张某是某科技公司数据安全管理部部长,发现公司的敏感数据被泄露在公网上,马上启动风险调查进行回溯。这部分数据未被共享给任何第三方,所以很可能是内部操作导致,随后调阅公司部署的第三方数据库审计系统,但是很遗憾并没有定位出任何和此次数据泄露相关的任何日志记录,风险记录。
01漏审背后的原因?
数据库安全审计产品常用部署方式:采用旁路部署镜像引流方式或者在数据库服务器上部署Agent插件引流方式,实现对数据库所有操作语句的审计和风险预警;
昂楷科技通过长期的行业实践和研究,发现部分客户端工具进行本地访问数据库时不采用本地回环方式(指定回环网卡及端口,流量经过回环网卡,这一过程种有本地访问流量产生)。区别于常规的数据库访问方式,非回环本地访问详情难以被第三方数据库审计产品捕捉到,导致数据漏审,容易造成数据泄露风险和合规性风险。
这种比较特别的本地访问方式采用进程间通信(IPC),不会经过任何网卡即可完成通讯。通信原理如下图:
所以我们在部署数据库审计设备时,不可以忽略本地访问的漏审风险,需要采取技术手段来覆盖此场景, 并选择专业、有行业积淀的数据库审计解决方案厂家。
02有没有办法杜绝漏审?
昂楷科技数据库审计系统,针对本地客户端通过IPC方式访问数据库场景仍然可以完整审计的产品, 通过对底层操作指令完全获取,获取之后将关键信息进行存储或转发,并对非法攻击者或者运维人员私自修改或者删除数据库相关关键文件进行记录审计,并在告警时,将具体的变化内容通知给相关人员。
03漏审会给客户带来哪些危害?
本地访问是重大数据安全事故的高发地,“内部风险” 高发集中在运维人员、数据库管理员、合作方、开发人员。这些具备一定技术背景,因工作要求掌握数据库操作权限,长期从事数据安全运行机制和保障机制建设,距离数据最近的人员一但从“数据安全防守方”变为“数据安全攻击方”,所造成的危害一定空前严重。
“内部威胁”远远超过了“外部攻击”, 针对内部威胁,因为攻击者具备内部知识,可以直接访问核心信息资产,对组织造成严重危害;同时,透明性与隐蔽性却使得这种威胁难以检测发现,难以防范。
★产生威胁的内部人员高权限人员正常开展工作,必须获取一定的数据访问权限。很难界定正常工作和恶意数据窃取行为,监管最为困难。
★针对内部人员的安全防护及检测措施少,大多数安全检测手段是针对外部攻击。
昂楷科技长期深耕于数据安全行业,不断研究数据安全审计风险领域,并研究提供场景化技术方案,长期践行“全面审计、杜绝漏审” 的数据安全审计产品理念, 积累丰富的产品优势,助力政企数据安全防护。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至123456@qq.com 举报,一经查实,本站将立刻删除。
