隨著企業(yè)業(yè)務(wù)數(shù)據(jù)的云端遷移,數(shù)據(jù)安全問題日益突出。企業(yè)不僅要滿足網(wǎng)絡(luò)安全法規(guī)要求,還要能有效應(yīng)對外部持續(xù)威脅和內(nèi)部違規(guī)導(dǎo)致的數(shù)據(jù)安全風(fēng)險。騰訊云數(shù)據(jù)安全審計(DSAudit)專門為企業(yè)數(shù)據(jù)的使用和運(yùn)營設(shè)計,是企業(yè)合規(guī)、數(shù)據(jù)安全管理的必備選擇。
挑戰(zhàn)一:業(yè)務(wù)等保合規(guī)挑戰(zhàn)
網(wǎng)絡(luò)安全等級保護(hù)是國家網(wǎng)絡(luò)安全保障的基本制度、基本策略、基本方法,開展網(wǎng)絡(luò)安全等級保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)網(wǎng)絡(luò)安全的根本保障。網(wǎng)絡(luò)安全等級保護(hù)工作包括定級、備案、專家評審、主管部門審核(有主管部門的)、建設(shè)整改、等級測評、監(jiān)督檢查。定級對象建設(shè)完成后,運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合國家要求的測評機(jī)構(gòu),依據(jù)《網(wǎng)絡(luò)安全等級保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn),定期對定級對象安全等級狀況開展等級測評。
依據(jù)等保“一個中心,三重防護(hù)”的核心理念,構(gòu)建網(wǎng)絡(luò)邊界安全、網(wǎng)絡(luò)通信安全、計算環(huán)境安全和安全管理的等保合規(guī)防護(hù)體系。
在安全計算環(huán)境-安全審計要求中明確到,“應(yīng)啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進(jìn)行審計;并記錄和保護(hù)審計信息;應(yīng)對審計進(jìn)程進(jìn)行保護(hù),防止未經(jīng)授權(quán)的中斷。”針對以上場景,需采用數(shù)據(jù)安全審計產(chǎn)品來滿足對用戶行為和重要安全事件審計和記錄要求。
挑戰(zhàn)二:外部風(fēng)險和內(nèi)部違規(guī)導(dǎo)致數(shù)據(jù)泄漏
高價值的數(shù)據(jù)本身是企業(yè)的核心資產(chǎn)和安身立命之本,也是黑客組織主要的覬覦目標(biāo)。近年來,數(shù)據(jù)安全事件層出不窮,其中不乏威脅國民數(shù)字經(jīng)濟(jì)和公眾信息安全的大型數(shù)據(jù)泄露事件。事故主體輕則被處罰影響公司聲譽(yù)和運(yùn)營,重則導(dǎo)致公司破產(chǎn)。部分案例如下:
● 2023年6月,北京昌平網(wǎng)安部門發(fā)現(xiàn)某生物技術(shù)有限公司存在數(shù)據(jù)泄露并處罰。該公司因未落實(shí)安全保護(hù)措施,導(dǎo)致“基因外顯子數(shù)據(jù)分析系統(tǒng)”中的數(shù)據(jù)泄露,總量達(dá)19.1GB,包含大量公民信息和技術(shù)信息。被網(wǎng)安依法警告并罰款。
●2023年12月,美國國家公共數(shù)據(jù)公司(National Public Data, NPD)因數(shù)據(jù)泄露事件而破產(chǎn)。NPD為美國最大的背景調(diào)查公司之一。因被黑客入侵,導(dǎo)致數(shù)億人的數(shù)據(jù)被泄漏,包括姓名、社會安全號碼、電話號碼、地址和出生日期等敏感信息的數(shù)據(jù)。這些數(shù)據(jù)隨后在非法市場上被出售,引發(fā)了廣泛的關(guān)注和擔(dān)憂。NPD最終因面臨多方訴訟壓力,而申請破產(chǎn)。
● 2024年3月,美國電話電報公司(AT&T)數(shù)據(jù)泄漏。公司發(fā)現(xiàn)其7000多萬現(xiàn)任和前任客戶的個人數(shù)據(jù)在暗網(wǎng)上出售。泄漏的用戶個人數(shù)據(jù)包括姓名、家庭住址、電話號碼、社會安全號碼等個人信息。至今AT&T仍然沒有發(fā)現(xiàn)這些數(shù)據(jù)是如何泄露的。
● 2024年5月,英國倫敦證券交易所集團(tuán)數(shù)據(jù)泄露。倫敦證券交易所集團(tuán)的World-Check數(shù)據(jù)庫因黑客入侵,超過500萬條敏感數(shù)據(jù)記錄被竊取并泄露至網(wǎng)絡(luò)。泄露數(shù)據(jù)內(nèi)容廣泛,涉及多國政要、外交官、司法人士及犯罪嫌疑人的隱私資料,包括社會安全號、銀行賬戶、護(hù)照信息及詳盡的個人履歷等。
● 2024年6月,云存儲巨頭Snowflake大規(guī)模數(shù)據(jù)泄露。Snowflake客戶招受大規(guī)模的忘網(wǎng)絡(luò)攻擊,至使全球超過165家知名企業(yè)發(fā)生大規(guī)模數(shù)據(jù)泄露。包括票務(wù)巨頭Ticketmaster被盜5.6億條記錄,汽車零件商AdvanceAutoParts被盜7900萬條記錄,票務(wù)巨頭TEG被竊3000萬條記錄,以及Ticketmaster、桑坦德銀行、Pure Storage、及Cylance等在內(nèi)的一大批知名企業(yè)。該事件被稱為“云計算歷史上最嚴(yán)重的數(shù)據(jù)泄漏事件之一”。
除了外部攻擊外,企業(yè)內(nèi)部的員工違規(guī)也帶來了巨大的數(shù)據(jù)泄漏風(fēng)險。如下圖所示,在《2024 Data Breach Investigations Report | Verizon》調(diào)研報告中,因內(nèi)部原因?qū)е碌臄?shù)據(jù)泄露事件占比近40%,同比增加約一倍。
圖源:2024 數(shù)據(jù)泄露調(diào)研報告
挑戰(zhàn)三:傳統(tǒng)數(shù)據(jù)庫審計無法滿足當(dāng)下數(shù)據(jù)安全合規(guī)要求
在數(shù)字化轉(zhuǎn)型加速的今天,企業(yè)數(shù)據(jù)資產(chǎn)跨地域、跨云、跨VPC成為常態(tài)。數(shù)據(jù)的存儲形態(tài)多種多樣:云數(shù)據(jù)庫、自建數(shù)據(jù)庫、關(guān)系型數(shù)據(jù)庫(DB)、非關(guān)系型數(shù)據(jù)庫(NoSQL)、大數(shù)據(jù)平臺等。
企業(yè)業(yè)務(wù)應(yīng)用面臨著對業(yè)務(wù)、多數(shù)據(jù)庫資產(chǎn)、大數(shù)據(jù)資產(chǎn)的跨平臺數(shù)據(jù)源統(tǒng)一管理、面對復(fù)雜的攻擊和漏洞進(jìn)行威脅識別、以及快速滿足法律合規(guī)以及日志分析的多重挑戰(zhàn),數(shù)據(jù)庫內(nèi)置的審計無法滿足當(dāng)下業(yè)務(wù)數(shù)據(jù)安全要求。如:
● 沒有預(yù)置安全能力:數(shù)據(jù)庫內(nèi)置的審計模塊僅僅記錄數(shù)據(jù)庫訪問和操作記錄,沒有預(yù)置的安全檢測規(guī)則和UEBA行為分析模型。即使少量產(chǎn)品支持用戶自定義規(guī)則,用戶投入巨大的資源后仍然難以彌補(bǔ)差距。在面對當(dāng)前外部風(fēng)險和內(nèi)部違規(guī)時,不具備安全監(jiān)測和異常行為審計能力,無法有效阻止數(shù)據(jù)泄露事件發(fā)生。
● 部署使用困難:數(shù)據(jù)庫內(nèi)置的審計模塊僅支持?jǐn)?shù)據(jù)庫自身日志審計,無法適用于IDC/私有化部署環(huán)境,無法支持公有云、多云、混合云環(huán)境,也無法適配數(shù)據(jù)存儲服務(wù)和大數(shù)據(jù)服務(wù)。
● 僅支持傳統(tǒng)數(shù)據(jù)庫:數(shù)據(jù)庫內(nèi)置的審計模塊僅具備對自身協(xié)議數(shù)據(jù)庫審計能力。無法支持非關(guān)系型數(shù)據(jù)庫(NoSQL)和大數(shù)據(jù)平臺,如:Redis、MongoDB、HIVE等。
因此亟需一款云原生、基于人工智能,預(yù)置體系化安全能力的數(shù)據(jù)安全審計系統(tǒng),可實(shí)時監(jiān)測和審計業(yè)務(wù)數(shù)據(jù)訪問、操作過程中各類潛在風(fēng)險和隱患??焖俦憬轁M足企業(yè)的等保合規(guī)需求,并高效應(yīng)對內(nèi)外部安全威脅。
騰訊數(shù)據(jù)安全審計(DSAudit)
為了更有效地應(yīng)對以上安全風(fēng)險與挑戰(zhàn),騰訊安全傾力打造數(shù)據(jù)安全審計(DSAudit)產(chǎn)品,聯(lián)合數(shù)據(jù)安全治理中心(DSGC)和數(shù)據(jù)安全網(wǎng)關(guān)(CASB),構(gòu)建了覆蓋事前、事中、事后的完善數(shù)據(jù)安全全生命周期防護(hù)方案。
● 事前數(shù)據(jù)分類分級、敏感數(shù)據(jù)識別,全面而系統(tǒng)的風(fēng)險評估、策略管控閉環(huán)、和風(fēng)險修復(fù)收斂。
● 事中對敏感數(shù)據(jù)流轉(zhuǎn)、訪問、操作,以及數(shù)據(jù)安全策略狀態(tài)進(jìn)行持續(xù)監(jiān)測運(yùn)營,基于日志匯聚、行為基線、UEBA用戶行為分析,實(shí)時感知敏感數(shù)據(jù)資產(chǎn)安全風(fēng)險,并對風(fēng)險活動進(jìn)行及時告警處置。
●事后對全量數(shù)據(jù)行為進(jìn)行細(xì)粒度審計溯源,全場景還原用戶行為軌跡,有效追蹤溯源數(shù)據(jù)的訪問行為。
相比傳統(tǒng)數(shù)據(jù)庫審計和部分?jǐn)?shù)據(jù)庫內(nèi)置審計模塊,僅記錄數(shù)據(jù)庫日志供查詢和檢索。騰訊數(shù)據(jù)安全審計(DSAudit)產(chǎn)品提供了全面、深度的事中數(shù)據(jù)風(fēng)險監(jiān)測和事后異常行為審計能力,并切實(shí)有效地保護(hù)數(shù)據(jù)的安全,防止數(shù)據(jù)泄露和濫用。產(chǎn)品自研三大安全引擎,預(yù)置了700+規(guī)則模型,基于大數(shù)據(jù)+AI,構(gòu)建一個全面的數(shù)據(jù)安全監(jiān)控、異常行為分析和細(xì)粒度安全審計體系,幫助企業(yè)保護(hù)其最寶貴的數(shù)據(jù)資產(chǎn)。三大安全引擎包括:規(guī)則引擎、語義引擎、和UEBA行為分析引擎。
1.規(guī)則引擎
規(guī)則引擎是數(shù)據(jù)安全審計的一個關(guān)鍵組件,它能夠根據(jù)預(yù)設(shè)的規(guī)則進(jìn)行實(shí)時的數(shù)據(jù)活動監(jiān)控。當(dāng)監(jiān)測到的操作或行為與規(guī)則相匹配時,引擎會觸發(fā)相應(yīng)的告警動作。規(guī)則引擎基于多維度參數(shù)配置,可以靈活設(shè)置黑白名單、風(fēng)險操作、SQL注入和數(shù)據(jù)庫漏洞等多種維度的審計規(guī)則。并支持用戶自定義。
2.語義引擎
語義引擎深度解析SQL語句,理解數(shù)據(jù)操作的真實(shí)意圖和目的,從而更準(zhǔn)確地識別潛在的安全威脅、不合規(guī)操作。相比傳統(tǒng)方案,能更有效的減少誤報和漏報。如:SQL注入、拖庫、刪庫、數(shù)據(jù)破壞等高危敏感數(shù)據(jù)庫操作場景等威脅。如:
● SQL注入:如UNION型NULL注入攻擊、MYSQL-解釋注釋繞過、空格繞過注入、引號型注入等。
● 漏洞攻擊:如非法使用XP_CMDSHELL執(zhí)行系統(tǒng)命令(SQLServer語法)、SQLServer-執(zhí)行危險的存儲過程、DBMS_AQADM_SYS緩沖區(qū)溢出漏洞(Oracle語法)等。
● 操作規(guī)則:無where更新或刪除、MySQL-數(shù)據(jù)庫用戶密碼泄露。
● 數(shù)據(jù)泄漏:使用DUMPFILE導(dǎo)出、使用OUTFILE導(dǎo)出。
3.UEBA異常行為檢測引擎
UEBA異常行為分析引擎彌補(bǔ)了數(shù)據(jù)庫審計產(chǎn)品和數(shù)據(jù)庫內(nèi)置審計模塊的“AI+安全”能力的不足,是有效應(yīng)對外部威脅和內(nèi)部違規(guī)導(dǎo)致數(shù)據(jù)泄漏的神器。UEBA異常行為分析引擎使用機(jī)器學(xué)習(xí)、AI和大數(shù)據(jù)分析技術(shù),對用戶和終端的行為進(jìn)行建模和分析,以識別異?;蚩梢傻男袨椤?梢宰詣訉W(xué)習(xí)用戶和業(yè)務(wù)正常的行為模式,當(dāng)檢測到偏離正常模式的行為時觸發(fā)告警??梢杂行У貦z測到外部漏洞攻擊和內(nèi)部違規(guī)導(dǎo)致的賬戶劫持、高危操作、數(shù)據(jù)竊取、數(shù)據(jù)泄露、刪庫、數(shù)據(jù)破壞等異常行為。如下表:
目前騰訊數(shù)據(jù)安全審計(DSAudit)產(chǎn)品預(yù)置700+規(guī)則模型,覆蓋SQL注入、漏洞攻擊、賬號爆破、以及拖庫、刪庫、數(shù)據(jù)破壞、數(shù)據(jù)竊取等高危敏感數(shù)據(jù)庫操作場景。如下圖所示:
UEBA異常行為分析引擎,系統(tǒng)性構(gòu)建數(shù)據(jù)庫異常行為分析能力,包括:登錄場景、訪問場景、查詢場景、操作場景等。
產(chǎn)品優(yōu)勢
騰訊云原生數(shù)據(jù)安全審計能夠?qū)υ粕蠎?yīng)用系統(tǒng)網(wǎng)絡(luò)中的數(shù)據(jù)庫各類會話信息、訪問操作、SQL語句進(jìn)行全量審計入庫。獲得審計數(shù)據(jù)后,數(shù)據(jù)安全審計能夠根據(jù)多種規(guī)則庫和威脅檢測引擎識別操作中的惡意行為,并且及時通知管理員采取相應(yīng)的安全防護(hù)措施,滿足合規(guī)要求。對于已發(fā)生的安全事件,數(shù)據(jù)安全審計支持對審計日志進(jìn)行深度分析還原安全事故全貌并定位責(zé)任人。相比于數(shù)據(jù)庫自帶的審計功能,數(shù)據(jù)安全審計具有以下優(yōu)勢:
1.等保專項審計報表助力
● 符合法規(guī)要求:DSAudit助力企業(yè)滿足網(wǎng)絡(luò)安全法、等保三級要求,提供符合法規(guī)的審計報表,幫助企業(yè)在合規(guī)性檢查中順利通過。
● 專項審計報表:DSAudit能夠生成專項審計報表,詳細(xì)記錄和分析數(shù)據(jù)庫操作,為企業(yè)提供數(shù)據(jù)操作的透明度,便于企業(yè)進(jìn)行內(nèi)部審計和合規(guī)性評估。
● 責(zé)任定位:對于已發(fā)生的安全事故,DSAudit支持對數(shù)年的日志進(jìn)行審計和分析,為企業(yè)還原安全事故全貌并定位責(zé)任人提供參考依據(jù)。
2.支持多種數(shù)據(jù)源的統(tǒng)一審計
● 跨平臺兼容性:數(shù)據(jù)安全審計(DSAudit)支持對多種數(shù)據(jù)源進(jìn)行統(tǒng)一審計,包括云數(shù)據(jù)庫、自建數(shù)據(jù)庫和大數(shù)據(jù)組件。這意味著無論是在騰訊云、其他云服務(wù)商還是本地數(shù)據(jù)中心,企業(yè)都能實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)的集中管理和審計。
● 簡化管理:通過跨云多地域集中審計功能,DSAudit能夠簡化管理流程,無需在不同平臺間切換,即可實(shí)現(xiàn)對所有數(shù)據(jù)資產(chǎn)的監(jiān)控和審計,大大提高了審計效率和準(zhǔn)確性。
● 自動化發(fā)現(xiàn):DSAudit的云數(shù)據(jù)庫自動發(fā)現(xiàn)功能,可以在用戶授權(quán)后自動獲取云數(shù)據(jù)庫列表,減少人工錄入的工作量,同時避免資產(chǎn)遺漏,確保審計的全面性。
3.豐富的規(guī)則引擎識別風(fēng)險
● AI驅(qū)動的威脅識別:依托騰訊云專業(yè)的深度學(xué)習(xí)技術(shù)和豐富的樣本訓(xùn)練環(huán)境,DSAudit內(nèi)置的AI引擎能夠應(yīng)對多變的威脅場景,具備多達(dá)700+個內(nèi)置規(guī)則的規(guī)則庫,有效識別安全事件,如威脅攻擊、惡意操作和SQL注入。
● 自定義規(guī)則審計:DSAudit支持按照庫、表、字段、訪問源、數(shù)據(jù)庫實(shí)例等多種維度進(jìn)行審計規(guī)則設(shè)置,使企業(yè)能夠根據(jù)具體需求定制審計策略,實(shí)現(xiàn)精細(xì)化監(jiān)控。
● 實(shí)時響應(yīng):當(dāng)DSAudit識別到威脅操作時,能夠立即向管理員發(fā)送告警信息,支持企業(yè)微信、短信、郵件等多種告警方式,確保及時響應(yīng)和處理安全事件。
騰訊云原生數(shù)據(jù)安全審計DSAudit 已通過《信息安全技術(shù) 網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求》等相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求測試,安全認(rèn)證合格。滿足等保要求,為企業(yè)合規(guī)提供強(qiáng)有力的支撐。
申領(lǐng)試用機(jī)會請關(guān)注騰訊安全公眾號,了解更多產(chǎn)品詳情。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )