數(shù)據(jù)庫安全審計產(chǎn)品目前已經(jīng)成了很多企業(yè)、組織常用的數(shù)據(jù)安全產(chǎn)品,作為數(shù)據(jù)安全防護(hù)的一部分。
但經(jīng)常會有人問,“數(shù)據(jù)庫審計產(chǎn)品能起到什么作用?使用了它以后,審計到的都是一些平常的數(shù)據(jù)庫操作,沒發(fā)現(xiàn)大的安全事件啊?”
2023年4月,美國空軍網(wǎng)絡(luò)工程師特謝拉(Teixeira)因在社交媒體平臺Discord上長期大量泄露與烏克蘭戰(zhàn)爭有關(guān)的美軍機(jī)密文件而被捕。該泄密事件暴露了美國空軍信息安全管理的嚴(yán)重問題,在美國“朝野”掀起軒然大波,導(dǎo)致美國國防部徹底整改其風(fēng)險管理方法,堪稱美國空軍版“斯諾登事件”。
事件的主角是一位年僅21歲沉迷網(wǎng)絡(luò)游戲的IT運(yùn)維工程師,他能夠接觸大量高度機(jī)密的軍事情報,在游戲社交媒體上為了“裝逼”和“吸粉”持續(xù)泄露機(jī)密情報長達(dá)數(shù)月,這是一起足以震碎三觀的數(shù)據(jù)泄露事件。
作為一名IT專家,他的職責(zé)是保持系統(tǒng)正常運(yùn)行,而不是對通過網(wǎng)絡(luò)傳播的機(jī)密信息進(jìn)行情報分析(并在社交網(wǎng)絡(luò)上“顯擺”)。他的上級管理者也都知道這一點。
但為何沒有人提早阻止他的行為,除了管理上的漏洞以外,其中可能的一條原因在于他每次的行為都不屬于高風(fēng)險,未引起足夠的重視。就像我們常說的 “大錯不犯,小錯不斷”,但正是這種行為,往往導(dǎo)致嚴(yán)重的后果,因為小錯積累到大錯,再防范就來不及了。
就像美國航空界流行的“海因里希三角法則”,每一次重大事故之前都會有29個輕傷害事故與300個無傷害事故。
另外伯德在1966年提出的“擴(kuò)展事故三角理論”也說明了這一點,如下圖所示:
“特謝拉泄密事件”也是如此,事件發(fā)生前的多次“微小事故”被忽略或者沒有按程序報告。美國空軍的調(diào)查報告指出,該事件揭示了美國軍隊信息安全和風(fēng)險管理多個環(huán)節(jié)的嚴(yán)重問題。
由此可見,做好防微杜漸才是安全防護(hù)的第一關(guān)。
回到前面的問題,數(shù)據(jù)庫安全審計有什么用?
正是通過對日常所有人員對數(shù)據(jù)庫的所有操作進(jìn)行監(jiān)控審計,及時發(fā)現(xiàn)風(fēng)險,及時提醒及時預(yù)警,從而將重大事故掐滅在萌芽階段。
如下圖所示,數(shù)據(jù)庫審計系統(tǒng)實時監(jiān)控各類用戶對數(shù)據(jù)庫的訪問,記錄用戶對數(shù)據(jù)庫的所有訪問,便于事故后進(jìn)行溯源定位,起到震懾作用,讓可能的風(fēng)險操作盡量減少;另外,可以通過統(tǒng)計規(guī)則、組合規(guī)則對訪問行為進(jìn)行分析,識別出其中的風(fēng)險,及時預(yù)警處置,避免重大事故的發(fā)生。
同時,基于AI智能建模分析,從海量的審計記錄數(shù)據(jù)中,識別陌生人闖入、用戶異常行為等,從而進(jìn)行有效的安全防護(hù)。
數(shù)據(jù)庫審計系統(tǒng)的部署與使用,從來不是為了發(fā)現(xiàn)重大安全事件,而是為了防微杜漸,避免事故的發(fā)生。
數(shù)據(jù)安全防護(hù)從日常操作審計開始。