前情提要
最近正好在做数据治理相关的工作,所以来记录一下关于数据溯源的相关想法。
我们都知道在数据治理中,最重要的三个系统是:
数据资产管理系统(元数据管理系统)
数据分类分级系统(数据标签管理系统)
数据溯源系统(数据地图、数据血缘、数据流转图)
其中,数据溯源系统往往有很多说法,在同乙方进行沟通时,各家都在将自己的能力往上面靠,但是不是真的和你想要的一致,需要好好分辨。我认为目前大家所说的“数据溯源”有以下几个类型:(1)单点溯源(2)大数据数据血缘(3)数据流转图
0x01 单点溯源
这个是目前市面上乙方厂商最多的产品。这类产品能解决的是两个节点之间的数据访问情况,但不能连成一张完整的网络,即一张完整的数据流转图。
这类里面有两类代表:(1)应用侧api治理(2)数据库侧数据库审计(3)DLP系统
(1)应用侧api治理
某数据安全明星厂商的一款产品,基于应用系统的流量分析,通过关键词、数据字典、正则表达式、语义分析等技术,分析出流量中的敏感数据;通过api接口中的关键词或者用户标注,识别出重点api,比如登录、数据查询等等;通过登录用户名、ip、session、时间戳等方式,跟踪用户访问行为。于是该产品便可以得到用户访问这些api的相关行为画像,然后根据之前设定的规则,如访问频率、访问时间、访问数据量等等,识别出异常行为。并且可以通过关键词查询,比如企业发现的泄露的电话号码,那查询是谁访问了该电话号码。
该技术,可以看出,其所能绘制的路径特点:
因为基于应用流量,因此只能识别在应用侧的流转情况,而不能识别数据库侧
应用侧的识别,也仅能识别“一跳”,即每两个节点之间的流转行为无法串联在一起
适用场景:
正如该产品技术原理,其所适用的就是企业api治理,由于当前企业越来越多的应用系统,到底数据从哪些api进来,尤为重要的是敏感数据又从哪些api出去,是非常重要的。
待企业安全人员优化的地方:
在试用的过程中,其实可以看出,其敏感数据识别的规则还是会有很多误报的地方,比如姓名等等,这些其实还需要进一步完善语义分析、词法分割等等。同时,api的分类往往也需要安全人员自行梳理,系统没法自动分出哪些是外部api,哪些是第三方应用系统访问的api。因此可以把这些数据作为基础初筛的数据,再辅助于企业的特点,制定第二层自定义规则,筛出重点关注的对象。比如以重点系统出发,或者以重点数据出发。
(2)数据库侧数据库审计
在数据库侧的产品,基本是从数据库审计产品延伸而来。目前,在溯源这一概念下,说的较多的是某厂商的三层关联。
其三层关联指的是识别用户-》应用-》数据库这三层的识别。其技术原理,是通过在应用服务器上,安装一个插件,该插件使用的是类似于IAST中使用的插桩技术,在访问数据库的请求中,插入唯一标记,这样将用户访问请求和数据库访问请求关联起来,从而实现三层关联。然后再通过数据库审计的相关技术,对数据库访问流量的异常行为进行分析。
该技术,可以看出,其所绘制的路径特点:
其以访问数据库侧的路径
来源:freebuf.com 2020-10-16 18:23:18 by: guoqi_znuel
请登录后发表评论
注册