放眼數(shù)據(jù)庫(kù)安全市場(chǎng),數(shù)據(jù)庫(kù)審計(jì)可以說(shuō)是用戶(hù)接受度最高的首選產(chǎn)品�?��?扇绻M(jìn)一步觀察就會(huì)發(fā)現(xiàn),很多用戶(hù)并沒(méi)有通過(guò)應(yīng)用數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品實(shí)現(xiàn)對(duì)于安全風(fēng)險(xiǎn)的有效監(jiān)控����,不過(guò)是為了應(yīng)付檢查或滿(mǎn)足合規(guī)要求擺擺樣子,事實(shí)上淪為“僵尸”系統(tǒng)����。
在安華金和看來(lái)���,簡(jiǎn)單歸咎于“用戶(hù)安全意識(shí)不強(qiáng)”顯然有失公允�,相反地��,用戶(hù)“忽視”數(shù)據(jù)庫(kù)審計(jì)的主要原因是產(chǎn)品不好用——違規(guī)訪(fǎng)問(wèn)時(shí)不告警�;正常操作下卻頻繁告警...如果一直開(kāi)著,就要不停地處理誤報(bào)�����,十分耗費(fèi)精力�����。
可為什么會(huì)有如此多的誤報(bào)?Sql的解析是關(guān)鍵�!
目前���,市面上的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品按照解析方式的不同主要分為兩類(lèi):
其中多數(shù)采用的����,是基于正則表達(dá)式匹配的審計(jì)技術(shù);
此外����,還有基于語(yǔ)法、語(yǔ)義進(jìn)行協(xié)議解析的審計(jì)技術(shù)����。
然而通過(guò)測(cè)試可以發(fā)現(xiàn),前者的準(zhǔn)確率明顯低于后者�����,這是為什么�����?因?yàn)閮烧叩募夹g(shù)原理不同:
1���、基于正則表達(dá)式的解析技術(shù)
正則表達(dá)式是一種“傻瓜式”的通用字符串匹配方法��,通常用于在簡(jiǎn)單場(chǎng)景下匹配指定的字符���。而對(duì)于超長(zhǎng)��、多層嵌套�����、多表關(guān)聯(lián)等復(fù)雜的SQL語(yǔ)句,使用正則表達(dá)式很容易造成誤識(shí)別或漏識(shí)別����。
2、基于語(yǔ)法�����、語(yǔ)義的解析技術(shù)
此種解析技術(shù)采用的是“智能”理解的方式�����,不受限于SQL語(yǔ)句的長(zhǎng)度或復(fù)雜度等因素��,能夠精確定義每一條SQL語(yǔ)句,準(zhǔn)確理解其真正的含義��,從而實(shí)現(xiàn)精準(zhǔn)告警�����。
讓我們用一個(gè)簡(jiǎn)單的例子���,更加直觀地進(jìn)行理解:
用戶(hù)希望的安全策略是:僅對(duì)b表插入數(shù)據(jù)的SQL操作定義為風(fēng)險(xiǎn)���。
正則表達(dá)式配置規(guī)則思路:語(yǔ)句中包含insert into、b等關(guān)鍵字�。
語(yǔ)法、語(yǔ)義解析技術(shù)思路:語(yǔ)句操作關(guān)鍵字為insert into��,且作用表對(duì)象為b�����。
這時(shí)候����,數(shù)據(jù)庫(kù)接收到一條訪(fǎng)問(wèn)請(qǐng)求:insert into a select * from b;
若通過(guò)正則表達(dá)式匹配SQL后:發(fā)現(xiàn)該語(yǔ)句中包括insert into和b關(guān)鍵字,誤判其為風(fēng)險(xiǎn)操作——進(jìn)行告警;
若通過(guò)語(yǔ)法語(yǔ)義解析后:理解該語(yǔ)句是要將test b中的所有數(shù)據(jù)插入到a中����,因而準(zhǔn)確判定其為非風(fēng)險(xiǎn)操作——不予告警。
除SQL語(yǔ)句解析能力外�,通過(guò)在應(yīng)用系統(tǒng)中部署agent,還可以準(zhǔn)確地將應(yīng)用會(huì)話(huà)與數(shù)據(jù)庫(kù)會(huì)話(huà)進(jìn)行唯一的組合匹配���,有了唯一的組合匹配即可實(shí)現(xiàn)百分百的信息關(guān)聯(lián)����;而傳統(tǒng)數(shù)據(jù)庫(kù)審計(jì)大多是對(duì)應(yīng)用前端的流量做同時(shí)鏡像�,再通過(guò)時(shí)間戳進(jìn)行匹配關(guān)聯(lián),往往會(huì)在高壓�、高并發(fā)的場(chǎng)景下發(fā)生“張冠李戴”的錯(cuò)審問(wèn)題。
對(duì)于數(shù)據(jù)庫(kù)審計(jì)而言�����,做了��,不等于做對(duì)了�!數(shù)據(jù)庫(kù)審計(jì)不需要“形式主義”��,只有真正為用戶(hù)解決問(wèn)題、創(chuàng)造價(jià)值的數(shù)據(jù)庫(kù)安全產(chǎn)品����,才不會(huì)淪為湊數(shù)的“僵尸”。安華金和����,十年專(zhuān)注數(shù)據(jù)庫(kù)安全治理,幫助用戶(hù)讓數(shù)據(jù)使用更安全��。
產(chǎn)品咨詢(xún):4000 258 365 
