數(shù)據(jù)安全合規(guī)神器|應用騰訊云數(shù)據(jù)安全審計,構建全面深度的防護體系

  • 人閱讀
  • 2024-10-25 13:54:18

  • 來源:西盟科技資訊

  • 相關關鍵詞

隨著企業(yè)業(yè)務數(shù)據(jù)的云端遷移,數(shù)據(jù)安全問題日益突出。企業(yè)不僅要滿足網(wǎng)絡安全法規(guī)要求,還要能有效應對外部持續(xù)威脅和內部違規(guī)導致的數(shù)據(jù)安全風險。騰訊云數(shù)據(jù)安全審計(DSAudit)專門為企業(yè)數(shù)據(jù)的使用和運營設計,是企業(yè)合規(guī)、數(shù)據(jù)安全管理的必備選擇。

挑戰(zhàn)一:業(yè)務等保合規(guī)挑戰(zhàn)

網(wǎng)絡安全等級保護是國家網(wǎng)絡安全保障的基本制度、基本策略、基本方法,開展網(wǎng)絡安全等級保護工作是保護信息化發(fā)展、維護網(wǎng)絡安全的根本保障。網(wǎng)絡安全等級保護工作包括定級、備案、專家評審、主管部門審核(有主管部門的)、建設整改、等級測評、監(jiān)督檢查。定級對象建設完成后,運營、使用單位或者其主管部門應當選擇符合國家要求的測評機構,依據(jù)《網(wǎng)絡安全等級保護測評要求》等技術標準,定期對定級對象安全等級狀況開展等級測評。

依據(jù)等保“一個中心,三重防護”的核心理念,構建網(wǎng)絡邊界安全、網(wǎng)絡通信安全、計算環(huán)境安全和安全管理的等保合規(guī)防護體系。

image.png

在安全計算環(huán)境-安全審計要求中明確到,“應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;并記錄和保護審計信息;應對審計進程進行保護,防止未經(jīng)授權的中斷。”針對以上場景,需采用數(shù)據(jù)安全審計產(chǎn)品來滿足對用戶行為和重要安全事件審計和記錄要求。

挑戰(zhàn)二:外部風險和內部違規(guī)導致數(shù)據(jù)泄漏

高價值的數(shù)據(jù)本身是企業(yè)的核心資產(chǎn)和安身立命之本,也是黑客組織主要的覬覦目標。近年來,數(shù)據(jù)安全事件層出不窮,其中不乏威脅國民數(shù)字經(jīng)濟和公眾信息安全的大型數(shù)據(jù)泄露事件。事故主體輕則被處罰影響公司聲譽和運營,重則導致公司破產(chǎn)。部分案例如下:

● 2023年6月,北京昌平網(wǎng)安部門發(fā)現(xiàn)某生物技術有限公司存在數(shù)據(jù)泄露并處罰。該公司因未落實安全保護措施,導致“基因外顯子數(shù)據(jù)分析系統(tǒng)”中的數(shù)據(jù)泄露,總量達19.1GB,包含大量公民信息和技術信息。被網(wǎng)安依法警告并罰款。

●2023年12月,美國國家公共數(shù)據(jù)公司(National Public Data, NPD)因數(shù)據(jù)泄露事件而破產(chǎn)。NPD為美國最大的背景調查公司之一。因被黑客入侵,導致數(shù)億人的數(shù)據(jù)被泄漏,包括姓名、社會安全號碼、電話號碼、地址和出生日期等敏感信息的數(shù)據(jù)。這些數(shù)據(jù)隨后在非法市場上被出售,引發(fā)了廣泛的關注和擔憂。NPD最終因面臨多方訴訟壓力,而申請破產(chǎn)。

● 2024年3月,美國電話電報公司(AT&T)數(shù)據(jù)泄漏。公司發(fā)現(xiàn)其7000多萬現(xiàn)任和前任客戶的個人數(shù)據(jù)在暗網(wǎng)上出售。泄漏的用戶個人數(shù)據(jù)包括姓名、家庭住址、電話號碼、社會安全號碼等個人信息。至今AT&T仍然沒有發(fā)現(xiàn)這些數(shù)據(jù)是如何泄露的。

● 2024年5月,英國倫敦證券交易所集團數(shù)據(jù)泄露。倫敦證券交易所集團的World-Check數(shù)據(jù)庫因黑客入侵,超過500萬條敏感數(shù)據(jù)記錄被竊取并泄露至網(wǎng)絡。泄露數(shù)據(jù)內容廣泛,涉及多國政要、外交官、司法人士及犯罪嫌疑人的隱私資料,包括社會安全號、銀行賬戶、護照信息及詳盡的個人履歷等。

● 2024年6月,云存儲巨頭Snowflake大規(guī)模數(shù)據(jù)泄露。Snowflake客戶招受大規(guī)模的忘網(wǎng)絡攻擊,至使全球超過165家知名企業(yè)發(fā)生大規(guī)模數(shù)據(jù)泄露。包括票務巨頭Ticketmaster被盜5.6億條記錄,汽車零件商AdvanceAutoParts被盜7900萬條記錄,票務巨頭TEG被竊3000萬條記錄,以及Ticketmaster、桑坦德銀行、Pure Storage、及Cylance等在內的一大批知名企業(yè)。該事件被稱為“云計算歷史上最嚴重的數(shù)據(jù)泄漏事件之一”。

除了外部攻擊外,企業(yè)內部的員工違規(guī)也帶來了巨大的數(shù)據(jù)泄漏風險。如下圖所示,在《2024 Data Breach Investigations Report | Verizon》調研報告中,因內部原因導致的數(shù)據(jù)泄露事件占比近40%,同比增加約一倍。

image.png

圖源:2024 數(shù)據(jù)泄露調研報告

挑戰(zhàn)三:傳統(tǒng)數(shù)據(jù)庫審計無法滿足當下數(shù)據(jù)安全合規(guī)要求

在數(shù)字化轉型加速的今天,企業(yè)數(shù)據(jù)資產(chǎn)跨地域、跨云、跨VPC成為常態(tài)。數(shù)據(jù)的存儲形態(tài)多種多樣:云數(shù)據(jù)庫、自建數(shù)據(jù)庫、關系型數(shù)據(jù)庫(DB)、非關系型數(shù)據(jù)庫(NoSQL)、大數(shù)據(jù)平臺等。

企業(yè)業(yè)務應用面臨著對業(yè)務、多數(shù)據(jù)庫資產(chǎn)、大數(shù)據(jù)資產(chǎn)的跨平臺數(shù)據(jù)源統(tǒng)一管理、面對復雜的攻擊和漏洞進行威脅識別、以及快速滿足法律合規(guī)以及日志分析的多重挑戰(zhàn),數(shù)據(jù)庫內置的審計無法滿足當下業(yè)務數(shù)據(jù)安全要求。如:

● 沒有預置安全能力:數(shù)據(jù)庫內置的審計模塊僅僅記錄數(shù)據(jù)庫訪問和操作記錄,沒有預置的安全檢測規(guī)則和UEBA行為分析模型。即使少量產(chǎn)品支持用戶自定義規(guī)則,用戶投入巨大的資源后仍然難以彌補差距。在面對當前外部風險和內部違規(guī)時,不具備安全監(jiān)測和異常行為審計能力,無法有效阻止數(shù)據(jù)泄露事件發(fā)生。

● 部署使用困難:數(shù)據(jù)庫內置的審計模塊僅支持數(shù)據(jù)庫自身日志審計,無法適用于IDC/私有化部署環(huán)境,無法支持公有云、多云、混合云環(huán)境,也無法適配數(shù)據(jù)存儲服務和大數(shù)據(jù)服務。

● 僅支持傳統(tǒng)數(shù)據(jù)庫:數(shù)據(jù)庫內置的審計模塊僅具備對自身協(xié)議數(shù)據(jù)庫審計能力。無法支持非關系型數(shù)據(jù)庫(NoSQL)和大數(shù)據(jù)平臺,如:Redis、MongoDB、HIVE等。

因此亟需一款云原生、基于人工智能,預置體系化安全能力的數(shù)據(jù)安全審計系統(tǒng),可實時監(jiān)測和審計業(yè)務數(shù)據(jù)訪問、操作過程中各類潛在風險和隱患??焖俦憬轁M足企業(yè)的等保合規(guī)需求,并高效應對內外部安全威脅。

騰訊數(shù)據(jù)安全審計(DSAudit)

為了更有效地應對以上安全風險與挑戰(zhàn),騰訊安全傾力打造數(shù)據(jù)安全審計(DSAudit)產(chǎn)品,聯(lián)合數(shù)據(jù)安全治理中心(DSGC)和數(shù)據(jù)安全網(wǎng)關(CASB),構建了覆蓋事前、事中、事后的完善數(shù)據(jù)安全全生命周期防護方案。

● 事前數(shù)據(jù)分類分級、敏感數(shù)據(jù)識別,全面而系統(tǒng)的風險評估、策略管控閉環(huán)、和風險修復收斂。

● 事中對敏感數(shù)據(jù)流轉、訪問、操作,以及數(shù)據(jù)安全策略狀態(tài)進行持續(xù)監(jiān)測運營,基于日志匯聚、行為基線、UEBA用戶行為分析,實時感知敏感數(shù)據(jù)資產(chǎn)安全風險,并對風險活動進行及時告警處置。

●事后對全量數(shù)據(jù)行為進行細粒度審計溯源,全場景還原用戶行為軌跡,有效追蹤溯源數(shù)據(jù)的訪問行為。

image.png

相比傳統(tǒng)數(shù)據(jù)庫審計和部分數(shù)據(jù)庫內置審計模塊,僅記錄數(shù)據(jù)庫日志供查詢和檢索。騰訊數(shù)據(jù)安全審計(DSAudit)產(chǎn)品提供了全面、深度的事中數(shù)據(jù)風險監(jiān)測和事后異常行為審計能力,并切實有效地保護數(shù)據(jù)的安全,防止數(shù)據(jù)泄露和濫用。產(chǎn)品自研三大安全引擎,預置了700+規(guī)則模型,基于大數(shù)據(jù)+AI,構建一個全面的數(shù)據(jù)安全監(jiān)控、異常行為分析和細粒度安全審計體系,幫助企業(yè)保護其最寶貴的數(shù)據(jù)資產(chǎn)。三大安全引擎包括:規(guī)則引擎、語義引擎、和UEBA行為分析引擎。

image.png

1.規(guī)則引擎

規(guī)則引擎是數(shù)據(jù)安全審計的一個關鍵組件,它能夠根據(jù)預設的規(guī)則進行實時的數(shù)據(jù)活動監(jiān)控。當監(jiān)測到的操作或行為與規(guī)則相匹配時,引擎會觸發(fā)相應的告警動作。規(guī)則引擎基于多維度參數(shù)配置,可以靈活設置黑白名單、風險操作、SQL注入和數(shù)據(jù)庫漏洞等多種維度的審計規(guī)則。并支持用戶自定義。

2.語義引擎

語義引擎深度解析SQL語句,理解數(shù)據(jù)操作的真實意圖和目的,從而更準確地識別潛在的安全威脅、不合規(guī)操作。相比傳統(tǒng)方案,能更有效的減少誤報和漏報。如:SQL注入、拖庫、刪庫、數(shù)據(jù)破壞等高危敏感數(shù)據(jù)庫操作場景等威脅。如:

● SQL注入:如UNION型NULL注入攻擊、MYSQL-解釋注釋繞過、空格繞過注入、引號型注入等。

● 漏洞攻擊:如非法使用XP_CMDSHELL執(zhí)行系統(tǒng)命令(SQLServer語法)、SQLServer-執(zhí)行危險的存儲過程、DBMS_AQADM_SYS緩沖區(qū)溢出漏洞(Oracle語法)等。

● 操作規(guī)則:無where更新或刪除、MySQL-數(shù)據(jù)庫用戶密碼泄露。

● 數(shù)據(jù)泄漏:使用DUMPFILE導出、使用OUTFILE導出。

3.UEBA異常行為檢測引擎

UEBA異常行為分析引擎彌補了數(shù)據(jù)庫審計產(chǎn)品和數(shù)據(jù)庫內置審計模塊的“AI+安全”能力的不足,是有效應對外部威脅和內部違規(guī)導致數(shù)據(jù)泄漏的神器。UEBA異常行為分析引擎使用機器學習、AI和大數(shù)據(jù)分析技術,對用戶和終端的行為進行建模和分析,以識別異?;蚩梢傻男袨椤?梢宰詣訉W習用戶和業(yè)務正常的行為模式,當檢測到偏離正常模式的行為時觸發(fā)告警。可以有效地檢測到外部漏洞攻擊和內部違規(guī)導致的賬戶劫持、高危操作、數(shù)據(jù)竊取、數(shù)據(jù)泄露、刪庫、數(shù)據(jù)破壞等異常行為。如下表:

image.png

目前騰訊數(shù)據(jù)安全審計(DSAudit)產(chǎn)品預置700+規(guī)則模型,覆蓋SQL注入、漏洞攻擊、賬號爆破、以及拖庫、刪庫、數(shù)據(jù)破壞、數(shù)據(jù)竊取等高危敏感數(shù)據(jù)庫操作場景。如下圖所示:

image.png

UEBA異常行為分析引擎,系統(tǒng)性構建數(shù)據(jù)庫異常行為分析能力,包括:登錄場景、訪問場景、查詢場景、操作場景等。

image.png

產(chǎn)品優(yōu)勢

騰訊云原生數(shù)據(jù)安全審計能夠對云上應用系統(tǒng)網(wǎng)絡中的數(shù)據(jù)庫各類會話信息、訪問操作、SQL語句進行全量審計入庫。獲得審計數(shù)據(jù)后,數(shù)據(jù)安全審計能夠根據(jù)多種規(guī)則庫和威脅檢測引擎識別操作中的惡意行為,并且及時通知管理員采取相應的安全防護措施,滿足合規(guī)要求。對于已發(fā)生的安全事件,數(shù)據(jù)安全審計支持對審計日志進行深度分析還原安全事故全貌并定位責任人。相比于數(shù)據(jù)庫自帶的審計功能,數(shù)據(jù)安全審計具有以下優(yōu)勢:

1.等保專項審計報表助力

● 符合法規(guī)要求:DSAudit助力企業(yè)滿足網(wǎng)絡安全法、等保三級要求,提供符合法規(guī)的審計報表,幫助企業(yè)在合規(guī)性檢查中順利通過。

● 專項審計報表:DSAudit能夠生成專項審計報表,詳細記錄和分析數(shù)據(jù)庫操作,為企業(yè)提供數(shù)據(jù)操作的透明度,便于企業(yè)進行內部審計和合規(guī)性評估。

● 責任定位:對于已發(fā)生的安全事故,DSAudit支持對數(shù)年的日志進行審計和分析,為企業(yè)還原安全事故全貌并定位責任人提供參考依據(jù)。

2.支持多種數(shù)據(jù)源的統(tǒng)一審計

● 跨平臺兼容性:數(shù)據(jù)安全審計(DSAudit)支持對多種數(shù)據(jù)源進行統(tǒng)一審計,包括云數(shù)據(jù)庫、自建數(shù)據(jù)庫和大數(shù)據(jù)組件。這意味著無論是在騰訊云、其他云服務商還是本地數(shù)據(jù)中心,企業(yè)都能實現(xiàn)數(shù)據(jù)資產(chǎn)的集中管理和審計。

● 簡化管理:通過跨云多地域集中審計功能,DSAudit能夠簡化管理流程,無需在不同平臺間切換,即可實現(xiàn)對所有數(shù)據(jù)資產(chǎn)的監(jiān)控和審計,大大提高了審計效率和準確性。

● 自動化發(fā)現(xiàn):DSAudit的云數(shù)據(jù)庫自動發(fā)現(xiàn)功能,可以在用戶授權后自動獲取云數(shù)據(jù)庫列表,減少人工錄入的工作量,同時避免資產(chǎn)遺漏,確保審計的全面性。

3.豐富的規(guī)則引擎識別風險

● AI驅動的威脅識別:依托騰訊云專業(yè)的深度學習技術和豐富的樣本訓練環(huán)境,DSAudit內置的AI引擎能夠應對多變的威脅場景,具備多達700+個內置規(guī)則的規(guī)則庫,有效識別安全事件,如威脅攻擊、惡意操作和SQL注入。

● 自定義規(guī)則審計:DSAudit支持按照庫、表、字段、訪問源、數(shù)據(jù)庫實例等多種維度進行審計規(guī)則設置,使企業(yè)能夠根據(jù)具體需求定制審計策略,實現(xiàn)精細化監(jiān)控。

● 實時響應:當DSAudit識別到威脅操作時,能夠立即向管理員發(fā)送告警信息,支持企業(yè)微信、短信、郵件等多種告警方式,確保及時響應和處理安全事件。

騰訊云原生數(shù)據(jù)安全審計DSAudit 已通過《信息安全技術 網(wǎng)絡安全專用產(chǎn)品安全技術要求》等相關國家標準的強制性要求測試,安全認證合格。滿足等保要求,為企業(yè)合規(guī)提供強有力的支撐。

image.png

申領試用機會請關注騰訊安全公眾號,了解更多產(chǎn)品詳情。

(免責聲明:本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。 )