資料庫安全從個資法三讀通過開始,就成了資安產業中的熱門話題。雖然現在業界已經能夠開始接受資料庫需要更齊全和全面性的保護,但直到現在,不管是從技術面還是管理面來看,仍需要企業文化真正的改革才能真正創造出實際運作的資料庫保護機制。
從技術面來看,目前市場上的防護機制大同小異,有從資料庫內進行保護,有從外部做保護的處理,也有防火牆開始針對資料庫的攻擊行為做阻擋和偵測。但即使綜合上述所有的技術機制,沒有管理面的輔助,再堅強的資料庫保護機制,都可能被突破,僅能獲得一個假的安全感。
資訊防護幾乎都從邊界防護開始切入,鮮少有人注意到其他的層次。一個資料庫的安全,不單單只是保持好資料庫的版本維持跟維護他的帳密就可以,有太多的Zero Day攻擊是可以從不同方面進行,往往都是防不勝防。
層層的破綻,都是從人開始
在美國Verizon 2010年的 Data Breach Report中提出『在所有我們發現的問題當中,跟認證相關的問題在資料庫中居多。在2009年是資料庫預設帳號及密碼,到今天變成過為簡易或容易突破的資料庫帳密。也許絕大部分的問題來自於我們並沒有認真的觀察使用者的行為,也許也有可能是我們自己本身的觀念問題。不管如何,這都是必須去處理的一個問題』。
資安事件的補救措施通常都只是針對某個特定的漏洞,或特定的問題去做處理。很少能以宏觀的管理面來探討。資料庫安全並非單單只是資訊部門的問題,而是整個企業內都必須去面對的問題。而不同職責的人,所需去處理的事情也必須開始有所改變,以下為一些簡約的剖析:
資料庫管理員
以往資料庫管理員的目的都只是要確保和維持資料庫的運作。所以當資料庫出現資訊安全問題的時候,資料庫管理員的第一反應是修復資料庫,恢復資料庫運作。但是,很多寶貴的錯誤日誌或是可能可以追蹤問題的資料都會在這些動作中遺失。因此除了維護資料庫運作以外,資料庫管理員本身必須要對資料庫的安全機制的維護上有概念。更進一步的,如何保留重要資料庫活動的證據資料,和確認資料庫系統和使用人員權限的設定,成為資料庫人員在因應個資法來臨的時代裡,最重要的第一件事情。
在過去「資料庫能運作就好」的年代,許多事情,包含安全管理在內,都未被受到重視。而在記錄資料庫的活動行為,甚至理解這些活動行為,都需要花上大量的人力和系統的資源。一旦這些重要識相未被記錄時,就會造成位於第一線的資料庫管理人員,也無法對任何違反個資法的行為動作去做舉證,也會因為自己的權限越大、嫌疑越大,成為利害關係人。至於資料庫管理人員如何保護自己,當然就是要能夠確實的保留活動證據。
除了上面所提的權限管理外,能夠搭配活動的記錄,就能有更多資源可以做分析和了解哪些行為是有問題的。及早發現都比後續舉證來的快速又有效。更進一步的說,若早已在事前將相關資料提供給管理階級,更可降低責任風險。以現今台灣資訊業界的狀況看來,資料庫管理員所需要做的事情,往往是需要多位管理人員一起分擔的,因此權責分工更是務必要釐清才能保護自己。
內部稽核人員
資料庫是否納入稽核範圍內,許多企業都是「有頭沒尾」的敷衍做著。原因無他,資料庫稽核需要更多的專業知識和更多的時間去檢視和追蹤,一般稽核的人員並未具備這方面的常識。更常見的基本原因是,可能會影響到前端系統的運作。舉例來說,例如客戶的訂單系統內有個資,但如果納入稽核範圍時有可能在操作上因為稽核需求收集日誌時,使用的資源過多造成延遲的問題,這對公司的基本運作上來說是有影響的。
種種原因,讓資料庫的活動稽核變得困難,在過去這也許是事實,但現今已經有很多的工具已經可以克服,在不影響資料庫的基本運作上去進行稽核動作。稽核部門不一定是錢最多的,但通常是力量最小的一個單位,因此,問題就在於稽核人員本身是否具備這種說服力去要求資料庫稽核變成內部的常態動作。更重要的是,不可光選無關痛癢的系統去做稽核,越重要的資料庫系統,就表示越大的風險,也是越需要去注意的地方。
資訊安全人員
同樣跟稽核人員有著一樣的痛處,要如何察覺資料庫中的資訊安全事件,是一個問題所在。在前面提到,資料庫管理人員的工作在現今的業界時常超過負載,也正因為如此,資訊安全人員往往變成處理資安事件的第一線。
為達成這個目標,資安人員也必須掌握資料庫內所有的重要資訊資產,包括資料庫使用者和其他資料庫的相關訊息。例如說同時透過其他設備中提供的安全訊息,來進行關聯分析,以了解整體活動的來龍去脈。例如,登入及登出訊息、登入錯誤次數、防火牆活動等。整體而言,從資訊安全人員的角度其實更可以針對高權限人員的活動,提供完整的收集和保留證據,以備不時之需。當然,這也可在稽核人員進行資訊安全稽核時,提供一個更有效有力的協助。
資訊主管
決策性的觀點,還是必須來自高層的認知。在業界普遍都是被預算所控制,而通常資訊安全相關的預算都是壓到最低。畢竟不是屬於業務類的設備,並沒有辦法在第一時間展現他的價值。當增加一台防火牆或是資料庫安全系統,就可能可以多買幾十台伺服器加強業務系統。這種取捨,是在業界最常見,也是資訊安全遲遲無法完全伸展的一個問題。但是,這不代表在有限的預算內無法達到所要的目標。有很多事情,在先前的判斷,決策的定義,和整體安全管理的要求和落實上面,是跟設備無關的。
正確的定義資料庫管理的安全方針,甚至擴及整個企業內的資訊安全目標是資訊主管需要達到的目標和責任。但是,請將目標範圍縮小到可達成和執行的目標,最好的依據及處理的準則,可以參考各種不同的法規中對於資料庫的保護定義,其中,若要以最嚴謹的方式看待資料庫安全的話,可以參考支付卡法規(Payment Card Industry)為最完整。尤其在個資法上面,資訊單位的主管和公司負責人都帶有直接的責任權,若真的涉及資料外洩,是會被直接影響,不可不三思。
要達到上述這些目標,在執行面上需要有更多的時間和部門之間的磨合才能達成。層層執行面上對於人的問題,都需要完善的重新規劃和企業本身的自我意願去做更完整的保護。資訊安全也許永遠不會是一百分的完美境界,但善良的資料保管義務,不僅是個資法的要求,也是企業對待客戶的一個基本態度。
使用者權限 - 兩難的世界
在每個企業系統中,越多人使用的系統就會有越多複雜的權限問題發生,更不用提,資料庫這個幾乎人人都會用到的系統,常常就是兩難。所謂的內賊,雖不一定是內部人員本身去竊取資料,但有可能造成內賊問題的,往往是對於本身帳號密碼上的管理和檢查。
資料庫使用者權限的稽核,依筆者在多次訪談及稽核的實務中,也發現帳號共用及密碼修改的次數往往不夠頻繁,也因此造成後續人員或其他濫用的問題發生。
在國內,針對資料庫權限上會有問題的,基本上是屬於兩種類型的人:程式設計師/應用程式開發、資料庫管理人員。開發人員與管理人員之間的戰爭不是一次就可以解決的。常常對資料庫系統的權限鎖的太緊,開發人員就會開始喊無法做事。權限放太鬆,出事情的時候變成管理人員怪罪開發人員的要求。
因此權限上的重新規劃,建議在管理面以使用者的角色為主。再更進一層的,可以利用不同的管理工具對需要使用較高權限的使用者做區域的隔離(例如:網路實體隔離,或以網路控管工具對管理人員所使用的機器做限制,也可以運用市場上的資料庫防火牆工具做活動上的管理)。確實的將不同的使用者跟他們使用權限管理好,是做好基本功的第一步。
除此以外,對於使用者權限的稽核,若企業內人員變動幅度較大,或有較多的委外廠商來來回回,就建議在每個月進行一次。若企業內的資訊人員變動幅度較小,則建議每一季進行一次為最低限度。若是能夠將權限控制到資料庫表單的層次,那在控管上面會更完善。所有資料庫使用者的權限申請,包含實際權限的提升或剔除的操作,也要確實的記錄下來。
總之一句話,每個動作,行為,都要確實的記錄保存,確保在個資外洩時能夠用來作為佐證的一部分。
最後的防線 – 落實資料庫評估,確保資料庫安全
當企業內漸漸開始落實資料庫安全的規範時,有幾點是需要記住的。一個正確的資料庫管理規範,需要從基礎開始落實,因此筆者在此建議以下幾點作為參考。
· Discover – 先行做好資料庫資產評估。在資訊系統內有哪些資料庫,是屬於哪種類型的資料庫,作為什麼樣的業務使用,資料庫內是否有個人資料,誰負責這些資料庫的管理。列一張表下來,可能會發現意想不到的狀況。
· Classify – 將所有資料庫內的資料分門別類,即便是個人資料也會因為組合上的不同而有不同的重要性。例如:姓名加上身分證字號能夠呈現的資料價值跟單一只有姓名加上地址是不同的。在分類的過程中,以資料組合後的價值分類可以立即判斷這些資料的重要性。當然,現今的資料庫評估工具或是DLP系統可以做所謂的自我評估,但有些特別的案例中,資料庫的資料格式可能是會在不同的資料欄位將單一比個人資料拆開(例如:姓和名,身分證的英文和數字)。因此,如果是在無法直接用工具評估的狀況下,就需要以手動的方式去進行評估。而有新的系統上線時,更需要將該系統所使用的個資重要度去做管理。
· Assess – 將所有與資料庫相關的安全問題加以評估。可以依照資料庫廠商所提供的最佳使用原則,或是透過弱點掃描的結果評判資料庫的安全等級。有較多弱點的資料庫,或長期並未安裝廠商建議的安全修補程式,都會是資料外洩的最佳管道。
· Monitor – 對於資料庫的使用者活動及權限進行監控和評估。定期的了解資料庫的使用狀態和新的弱點。資料庫即使是在區隔開來的網段也不一定代表他是安全的,只要有人能夠使用到,就表示他一定有管道可以到達外面的世界。監控這些活動,是要能夠確保資料庫的使用者是被應使用的人來使用,也可以在不正常活動發生時做到第一時間的修補動作。
許多企業在面對資料庫安全問題時,都是以「事情發生了再說」的態度來面對,但即便今天已經花下預算購買了稽核產品,也需要長期的使用和確實的進行稽核才能夠達成目標。管理層面的目的,是要能夠確實的保證和落實所訂定的管理方針,並確保當個資外洩時,有正確的資料保護企業的利益。就好比塑化劑事件一樣,如果不能提供證據自清,消費者如何信任你有做到善良保管的責任?