更多
張某是某科技公司數(shù)據(jù)安全管理部部長,發(fā)現(xiàn)公司的敏感數(shù)據(jù)被泄露在公網(wǎng)上,馬上啟動風(fēng)險調(diào)查進(jìn)行回溯。這部分?jǐn)?shù)據(jù)未被共享給任何第三方,所以很可能是內(nèi)部操作導(dǎo)致,隨后調(diào)閱公司部署的第三方數(shù)據(jù)庫審計系統(tǒng),但是很遺憾并沒有定位出任何和此次數(shù)據(jù)泄露相關(guān)的任何日志記錄,風(fēng)險記錄。
隨后張某咨詢多家業(yè)內(nèi)同行和安全產(chǎn)品供方,基本推測應(yīng)該是訪問行為繞過了數(shù)據(jù)庫審計系統(tǒng)實施了數(shù)據(jù)導(dǎo)出,并且通過和多個產(chǎn)品供方進(jìn)行研討,昂楷科技專家向張某反饋了一件類似案例,且因為采用了昂楷科技審計產(chǎn)品新特性,及時抓住了準(zhǔn)備再次實施數(shù)據(jù)竊取行為的一名運維人員。
經(jīng)過運維人員的陳述,他明知公司已部署了數(shù)據(jù)庫審計產(chǎn)品,但是憑借自己的對產(chǎn)品原理的了解,通過本地訪問的特殊場景躲避了被審計的發(fā)生。
01漏審背后的原因?
數(shù)據(jù)庫安全審計產(chǎn)品常用部署方式:采用旁路部署鏡像引流方式或者在數(shù)據(jù)庫服務(wù)器上部署Agent插件引流方式,實現(xiàn)對數(shù)據(jù)庫所有操作語句的審計和風(fēng)險預(yù)警;
昂楷科技通過長期的行業(yè)實踐和研究,發(fā)現(xiàn)部分客戶端工具進(jìn)行本地訪問數(shù)據(jù)庫時不采用本地回環(huán)方式(指定回環(huán)網(wǎng)卡及端口,流量經(jīng)過回環(huán)網(wǎng)卡,這一過程種有本地訪問流量產(chǎn)生)。區(qū)別于常規(guī)的數(shù)據(jù)庫訪問方式,非回環(huán)本地訪問詳情難以被第三方數(shù)據(jù)庫審計產(chǎn)品捕捉到,導(dǎo)致數(shù)據(jù)漏審,容易造成數(shù)據(jù)泄露風(fēng)險和合規(guī)性風(fēng)險。
這種比較特別的本地訪問方式采用進(jìn)程間通信(IPC),不會經(jīng)過任何網(wǎng)卡即可完成通訊。通信原理如下圖:
所以我們在部署數(shù)據(jù)庫審計設(shè)備時,不可以忽略本地訪問的漏審風(fēng)險,需要采取技術(shù)手段來覆蓋此場景, 并選擇專業(yè)、有行業(yè)積淀的數(shù)據(jù)庫審計解決方案廠家。
02有沒有辦法杜絕漏審?
昂楷科技數(shù)據(jù)庫審計系統(tǒng),針對本地客戶端通過IPC方式訪問數(shù)據(jù)庫場景仍然可以完整審計的產(chǎn)品, 通過對底層操作指令完全獲取,獲取之后將關(guān)鍵信息進(jìn)行存儲或轉(zhuǎn)發(fā),并對非法攻擊者或者運維人員私自修改或者刪除數(shù)據(jù)庫相關(guān)關(guān)鍵文件進(jìn)行記錄審計,并在告警時,將具體的變化內(nèi)容通知給相關(guān)人員。
03漏審會給客戶帶來哪些危害?
本地訪問是重大數(shù)據(jù)安全事故的高發(fā)地,“內(nèi)部風(fēng)險” 高發(fā)集中在運維人員、數(shù)據(jù)庫管理員、合作方、開發(fā)人員。這些具備一定技術(shù)背景,因工作要求掌握數(shù)據(jù)庫操作權(quán)限,長期從事數(shù)據(jù)安全運行機(jī)制和保障機(jī)制建設(shè),距離數(shù)據(jù)最近的人員一但從“數(shù)據(jù)安全防守方”變?yōu)椤皵?shù)據(jù)安全攻擊方”,所造成的危害一定空前嚴(yán)重。
“內(nèi)部威脅”遠(yuǎn)遠(yuǎn)超過了“外部攻擊”, 針對內(nèi)部威脅,因為攻擊者具備內(nèi)部知識,可以直接訪問核心信息資產(chǎn),對組織造成嚴(yán)重危害;同時,透明性與隱蔽性卻使得這種威脅難以檢測發(fā)現(xiàn),難以防范。
★產(chǎn)生威脅的內(nèi)部人員高權(quán)限人員正常開展工作,必須獲取一定的數(shù)據(jù)訪問權(quán)限。很難界定正常工作和惡意數(shù)據(jù)竊取行為,監(jiān)管最為困難。
★針對內(nèi)部人員的安全防護(hù)及檢測措施少,大多數(shù)安全檢測手段是針對外部攻擊。
★內(nèi)部人員更加熟悉組織內(nèi)部的運行機(jī)制,甚至可能是安全設(shè)備的策略配置者,可以在實施惡意行為時規(guī)避相應(yīng)的檢測機(jī)制,事后刪除日志以逃避追溯。
昂楷科技長期深耕于數(shù)據(jù)安全行業(yè),不斷研究數(shù)據(jù)安全審計風(fēng)險領(lǐng)域,并研究提供場景化技術(shù)方案,長期踐行“全面審計、杜絕漏審” 的數(shù)據(jù)安全審計產(chǎn)品理念, 積累豐富的產(chǎn)品優(yōu)勢,助力政企數(shù)據(jù)安全防護(hù)。
題-4.jpg)
