數據安全建設中,“人”是最關鍵的因素,但也是最薄弱的環節和漏洞。近年來,“內鬼式數據泄露”、“數據庫惡意篡改”、“刪庫跑路“等事件屢見不鮮,嚴峻程度逐年升高。

Verizon《2021年數據泄露調查報告》統計,當前,85%的數據泄露事件都與人為因素有關。企業多年傾心竭力打造的“堅固堡壘”,正因為安全意識薄弱、內部默認可信任機制、數據安全措施落實不到位等“沉疴”,越來越像一枚“硬殼軟糖”!

內部數據安全風險源自何處?

數字化轉型時代,數據極易失控,多渠道擴散如今,數據已成為生產要素,參與到企業組織生產經營的各個環節,數據流動屬性加倍釋放,隨各類流量穿越于各個終端,以實現更便捷的數據訪問、數據共享、數據應用,向更多人、更多終端輸送,給個人、社會、企業等群體帶來不同程度的影響,數據多渠道擴散,安全邊界隨之無限擴大,面臨的風險在加速增長。

基于網絡邊界的安全防護模式,內部安全防護效果欠佳傳統IDS、IPS、下一代防火墻、WAF等傳統安全設備在抵御常見的網絡攻擊發揮重要作用,但如今在日漸模糊的網絡邊界中,如果仍依賴以“網絡為中心”的防御方式,安全防護措施的片面性將帶來防護重心的嚴重失衡,現如今企業內部風險盛行:黑客入侵內網后,通過盜取數據庫賬號登陸數據庫即可竊取數據,運維環境本身多職位、多人員的數據庫訪問造成內部數據泄露、刪庫跑路,這都已超越傳統安全手段的能力范圍。

運維與業務場景的一攬子管理,亟需精準定位泄露源頭從數據庫的訪問來源我們將訪問流量分為業務流量和運維流量。業務流量更多由前端業務訪問者,途徑前端業務系統,再由業務系統作為媒介連接數據庫,涉及TCP/IP、HTTP通訊等協議,更多面臨外部攻擊風險;而運維流量指內部運維人員、開發人員通過工具,使用IP地址及賬號憑證訪問數據庫。顯然,不同場景對載體的配置有著不同要求,數據庫運維過程中,如何保護敏感數據安全不能與前者混為一談,一攬子管理。

內部數據泄露更隱蔽,攻擊手段更具“合理化”,難以被識別目前絕大多數單位組織都會引入第三方駐場人員進行信息系統開發、測試甚至是運維,無論是內部還是外部駐場人員,“人”及社會關系的不確定性,都有可能造成不亞于黑客攻擊、危害性更大的事件,如外部人員通過利誘系統維護人員進行數據盜取,系統維護人員通過內部網絡或自主終端機的網絡登陸數據庫后,直接進行后臺統計操作,然后將數據進行本地保存,由于其權限的看似合理化,組織往往無法追責到“幕后黑手”,且潛伏時間更久,更難以被發現。

難以突破數據庫自身權限單一管理機制、實現精細化管理

企業安全管理員為運維、開發、測試人員提供數據庫登陸憑證時,普遍采用多人單一賬號管理機制,意味著眾多人員采用同一賬戶,賬戶也大多由簡易名稱、弱密碼組成,企業管理者普遍有“有賬戶,所有訪問操作即是合法”的認知錯覺,而全然不知賬號正由于員工的親密關系、離職合同解除、個人情緒等原因向外擴散。

DBA權限最具代表性,數據庫分配的DBA權限賬戶擁有天然高權限,可以任意操控數據庫,如創建數據庫、刪除數據庫等,而正是這種高權限又不受監管的運維頻頻給數據庫的正常運行帶來故障,有意時,隨意增刪改查數據,無意時,DBA運維失誤,其自身又難以定位出故障原由,白白增加運維負擔。

以“身份”和“資產”為中心,實現運維安全有效管控

如上所說,組織機構內部若建立行之有效的數據安全防護體系,顯然需從根本消除對內部人員的無條件信任,對 “人”在數據訪問過程中所具備的一切特征進行重新的審視、定義,建立以“身份”和“資產”為中心的主動式防護體系。

對此,為了解決當下數據庫運維場景面臨的越權訪問數據、非法/無意操縱數據、敏感數據外泄的難題,美創科技推出數據庫防水壩系統。

作為一款通過幫助用戶主動建立運維訪問模型,保證敏感數據資產可管、用戶訪問行為可控、返回結果可遮蓋的數據庫運維安全風險管控產品,產品從敏感數據的快速發現和管理、嚴密的身份準入機制、資產細粒度管控、動態訪問控制、誤操作恢復、合規審計等方面全面支持數據庫運維安全管控。

產品遵循以下思路:

不主動信任。改變以保密的合同框架、道德標準為僅有的評判準則,以“默認不信任”為基礎理念。

權責分離。約束高權賬號的開放式訪問管理難題,在原有數據庫訪問機制上,全面推進職責分離制度。

多因素準入控制。打破只基于賬號密碼的準入機制,并在此基礎上大力擴充準入因子。

細粒度資產訪問控制。以“敏感數據資產”為核心,建立更加精細的數據資產訪問安全管控機制,即權限的可作用范圍從原有的表格最小化到列。

建立基線行為。建立嚴密的數據庫安全運維管控機制,預定義用戶訪問畫像,以“只允許事先授權的、擁有合法權限的人,基于合理的意圖,訪問合理范圍的數據資產”為目標,做到事前有底、事中阻斷、事后追溯。

數據隱私化防護。全面考慮數據天然的隱私性帶來的數據泄露問題,如實時訪問的數據隱私化變形、數據訪問批量導出限制,圈定每一步操作的合理范圍,避免數據披露泄露。

產品總體架構及功能模塊:

風險治理模塊

防護力量聚焦于價值性隱私數據,通過主動、快速發現敏感資產,一鍵快速的配置敏感資產集合,對不同的資產集合采用不同的安全策略,支持SCHEMA、表、列級別的資產梳理及管控,從而實現有的放矢,防止高危操作或大批量數據泄露。

準入控制模塊

提供多因素認證(如IP、UKEY、登陸時間等)、撞庫檢測防御、免密登陸等功能,聚力身份真實性、訪問合法性確認,讓通過準入機制校驗的“人”是合法的,而非仿冒、盜用憑證等行為。

實時風險防御模塊

全方位考量人、資產、行為,針對預先設置的行為基線,將資產防護細粒到人、權責分離,加之實時的上下文分析,快速阻斷威脅行為,如賬戶管理操作(Create user、Alter user、drop user等),授權管理操作(Grant),敏感數據操作(Truncat table,drop table)以及代碼操作(修改Package,view)等,形成主動、動態的防御模塊。

從而幫助用戶實現:

與傳統的運維安全風險管理平臺相比,美創數據庫防水壩除了主動式防御理念,同時具備以下天然優勢:

全面的訪問渠道覆蓋:面對數據庫多樣化訪問路徑,全面支持本地、代理、直連等訪問渠道的安全管控,顛覆傳統只能管控邏輯串接的代理訪問來源,全渠道的監測機制讓用戶所有訪問路徑無所遁形。

全流程式安全風險防護:數據訪問前暴力破解防護、數據訪問中權限合法性監測、數據請求值脫敏處理、數據合法訪問后的文件加密導出等功能,防護機制及防護能力沉淀于用戶真實訪問的各個環節,全面封鎖數據泄露路徑。

同時,美創科技提供數據庫防水壩與堡壘機聯動方案,實現從主機到數據庫、從數據庫至數據表的集中安全管控,幫助用戶消除數據操作過程無法透明管控的安全盲區,實現向“運維過程全面管理”的轉變,保障數據安全,全面滿足運維安全內部控制和各類法規要求。

頻發的內部數據泄露事件警醒著各行各業需重新審視安全體系的構建。事前充分防御與控制風險,事中實時管控惡意行為,事后快速溯源定責。唯有如此,才能避免成為威脅的受害者。