放眼數(shù)據(jù)庫(kù)安全市場(chǎng)����,數(shù)據(jù)庫(kù)審計(jì)可以說(shuō)是用戶接受度最高的首選產(chǎn)品?����?扇绻M(jìn)一步觀察就會(huì)發(fā)現(xiàn)��,很多用戶并沒(méi)有通過(guò)應(yīng)用數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品實(shí)現(xiàn)對(duì)于安全風(fēng)險(xiǎn)的有效監(jiān)控����,不過(guò)是為了應(yīng)付檢查或滿足合規(guī)要求擺擺樣子,事實(shí)上淪為“僵尸”系統(tǒng)�。
在安華金和看來(lái),簡(jiǎn)單歸咎于“用戶安全意識(shí)不強(qiáng)”顯然有失公允����,相反地,用戶“忽視”數(shù)據(jù)庫(kù)審計(jì)的主要原因是產(chǎn)品不好用——違規(guī)訪問(wèn)時(shí)不告警���;正常操作下卻頻繁告警...如果一直開(kāi)著���,就要不停地處理誤報(bào),十分耗費(fèi)精力�。
可為什么會(huì)有如此多的誤報(bào)?Sql的解析是關(guān)鍵���!
目前��,市面上的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品按照解析方式的不同主要分為兩類:
其中多數(shù)采用的����,是基于正則表達(dá)式匹配的審計(jì)技術(shù)�����;
此外���,還有基于語(yǔ)法�、語(yǔ)義進(jìn)行協(xié)議解析的審計(jì)技術(shù)���。
然而通過(guò)測(cè)試可以發(fā)現(xiàn)��,前者的準(zhǔn)確率明顯低于后者���,這是為什么?因?yàn)閮烧叩募夹g(shù)原理不同:
1�����、基于正則表達(dá)式的解析技術(shù)
正則表達(dá)式是一種“傻瓜式”的通用字符串匹配方法,通常用于在簡(jiǎn)單場(chǎng)景下匹配指定的字符���。而對(duì)于超長(zhǎng)��、多層嵌套�����、多表關(guān)聯(lián)等復(fù)雜的SQL語(yǔ)句�����,使用正則表達(dá)式很容易造成誤識(shí)別或漏識(shí)別����。
2��、基于語(yǔ)法���、語(yǔ)義的解析技術(shù)
此種解析技術(shù)采用的是“智能”理解的方式��,不受限于SQL語(yǔ)句的長(zhǎng)度或復(fù)雜度等因素����,能夠精確定義每一條SQL語(yǔ)句,準(zhǔn)確理解其真正的含義����,從而實(shí)現(xiàn)精準(zhǔn)告警。
讓我們用一個(gè)簡(jiǎn)單的例子��,更加直觀地進(jìn)行理解:
用戶希望的安全策略是:僅對(duì)b表插入數(shù)據(jù)的SQL操作定義為風(fēng)險(xiǎn)�����。
正則表達(dá)式配置規(guī)則思路:語(yǔ)句中包含insert into�、b等關(guān)鍵字�。
語(yǔ)法、語(yǔ)義解析技術(shù)思路:語(yǔ)句操作關(guān)鍵字為insert into�����,且作用表對(duì)象為b�。
這時(shí)候,數(shù)據(jù)庫(kù)接收到一條訪問(wèn)請(qǐng)求:insert into a select * from b;
若通過(guò)正則表達(dá)式匹配SQL后:發(fā)現(xiàn)該語(yǔ)句中包括insert into和b關(guān)鍵字��,誤判其為風(fēng)險(xiǎn)操作——進(jìn)行告警����;
若通過(guò)語(yǔ)法語(yǔ)義解析后:理解該語(yǔ)句是要將test b中的所有數(shù)據(jù)插入到a中���,因而準(zhǔn)確判定其為非風(fēng)險(xiǎn)操作——不予告警。
除SQL語(yǔ)句解析能力外����,通過(guò)在應(yīng)用系統(tǒng)中部署agent,還可以準(zhǔn)確地將應(yīng)用會(huì)話與數(shù)據(jù)庫(kù)會(huì)話進(jìn)行唯一的組合匹配�,有了唯一的組合匹配即可實(shí)現(xiàn)百分百的信息關(guān)聯(lián);而傳統(tǒng)數(shù)據(jù)庫(kù)審計(jì)大多是對(duì)應(yīng)用前端的流量做同時(shí)鏡像����,再通過(guò)時(shí)間戳進(jìn)行匹配關(guān)聯(lián),往往會(huì)在高壓�����、高并發(fā)的場(chǎng)景下發(fā)生“張冠李戴”的錯(cuò)審問(wèn)題����。
對(duì)于數(shù)據(jù)庫(kù)審計(jì)而言,做了����,不等于做對(duì)了!數(shù)據(jù)庫(kù)審計(jì)不需要“形式主義”�,只有真正為用戶解決問(wèn)題�����、創(chuàng)造價(jià)值的數(shù)據(jù)庫(kù)安全產(chǎn)品��,才不會(huì)淪為湊數(shù)的“僵尸”����。安華金和�,十年專注數(shù)據(jù)庫(kù)安全治理,幫助用戶讓數(shù)據(jù)使用更安全���。
產(chǎn)品咨詢:4000 258 365 
