随着银行信息技术的发展,数据库作为信息系统的核心与基础,其价值及重要性不断提升。与此同时,数据库面临的内部和外部安全风险也随之不断增加,因违规越权操作或恶意入侵导致的重要敏感信息泄露等事件层出不穷。面对上述问题,如果缺少行之有效的数据库安全审计机制,在安全事件发生后将难以开展及时、准确的溯源定责工作。
在此背景下,某大型国有银行(以下简称:A行)为有效降低数据中心、分行开放平台数据库海量客户敏感信息的泄露风险,满足各类境内外监管机构、PCI组织等行业机构对客户数据保护的要求,需要部署实施专业的数据库安全监控审计系统,用以实现对异常业务数据操作(如读取、新增、修改、删除)的实时报警与快速审计,并提供针对相关用户操作行为的追溯及报表统计分析等功能,帮助客户方面及时、准确地发现非法数据读取、非授权数据改动等风险问题,从源头上对数据安全进行控制。
核心诉求
A行需要实现数据中心生产环境开放平台及X86平台全部数据库的集中审计,对运维人员后台用户的数据库访问行为进行完整记录和自动审计,防范数据库敏感信息泄露和非授权操作风险。具体需求如下:
1、数据库审计产品支持银行的传统环境、基础设施云环境、平台云环境容器中的数据库部署,其中容器中的部署需在宿主机层;支持自建公有云平台,能将数据库安全审计产品的各项功能作为自服务提供给租户使用。
2、数据库审计产品覆盖的数据库类型包括国际和国内主流数据库、大数据库和分布式数据库,同时能够跟随业界发展支持新数据库类型及版本;实时记录运维人员所有方式的访问和操作行为,包括本地访问和远程访问、加密协议(如ssh)访问和非加密协议访问,所记录的日志内容完整、准确。
3、提供实时、完整、集中、便捷的日志审计功能;可灵活定制或直接使用丰富的内置数据库审计规则;可自动识别高危或可疑数据库操作行为,实现对敏感数据异常访问行为的事中监控、报警。
4、运维变更流程规范需要支持工单流程对数据库变更操作中涉及的数据库访问和操作命令,比对实际的数据库操作命令,识别非授权访问或变更行为并进行告警。
5、插件部署后,对数据库服务器的性能影响可控,包括启用日志过滤机制前后、联机业务高峰、批量高峰等任意场景下,数据库服务器的cpu占用率、内存占用率、I\O使用率增长不得超过设置的预定指标。当数据库服务器出现性能异常时,产品需要具备报警和熔断机制。
解决思路
审计的“行为”即是“人对数据库的操作”,因而首先要梳理A行现有人员的访问路径。目前A行有两种访问数据库的方式,分别为本地直连和远程访问数据库的操作。根据这两种访问数据库方式的实现原理,涉及的技术思路如下图:
1、本地审计
负责抓取本地数据库客户端程序中实际响应的SQL指令,可通过本地插件捕获获取。
2、Agent
负责抓取网络层(本地物理网卡和LoopBack环回网卡)的流量,通过源IP地址、目的IP地址及端口号、数据库用户名、数据库协议来过滤抓取的流量包。
方案设计
方案一:在ECC终端部署agent插件抓取远程访问流量,在数据库服务器本地部署插件,抓取本地操作审计。由数据库审计产品分别抓取远程访问和本地操作审计,并通过数据安全管理平台进行汇总展示,如下图所示:
方案二:只在数据库系统上部署agent插件及本地审计插件,用agent过滤机制过滤应用流量,仅抓取人为操作数据库操作。
由于A行的需求场景不同,经安华金和评估分析后,决定根据实施方案部署数据库安全审计系统(DAS);同时,通过部署应用一套数据安全管理平台(DSP),对所部署的多套审计进行统一管理。数据库安全审计系统部署上线后即接入纳管数据开放平台上的所有数据库,将数据库纳入监控和审计范围,从部署到上线后一直稳定运行。结合当前A行内的数据库使用方式,数据库安全审计系统采用了不同模式对纳入监控的数据库系统进行相应的监控和审计。
客户价值
1、运维操作全审计
通过部署多套数据库安全审计系统,实现对数据库操作行为全面、准确的监控审计。截止目前,A行已将几百套数据库节点纳入监控和审计范围,针对运维人员的数据库操作行为进行“无死角”审计记录,实现了对安全事件追溯有据可查的目标。
2、数据库安全监控
通过在数据库安全审计系统上开启对数据库的“漏洞攻击监测”,实时监控利用漏洞对数据库进行的攻击;一旦数据库遭受攻击,系统将第一时间发出告警,及时通知安全管理员处理相关威胁。截至目前,包括oracle、mysql、sqlserver在内的各数据库类型均保持稳定运行。
3、制定基线操作规则
制定了A行内部安全操作的基线规则,结合运维操作要求及特征制定出的规则,包含“短时间内多次登录失败、创建存储过程和包操作、时间段内增删改、非变更时间段内增删改、批量数据篡改、高危操作、权限变更”等规则。通过持续观察命中的风险事件,及时分析并与运维人员进行确认等方式,判定相关事件是风险还是合规操作。同时,通过在持续运营、维护的过程中进行策略优化,最终形成适合行内实际需求的精准操作规则策略。
4、客户化操作规则
工单系统作为ITIL所倡导的标准流程化管理系统,业务申请流程中可能包含对业务数据库的操作类信息,比如:对敏感业务数据的请求访问、数据传送、角色权限调整、应用上线、数据变更等。
针对以上操作行为的申请,在工单系统内通过审批后,即代表相关行为已被许可执行。值得注意的是,在常规的数据库行为监控与审计中,也存在某些必须执行的特定行为,它们可能会被视为非法或疑似非法的操作,比如:删库、删表、清空表、运维区域查询业务生产数据、变更账号权限等,而已通过审批的特定行为则不会被视为风险操作导致告警。
此外,通过与工单系统的对接,对数据查询或变更操作中同样可能出现疑似对业务生产系统数据库的非常规行为,比如提取其中关键信息等操作;如果相关操作已在数据库安全审计系统上形成“信任”的行为规则,则在监控到该类行为时不会触发安全告警,从而更好地避免了误报的产生,也提高了工作效率。
【方案部署说明及创新点解读详见后文,敬请关注】
来源:freebuf.com 2021-04-13 17:22:30 by: 安华金和
请登录后发表评论
注册