當(dāng)前位置:首頁(yè) >  IDC >  安全 >  正文

告別數(shù)據(jù)泄露,美創(chuàng)科技數(shù)據(jù)庫(kù)防水壩助力數(shù)據(jù)安全

 2021-06-08 10:12  來(lái)源: 互聯(lián)網(wǎng)   我來(lái)投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)

數(shù)據(jù)安全建設(shè)中,“人”是最關(guān)鍵的因素,但也是最薄弱的環(huán)節(jié)和漏洞。近年來(lái),“內(nèi)鬼式數(shù)據(jù)泄露”、“數(shù)據(jù)庫(kù)惡意篡改”、“刪庫(kù)跑路“等事件屢見(jiàn)不鮮,嚴(yán)峻程度逐年升高。

Verizon《2021年數(shù)據(jù)泄露調(diào)查報(bào)告》統(tǒng)計(jì),當(dāng)前,85%的數(shù)據(jù)泄露事件都與人為因素有關(guān)。企業(yè)多年傾心竭力打造的“堅(jiān)固堡壘”,正因?yàn)榘踩庾R(shí)薄弱、內(nèi)部默認(rèn)可信任機(jī)制、數(shù)據(jù)安全措施落實(shí)不到位等“沉疴”,越來(lái)越像一枚“硬殼軟糖”!

內(nèi)部數(shù)據(jù)安全風(fēng)險(xiǎn)源自何處?

· 數(shù)字化轉(zhuǎn)型時(shí)代,數(shù)據(jù)極易失控,多渠道擴(kuò)散

如今,數(shù)據(jù)已成為生產(chǎn)要素,參與到企業(yè)組織生產(chǎn)經(jīng)營(yíng)的各個(gè)環(huán)節(jié),數(shù)據(jù)流動(dòng)屬性加倍釋放,隨各類流量穿越于各個(gè)終端,以實(shí)現(xiàn)更便捷的數(shù)據(jù)訪問(wèn)、數(shù)據(jù)共享、數(shù)據(jù)應(yīng)用,向更多人、更多終端輸送,給個(gè)人、社會(huì)、企業(yè)等群體帶來(lái)不同程度的影響,數(shù)據(jù)多渠道擴(kuò)散,安全邊界隨之無(wú)限擴(kuò)大,面臨的風(fēng)險(xiǎn)在加速增長(zhǎng)。

· 基于網(wǎng)絡(luò)邊界的安全防護(hù)模式,內(nèi)部安全防護(hù)效果欠佳

傳統(tǒng)IDS、IPS、下一代防火墻、WAF等傳統(tǒng)安全設(shè)備在抵御常見(jiàn)的網(wǎng)絡(luò)攻擊發(fā)揮重要作用,但如今在日漸模糊的網(wǎng)絡(luò)邊界中,如果仍依賴以“網(wǎng)絡(luò)為中心”的防御方式,安全防護(hù)措施的片面性將帶來(lái)防護(hù)重心的嚴(yán)重失衡,現(xiàn)如今企業(yè)內(nèi)部風(fēng)險(xiǎn)盛行:黑客入侵內(nèi)網(wǎng)后,通過(guò)盜取數(shù)據(jù)庫(kù)賬號(hào)登陸數(shù)據(jù)庫(kù)即可竊取數(shù)據(jù),運(yùn)維環(huán)境本身多職位、多人員的數(shù)據(jù)庫(kù)訪問(wèn)造成內(nèi)部數(shù)據(jù)泄露、刪庫(kù)跑路,這都已超越傳統(tǒng)安全手段的能力范圍。

· 運(yùn)維與業(yè)務(wù)場(chǎng)景的一攬子管理,亟需精準(zhǔn)定位泄露源頭

從數(shù)據(jù)庫(kù)的訪問(wèn)來(lái)源我們將訪問(wèn)流量分為業(yè)務(wù)流量和運(yùn)維流量。業(yè)務(wù)流量更多由前端業(yè)務(wù)訪問(wèn)者,途徑前端業(yè)務(wù)系統(tǒng),再由業(yè)務(wù)系統(tǒng)作為媒介連接數(shù)據(jù)庫(kù),涉及TCP/IP、HTTP通訊等協(xié)議,更多面臨外部攻擊風(fēng)險(xiǎn);而運(yùn)維流量指內(nèi)部運(yùn)維人員、開(kāi)發(fā)人員通過(guò)工具,使用IP地址及賬號(hào)憑證訪問(wèn)數(shù)據(jù)庫(kù)。顯然,不同場(chǎng)景對(duì)載體的配置有著不同要求,數(shù)據(jù)庫(kù)運(yùn)維過(guò)程中,如何保護(hù)敏感數(shù)據(jù)安全不能與前者混為一談,一攬子管理。

· 內(nèi)部數(shù)據(jù)泄露更隱蔽,攻擊手段更具“合理化”,難以被識(shí)別

目前絕大多數(shù)單位組織都會(huì)引入第三方駐場(chǎng)人員進(jìn)行信息系統(tǒng)開(kāi)發(fā)、測(cè)試甚至是運(yùn)維,無(wú)論是內(nèi)部還是外部駐場(chǎng)人員,“人”及社會(huì)關(guān)系的不確定性,都有可能造成不亞于黑客攻擊、危害性更大的事件,如外部人員通過(guò)利誘系統(tǒng)維護(hù)人員進(jìn)行數(shù)據(jù)盜取,系統(tǒng)維護(hù)人員通過(guò)內(nèi)部網(wǎng)絡(luò)或自主終端機(jī)的網(wǎng)絡(luò)登陸數(shù)據(jù)庫(kù)后,直接進(jìn)行后臺(tái)統(tǒng)計(jì)操作,然后將數(shù)據(jù)進(jìn)行本地保存,由于其權(quán)限的看似合理化,組織往往無(wú)法追責(zé)到“幕后黑手”,且潛伏時(shí)間更久,更難以被發(fā)現(xiàn)。

· 難以突破數(shù)據(jù)庫(kù)自身權(quán)限單一管理機(jī)制、實(shí)現(xiàn)精細(xì)化管理

企業(yè)安全管理員為運(yùn)維、開(kāi)發(fā)、測(cè)試人員提供數(shù)據(jù)庫(kù)登陸憑證時(shí),普遍采用多人單一賬號(hào)管理機(jī)制,意味著眾多人員采用同一賬戶,賬戶也大多由簡(jiǎn)易名稱、弱密碼組成,企業(yè)管理者普遍有“有賬戶,所有訪問(wèn)操作即是合法”的認(rèn)知錯(cuò)覺(jué), 而全然不知賬號(hào)正由于員工的親密關(guān)系、離職合同解除、個(gè)人情緒等原因向外擴(kuò)散。

DBA權(quán)限最具代表性,數(shù)據(jù)庫(kù)分配的DBA權(quán)限賬戶擁有天然高權(quán)限,可以任意操控?cái)?shù)據(jù)庫(kù),如創(chuàng)建數(shù)據(jù)庫(kù)、刪除數(shù)據(jù)庫(kù)等,而正是這種高權(quán)限又不受監(jiān)管的運(yùn)維頻頻給數(shù)據(jù)庫(kù)的正常運(yùn)行帶來(lái)故障,有意時(shí),隨意增刪改查數(shù)據(jù),無(wú)意時(shí),DBA運(yùn)維失誤,其自身又難以定位出故障原由,白白增加運(yùn)維負(fù)擔(dān)。

以“身份”和“資產(chǎn)”為中心,實(shí)現(xiàn)運(yùn)維安全有效管控

如上所說(shuō),組織機(jī)構(gòu)內(nèi)部若建立行之有效的數(shù)據(jù)安全防護(hù)體系,顯然需從根本消除對(duì)內(nèi)部人員的無(wú)條件信任,對(duì) “人”在數(shù)據(jù)訪問(wèn)過(guò)程中所具備的一切特征進(jìn)行重新的審視、定義,建立以“身份”和“資產(chǎn)”為中心的主動(dòng)式防護(hù)體系。

對(duì)此,為了解決當(dāng)下數(shù)據(jù)庫(kù)運(yùn)維場(chǎng)景面臨的越權(quán)訪問(wèn)數(shù)據(jù)、非法/無(wú)意操縱數(shù)據(jù)、敏感數(shù)據(jù)外泄的難題,美創(chuàng)科技推出數(shù)據(jù)庫(kù)防水壩系統(tǒng)。 作為一款通過(guò)幫助用戶主動(dòng)建立運(yùn)維訪問(wèn)模型,保證敏感數(shù)據(jù)資產(chǎn)可管、用戶訪問(wèn)行為可控、返回結(jié)果可遮蓋的數(shù)據(jù)庫(kù)運(yùn)維安全風(fēng)險(xiǎn)管控產(chǎn)品,產(chǎn)品從敏感數(shù)據(jù)的快速發(fā)現(xiàn)和管理、嚴(yán)密的身份準(zhǔn)入機(jī)制、資產(chǎn)細(xì)粒度管控、動(dòng)態(tài)訪問(wèn)控制、誤操作恢復(fù)、合規(guī)審計(jì) 等方面全面支持?jǐn)?shù)據(jù)庫(kù)運(yùn)維安全管控。

美創(chuàng)科技數(shù)據(jù)庫(kù)防水壩遵循以下思路:

· 不主動(dòng)信任 。改變以保密的合同框架、道德標(biāo)準(zhǔn)為僅有的評(píng)判準(zhǔn)則,以“默認(rèn)不信任”為基礎(chǔ)理念。

· 權(quán)責(zé)分離 。約束高權(quán)賬號(hào)的開(kāi)放式訪問(wèn)管理難題,在原有數(shù)據(jù)庫(kù)訪問(wèn)機(jī)制上,全面推進(jìn)職責(zé)分離制度。

· 多因素準(zhǔn)入控制 。打破只基于賬號(hào)密碼的準(zhǔn)入機(jī)制,并在此基礎(chǔ)上大力擴(kuò)充準(zhǔn)入因子。

· 細(xì)粒度資產(chǎn)訪問(wèn)控制 。以“敏感數(shù)據(jù)資產(chǎn)”為核心,建立更加精細(xì)的數(shù)據(jù)資產(chǎn)訪問(wèn)安全管控機(jī)制,即權(quán)限的可作用范圍從原有的表格最小化到列。

· 建立基線行為 。建立嚴(yán)密的數(shù)據(jù)庫(kù)安全運(yùn)維管控機(jī)制,預(yù)定義用戶訪問(wèn)畫像,以“只允許事先授權(quán)的、擁有合法權(quán)限的人,基于合理的意圖,訪問(wèn)合理范圍的數(shù)據(jù)資產(chǎn)”為目標(biāo),做到事前有底、事中阻斷、事后追溯。

· 數(shù)據(jù)隱私化防護(hù) 。全面考慮數(shù)據(jù)天然的隱私性帶來(lái)的數(shù)據(jù)泄露問(wèn)題,如實(shí)時(shí)訪問(wèn)的數(shù)據(jù)隱私化變形、數(shù)據(jù)訪問(wèn)批量導(dǎo)出限制,圈定每一步操作的合理范圍,避免數(shù)據(jù)披露泄露。

美創(chuàng)科技數(shù)據(jù)庫(kù)防水壩產(chǎn)品總體架構(gòu)及功能模塊:

· 風(fēng)險(xiǎn)治理模塊: 防護(hù)力量聚焦于價(jià)值性隱私數(shù)據(jù),通過(guò)主動(dòng)、快速發(fā)現(xiàn)敏感資產(chǎn),一鍵快速的配置敏感資產(chǎn)集合,對(duì)不同的資產(chǎn)集合采用不同的安全策略,支持SCHEMA、表、列級(jí)別的資產(chǎn)梳理及管控,從而實(shí)現(xiàn)有的放矢,防止高危操作或大批量數(shù)據(jù)泄露。

· 準(zhǔn)入控制模塊: 提供多因素認(rèn)證(如IP、UKEY、登陸時(shí)間等)、撞庫(kù)檢測(cè)防御、免密登陸等功能,聚力身份真實(shí)性、訪問(wèn)合法性確認(rèn),讓通過(guò)準(zhǔn)入機(jī)制校驗(yàn)的“人”是合法的,而非仿冒、盜用憑證等行為。

· 實(shí)時(shí)風(fēng)險(xiǎn)防御模塊 :全方位考量人、資產(chǎn)、行為,針對(duì)預(yù)先設(shè)置的行為基線,將資產(chǎn)防護(hù)細(xì)粒到人、權(quán)責(zé)分離,加之實(shí)時(shí)的上下文分析,快速阻斷威脅行為,如賬戶管理操作(Create user、Alter user、drop user等),授權(quán)管理操作(Grant),敏感數(shù)據(jù)操作(Truncat table,drop table)以及代碼操作(修改Package,view)等,形成主動(dòng)、動(dòng)態(tài)的防御模塊。

從而幫助用戶實(shí)現(xiàn):

與傳統(tǒng)的運(yùn)維安全風(fēng)險(xiǎn)管理平臺(tái)相比,美創(chuàng)數(shù)據(jù)庫(kù)防水壩除了主動(dòng)式防御理念,同時(shí)具備以下天然優(yōu)勢(shì):

· 全面的訪問(wèn)渠道覆蓋: 面對(duì)數(shù)據(jù)庫(kù)多樣化訪問(wèn)路徑,全面支持本地、代理、直連等訪問(wèn)渠道的安全管控,顛覆傳統(tǒng)只能管控邏輯串接的代理訪問(wèn)來(lái)源,全渠道的監(jiān)測(cè)機(jī)制讓用戶所有訪問(wèn)路徑無(wú)所遁形。

· 全流程式安全風(fēng)險(xiǎn)防護(hù): 數(shù)據(jù)訪問(wèn)前暴力破解防護(hù)、數(shù)據(jù)訪問(wèn)中權(quán)限合法性監(jiān)測(cè)、數(shù)據(jù)請(qǐng)求值脫敏處理、數(shù)據(jù)合法訪問(wèn)后的文件加密導(dǎo)出等功能,防護(hù)機(jī)制及防護(hù)能力沉淀于用戶真實(shí)訪問(wèn)的各個(gè)環(huán)節(jié),全面封鎖數(shù)據(jù)泄露路徑。

同時(shí),美創(chuàng)科技提供數(shù)據(jù)庫(kù)防水壩與堡壘機(jī)聯(lián)動(dòng)方案,實(shí)現(xiàn)從主機(jī)到數(shù)據(jù)庫(kù)、從數(shù)據(jù)庫(kù)至數(shù)據(jù)表的集中安全管控,幫助用戶消除數(shù)據(jù)操作過(guò)程無(wú)法透明管控的安全盲區(qū),實(shí)現(xiàn)向“運(yùn)維過(guò)程全面管理”的轉(zhuǎn)變,保障數(shù)據(jù)安全,全面滿足運(yùn)維安全內(nèi)部控制和各類法規(guī)要求。

頻發(fā)的內(nèi)部數(shù)據(jù)泄露事件警醒著各行各業(yè)需重新審視安全體系的構(gòu)建。事前充分防御與控制風(fēng)險(xiǎn),事中實(shí)時(shí)管控惡意行為,事后快速溯源定責(zé)。唯有如此,才能避免成為威脅的受害者。

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)文章

熱門排行

信息推薦