資料庫就如同許多人都有鑰匙的金庫,如果任何人隨意進出無須身份驗證,換來得可能是攸關企業信譽的資料外洩事件。其實,針對資料庫活動監視並不難,DAM便是專門為資料庫設置、能解決內部威脅問題並遵循法規的解決方案。
企業導入各種資安管理制度,門禁安全可說是不會缺席的基本控制措施。而門禁安全保護的是大樓的走廊以及開放的區域,讓通過身分識別的人才能進入,甚至登記出入事由與出入時間。
如果大樓的走廊以及開放的區域均需要保全,那麼有可能金庫反而不需要嗎?今天的「資料庫」就如同許多人都有鑰匙的金庫,但是大家進出都不用登記時間與事由。
資料庫監視的重要性
2007年爆發美國零售業龍頭TJX信用卡資料外洩事件,駭客在該公司的系統中至少潛伏了一年多,盜取超過四千五百萬筆信用卡資料。我們可以相信TJX的倉庫一定有門禁系統記錄著每日進出的人與事由,然而他們卻沒有掌握了解在自己機敏資料庫進出的人與原因。這如同有個小偷偷走了你金庫的鑰匙後,開始陸續搬走貨物長達一年的時間而沒被發現,原因便在於進出貨物沒有記錄。
 |
| ▲資料庫外洩無所適從?掌握機敏資料庫進出的人員與原因,才能降低資安風險。 |
2008年新年前夕,台灣知名電信業者遭到委外服務廠商的員工惡意破壞易付卡門號資料庫,發生嚴重的當機事件,系統停擺約五個小時,近三百萬用戶受到影響,警方調查9個月後才破案。這就好比金庫被離職員工用原來的鑰匙入侵,不為錢財只以破壞為目的,使得客戶沒辦法從金庫拿出東西也無法放進去。事情的根本原因是弄不清楚到底有多少人有金庫的鑰匙。
何謂DAM
資料庫活動監視(Database Activity Monitoring,DAM)即是在此需求下所研發出的產品,另一個常見的名稱為「資料庫稽核工具」。簡言之,DAM是專門為資料庫設置、能解決內部威脅問題並遵循法規的解決方案。
根據資安訓練與認證公司SANS Institute於2008年所公佈的一份報告「Understanding and Selecting a Database Activity Monitoring Solution」中的定義,資料庫活動監控係「即時地擷取包含資料庫管理人員在內,所有資料庫語法(SQL)活動,並且支援多種資料庫平台,可以針對違反政策的行為發出警示」。
以往的某些工具就可以監控不同程度的資料庫活動,因此所謂的DAM必須提供以下五種功能:
1. 獨立於資料庫外監控與稽核包含資料庫管理人員在內的所有資料庫行為,包含帳戶設立與授權、資料庫/資料表的定義、控制、新增、修改、刪除等行為(i.e. Account, DDL, DCL, and DML)。
2. 能在資料庫外部安全地存放資料庫存取活動稽核紀錄。
3. 可以整合多個關聯式資料庫系統的稽核紀錄,並對應多種資料庫將存取紀錄的人、事、時、地、物與SQL語法標準化。
4. 可實現資料庫管理人員的權責分離(separation of duties),稽核程序必須涵蓋對資料庫管理人員的行為以及資料庫所有的活動,並且有效防止資料庫管理人員更動稽核紀錄的機制。
5. 可針對違反稽核政策或行為模式的資料庫存取發出及時警示,該工具不僅可以完整記錄資料庫活動,而且是即時性的監控,並且有可設定規則的警示機制。
簡而言之,DAM能完全監控資料庫所有活動行為,包含對於管理者的監察、資料資產的保護,它能檢查控制是否合宜,可以稽核資料庫存取以及偵測惡意攻擊。然而,資料庫內建工具並不符合DAM的產品定義,因為違反權責分離與稽核獨立性。
網路型與本機型
目前常見的DAM產品有分為「網路型」與「本機型代理程式」,優缺點各不相同。網路型DAM對資料庫系統完全無影響,可以經由所有網路封包的監控來稽核資料庫存取活動,但是無法稽核本機登入行為。
而本機型代理程式雖然可以稽核本機登入行為,卻必須借用資料庫伺服器的硬體資源來運行,並且會在屬於資料庫存取的網段中產生大量的稽核資料傳輸,尚未安裝代理程式的資料庫伺服器也無從貫徹稽核政策。
 |
| ▲Journal based Mail archiving與郵件後稽核引擎。 |
有越來越多的國際專家都開始提出「混合型DAM」的概念,讓網路型DAM監控所有網路來源的資料庫存取活動,搭配代理程式監控本機的資料庫存取活動,例如Chalet ADS,即是屬於「混合型DAM」。
資料庫管理人員可以藉由Chalet ADS即時掌握資料庫存取活動現況,並且透過Asset Management(資訊資產管理)呈現稽核記錄。
Chalet ADS針對個資法的優勢在於可處理大量Log記錄,並以資產管理的角度協助企業進行資產盤點與資料管理,舉例來說,如果企業遭遇各種機密資料外洩或外部攻擊的資安事件,不僅可協助IT人員找出事件發生的時間點加以剖析,還能讓企業或IT人員以數位鑑識(Information Forensics)的方式提出具客觀性、公正性的法律證據,做到舉證自清。
此外,Chalet Tech的資料庫稽核設備還可以使用者為導向,針對特定使用者行為追蹤與分析。Chalet Tech希望資料庫稽核設備能成為資料庫管理人員的管理工具,畢竟相較於遭受攻擊,因資料管理疏失所造成的資料外洩或遺失的發生機率更高。
資訊安全不僅是機密性的議題,還包含資訊完整性與可用性,這個任務需要完善的管理制度結合良好的工具來共同實踐。
(本文作者現任玄力科技副總經理)