中国信息通信研究院今年发布的《数据安全治理实践指南(2.0)》显示,2022年已经披露的数据泄漏事件,不论从规模上,还是从平均对每个单位造成的损失上来看,都已创新高。报告援引的一项调查显示,2022年数据泄漏事件的平均成本高达435万美元,83%的受访组织已经不是第一次发生数据泄漏事件。
数据泄漏事件频发,数据库作为用户网络中的重要资产,保存着最具价值的数据信息。在诸多导致数据泄漏的原因中,对数据库的异常操作行为虽然占比不大,却极难发现,同时破坏力极强。
异常操作行为包括对数据库的错误配置、越权行为、内鬼的数据窃取篡改等。这些异常操作大多不包含攻击威胁特征,因此无法被防火墙、入侵检测这样的检测类设备识别到。面对以上风险,如何在海量的行为事件中高效准确地发现异常事件并溯源取证?且看天融信数据库审计系统如何刨根起底寻“蛛丝”。
传统数据库审计产品痛点
传统数据库审计往往囿于事先预设,无法随业务环境灵活变化,同时也欠缺及时判断、响应并还原安全事件全貌的能力,大大影响了数据库的安全防护。
01 传统的数据库审计依托于预设的安全策略进行匹配,然而实际业务复杂度高,并且需要根据业务变化及时进行审计策略的调整,应变灵活度低,审计结果往往差强人意。
02 安全事件发生后,往往只有一条日志,取证不足。无法把日志前后的行为、后果组合起来还原事件全貌,无法做到有力的溯源取证。
03 行为类型很难界定,例如“将某个文件分割多次进行导出”的行为,处于危害行为和正常行为之间的灰色地带,因此不能及时预警。
04 对于异常事件,更快的响应速度就意味着更小的损失。传统的数据库审计在大流量环境下,解析性能不足,从发现异常事件再到行为响应,往往为时已晚。
天融信数据库审计系统
1、行为基线—动态感知异常行为
场景
用户业务不断变化,安全场景不断更迭,静态配置审计策略也需随业务改变,不仅繁琐,而且还易出错,很难满足业务连续性管理审计的需求。
应对
天融信数据库审计系统通过机器深度学习用户访问行为,用户行为模型可随审计业务灵活变化,从而实现对偏离基线的行为进行异常告警,极大地降低了人工配置策略和分析审计日志的工作量。
2、关联分析—多角度组合分析异常行为
场景
复杂事件由多种事件片段组合而成,很难单一界定是危害行为还是正常行为,易出现误判。
应对
天融信数据库审计系统利用先进的关联分析引擎,可将某个时间段内的所有满足条件的有关事件片段提取并组合起来,并结合安全场景关联分析,有效检测潜在的异常行为。
3、会话回放—由点及面还原异常事件全貌
场景
对某一个点日志进行分析,很难还原事件全貌,溯源取证极为困难。
应对
天融信数据库审计系统可回放从开始登录到会话结束的事件完整过程,从而把所有片段组合成一个完整的全景拼图,便于分析和追溯系统安全问题,帮助客户了解事件全貌。
4、高性能解析—大流量场景快速响应异常
场景
大流量审计解析场景中,解析性能不足,异常行为发现及响应不够迅速,解析结果不能快速可视化展示。
应对
天融信数据库审计系统采用数管分离技术,利用环形无锁队列及内存池预分配机制,可提供更高的解析和入库性能,帮助客户轻松应对大流量场景下的数据解析,解析结果即查即统,为用户展示可视化统计结果。
某高校案例
为优化“互联网 监管”工作,某高校教育部一体化在线政务服务平台二期建设亟需完善数据库审计系统。针对该校近500个业务系统及后端数据库交互数据,包括学生一卡通信息、饭卡充值缴费等数据操作行为,天融信通过部署数据库审计系统,完整审计各校区数据库数据变化,对于异常数据操作行为及时告警,解决了该校信息频繁泄漏、危害行为告警不及时等问题,帮助客户实现了数据库资产的有效监控,保障了业务系统的数据通信安全。
某运营商案例
在某运营商项目建设中,数据库审计承担着数据操作行为审计及风险识别的重任,需针对数据库操作行为进行全记录,对于违反策略的异常行为进行多形式告警。天融信帮助客户将日志统一汇总至数据安全管理平台,从而进行统计分析,最终在态势感知平台展示安全态势,实时监测业务数据,在满足合规需求的同时进一步增强了客户的数据安全综合分析能力。
作为率先提出“以数据为中心的安全建设体系”建设思路的网络安全专业厂商,天融信已构建数据全生命周期的产品与服务体系,并相继推出了网络数据防泄漏、终端数据防泄漏、数据库安全网关、数据库审计、网络审计、备份一体机、数据安全管控平台等一系列数据安全产品,持续赋能客户数字化转型,为数字中国建设保驾护航!
- 关键词标签:
- 天融信数据库审计系统 数据泄漏 溯源取证