數(shù)據(jù)安全建設(shè)中,“人”是最關(guān)鍵的因素,但也是最薄弱的環(huán)節(jié)和漏洞。近年來,“內(nèi)鬼式數(shù)據(jù)泄露”、“數(shù)據(jù)庫惡意篡改”、“刪庫跑路“等事件屢見不鮮,嚴(yán)峻程度逐年升高。

Verizon《2021年數(shù)據(jù)泄露調(diào)查報告》統(tǒng)計,當(dāng)前,85%的數(shù)據(jù)泄露事件都與人為因素有關(guān)。企業(yè)多年傾心竭力打造的“堅固堡壘”,正因為安全意識薄弱、內(nèi)部默認(rèn)可信任機制、數(shù)據(jù)安全措施落實不到位等“沉疴”,越來越像一枚“硬殼軟糖”!

內(nèi)部數(shù)據(jù)安全風(fēng)險源自何處?

數(shù)字化轉(zhuǎn)型時代,數(shù)據(jù)極易失控,多渠道擴散如今,數(shù)據(jù)已成為生產(chǎn)要素,參與到企業(yè)組織生產(chǎn)經(jīng)營的各個環(huán)節(jié),數(shù)據(jù)流動屬性加倍釋放,隨各類流量穿越于各個終端,以實現(xiàn)更便捷的數(shù)據(jù)訪問、數(shù)據(jù)共享、數(shù)據(jù)應(yīng)用,向更多人、更多終端輸送,給個人、社會、企業(yè)等群體帶來不同程度的影響,數(shù)據(jù)多渠道擴散,安全邊界隨之無限擴大,面臨的風(fēng)險在加速增長。

基于網(wǎng)絡(luò)邊界的安全防護模式,內(nèi)部安全防護效果欠佳傳統(tǒng)IDS、IPS、下一代防火墻、WAF等傳統(tǒng)安全設(shè)備在抵御常見的網(wǎng)絡(luò)攻擊發(fā)揮重要作用,但如今在日漸模糊的網(wǎng)絡(luò)邊界中,如果仍依賴以“網(wǎng)絡(luò)為中心”的防御方式,安全防護措施的片面性將帶來防護重心的嚴(yán)重失衡,現(xiàn)如今企業(yè)內(nèi)部風(fēng)險盛行:黑客入侵內(nèi)網(wǎng)后,通過盜取數(shù)據(jù)庫賬號登陸數(shù)據(jù)庫即可竊取數(shù)據(jù),運維環(huán)境本身多職位、多人員的數(shù)據(jù)庫訪問造成內(nèi)部數(shù)據(jù)泄露、刪庫跑路,這都已超越傳統(tǒng)安全手段的能力范圍。

運維與業(yè)務(wù)場景的一攬子管理,亟需精準(zhǔn)定位泄露源頭從數(shù)據(jù)庫的訪問來源我們將訪問流量分為業(yè)務(wù)流量和運維流量。業(yè)務(wù)流量更多由前端業(yè)務(wù)訪問者,途徑前端業(yè)務(wù)系統(tǒng),再由業(yè)務(wù)系統(tǒng)作為媒介連接數(shù)據(jù)庫,涉及TCP/IP、HTTP通訊等協(xié)議,更多面臨外部攻擊風(fēng)險;而運維流量指內(nèi)部運維人員、開發(fā)人員通過工具,使用IP地址及賬號憑證訪問數(shù)據(jù)庫。顯然,不同場景對載體的配置有著不同要求,數(shù)據(jù)庫運維過程中,如何保護敏感數(shù)據(jù)安全不能與前者混為一談,一攬子管理。

內(nèi)部數(shù)據(jù)泄露更隱蔽,攻擊手段更具“合理化”,難以被識別目前絕大多數(shù)單位組織都會引入第三方駐場人員進行信息系統(tǒng)開發(fā)、測試甚至是運維,無論是內(nèi)部還是外部駐場人員,“人”及社會關(guān)系的不確定性,都有可能造成不亞于黑客攻擊、危害性更大的事件,如外部人員通過利誘系統(tǒng)維護人員進行數(shù)據(jù)盜取,系統(tǒng)維護人員通過內(nèi)部網(wǎng)絡(luò)或自主終端機的網(wǎng)絡(luò)登陸數(shù)據(jù)庫后,直接進行后臺統(tǒng)計操作,然后將數(shù)據(jù)進行本地保存,由于其權(quán)限的看似合理化,組織往往無法追責(zé)到“幕后黑手”,且潛伏時間更久,更難以被發(fā)現(xiàn)。

難以突破數(shù)據(jù)庫自身權(quán)限單一管理機制、實現(xiàn)精細(xì)化管理

企業(yè)安全管理員為運維、開發(fā)、測試人員提供數(shù)據(jù)庫登陸憑證時,普遍采用多人單一賬號管理機制,意味著眾多人員采用同一賬戶,賬戶也大多由簡易名稱、弱密碼組成,企業(yè)管理者普遍有“有賬戶,所有訪問操作即是合法”的認(rèn)知錯覺,而全然不知賬號正由于員工的親密關(guān)系、離職合同解除、個人情緒等原因向外擴散。

DBA權(quán)限最具代表性,數(shù)據(jù)庫分配的DBA權(quán)限賬戶擁有天然高權(quán)限,可以任意操控數(shù)據(jù)庫,如創(chuàng)建數(shù)據(jù)庫、刪除數(shù)據(jù)庫等,而正是這種高權(quán)限又不受監(jiān)管的運維頻頻給數(shù)據(jù)庫的正常運行帶來故障,有意時,隨意增刪改查數(shù)據(jù),無意時,DBA運維失誤,其自身又難以定位出故障原由,白白增加運維負(fù)擔(dān)。

以“身份”和“資產(chǎn)”為中心,實現(xiàn)運維安全有效管控

如上所說,組織機構(gòu)內(nèi)部若建立行之有效的數(shù)據(jù)安全防護體系,顯然需從根本消除對內(nèi)部人員的無條件信任,對 “人”在數(shù)據(jù)訪問過程中所具備的一切特征進行重新的審視、定義,建立以“身份”和“資產(chǎn)”為中心的主動式防護體系。

對此,為了解決當(dāng)下數(shù)據(jù)庫運維場景面臨的越權(quán)訪問數(shù)據(jù)、非法/無意操縱數(shù)據(jù)、敏感數(shù)據(jù)外泄的難題,美創(chuàng)科技推出數(shù)據(jù)庫防水壩系統(tǒng)。

作為一款通過幫助用戶主動建立運維訪問模型,保證敏感數(shù)據(jù)資產(chǎn)可管、用戶訪問行為可控、返回結(jié)果可遮蓋的數(shù)據(jù)庫運維安全風(fēng)險管控產(chǎn)品,產(chǎn)品從敏感數(shù)據(jù)的快速發(fā)現(xiàn)和管理、嚴(yán)密的身份準(zhǔn)入機制、資產(chǎn)細(xì)粒度管控、動態(tài)訪問控制、誤操作恢復(fù)、合規(guī)審計等方面全面支持?jǐn)?shù)據(jù)庫運維安全管控。

產(chǎn)品遵循以下思路:

不主動信任。改變以保密的合同框架、道德標(biāo)準(zhǔn)為僅有的評判準(zhǔn)則,以“默認(rèn)不信任”為基礎(chǔ)理念。

權(quán)責(zé)分離。約束高權(quán)賬號的開放式訪問管理難題,在原有數(shù)據(jù)庫訪問機制上,全面推進職責(zé)分離制度。

多因素準(zhǔn)入控制。打破只基于賬號密碼的準(zhǔn)入機制,并在此基礎(chǔ)上大力擴充準(zhǔn)入因子。

細(xì)粒度資產(chǎn)訪問控制。以“敏感數(shù)據(jù)資產(chǎn)”為核心,建立更加精細(xì)的數(shù)據(jù)資產(chǎn)訪問安全管控機制,即權(quán)限的可作用范圍從原有的表格最小化到列。

建立基線行為。建立嚴(yán)密的數(shù)據(jù)庫安全運維管控機制,預(yù)定義用戶訪問畫像,以“只允許事先授權(quán)的、擁有合法權(quán)限的人,基于合理的意圖,訪問合理范圍的數(shù)據(jù)資產(chǎn)”為目標(biāo),做到事前有底、事中阻斷、事后追溯。

數(shù)據(jù)隱私化防護。全面考慮數(shù)據(jù)天然的隱私性帶來的數(shù)據(jù)泄露問題,如實時訪問的數(shù)據(jù)隱私化變形、數(shù)據(jù)訪問批量導(dǎo)出限制,圈定每一步操作的合理范圍,避免數(shù)據(jù)披露泄露。

產(chǎn)品總體架構(gòu)及功能模塊:

風(fēng)險治理模塊

防護力量聚焦于價值性隱私數(shù)據(jù),通過主動、快速發(fā)現(xiàn)敏感資產(chǎn),一鍵快速的配置敏感資產(chǎn)集合,對不同的資產(chǎn)集合采用不同的安全策略,支持SCHEMA、表、列級別的資產(chǎn)梳理及管控,從而實現(xiàn)有的放矢,防止高危操作或大批量數(shù)據(jù)泄露。

準(zhǔn)入控制模塊

提供多因素認(rèn)證(如IP、UKEY、登陸時間等)、撞庫檢測防御、免密登陸等功能,聚力身份真實性、訪問合法性確認(rèn),讓通過準(zhǔn)入機制校驗的“人”是合法的,而非仿冒、盜用憑證等行為。

實時風(fēng)險防御模塊

全方位考量人、資產(chǎn)、行為,針對預(yù)先設(shè)置的行為基線,將資產(chǎn)防護細(xì)粒到人、權(quán)責(zé)分離,加之實時的上下文分析,快速阻斷威脅行為,如賬戶管理操作(Create user、Alter user、drop user等),授權(quán)管理操作(Grant),敏感數(shù)據(jù)操作(Truncat table,drop table)以及代碼操作(修改Package,view)等,形成主動、動態(tài)的防御模塊。

從而幫助用戶實現(xiàn):

與傳統(tǒng)的運維安全風(fēng)險管理平臺相比,美創(chuàng)數(shù)據(jù)庫防水壩除了主動式防御理念,同時具備以下天然優(yōu)勢:

全面的訪問渠道覆蓋:面對數(shù)據(jù)庫多樣化訪問路徑,全面支持本地、代理、直連等訪問渠道的安全管控,顛覆傳統(tǒng)只能管控邏輯串接的代理訪問來源,全渠道的監(jiān)測機制讓用戶所有訪問路徑無所遁形。

全流程式安全風(fēng)險防護:數(shù)據(jù)訪問前暴力破解防護、數(shù)據(jù)訪問中權(quán)限合法性監(jiān)測、數(shù)據(jù)請求值脫敏處理、數(shù)據(jù)合法訪問后的文件加密導(dǎo)出等功能,防護機制及防護能力沉淀于用戶真實訪問的各個環(huán)節(jié),全面封鎖數(shù)據(jù)泄露路徑。

同時,美創(chuàng)科技提供數(shù)據(jù)庫防水壩與堡壘機聯(lián)動方案,實現(xiàn)從主機到數(shù)據(jù)庫、從數(shù)據(jù)庫至數(shù)據(jù)表的集中安全管控,幫助用戶消除數(shù)據(jù)操作過程無法透明管控的安全盲區(qū),實現(xiàn)向“運維過程全面管理”的轉(zhuǎn)變,保障數(shù)據(jù)安全,全面滿足運維安全內(nèi)部控制和各類法規(guī)要求。

頻發(fā)的內(nèi)部數(shù)據(jù)泄露事件警醒著各行各業(yè)需重新審視安全體系的構(gòu)建。事前充分防御與控制風(fēng)險,事中實時管控惡意行為,事后快速溯源定責(zé)。唯有如此,才能避免成為威脅的受害者。