資料庫稽核產品 – Imperva SecureSphere 7.5 自動學習機制找出使用者的例行行為

六月 10, 2010 | IMPERVA, 產品新聞

監控、稽核與管理、報表等功能可在同一台設備完成,也可分工處理

包含應用程式防火牆及資料庫安全稽核的硬體搭配軟體方案Imperva SecureSphere,應用上分為資料庫弱點偵測(Discovery and Assessment Server,DAS)、資料庫監控(Database Activity Monitoring,DAM)、資料庫防火牆(Database Firewall)、網站應用程式防火牆(Web Application Firewall,WAF)及全系列解決方案(Data Security Suite),等共五個模組。硬體可選擇X2500、X4500及X6500 等3種不同等級的設備,而其他還有1U的機型,是應用程式防火牆的產品。
選購模組的時候,主要的差別在於授權。例如企業在導入之初,只選擇網站應用程式防火牆,而後續想要加購資料庫監控機制時,只要付費並開啟該模組的功能,即可直接升級,無需加裝任何軟硬體。

5個層面做到安全防護

以資料庫稽核的模組而言,SecureSphere 支援的資料庫包括 SQL Server、Oracle、Sybase、DB2、Informix、Teradata 及 MySQL。
SecureSphere 從5個層面做到資料庫的稽核與防護。第一是分析通訊協定,檢查包括 HTTP、HTTPS、ODBC、JDBC 等與資料庫之間的網路連線協定。第二是定義黑名單,事實上資料庫的攻擊和網路攻擊一樣,也存在特定的模式,例如 SQL Injection,Imperva表示,針對Web及資料庫的黑名單已超過6,500個,而且持續更新。
第三個防護層面是定義敏感性資料,例如信用卡號及身分證字號等,當使用者定義好資料的格式之後,只要網路上發生傳遞類似資料的情況,便自動提出告警(Alert),而後續在報表上,SecureSphere 針對這類資料將提供遮罩,以避免資料外洩。
其次,使用者日常的存取資料庫的行為、來源應用程式及SQL指令,SecureSphere 也會加以分析及記錄,成為白名單列表,一旦超出白名單的範圍,也將發出警示。最後,Imperva以周為單位,提供等同於防毒軟體的更新機制,以避免黑名單比對的政策或資訊過時,此外,針對國際資安法規,也會更新報表範本。

自動學習機制,找出使用者的例行行為

第一步可以先透過資產評估模組,了解資料庫本身的環境是否存在已知的弱點,包括資料庫或作業系統有無更新程式、是否存在員工自行架設的未知資料庫,或者資料庫程式、儲存程序、連結協定是否有安全性漏洞。
在環境檢查之後,在系統正式運作之前,需要設定白名單,也就是允許使用者執行哪些存取行為,在這部分 SecureSphere 提供自動學習的機制。SecureSphere 將從網路流量中,自動學習與分析出使用者的操作慣例,由實際的流量加以分析與記錄,不但減少人為介入可能的弊端,也簡化設定的複雜度。
白名單記錄的都是應用程式及資料庫已經授權使用者存取的範圍,管理者若是認為某個帳號不應該接觸到某些資料表,可以直接在名單中直接取消他的存取權限。白名單確立之後,列表中未記錄的行為及資料,SecureSphere將視為不允許存取的範圍,一旦觸犯將發出警告。

制定安全與稽核政策,控管資料庫存取行為

建立允許的行為之後,接下來再反向建立黑名單,也就是針對可能是不法的行為建立稽核政策,除了要留下記錄之外,也會警示管理者,或者搭配 Data Firewall、WAF 或 Data Security Suite等模組,可以設定直接阻斷存取(block)。SecureSphere 已預設許多安全性政策,企業可參考原廠的定義,修改成適合自己的政策。
這些違反安全政策的存取行為,除了區分嚴重等級並留下記錄之外,更重要的是應該採取的措施。在 SecureSphere 中,可在「Action」機制下運作,選擇「None」的話,系統會發布警報;或者選擇「Block」,則直接阻斷不法行為。
除此之外,還可在「Follow Action」中設定進階的處理方式,例如寄發郵件通知負責人員、觸發SysLog或SNMP trap等,或者針對IP、Session、帳號做長時間或短時間的阻擋。

記錄且加密實際發生的存取行為,維護稽核獨立性

在監控方面,SecureSphere 可在使用者與網路伺服器,以及網路伺服器與資料庫之間,做資料的協同比對,即使多個使用者以共用的帳號存取資料庫,也可以透過來源IP及Host Name找到特定人。 架構上,企業可以選擇以網路側錄(Sniffing)或者橋接(Bridge)的方式,分析封包的內容。亞利安科技建議使用橋接方式,因為雖然網路側錄只需占用一個連接埠(Port),但是因為需要在交換器(Switch)上設定 Mirror Port,然而流量大的時候,Switch會選擇優先處理正常封包,所以資料可能會漏失。而橋接的方式,資料的流通一定會經過 SecureSphere,可確保資料的完整性。 若是企業的機房不只一處,或者處理的資料量相當龐大,則可考慮再增設一臺管理伺服器 MX Management Server,透過它來設定與管理各個 SecureSphere 的安全與稽核政策、黑/白名單,及檢視報表,以這種方式做到集中式的管理,比較方便。 若要進一步針對資料庫本機的存取進行監控,SecureSphere 也提供代理程式(Agent),可安裝於資料庫伺服器,記錄本機的存取行為。

針對國際資安法規,提供超過245種報表

稽核記錄也需要安全存放,所以企業可以選擇將 SecureSphere 所儲存的資料加密、封裝及壓縮,置於外接的儲存設備中,未來需要調閱稽核資料時,也必須經由 SecureSphere 才能解密讀取,因此較沒有竄改的疑慮。 在管理介面中,企業可直接在管理介面依人、事、時、地、物等條件,查詢所有存取資料庫的記錄,也可依需求調整顯示的欄位與排序方式。 而報表方面,SecureSphere 內超過245種報表範本,可包含圖形化的分析與清單式的列表資訊。管理者可以選擇直接套用,或者根據需求加以客製,然後設定排程產生日/周/月報表。產生的報表可選擇CSV 或 PDF 格式,並設定自動以電子郵件寄給相關負責人員。

稽核報告包含詳細的行為記錄   管理者查詢 SecureSphere 監控的記錄,可以看到來源IP、使用者名稱及詳細的行為描述,點選單筆資料,還可以檢視資料庫的帳號及執行的SQL指令。

產品
資訊
台灣區代理●亞利安科技 電話 (02)2799-2800
尺寸●2Uˉ記憶體●4GBˉ儲存容量●500 GBˉ連接埠●GbE×6
支援法規報表●PCI、SOX、HIPPA、J-SOX、K-SOX、GLBA、EU Directive、PIPEDA、CA 1386

資料來源:iThome