https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

海量資料時代 機密資料保護能力必須再進化

2013 / 01 / 09
張寅建
海量資料時代 機密資料保護能力必須再進化

伴隨雲端運算、行動應用及社群媒體崛起,使資料產生速度加劇,若企業能善用分析這些資料,即可從中挖掘擷出珍貴資訊、優化商業決策,這也讓Big Data議題因而火熱。但企業莫忘記海量資料仍是資料,亦是機密外洩的潛在缺口,肯定需要嚴加保護;尤其新版個資法上路,任何涉及個人資料的數據,從蒐集、處理、應用、傳遞至銷毀等過程之稽核軌跡,都應切實管控,一般交易型資料如此,海量資料亦然。

因此,資料庫安全議題愈來愈受重視,連帶使資料庫活動監視(Database Activity Monitoring;DAM)解決方案聲勢看漲。只因資訊應用及安全相關之行為,多發生在資料庫,企業只要善用DAM,並確保管控稽核軌跡資料的擷取、儲存、報表產出等完整流程之獨立性、安全性與不可否認性,繼而搭配人事時地物之關聯(Correlation)分析,就能為稽核軌跡資料增添有效的證據力。

依循4大關鍵流程 守護資料庫安全

難免有人認為,企業多已部署防火牆、IPS等防護機制,駭客要想攻陷後台資料庫,難度其實不低,所以DAM系統不過是錦上添花,這種說法其實存在著很大的謬誤。

主因在於,近年來資料外洩事件,平均75%皆是企業內部人員所為,且多透過本地存取(Local Access)盜取資料,鮮少取道網際網路,資料竊取行為早已超出傳統資安系統的視線,所以企業必須採用DAM工具,隨時監控資料庫存取行為,方可彌補傳統工具之不足。

值得一提的是,企業意欲善盡資料庫保護及法規遵循之責,少不得要搭配實施以下4大關鍵流程,才能牢牢呵護機密資產。這4大流程按施行的先後順序來說,分別是「發現漏洞及配置評估」、「資料活動監控」、「稽核」與「身分驗證及授權管理」。

首先談到「發現漏洞及配置評估」流程。其包含兩個重點,第一,機密資料的存放位置,可能會隨著應用程式服務的新增、修改或合併而變化,但企業只要借助合適的探索工具,即可形塑自動化的偵測流程,使偵測觸角隨之位移,不致出現死角;第二,企業必須審慎評估資料庫配置,詳加驗證作業系統安裝資料庫的方式、以及資料庫內部設定選項,確保毫無安全漏洞。

其次是「資料活動監控」流程,重點在於建立即時監測機制,才能立即發現非法入侵或是濫用資料庫的行為,例如:針對SQL隱碼攻擊的異常存取、財務資料的未授權更改、帳戶權限的提升、或透過SQL命令變更設定等不合理現象提出告警,適時遏阻資料外洩的危機。

更重要的,「資料活動監控」亦有助於企業超越傳統靜態式的漏洞評估,從而展開「行為漏洞」的動態評估;其運作方式是,藉由DAM系統建立黃金基準線(Baseline),隨時監視有無偏離正常尺度的行徑,一旦察覺異狀,便於第一時間發出告警,以利企業做進一步處置。

緊接著進入「稽核」流程,凡可能影響安全防護、資料完整性或機密資料查看之所有資料庫活動,一律採取「不可否認(Non-repudiable)」的安全稽核追蹤。以往企業多倚賴本機資料庫日誌進行人工稽核,惟需注意執行程序複雜、耗用運算及儲存資源、缺乏「職權分立」(DBA可輕鬆篡改資料庫日誌內容,影響不可否認性)等諸多問題。

最後則是「身分驗證及授權管理」流程。由於資料與用戶的建立方式各不相同,所以企業必須針對用戶進行身分驗證,並透過嚴格的權限管理機制,對資料存取行為加以設限,即使針對DBA等掌握最高權限的使用者,亦須納入管制;比方說,企業可允許DBA控制Schema、建立資料表或建立索引,但同時亦應限制其下達Select、Insert、Update或Delete等指令,因為DBA的天職是管理資料庫系統,理應無權撈過界更動資料內容。

DAM系統擴充難易 成為觀察重點

綜上所述,DAM系統之於企業機密資產防護的重要性,著實無庸置疑。但隨著海量資料開始加入受保護之行列,DAM系統理應具備哪些特質,方可幫助企業因應全新挑戰?

首先,DAM解決方案供應商必須針對當前被廣為使用的海量資料處理技術,例如Hadoop及其項下的MapReduce、Hive與Hbase等一干技術,推出相對應的管控工具。

其次,一套好的DAM系統,理當能判讀TCP/IP、Share Memory、Named Pipe、TLI…等完整協定,才有利於防堵資料竊賊作惡之路徑,但協定的判斷往往涉及大量運算,此項負擔適合由資料庫代理程式(Agent)承接?或由DAM收集器(Collector)執行?若是前者,勢將耗用巨大資源,但後者則無此疑慮,故採取後項模式的系統,顯然相對合宜。

最後必須考量系統擴充性。一般DAM多奠基SPAN(Switch Port Analyzer)架構,導致擴充路徑受限於加裝交換器一途,但礙於交換器Mirror Port甚少,所以企業必須引進大量交換器才能滿足擴充需求,如今市場上亦有跳脫SPAN窠臼的解決方案,用戶僅需橫向擴充Collector,並於不同Collector間實施高可用度與負載平衡設定,便可隨即提升資料庫安控能量,完全不需更動交換器架構。新舊型態系統孰優孰劣,答案顯而易見。

本文作者現為台灣 IBM軟體事業處資深技術顧問。如您對本文有任何想法,歡迎來信交流:isnews@newera.messefrankfurt.com。