張某是某科技公司數據安全管理部部長,發現公司的敏感數據被泄露在公網上,馬上啟動風險調查進行回溯。這部分數據未被共享給任何第三方,所以很可能是內部操作導致,隨后調閱公司部署的第三方數據庫審計系統,但是很遺憾并沒有定位出任何和此次數據泄露相關的任何日志記錄,風險記錄。
隨后張某咨詢多家業內同行和安全產品供方,基本推測應該是訪問行為繞過了數據庫審計系統實施了數據導出,并且通過和多個產品供方進行研討,昂楷科技專家向張某反饋了一件類似案例,且因為采用了昂楷科技審計產品新特性,及時抓住了準備再次實施數據竊取行為的一名運維人員。
經過運維人員的陳述,他明知公司已部署了數據庫審計產品,但是憑借自己的對產品原理的了解,通過本地訪問的特殊場景躲避了被審計的發生。
01漏審背后的原因?
數據庫安全審計產品常用部署方式:采用旁路部署鏡像引流方式或者在數據庫服務器上部署Agent插件引流方式,實現對數據庫所有操作語句的審計和風險預警;
昂楷科技通過長期的行業實踐和研究,發現部分客戶端工具進行本地訪問數據庫時不采用本地回環方式(指定回環網卡及端口,流量經過回環網卡,這一過程種有本地訪問流量產生)。區別于常規的數據庫訪問方式,非回環本地訪問詳情難以被第三方數據庫審計產品捕捉到,導致數據漏審,容易造成數據泄露風險和合規性風險。
這種比較特別的本地訪問方式采用進程間通信(IPC),不會經過任何網卡即可完成通訊。通信原理如下圖:
所以我們在部署數據庫審計設備時,不可以忽略本地訪問的漏審風險,需要采取技術手段來覆蓋此場景, 并選擇專業、有行業積淀的數據庫審計解決方案廠家。
02有沒有辦法杜絕漏審?
昂楷科技數據庫審計系統,針對本地客戶端通過IPC方式訪問數據庫場景仍然可以完整審計的產品, 通過對底層操作指令完全獲取,獲取之后將關鍵信息進行存儲或轉發,并對非法攻擊者或者運維人員私自修改或者刪除數據庫相關關鍵文件進行記錄審計,并在告警時,將具體的變化內容通知給相關人員。
03漏審會給客戶帶來哪些危害?
本地訪問是重大數據安全事故的高發地,“內部風險” 高發集中在運維人員、數據庫管理員、合作方、開發人員。這些具備一定技術背景,因工作要求掌握數據庫操作權限,長期從事數據安全運行機制和保障機制建設,距離數據最近的人員一但從“數據安全防守方”變為“數據安全攻擊方”,所造成的危害一定空前嚴重。
“內部威脅”遠遠超過了“外部攻擊”, 針對內部威脅,因為攻擊者具備內部知識,可以直接訪問核心信息資產,對組織造成嚴重危害;同時,透明性與隱蔽性卻使得這種威脅難以檢測發現,難以防范。
★產生威脅的內部人員高權限人員正常開展工作,必須獲取一定的數據訪問權限。很難界定正常工作和惡意數據竊取行為,監管最為困難。
★針對內部人員的安全防護及檢測措施少,大多數安全檢測手段是針對外部攻擊。
★內部人員更加熟悉組織內部的運行機制,甚至可能是安全設備的策略配置者,可以在實施惡意行為時規避相應的檢測機制,事后刪除日志以逃避追溯。
昂楷科技長期深耕于數據安全行業,不斷研究數據安全審計風險領域,并研究提供場景化技術方案,長期踐行“全面審計、杜絕漏審” 的數據安全審計產品理念, 積累豐富的產品優勢,助力政企數據安全防護。
