數據庫審計作為目前用戶接受度最高,使用最為廣泛的數據安全產品,如果只是單純的具有日志記錄和審計功能已經不能完全滿足用戶的需求,其功能必須得到進一步的擴展:
一. 加密協(xié)議解析
數據庫有時會采用加密協(xié)議通訊,為審計解析帶來了困難,但這也是數據庫審計產品必須解決的問題,否則將無法實現(xiàn)數據庫訪問完全審計的任務。例如針對SQL Server默認的數據庫用戶加密或者更深層次的加密協(xié)議,都需要數據庫審計產品提供相應的解決辦法。
二. 復雜環(huán)境的數據采集
數據庫審計產品除了常規(guī)的旁路部署通過交換機鏡像數據庫訪問流量的審計方法外,還應具備適用于復雜網絡的數據采集方式,例如在復雜的虛擬化網絡環(huán)境下,通過“探針”方式捕獲數據庫流量。但是無論哪種部署方式,都需要在不影響數據庫原有性能,無需應用、網絡環(huán)境改造的前提下,提供可靠的數據庫審計服務。
三. 數據庫入侵行為監(jiān)測
數據庫暴露于內外網絡,且數據庫各版本都有安全漏洞問題,因此數據庫審計產品應提供針對數據庫漏洞攻擊的“檢測”功能,并對這些漏洞攻擊實時監(jiān)控、有效記錄,發(fā)現(xiàn)風險后及時告警,且能夠有效追溯風險來源。
四. 數據庫異常行為監(jiān)測
數據庫審計產品的主體價值是幫助用戶高效的完成風險行為的定責追溯,這需要數據庫審計產品針對數據庫通訊協(xié)議進行完全解析;并具備針對SQL語句的學習、歸類形成模板的能力;最終結合會話信息、應用關聯(lián)信息,實現(xiàn)數據庫行為建模?;谠L問模型,當數據庫訪問行為異常時,系統(tǒng)可提供實時的告警能力,降低數據泄露的損失。
五. 數據庫違規(guī)行為監(jiān)測
數據庫審計產品還應具備針對數據庫的違規(guī)訪問、登錄等行為檢測告警的能力。例如利用審計到的數據庫賬號和客戶端IP信息,針對指定周期內,同一IP或賬號的頻次性失敗登錄行為進行監(jiān)控并形成告警。
六. 報表展現(xiàn)
數據庫審計產品應具備將審計日志進行數據化分析并以個性化報表展示的能力,以便幫助安全管理人員更加便捷、深入的剖析數據庫運行風險。例如:綜合報表、合規(guī)性報表、專項報表、自定義報表等。
安華金和數據庫審計產品不但完全具備以上7種能力,還具備更多的且具有用戶價值的擴展功能,筆者也將在下一篇內容中分享給大家。