数据库安全审计产品目前已经成了很多企业、组织常用的数据安全产品,作为数据安全防护的一部分。
但经常会有人问,“数据库审计产品能起到什么作用?使用了它以后,审计到的都是一些平常的数据库操作,没发现大的安全事件啊?”
2023年4月,美国空军网络工程师特谢拉(Teixeira)因在社交媒体平台Discord上长期大量泄露与乌克兰战争有关的美军机密文件而被捕。该泄密事件暴露了美国空军信息安全管理的严重问题,在美国“朝野”掀起轩然大波,导致美国国防部彻底整改其风险管理方法,堪称美国空军版“斯诺登事件”。
事件的主角是一位年仅21岁沉迷网络游戏的IT运维工程师,他能够接触大量高度机密的军事情报,在游戏社交媒体上为了“装逼”和“吸粉”持续泄露机密情报长达数月,这是一起足以震碎三观的数据泄露事件。
作为一名IT专家,他的职责是保持系统正常运行,而不是对通过网络传播的机密信息进行情报分析(并在社交网络上“显摆”)。他的上级管理者也都知道这一点。
但为何没有人提早阻止他的行为,除了管理上的漏洞以外,其中可能的一条原因在于他每次的行为都不属于高风险,未引起足够的重视。就像我们常说的 “大错不犯,小错不断”,但正是这种行为,往往导致严重的后果,因为小错积累到大错,再防范就来不及了。
就像美国航空界流行的“海因里希三角法则”,每一次重大事故之前都会有29个轻伤害事故与300个无伤害事故。
另外伯德在1966年提出的“扩展事故三角理论”也说明了这一点,如下图所示:
“特谢拉泄密事件”也是如此,事件发生前的多次“微小事故”被忽略或者没有按程序报告。美国空军的调查报告指出,该事件揭示了美国军队信息安全和风险管理多个环节的严重问题。
正是通过对日常所有人员对数据库的所有操作进行监控审计,及时发现风险,及时提醒及时预警,从而将重大事故掐灭在萌芽阶段。
如下图所示,数据库审计系统实时监控各类用户对数据库的访问,记录用户对数据库的所有访问,便于事故后进行溯源定位,起到震慑作用,让可能的风险操作尽量减少;另外,可以通过统计规则、组合规则对访问行为进行分析,识别出其中的风险,及时预警处置,避免重大事故的发生。
同时,基于AI智能建模分析,从海量的审计记录数据中,识别陌生人闯入、用户异常行为等,从而进行有效的安全防护。
数据库审计系统的部署与使用,从来不是为了发现重大安全事件,而是为了防微杜渐,避免事故的发生。
