最新一期的《财富》世界500强榜单出炉,其中保险51家上榜,成为上榜企业最多的行业。近年来,越来越多的保险机构提出数字化转型发展战略,寻求用数字技术赋能保险业高质量发展。在此背景下,保险公司在不断挖掘客户需求、优化客户体验的过程中积累了海量丰富的数据资产,并试图从数据价值最大化中寻找新的业务突破口和盈利点。其中,数据安全已成为驱动数字经济发展的生命线。本文将分享云集集与某保险集团公司合作进行数据安全建设的典型产品实践案例。作为一家综合性保险集团,xx保险在数字化进程中保持着以体验为中心、以数据为基础、以科技为驱动的保险新业态。通过梳理集团数据安全现状,发现:(1)日均数十亿条SQL吞吐量。集团拥有财险、寿险、团险等十几种业务,每天数十亿级SQL吞吐量,无法正常检索安全事件行为日志和结果集;(2)安检时间过长。海量风险告警导致安全排查耗时,无法实现有效关联;(3)缺乏数据分析能力。未能建立分析模型,即使拥有大量日志,也无法通过分析产生价值,这就需要数据库审计具备强大的检索能力和智能关联能力,使数据安全与使用同步;(四)不能满足审计要求的。传统的数据库审计只支持关系型数据库,并且侧重于上游的流量审计,关注用户做了什么,怎么做的。现有业务环境不仅使用关系型数据库,还有大数据非结构化数据库,需要依托新的数据库审计系统来替代传统的数据库审计系统,解决复杂环境和业务场景关联的有效审计.针对以上需求和问题,引入专业成熟的数据库审计是最优方案。我们在之前的文章中已经讨论过,再小的客户也敢拿它当敲门砖,即使不考虑其他保护措施,也要追责追溯;大客户把数据库审计当成试金石,没有做好数据审计的厂家是没有心情追究其他保护产品用户的;超级用户将数据库审计视为一张王牌,它不仅可以作为风险监控和态势感知的预警机,还是事件溯源和问责免责的完美工具。云集智数据库审计产品针对上述保险群体的现状和需求,与客户一起响应需求,获取客户价值:1.解决安全事件排查常规产品:通用数据库审计系统一般采用传统关系型数据库用于分析和检索的存储和审计引擎,这使得检索海量数据变得困难,并且需要很长时间来调查安全事件。我们的能力表现:高效处理(快速)云集数据库审计系统,采用大数据在线分析系统(OLAP)进行数据存储;采用自主研发的数据组织管理系统(DCMS);使用日志查询预测技术,预加载一些日志,以加快查询过程。结合规范化、模板化、高效后台存储技术和深度优化技术,实现审计系统的极致性能,同时提升数据存储的处理性能和数据存储的检索性能,实现秒级回报千亿日志规模下查询高性能处理帮助保险客户解决海量日志检索难的问题,同时快速追溯安全事件相关信息,让安全事件排查不再是难题.2、解决数据分析问题常规产品:一般的数据库审计产品分析sql并返回sql操作内容,没有深入分析相关业务信息进行有效分析。我们的能力表现:准确识别(准)云集数据库审计系统,采用双向审计、SQL词法分析、嵌套语句/长语句深度分析、数据包重组、绑定变量互关联、应用关联等技术,实现数据库协议100%准确识别和分析复杂句子。通过对双向数据包的分析、识别和还原,实现对数据库操作请求的实时审计,对数据库系统返回的结果进行完整的还原和审计,彻底避免“误审”等问题”和“漏检”,帮助客户准确监控所有异常操作行为,第一时间向客户发出预警信息。3.建立有效的行为基线常规产品:通用数据库审计产品学习一段时间的数据库操作行为形成基线,单一维度,没有多维深度分析,形成每个个体独立的用户安全画像,因此无法形成有效的行为基线。我们的能力表现:机器学习(智能)云数据库审计系统,业界率先在数据库审计分析系统中采用智能机器学习、用户实体行为分析(UEBA)和基线告警技术,通过1%的人工干预和99%智能学习,设置用户来源基线、数据表操作基线、SQL操作汇总基线等基线,智能分析发现异常用户行为,让数据库审计分析系统真正“智能”,解放人力成本,并同时通过多个从两个维度形成用户安全画像,从源头上规避安全风险。4、常规产品高效溯源取证:通用数据库审计产品记录数据库操作行为,并存储在日志行为中。溯源检索无法有效还原操作画像,溯源取证难度大!我们的能力表现:语句回放(录音)云集数据库审计系统在传统SQL语句七元组内容审计的基础上,首创SQL语句操作视频回放技术,1:1完整还原整体操作流程,沉浸式展示“案发过程”和“案发现场”,实现对数据库安全问题的有效分析和快速追踪,帮助客户高效溯源取证。小结:通过云集数据库审计系统的部署,实现了xx保险集团相关业务场景千亿级数据的审计响应。不仅可以实现对所有人员的数据库操作、访问和命令的全面监控和审计,加强对数据库临时账户和高权限账户的审计监控和审计,加强对重要数据的访问审计监控,提供丰富的报表统计,也有效解决了海量SQL行为无法正常检索的问题;安全事件调查耗时长;风险告警无法关联其他业务痛点,帮助集团在规避数据风险的前提下,最大限度地利用各类数据(如交易数据、业务数据等)与外部企业共享数据,从而通过数据价值的释放,提高保险公司的生产经营效率。推测数据审查的未来或成为数据安全的神经网络接触点的技术的发展没有止境,对安全性的需求也没有止境。只要威胁不断发展,技术不断发展,防御措施也需要不断发展和平衡。近年来,越来越多的用户不仅满足于对执行操作的精准审计,还需要将结果集的数据保存下来,以备日后取证、溯源……听说单个业务系统的日志吞吐量某银行已经达到每秒30万量级了。。。听说保险公司的数据库数量超过了3000。。。我也听说一些高端场景的数据审核和分析能力需要上百个数十亿条日志,每分钟内部响应……我们大胆猜测,在不久的将来,第四代数据库审计产品,除了具备高智能、高性能,还有可能成为数据安全集中管理的神经网络和安全大数据分析接点,将安全防护的所有核心能力赋能到平台化产品统一调度、防御和分析,同时数据库审计,作为采集端数据与行为,形成“树”与“根”的强关联结构。此时审计将不再是一个独立的系统,不再独立工作,而是为平台提供数据输入。这样可以结合KAFkA、FLUME、ELK等先进的大数据分析和流处理分析技术,真正解决大规模数据的日志利用问题。这也可能是数据安全未来的发展方向之一。我们拭目以待。随着用户需求的提升,也祝愿数据安全爱好者能够不断突破界限,大踏步向技术的更深层次进发。
