一、数据安全的核心已成为与水电一样重要的生产要素。保障数据的安全开发利用是各生产部门和监管机构的重要职责。数据安全能力建设也紧紧围绕数据关键要素的生命周期展开。由此理念诞生的DSMM框架逐渐成为主流的构建规范。数据库作为数据的核心载体,安全保护是重中之重,而数据库审计是数据库安全防御体系的重要组成部分。本文将从“以数据为中心”的角度尝试重新梳理数据库审计的技术演进方向。2、数据库审计的重要性在Gartner咨询机构2019年发布的安全产品生命周期图中,数据库审计与数据库加密等产品一起被列入成熟产品。作为一款方向性强、基本不易出错的安全产品,其发展历程经历了数据库日志审计、数据库流量审计、数据库业务审计与防护等多个阶段。它在数据库安全防御矩阵中起着核心作用,也是等保合规建设的“基础项”。3、数据库审计的不足数据库审计成熟。作为一个单一的产品,它是完整的,基本满足客户的需求。正如汤姆森在20世纪初所说,实体建筑已经建成,天空晴朗,只是被两片乌云所覆盖。在近两年数据安全发展新形势下,这两朵乌云逐渐放大和弥散,我们从业者不得不对它们保持高度关注。1.重行为轻数据。传统的数据库审计侧重于上游流量审计,关注用户做了什么以及他们如何做。这不仅是安全企业实施思路的问题,相关安全审计国标要求中也有很大一段描述了对经营行为的审计。在传统的网络安全中,关注运营合规性是可以理解的,但这种强调与以数据为中心的核心理念背道而驰。让我们以小偷入室盗窃为例。立案重点记录小偷有没有进屋,使用什么工具,作案时间和地点,然后关注小偷的金额。如果基于数据安全的理念,备案应优先考虑家中物品是否丢失,包括偷窥、盗窃、盗窃、毁坏等造成个人财产损失的资产信息。这种理念上的差异会导致案例定义的不一致。数据库操作也是如此。数据库审计可以很容易判断一条SQL语句是否有害,但是对于同样的操作语句,比如“select*fromAA;”,是没有判断依据的,从行为上看对数据库没有影响。有害,但是如果AA是一张存储用户账号的表,那么执行这条语句可能会造成敏感数据泄露事故。因此,必须依靠查询的表对象和字段列表来判断,而这部分业务信息是人工梳理的,效率低下,难以实现。在这种轻数据的设计思想下,很难达到数据库审计的最佳效果。2.业务审计,三级关联怎么行?目前,所有产品均已实现业务审计。所谓业务审计,主要依靠三层关联审计,从人-应用-库三层访问链路关联中进一步定位源访问信息。三级审计的主要实现思路包括两大类。一种是基于Web流量和数据库流量,从操作语句特征、访问时间戳等维度进行拟合。这种方式在并发量大的时候准确率低,基本无法匹配。另一种是基于代理方式,利用JAVA的特点,hook底层jdbc访问层,实现web信息与数据库信息的自动关联。通过将数据日志传输到数据库审计系统,统一存储和展示。这种实现方式精度高,基本没有误报和漏报,业务方不需要进行网络改造和业务改造。但是需要在应用系统中加载插件,共享一个进程,会带来一定的性能损失和稳定性风险。用户对这种方式的接受度也不是很高。因此,虽然有三层关联,但真正产生价值的并不多。3.数据库审计新技术思路通过以上分析,我们总结了一些技术要点。在数据安全时代,数据库审计可以发挥更大的作用。(1)突出数据审计数据库审计下行流量包含大量敏感信息。充分利用数据分类分级管理的成果,建立成熟有效的更新机制,对访问敏感的数据库表和字段进行重点审计。建立一套依托AI能力的数据基线,从用户账号、获取的敏感数据量、执行时间段、流量等多个维度综合判断异常情况。由于现实中存储容量有限,关键表和关键字段要按照字段列表分类分级存储。(2)全面拥抱业务审计业务关联,有利于提升整体审计价值,溯源至真人。如前所述,两种主流实现都有其自身的缺点。如果我们从数据本身出发,不再追求操作行为的一致性,那么问题似乎更容易解决。例如:用户通过浏览器发起请求,返回一个手机号码列表。同时后台数据库发生查询事件,返回手机号码列表。通过判断两个数据之间的强关联性,将访问信息和数据库操作行为自动关联绑定,即使两者在内部业务实现逻辑上不一致。从两者返回的数据中不断进行模式匹配,不再基于时间戳和访问特征的拟合,准确率将大大提高,真正实现业务关联审计。(3)拥抱大数据时代无论是自建大数据分析引擎,引入UEBA技术理念,分析用户行为,刻画用户画像,还是将数据转发给第三方大数据分析平台,将自身退化为流量探针,对于数据库审计来说,审计结果的展示和智能的使用是必然的。随着审计数据量的暴涨,传统的存储引擎不再适用,大数据分布式存储引擎正在被大规模引入。在数据安全的背景下,数据库审计探针和SDK几乎是不可避免的。4.总结数据库审计是一个高度成熟的产品,短期内没有挑战性的发展路线图。在数据安全治理的背景下,需要积极适应并做出一些改变,才能更好地发挥数据库安全的价值。
