數據庫安全審計產品目前已經成了很多企業、組織常用的數據安全產品,作為數據安全防護的一部分。
但經常會有人問,“數據庫審計產品能起到什么作用?使用了它以后,審計到的都是一些平常的數據庫操作,沒發現大的安全事件啊?”
2023年4月,美國空軍網絡工程師特謝拉(Teixeira)因在社交媒體平臺Discord上長期大量泄露與烏克蘭戰爭有關的美軍機密文件而被捕。該泄密事件暴露了美國空軍信息安全管理的嚴重問題,在美國“朝野”掀起軒然大波,導致美國國防部徹底整改其風險管理方法,堪稱美國空軍版“斯諾登事件”。
事件的主角是一位年僅21歲沉迷網絡游戲的IT運維工程師,他能夠接觸大量高度機密的軍事情報,在游戲社交媒體上為了“裝逼”和“吸粉”持續泄露機密情報長達數月,這是一起足以震碎三觀的數據泄露事件。
作為一名IT專家,他的職責是保持系統正常運行,而不是對通過網絡傳播的機密信息進行情報分析(并在社交網絡上“顯擺”)。他的上級管理者也都知道這一點。
但為何沒有人提早阻止他的行為,除了管理上的漏洞以外,其中可能的一條原因在于他每次的行為都不屬于高風險,未引起足夠的重視。就像我們常說的 “大錯不犯,小錯不斷”,但正是這種行為,往往導致嚴重的后果,因為小錯積累到大錯,再防范就來不及了。
就像美國航空界流行的“海因里希三角法則”,每一次重大事故之前都會有29個輕傷害事故與300個無傷害事故。
另外伯德在1966年提出的“擴展事故三角理論”也說明了這一點,如下圖所示:
“特謝拉泄密事件”也是如此,事件發生前的多次“微小事故”被忽略或者沒有按程序報告。美國空軍的調查報告指出,該事件揭示了美國軍隊信息安全和風險管理多個環節的嚴重問題。
正是通過對日常所有人員對數據庫的所有操作進行監控審計,及時發現風險,及時提醒及時預警,從而將重大事故掐滅在萌芽階段。
如下圖所示,昂楷數據庫審計系統實時監控各類用戶對數據庫的訪問,記錄用戶對數據庫的所有訪問,便于事故后進行溯源定位,起到震懾作用,讓可能的風險操作盡量減少;另外,可以通過統計規則、組合規則對訪問行為進行分析,識別出其中的風險,及時預警處置,避免重大事故的發生。
同時,基于AI智能建模分析,從海量的審計記錄數據中,識別陌生人闖入、用戶異常行為等,從而進行有效的安全防護。
數據庫審計系統的部署與使用,從來不是為了發現重大安全事件,而是為了防微杜漸,避免事故的發生。
