企業(yè)信息數(shù)據(jù)的高利益誘惑�����、不斷精進的武器化攻擊方法����、攻擊情報收集更加便利�,在日益劇增的網(wǎng)絡安全威脅狀況下,傳統(tǒng)性的終端安全和網(wǎng)絡安全顯得捉襟見肘����,已無法保障企業(yè)組織真正重要的東西–業(yè)務數(shù)據(jù)和應用程序。
如何維持企業(yè)的核心競爭力�����,保證業(yè)務連續(xù)性和數(shù)據(jù)安全����,需要構(gòu)建更高層次��、更全面��、更具成熟度的數(shù)據(jù)安全能力(參考DSMM數(shù)據(jù)安全能力成熟度模型)����。
而數(shù)據(jù)庫安全能力���,承載了企業(yè)核心業(yè)務數(shù)據(jù)的系統(tǒng)軟件��,已經(jīng)成為業(yè)務運行和數(shù)據(jù)保護的基礎(chǔ)設(shè)施����,自然也成為針對性攻擊的首要目標��。
而數(shù)據(jù)風險帶來的爆炸半徑早已遠超過去���,數(shù)據(jù)庫安全首當其沖躍上安全部門的數(shù)據(jù)安全能力建設(shè)工作清單榜首。
數(shù)據(jù)庫安全能力如何建設(shè)�����?保護企業(yè)數(shù)據(jù)庫和應用程序安全,滿足數(shù)據(jù)合規(guī)要求以及有效管控數(shù)據(jù)庫免遭數(shù)據(jù)竊取�����,是每個CSO都會關(guān)注的事情����,筆者近幾年一直在漢領(lǐng)信息從事數(shù)據(jù)庫安全管控方面的工作,下面介紹下我的數(shù)據(jù)庫安全準入控制矩陣模型的構(gòu)建和實踐心得��,以此為企業(yè)組織的數(shù)據(jù)安全能力建設(shè)提供借鑒思路��。
隨著信息化開展��,業(yè)務系統(tǒng)數(shù)據(jù)化明顯����,數(shù)據(jù)被廣泛應用于企業(yè)內(nèi)部支撐、合作經(jīng)營��、產(chǎn)品研發(fā)等�����,數(shù)據(jù)共享帶來了普遍性�,促進了生產(chǎn)力發(fā)展���,同時也讓數(shù)據(jù)的邊界模糊,流動變得頻繁�����。
因此����,流通共享數(shù)據(jù)的安全訪問控制帶來了更高的挑戰(zhàn)。
為什么傳統(tǒng)的身份認證和訪問控制不再適用于數(shù)據(jù)安全�?因為傳統(tǒng)的身份認證和訪問控制是基于網(wǎng)絡層的訪問控制,通過劃分獨立數(shù)據(jù)網(wǎng)絡區(qū)域和運維管理區(qū)域����,以IP資源(協(xié)議端口)為對象,控制力度較為寬泛�,只能參與網(wǎng)絡傳輸層的訪問要求。
與業(yè)務系統(tǒng)有關(guān)的訪問控制���,通常以核心業(yè)務實現(xiàn)為中心設(shè)計�,通過控制用戶對不同功能界面的訪問來達到權(quán)限控制的目的���。
部分數(shù)據(jù)共享時���,通常系統(tǒng)允許以文件或圖片方式保存,并在文件中添加水印���,用于在信息泄露后的追溯��,如果高權(quán)限人員對數(shù)據(jù)庫內(nèi)具有流動性的單條數(shù)據(jù)進行傳播�,系統(tǒng)則難以招架�����。
這些方式在面對數(shù)據(jù)中心級別資源池面前��,便不足以支撐對企業(yè)內(nèi)數(shù)據(jù)傳輸�����、數(shù)據(jù)交換�、數(shù)據(jù)處理的更高細粒度的訪問準入控制要求。
一個核心技術(shù)點是協(xié)議解碼框架�����,需要有專業(yè)的全協(xié)議解碼能力�����,識別和分析數(shù)據(jù)庫傳輸協(xié)議以及應用層的協(xié)議解碼,剝離SQL語句�����。
通過流會話技術(shù)��,對協(xié)議進行流重組��,所有解析語句會被標記唯一的標識���。
在此基礎(chǔ)上�,針對數(shù)據(jù)庫安全訪問的準入控制方面��,總結(jié)形成了一個安全準入控制矩陣模型����。
傳統(tǒng)網(wǎng)絡架構(gòu)中,不注重數(shù)據(jù)安全的流向�,關(guān)注點始終停留在網(wǎng)絡建設(shè)層面,對數(shù)據(jù)庫的訪問準入策略�,元素使用網(wǎng)絡傳輸?shù)膩碓磁c目標IP、目標端口及協(xié)議(TCP/UDP)����。
在安全準入控制中��,對數(shù)據(jù)庫的訪問準入還能基于哪些元素?要實現(xiàn)對數(shù)據(jù)庫訪問準入的控制����,首當其沖便是對數(shù)據(jù)庫協(xié)議的解析。
首先需要從網(wǎng)絡流量中獲取數(shù)據(jù)庫的訪問流量�,識別數(shù)據(jù)庫協(xié)議,例如Oracle的數(shù)據(jù)傳輸協(xié)議TNS��、SQL Server傳輸協(xié)議TDS��。
然后對數(shù)據(jù)庫流量協(xié)議數(shù)據(jù)包進行全協(xié)議解碼�����,其必然涉及到對加密數(shù)據(jù)庫信息的破解(如SQLServer的TDS協(xié)議��,需要通過獲取加密證書實現(xiàn)加密登錄參數(shù)解析)��,從中識別可利用的獨特參數(shù)�����。
除了訪問IP、端口和協(xié)議外��,還能夠采集的參數(shù)信息有客戶端應用程序名(navicat.exe)����、客戶端主機名(DESKTOP-VCK0MFC)、客戶端主機用戶名(J)����,以及訪問時使用的數(shù)據(jù)庫賬號名(system)和實例服務名(xe),以上稱為準入控制因子���。
企業(yè)組織架構(gòu)設(shè)計時���,可選用數(shù)據(jù)庫軟件種類眾多,協(xié)議類型��、加密方法各不相同�,我們通過協(xié)議解析獲得的數(shù)據(jù)庫應用協(xié)議內(nèi)的參數(shù)信息也不相同。
如何構(gòu)建實現(xiàn)矩陣模型?創(chuàng)新的安全準入控制模型�����,以數(shù)據(jù)庫協(xié)議的解析為核心基礎(chǔ),加入流量解析識別而來的準入因子�,形成更完善的可選準入控制因子集合。
企業(yè)內(nèi)對數(shù)據(jù)庫訪問使用的準入因子多種多樣�����,因為訪問途徑較多��,例如業(yè)務中間件與數(shù)據(jù)庫集群交互�,業(yè)務應用后臺維護對數(shù)據(jù)庫的訪問�����,運維DBA利用工具對數(shù)據(jù)庫表的操作行為���。
而做到評估所有的“需要知道”的訪問權(quán)限信息是非常困難且成本過高的�����,因此需要自動化的方法����,而且需要更智能��。
安全準入控制模型,基于數(shù)據(jù)中心大流量的數(shù)據(jù)庫協(xié)議全解碼技術(shù)���,通過機器學習���,實現(xiàn)對全網(wǎng)數(shù)據(jù)庫流量(包含業(yè)務系統(tǒng)請求的南北向流量、運維與數(shù)據(jù)中心內(nèi)服務器交互的東西向流量)內(nèi)安全訪問準入因子的自主學習��,甄別自動化腳本攻擊摻入的臟數(shù)據(jù)�����,快速完善數(shù)據(jù)庫訪問策略�����,形成準入控制矩陣�����。
如何完美實現(xiàn)技術(shù)落地���?在業(yè)務系統(tǒng)與數(shù)據(jù)庫訪問路徑中間�����,建立完善可視化的準入控制矩陣�,形成了白名單式的安全規(guī)則配置,對數(shù)據(jù)庫的所有訪問行為�,都需要進入準入控制矩陣進行混合匹配認證,只有符合復雜白名單規(guī)則的訪問才被允許����。
而自動化變換攻擊腳本程序、更換賬號以及目標設(shè)備的異常攻擊行為�����,都會被精準識別并及時阻斷�。
不管從業(yè)務系統(tǒng)的外來請求�,還是服務器集群內(nèi)的東西向交互訪問,實現(xiàn)完全杜絕非法行為���。
所以���,數(shù)據(jù)庫安全準入控制矩陣模型的構(gòu)建是以協(xié)議全解碼技術(shù)為基礎(chǔ),識別多項準入控制因子���,通過訪問內(nèi)容的自主學習�����,形成的準入控制矩陣��。
對數(shù)據(jù)庫的訪問進行準入控制����,對非理性和異常行為達到精準阻斷,有效落地企業(yè)數(shù)據(jù)庫安全能力����。
數(shù)據(jù)庫安全準入控制矩陣模型是企業(yè)構(gòu)建數(shù)據(jù)庫安全能力建設(shè)內(nèi)容之中的一環(huán),是實現(xiàn)靈活多變�、自適應式、且具有高細粒度訪問控制矩陣的最佳實踐��。
對企業(yè)組織而言�,特別是在面對眾多以獲取企業(yè)敏感數(shù)據(jù)信息為目的的威脅面前,在未來以數(shù)據(jù)為中心的新經(jīng)濟時代��,通過整合來自人�����、流程和技術(shù)的輸入信息���,才能有效構(gòu)建并提升企業(yè)數(shù)據(jù)安全能力���,才能在威脅來臨之際快速�、自信地做出反應��。
