當前位置:首頁 >  IDC >  安全 >  正文

告別數(shù)據(jù)泄露,美創(chuàng)科技數(shù)據(jù)庫防水壩助力數(shù)據(jù)安全

 2021-06-08 10:12  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預訂/競價,好“米”不錯過

數(shù)據(jù)安全建設中,“人”是最關鍵的因素,但也是最薄弱的環(huán)節(jié)和漏洞。近年來,“內(nèi)鬼式數(shù)據(jù)泄露”、“數(shù)據(jù)庫惡意篡改”、“刪庫跑路“等事件屢見不鮮,嚴峻程度逐年升高。

Verizon《2021年數(shù)據(jù)泄露調(diào)查報告》統(tǒng)計,當前,85%的數(shù)據(jù)泄露事件都與人為因素有關。企業(yè)多年傾心竭力打造的“堅固堡壘”,正因為安全意識薄弱、內(nèi)部默認可信任機制、數(shù)據(jù)安全措施落實不到位等“沉疴”,越來越像一枚“硬殼軟糖”!

內(nèi)部數(shù)據(jù)安全風險源自何處?

· 數(shù)字化轉(zhuǎn)型時代,數(shù)據(jù)極易失控,多渠道擴散

如今,數(shù)據(jù)已成為生產(chǎn)要素,參與到企業(yè)組織生產(chǎn)經(jīng)營的各個環(huán)節(jié),數(shù)據(jù)流動屬性加倍釋放,隨各類流量穿越于各個終端,以實現(xiàn)更便捷的數(shù)據(jù)訪問、數(shù)據(jù)共享、數(shù)據(jù)應用,向更多人、更多終端輸送,給個人、社會、企業(yè)等群體帶來不同程度的影響,數(shù)據(jù)多渠道擴散,安全邊界隨之無限擴大,面臨的風險在加速增長。

· 基于網(wǎng)絡邊界的安全防護模式,內(nèi)部安全防護效果欠佳

傳統(tǒng)IDS、IPS、下一代防火墻、WAF等傳統(tǒng)安全設備在抵御常見的網(wǎng)絡攻擊發(fā)揮重要作用,但如今在日漸模糊的網(wǎng)絡邊界中,如果仍依賴以“網(wǎng)絡為中心”的防御方式,安全防護措施的片面性將帶來防護重心的嚴重失衡,現(xiàn)如今企業(yè)內(nèi)部風險盛行:黑客入侵內(nèi)網(wǎng)后,通過盜取數(shù)據(jù)庫賬號登陸數(shù)據(jù)庫即可竊取數(shù)據(jù),運維環(huán)境本身多職位、多人員的數(shù)據(jù)庫訪問造成內(nèi)部數(shù)據(jù)泄露、刪庫跑路,這都已超越傳統(tǒng)安全手段的能力范圍。

· 運維與業(yè)務場景的一攬子管理,亟需精準定位泄露源頭

從數(shù)據(jù)庫的訪問來源我們將訪問流量分為業(yè)務流量和運維流量。業(yè)務流量更多由前端業(yè)務訪問者,途徑前端業(yè)務系統(tǒng),再由業(yè)務系統(tǒng)作為媒介連接數(shù)據(jù)庫,涉及TCP/IP、HTTP通訊等協(xié)議,更多面臨外部攻擊風險;而運維流量指內(nèi)部運維人員、開發(fā)人員通過工具,使用IP地址及賬號憑證訪問數(shù)據(jù)庫。顯然,不同場景對載體的配置有著不同要求,數(shù)據(jù)庫運維過程中,如何保護敏感數(shù)據(jù)安全不能與前者混為一談,一攬子管理。

· 內(nèi)部數(shù)據(jù)泄露更隱蔽,攻擊手段更具“合理化”,難以被識別

目前絕大多數(shù)單位組織都會引入第三方駐場人員進行信息系統(tǒng)開發(fā)、測試甚至是運維,無論是內(nèi)部還是外部駐場人員,“人”及社會關系的不確定性,都有可能造成不亞于黑客攻擊、危害性更大的事件,如外部人員通過利誘系統(tǒng)維護人員進行數(shù)據(jù)盜取,系統(tǒng)維護人員通過內(nèi)部網(wǎng)絡或自主終端機的網(wǎng)絡登陸數(shù)據(jù)庫后,直接進行后臺統(tǒng)計操作,然后將數(shù)據(jù)進行本地保存,由于其權(quán)限的看似合理化,組織往往無法追責到“幕后黑手”,且潛伏時間更久,更難以被發(fā)現(xiàn)。

· 難以突破數(shù)據(jù)庫自身權(quán)限單一管理機制、實現(xiàn)精細化管理

企業(yè)安全管理員為運維、開發(fā)、測試人員提供數(shù)據(jù)庫登陸憑證時,普遍采用多人單一賬號管理機制,意味著眾多人員采用同一賬戶,賬戶也大多由簡易名稱、弱密碼組成,企業(yè)管理者普遍有“有賬戶,所有訪問操作即是合法”的認知錯覺, 而全然不知賬號正由于員工的親密關系、離職合同解除、個人情緒等原因向外擴散。

DBA權(quán)限最具代表性,數(shù)據(jù)庫分配的DBA權(quán)限賬戶擁有天然高權(quán)限,可以任意操控數(shù)據(jù)庫,如創(chuàng)建數(shù)據(jù)庫、刪除數(shù)據(jù)庫等,而正是這種高權(quán)限又不受監(jiān)管的運維頻頻給數(shù)據(jù)庫的正常運行帶來故障,有意時,隨意增刪改查數(shù)據(jù),無意時,DBA運維失誤,其自身又難以定位出故障原由,白白增加運維負擔。

以“身份”和“資產(chǎn)”為中心,實現(xiàn)運維安全有效管控

如上所說,組織機構(gòu)內(nèi)部若建立行之有效的數(shù)據(jù)安全防護體系,顯然需從根本消除對內(nèi)部人員的無條件信任,對 “人”在數(shù)據(jù)訪問過程中所具備的一切特征進行重新的審視、定義,建立以“身份”和“資產(chǎn)”為中心的主動式防護體系。

對此,為了解決當下數(shù)據(jù)庫運維場景面臨的越權(quán)訪問數(shù)據(jù)、非法/無意操縱數(shù)據(jù)、敏感數(shù)據(jù)外泄的難題,美創(chuàng)科技推出數(shù)據(jù)庫防水壩系統(tǒng)。 作為一款通過幫助用戶主動建立運維訪問模型,保證敏感數(shù)據(jù)資產(chǎn)可管、用戶訪問行為可控、返回結(jié)果可遮蓋的數(shù)據(jù)庫運維安全風險管控產(chǎn)品,產(chǎn)品從敏感數(shù)據(jù)的快速發(fā)現(xiàn)和管理、嚴密的身份準入機制、資產(chǎn)細粒度管控、動態(tài)訪問控制、誤操作恢復、合規(guī)審計 等方面全面支持數(shù)據(jù)庫運維安全管控。

美創(chuàng)科技數(shù)據(jù)庫防水壩遵循以下思路:

· 不主動信任 。改變以保密的合同框架、道德標準為僅有的評判準則,以“默認不信任”為基礎理念。

· 權(quán)責分離 。約束高權(quán)賬號的開放式訪問管理難題,在原有數(shù)據(jù)庫訪問機制上,全面推進職責分離制度。

· 多因素準入控制 。打破只基于賬號密碼的準入機制,并在此基礎上大力擴充準入因子。

· 細粒度資產(chǎn)訪問控制 。以“敏感數(shù)據(jù)資產(chǎn)”為核心,建立更加精細的數(shù)據(jù)資產(chǎn)訪問安全管控機制,即權(quán)限的可作用范圍從原有的表格最小化到列。

· 建立基線行為 。建立嚴密的數(shù)據(jù)庫安全運維管控機制,預定義用戶訪問畫像,以“只允許事先授權(quán)的、擁有合法權(quán)限的人,基于合理的意圖,訪問合理范圍的數(shù)據(jù)資產(chǎn)”為目標,做到事前有底、事中阻斷、事后追溯。

· 數(shù)據(jù)隱私化防護 。全面考慮數(shù)據(jù)天然的隱私性帶來的數(shù)據(jù)泄露問題,如實時訪問的數(shù)據(jù)隱私化變形、數(shù)據(jù)訪問批量導出限制,圈定每一步操作的合理范圍,避免數(shù)據(jù)披露泄露。

美創(chuàng)科技數(shù)據(jù)庫防水壩產(chǎn)品總體架構(gòu)及功能模塊:

· 風險治理模塊: 防護力量聚焦于價值性隱私數(shù)據(jù),通過主動、快速發(fā)現(xiàn)敏感資產(chǎn),一鍵快速的配置敏感資產(chǎn)集合,對不同的資產(chǎn)集合采用不同的安全策略,支持SCHEMA、表、列級別的資產(chǎn)梳理及管控,從而實現(xiàn)有的放矢,防止高危操作或大批量數(shù)據(jù)泄露。

· 準入控制模塊: 提供多因素認證(如IP、UKEY、登陸時間等)、撞庫檢測防御、免密登陸等功能,聚力身份真實性、訪問合法性確認,讓通過準入機制校驗的“人”是合法的,而非仿冒、盜用憑證等行為。

· 實時風險防御模塊 :全方位考量人、資產(chǎn)、行為,針對預先設置的行為基線,將資產(chǎn)防護細粒到人、權(quán)責分離,加之實時的上下文分析,快速阻斷威脅行為,如賬戶管理操作(Create user、Alter user、drop user等),授權(quán)管理操作(Grant),敏感數(shù)據(jù)操作(Truncat table,drop table)以及代碼操作(修改Package,view)等,形成主動、動態(tài)的防御模塊。

從而幫助用戶實現(xiàn):

與傳統(tǒng)的運維安全風險管理平臺相比,美創(chuàng)數(shù)據(jù)庫防水壩除了主動式防御理念,同時具備以下天然優(yōu)勢:

· 全面的訪問渠道覆蓋: 面對數(shù)據(jù)庫多樣化訪問路徑,全面支持本地、代理、直連等訪問渠道的安全管控,顛覆傳統(tǒng)只能管控邏輯串接的代理訪問來源,全渠道的監(jiān)測機制讓用戶所有訪問路徑無所遁形。

· 全流程式安全風險防護: 數(shù)據(jù)訪問前暴力破解防護、數(shù)據(jù)訪問中權(quán)限合法性監(jiān)測、數(shù)據(jù)請求值脫敏處理、數(shù)據(jù)合法訪問后的文件加密導出等功能,防護機制及防護能力沉淀于用戶真實訪問的各個環(huán)節(jié),全面封鎖數(shù)據(jù)泄露路徑。

同時,美創(chuàng)科技提供數(shù)據(jù)庫防水壩與堡壘機聯(lián)動方案,實現(xiàn)從主機到數(shù)據(jù)庫、從數(shù)據(jù)庫至數(shù)據(jù)表的集中安全管控,幫助用戶消除數(shù)據(jù)操作過程無法透明管控的安全盲區(qū),實現(xiàn)向“運維過程全面管理”的轉(zhuǎn)變,保障數(shù)據(jù)安全,全面滿足運維安全內(nèi)部控制和各類法規(guī)要求。

頻發(fā)的內(nèi)部數(shù)據(jù)泄露事件警醒著各行各業(yè)需重新審視安全體系的構(gòu)建。事前充分防御與控制風險,事中實時管控惡意行為,事后快速溯源定責。唯有如此,才能避免成為威脅的受害者。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關文章

熱門排行

信息推薦