為(wèi)的采集端,形成“樹(shù)”和(hé)“根”的強關聯結構。
此時(shí)審計(jì)将不再是獨立系統,不再獨立工作(zuò),而是為(wèi)平台提供數(shù)據的輸入。這樣更能與KAFkA、FLUME、ELK等先進的大(dà)數(shù)據分析和(hé)流式處理(lǐ)等分析技(jì)術(shù)結合,真正解決超大(dà)數(shù)據規模日志(zhì)的利用問題,這可(kě)能也是未來(lái)數(shù)據安全的發展方向之一,如今産品又有(yǒu)哪些(xiē)特點,歡迎留言評論。
本文轉自《蘇說安全》微信公衆号
