IMPERVA Database Firewall 資料庫防火牆違規檢測

2020/12/18 | Imperva News, 產品新訊

imperva DAM & DBF

使用Imperva 資料庫防火牆進行數據偵察工作

數據洩露對任何組織都可能造成極大損害。公司在開展業務過程中會定期收集有關其客戶的數據,如果未能妥善保護此數據以防暴露,則可能導致客戶信任度喪失,並有可能提起訴訟,並可能受到監管機構根據數據保護法的處罰。

Imperva資料庫防火牆使公司可以減少潛在數據洩露的風險。通過監視對數據庫及其包含的數據的訪問模式,可以在網絡罪犯能夠訪問或洩露敏感信息之前檢測出企圖破壞數據的行為。

識別突破口偵察

可以在網絡攻擊生命週期的多個不同節點檢測到破壞數據企圖。其中包括從攻擊者的初始攻擊媒介到最終洩漏敏感數據的所有內容。

在攻擊者可以訪問或洩露組織的敏感數據之前,首先需要找到它們。Imperva DBF包括若干種問題類型,涉及網絡攻擊生命週期的偵察階段。這些問題將攻擊者的行為與組織數據庫的正常生活模式進行了比較,並警告或阻止了異常事件。這使Imperva DBF能夠識別新穎的攻擊而不會影響組織員工的日常業務。

登錄失敗過多

弱安全性和重複使用的帳戶是常見的網絡安全問題。網絡罪犯會定期進行憑據填充或暴力密碼猜測攻擊,以試圖訪問特定係統。

這也可以應用於公司網絡中的數據庫。儘管攻擊者可以通過用戶的帳戶訪問網絡,但該帳戶可能缺少實現其目標所需的訪問和權限。但是,如果攻擊者可以猜測具有所需權限的帳戶,則他們可以從數據庫訪問和竊取數據。

DBF中的“登錄失敗過多”將處理此特定情況。DBF可跟踪特定用戶在嘗試訪問數據庫時通常進行的失敗登錄嘗試次數,如果連續失敗的登錄次數超過閾值,則採取措施。這使系統能夠檢測嘗試的憑據填充或密碼猜測攻擊,而不會懲罰經常輸錯密碼或忘記密碼的用戶。

過多的多數據庫訪問

大多數公司的網絡中都有許多不同的數據庫。這些數據庫中包含一些網絡犯罪分子可能會感興趣的信息,而其他一些數據庫基本上則對攻擊者沒有用。由於竊取大量數據會增加攻擊者被檢測到的可能性,因此對於攻擊者而言,重要的是在從數據庫中提取數據之前識別出有用的數據庫,而不是在數據被竊取後等待分類。

為此,網絡罪犯通常會開始搜索網絡上存在的數據庫。這是Imperva DBF的過多數據庫訪問問題可以檢測到入侵的地方。儘管員工和系統可以在短時間內訪問多個數據庫,但是這些訪問通常符合標準模式。搜索數據庫以查找敏感數據的攻擊者可能會偏離這些模式,從而進行適當的檢測和響應。

可疑敏感數據庫表掃描

一個數據庫包含許多不同的表。其中一些可能包含敏感且有價值的信息(用戶憑據等),而另一些可能對攻擊者而言價值較小。

在確定組織網絡中潛在有希望的數據庫之後,攻擊者還需要確定該數據庫中的哪些表實際上包含目標數據。這可能需要使用手動命令掃描多個不同的數據庫表。

對於應用程序(許多數據庫的主要用戶)而言,許多手動命令是不尋常的。例如,應用程序不需要詢問數據庫中表的數量和名稱,也不需要詢問特定表中的記錄數量。Imperva DBF監視這些異常行為,並在檢測到人類用戶在特定時間段內對特定數據庫中的敏感表提出異常數量的手動請求時採取措施(發出警報)。

機器接管

網絡犯罪分子在獲得對網絡上系統的訪問權限時,通常會嘗試以幾種不同的方式以擴大其影響力和覆蓋範圍。這些措施包括利用網絡上的其他系統,以及通過洩露的憑據獲得對新用戶帳戶的訪問權限。

在安全可靠的網絡中,只有受感染機器和憑據的正確組合才能使攻擊者訪問數據庫。只有需要訪問數據庫的機器才能訪問該數據庫,並且對數據庫的訪問應僅限於某些用戶。

Imperva DBF可辨認是攻擊者識別出主機帳戶和用戶帳戶的“正確”組合而不是“正常”帳戶的情況。例如,特定用戶的工作站可以訪問數據庫,但是來自該工作站的請求正在使用另一個用戶的帳戶。由於系統和帳戶的這種組合是異常的,因此Imperva DBF可以標記訪問嘗試,從而可以根據需要更輕鬆地採取其他措施,以防止對數據庫的未授權訪問。