數(shù)據(jù)安全合規(guī)神器|應(yīng)用騰訊云數(shù)據(jù)安全審計(jì),構(gòu)建全面深度的防護(hù)體系

隨著企業(yè)業(yè)務(wù)數(shù)據(jù)的云端遷移,數(shù)據(jù)安全問題日益突出。企業(yè)不僅要滿足網(wǎng)絡(luò)安全法規(guī)要求,還要能有效應(yīng)對(duì)外部持續(xù)威脅和內(nèi)部違規(guī)導(dǎo)致的數(shù)據(jù)安全風(fēng)險(xiǎn)。騰訊云數(shù)據(jù)安全審計(jì)(DSAudit)專門為企業(yè)數(shù)據(jù)的使用和運(yùn)營設(shè)計(jì),是企業(yè)合規(guī)、數(shù)據(jù)安全管理的必備選擇。

挑戰(zhàn)一:業(yè)務(wù)等保合規(guī)挑戰(zhàn)

網(wǎng)絡(luò)安全等級(jí)保護(hù)是國家網(wǎng)絡(luò)安全保障的基本制度、基本策略、基本方法,開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)網(wǎng)絡(luò)安全的根本保障。網(wǎng)絡(luò)安全等級(jí)保護(hù)工作包括定級(jí)、備案、專家評(píng)審、主管部門審核(有主管部門的)、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查。定級(jí)對(duì)象建設(shè)完成后,運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合國家要求的測(cè)評(píng)機(jī)構(gòu),依據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn),定期對(duì)定級(jí)對(duì)象安全等級(jí)狀況開展等級(jí)測(cè)評(píng)。

依據(jù)等保“一個(gè)中心,三重防護(hù)”的核心理念,構(gòu)建網(wǎng)絡(luò)邊界安全、網(wǎng)絡(luò)通信安全、計(jì)算環(huán)境安全和安全管理的等保合規(guī)防護(hù)體系。

image.png

在安全計(jì)算環(huán)境-安全審計(jì)要求中明確到,“應(yīng)啟用安全審計(jì)功能,審計(jì)覆蓋到每個(gè)用戶,對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì);并記錄和保護(hù)審計(jì)信息;應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù),防止未經(jīng)授權(quán)的中斷。”針對(duì)以上場(chǎng)景,需采用數(shù)據(jù)安全審計(jì)產(chǎn)品來滿足對(duì)用戶行為和重要安全事件審計(jì)和記錄要求。

挑戰(zhàn)二:外部風(fēng)險(xiǎn)和內(nèi)部違規(guī)導(dǎo)致數(shù)據(jù)泄漏

高價(jià)值的數(shù)據(jù)本身是企業(yè)的核心資產(chǎn)和安身立命之本,也是黑客組織主要的覬覦目標(biāo)。近年來,數(shù)據(jù)安全事件層出不窮,其中不乏威脅國民數(shù)字經(jīng)濟(jì)和公眾信息安全的大型數(shù)據(jù)泄露事件。事故主體輕則被處罰影響公司聲譽(yù)和運(yùn)營,重則導(dǎo)致公司破產(chǎn)。部分案例如下:

● 2023年6月,北京昌平網(wǎng)安部門發(fā)現(xiàn)某生物技術(shù)有限公司存在數(shù)據(jù)泄露并處罰。該公司因未落實(shí)安全保護(hù)措施,導(dǎo)致“基因外顯子數(shù)據(jù)分析系統(tǒng)”中的數(shù)據(jù)泄露,總量達(dá)19.1GB,包含大量公民信息和技術(shù)信息。被網(wǎng)安依法警告并罰款。

●2023年12月,美國國家公共數(shù)據(jù)公司(National Public Data, NPD)因數(shù)據(jù)泄露事件而破產(chǎn)。NPD為美國最大的背景調(diào)查公司之一。因被黑客入侵,導(dǎo)致數(shù)億人的數(shù)據(jù)被泄漏,包括姓名、社會(huì)安全號(hào)碼、電話號(hào)碼、地址和出生日期等敏感信息的數(shù)據(jù)。這些數(shù)據(jù)隨后在非法市場(chǎng)上被出售,引發(fā)了廣泛的關(guān)注和擔(dān)憂。NPD最終因面臨多方訴訟壓力,而申請(qǐng)破產(chǎn)。

● 2024年3月,美國電話電報(bào)公司(AT&T)數(shù)據(jù)泄漏。公司發(fā)現(xiàn)其7000多萬現(xiàn)任和前任客戶的個(gè)人數(shù)據(jù)在暗網(wǎng)上出售。泄漏的用戶個(gè)人數(shù)據(jù)包括姓名、家庭住址、電話號(hào)碼、社會(huì)安全號(hào)碼等個(gè)人信息。至今AT&T仍然沒有發(fā)現(xiàn)這些數(shù)據(jù)是如何泄露的。

● 2024年5月,英國倫敦證券交易所集團(tuán)數(shù)據(jù)泄露。倫敦證券交易所集團(tuán)的World-Check數(shù)據(jù)庫因黑客入侵,超過500萬條敏感數(shù)據(jù)記錄被竊取并泄露至網(wǎng)絡(luò)。泄露數(shù)據(jù)內(nèi)容廣泛,涉及多國政要、外交官、司法人士及犯罪嫌疑人的隱私資料,包括社會(huì)安全號(hào)、銀行賬戶、護(hù)照信息及詳盡的個(gè)人履歷等。

● 2024年6月,云存儲(chǔ)巨頭Snowflake大規(guī)模數(shù)據(jù)泄露。Snowflake客戶招受大規(guī)模的忘網(wǎng)絡(luò)攻擊,至使全球超過165家知名企業(yè)發(fā)生大規(guī)模數(shù)據(jù)泄露。包括票務(wù)巨頭Ticketmaster被盜5.6億條記錄,汽車零件商AdvanceAutoParts被盜7900萬條記錄,票務(wù)巨頭TEG被竊3000萬條記錄,以及Ticketmaster、桑坦德銀行、Pure Storage、及Cylance等在內(nèi)的一大批知名企業(yè)。該事件被稱為“云計(jì)算歷史上最嚴(yán)重的數(shù)據(jù)泄漏事件之一”。

除了外部攻擊外,企業(yè)內(nèi)部的員工違規(guī)也帶來了巨大的數(shù)據(jù)泄漏風(fēng)險(xiǎn)。如下圖所示,在《2024 Data Breach Investigations Report | Verizon》調(diào)研報(bào)告中,因內(nèi)部原因?qū)е碌臄?shù)據(jù)泄露事件占比近40%,同比增加約一倍。

image.png

圖源:2024 數(shù)據(jù)泄露調(diào)研報(bào)告

挑戰(zhàn)三:傳統(tǒng)數(shù)據(jù)庫審計(jì)無法滿足當(dāng)下數(shù)據(jù)安全合規(guī)要求

在數(shù)字化轉(zhuǎn)型加速的今天,企業(yè)數(shù)據(jù)資產(chǎn)跨地域、跨云、跨VPC成為常態(tài)。數(shù)據(jù)的存儲(chǔ)形態(tài)多種多樣:云數(shù)據(jù)庫、自建數(shù)據(jù)庫、關(guān)系型數(shù)據(jù)庫(DB)、非關(guān)系型數(shù)據(jù)庫(NoSQL)、大數(shù)據(jù)平臺(tái)等。

企業(yè)業(yè)務(wù)應(yīng)用面臨著對(duì)業(yè)務(wù)、多數(shù)據(jù)庫資產(chǎn)、大數(shù)據(jù)資產(chǎn)的跨平臺(tái)數(shù)據(jù)源統(tǒng)一管理、面對(duì)復(fù)雜的攻擊和漏洞進(jìn)行威脅識(shí)別、以及快速滿足法律合規(guī)以及日志分析的多重挑戰(zhàn),數(shù)據(jù)庫內(nèi)置的審計(jì)無法滿足當(dāng)下業(yè)務(wù)數(shù)據(jù)安全要求。如:

● 沒有預(yù)置安全能力:數(shù)據(jù)庫內(nèi)置的審計(jì)模塊僅僅記錄數(shù)據(jù)庫訪問和操作記錄,沒有預(yù)置的安全檢測(cè)規(guī)則和UEBA行為分析模型。即使少量產(chǎn)品支持用戶自定義規(guī)則,用戶投入巨大的資源后仍然難以彌補(bǔ)差距。在面對(duì)當(dāng)前外部風(fēng)險(xiǎn)和內(nèi)部違規(guī)時(shí),不具備安全監(jiān)測(cè)和異常行為審計(jì)能力,無法有效阻止數(shù)據(jù)泄露事件發(fā)生。

● 部署使用困難:數(shù)據(jù)庫內(nèi)置的審計(jì)模塊僅支持?jǐn)?shù)據(jù)庫自身日志審計(jì),無法適用于IDC/私有化部署環(huán)境,無法支持公有云、多云、混合云環(huán)境,也無法適配數(shù)據(jù)存儲(chǔ)服務(wù)和大數(shù)據(jù)服務(wù)。

● 僅支持傳統(tǒng)數(shù)據(jù)庫:數(shù)據(jù)庫內(nèi)置的審計(jì)模塊僅具備對(duì)自身協(xié)議數(shù)據(jù)庫審計(jì)能力。無法支持非關(guān)系型數(shù)據(jù)庫(NoSQL)和大數(shù)據(jù)平臺(tái),如:Redis、MongoDB、HIVE等。

因此亟需一款云原生、基于人工智能,預(yù)置體系化安全能力的數(shù)據(jù)安全審計(jì)系統(tǒng),可實(shí)時(shí)監(jiān)測(cè)和審計(jì)業(yè)務(wù)數(shù)據(jù)訪問、操作過程中各類潛在風(fēng)險(xiǎn)和隱患。快速便捷滿足企業(yè)的等保合規(guī)需求,并高效應(yīng)對(duì)內(nèi)外部安全威脅。

騰訊數(shù)據(jù)安全審計(jì)(DSAudit)

為了更有效地應(yīng)對(duì)以上安全風(fēng)險(xiǎn)與挑戰(zhàn),騰訊安全傾力打造數(shù)據(jù)安全審計(jì)(DSAudit)產(chǎn)品,聯(lián)合數(shù)據(jù)安全治理中心(DSGC)和數(shù)據(jù)安全網(wǎng)關(guān)(CASB),構(gòu)建了覆蓋事前、事中、事后的完善數(shù)據(jù)安全全生命周期防護(hù)方案。

● 事前數(shù)據(jù)分類分級(jí)、敏感數(shù)據(jù)識(shí)別,全面而系統(tǒng)的風(fēng)險(xiǎn)評(píng)估、策略管控閉環(huán)、和風(fēng)險(xiǎn)修復(fù)收斂。

● 事中對(duì)敏感數(shù)據(jù)流轉(zhuǎn)、訪問、操作,以及數(shù)據(jù)安全策略狀態(tài)進(jìn)行持續(xù)監(jiān)測(cè)運(yùn)營,基于日志匯聚、行為基線、UEBA用戶行為分析,實(shí)時(shí)感知敏感數(shù)據(jù)資產(chǎn)安全風(fēng)險(xiǎn),并對(duì)風(fēng)險(xiǎn)活動(dòng)進(jìn)行及時(shí)告警處置。

●事后對(duì)全量數(shù)據(jù)行為進(jìn)行細(xì)粒度審計(jì)溯源,全場(chǎng)景還原用戶行為軌跡,有效追蹤溯源數(shù)據(jù)的訪問行為。

image.png

相比傳統(tǒng)數(shù)據(jù)庫審計(jì)和部分?jǐn)?shù)據(jù)庫內(nèi)置審計(jì)模塊,僅記錄數(shù)據(jù)庫日志供查詢和檢索。騰訊數(shù)據(jù)安全審計(jì)(DSAudit)產(chǎn)品提供了全面、深度的事中數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測(cè)和事后異常行為審計(jì)能力,并切實(shí)有效地保護(hù)數(shù)據(jù)的安全,防止數(shù)據(jù)泄露和濫用。產(chǎn)品自研三大安全引擎,預(yù)置了700+規(guī)則模型,基于大數(shù)據(jù)+AI,構(gòu)建一個(gè)全面的數(shù)據(jù)安全監(jiān)控、異常行為分析和細(xì)粒度安全審計(jì)體系,幫助企業(yè)保護(hù)其最寶貴的數(shù)據(jù)資產(chǎn)。三大安全引擎包括:規(guī)則引擎、語義引擎、和UEBA行為分析引擎。

image.png

1.規(guī)則引擎

規(guī)則引擎是數(shù)據(jù)安全審計(jì)的一個(gè)關(guān)鍵組件,它能夠根據(jù)預(yù)設(shè)的規(guī)則進(jìn)行實(shí)時(shí)的數(shù)據(jù)活動(dòng)監(jiān)控。當(dāng)監(jiān)測(cè)到的操作或行為與規(guī)則相匹配時(shí),引擎會(huì)觸發(fā)相應(yīng)的告警動(dòng)作。規(guī)則引擎基于多維度參數(shù)配置,可以靈活設(shè)置黑白名單、風(fēng)險(xiǎn)操作、SQL注入和數(shù)據(jù)庫漏洞等多種維度的審計(jì)規(guī)則。并支持用戶自定義。

2.語義引擎

語義引擎深度解析SQL語句,理解數(shù)據(jù)操作的真實(shí)意圖和目的,從而更準(zhǔn)確地識(shí)別潛在的安全威脅、不合規(guī)操作。相比傳統(tǒng)方案,能更有效的減少誤報(bào)和漏報(bào)。如:SQL注入、拖庫、刪庫、數(shù)據(jù)破壞等高危敏感數(shù)據(jù)庫操作場(chǎng)景等威脅。如:

● SQL注入:如UNION型NULL注入攻擊、MYSQL-解釋注釋繞過、空格繞過注入、引號(hào)型注入等。

● 漏洞攻擊:如非法使用XP_CMDSHELL執(zhí)行系統(tǒng)命令(SQLServer語法)、SQLServer-執(zhí)行危險(xiǎn)的存儲(chǔ)過程、DBMS_AQADM_SYS緩沖區(qū)溢出漏洞(Oracle語法)等。

● 操作規(guī)則:無where更新或刪除、MySQL-數(shù)據(jù)庫用戶密碼泄露。

● 數(shù)據(jù)泄漏:使用DUMPFILE導(dǎo)出、使用OUTFILE導(dǎo)出。

3.UEBA異常行為檢測(cè)引擎

UEBA異常行為分析引擎彌補(bǔ)了數(shù)據(jù)庫審計(jì)產(chǎn)品和數(shù)據(jù)庫內(nèi)置審計(jì)模塊的“AI+安全”能力的不足,是有效應(yīng)對(duì)外部威脅和內(nèi)部違規(guī)導(dǎo)致數(shù)據(jù)泄漏的神器。UEBA異常行為分析引擎使用機(jī)器學(xué)習(xí)、AI和大數(shù)據(jù)分析技術(shù),對(duì)用戶和終端的行為進(jìn)行建模和分析,以識(shí)別異?;蚩梢傻男袨???梢宰詣?dòng)學(xué)習(xí)用戶和業(yè)務(wù)正常的行為模式,當(dāng)檢測(cè)到偏離正常模式的行為時(shí)觸發(fā)告警??梢杂行У貦z測(cè)到外部漏洞攻擊和內(nèi)部違規(guī)導(dǎo)致的賬戶劫持、高危操作、數(shù)據(jù)竊取、數(shù)據(jù)泄露、刪庫、數(shù)據(jù)破壞等異常行為。如下表:

image.png

目前騰訊數(shù)據(jù)安全審計(jì)(DSAudit)產(chǎn)品預(yù)置700+規(guī)則模型,覆蓋SQL注入、漏洞攻擊、賬號(hào)爆破、以及拖庫、刪庫、數(shù)據(jù)破壞、數(shù)據(jù)竊取等高危敏感數(shù)據(jù)庫操作場(chǎng)景。如下圖所示:

image.png

UEBA異常行為分析引擎,系統(tǒng)性構(gòu)建數(shù)據(jù)庫異常行為分析能力,包括:登錄場(chǎng)景、訪問場(chǎng)景、查詢場(chǎng)景、操作場(chǎng)景等。

image.png

產(chǎn)品優(yōu)勢(shì)

騰訊云原生數(shù)據(jù)安全審計(jì)能夠?qū)υ粕蠎?yīng)用系統(tǒng)網(wǎng)絡(luò)中的數(shù)據(jù)庫各類會(huì)話信息、訪問操作、SQL語句進(jìn)行全量審計(jì)入庫。獲得審計(jì)數(shù)據(jù)后,數(shù)據(jù)安全審計(jì)能夠根據(jù)多種規(guī)則庫和威脅檢測(cè)引擎識(shí)別操作中的惡意行為,并且及時(shí)通知管理員采取相應(yīng)的安全防護(hù)措施,滿足合規(guī)要求。對(duì)于已發(fā)生的安全事件,數(shù)據(jù)安全審計(jì)支持對(duì)審計(jì)日志進(jìn)行深度分析還原安全事故全貌并定位責(zé)任人。相比于數(shù)據(jù)庫自帶的審計(jì)功能,數(shù)據(jù)安全審計(jì)具有以下優(yōu)勢(shì):

1.等保專項(xiàng)審計(jì)報(bào)表助力

● 符合法規(guī)要求:DSAudit助力企業(yè)滿足網(wǎng)絡(luò)安全法、等保三級(jí)要求,提供符合法規(guī)的審計(jì)報(bào)表,幫助企業(yè)在合規(guī)性檢查中順利通過。

● 專項(xiàng)審計(jì)報(bào)表:DSAudit能夠生成專項(xiàng)審計(jì)報(bào)表,詳細(xì)記錄和分析數(shù)據(jù)庫操作,為企業(yè)提供數(shù)據(jù)操作的透明度,便于企業(yè)進(jìn)行內(nèi)部審計(jì)和合規(guī)性評(píng)估。

● 責(zé)任定位:對(duì)于已發(fā)生的安全事故,DSAudit支持對(duì)數(shù)年的日志進(jìn)行審計(jì)和分析,為企業(yè)還原安全事故全貌并定位責(zé)任人提供參考依據(jù)。

2.支持多種數(shù)據(jù)源的統(tǒng)一審計(jì)

● 跨平臺(tái)兼容性:數(shù)據(jù)安全審計(jì)(DSAudit)支持對(duì)多種數(shù)據(jù)源進(jìn)行統(tǒng)一審計(jì),包括云數(shù)據(jù)庫、自建數(shù)據(jù)庫和大數(shù)據(jù)組件。這意味著無論是在騰訊云、其他云服務(wù)商還是本地?cái)?shù)據(jù)中心,企業(yè)都能實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)的集中管理和審計(jì)。

● 簡(jiǎn)化管理:通過跨云多地域集中審計(jì)功能,DSAudit能夠簡(jiǎn)化管理流程,無需在不同平臺(tái)間切換,即可實(shí)現(xiàn)對(duì)所有數(shù)據(jù)資產(chǎn)的監(jiān)控和審計(jì),大大提高了審計(jì)效率和準(zhǔn)確性。

● 自動(dòng)化發(fā)現(xiàn):DSAudit的云數(shù)據(jù)庫自動(dòng)發(fā)現(xiàn)功能,可以在用戶授權(quán)后自動(dòng)獲取云數(shù)據(jù)庫列表,減少人工錄入的工作量,同時(shí)避免資產(chǎn)遺漏,確保審計(jì)的全面性。

3.豐富的規(guī)則引擎識(shí)別風(fēng)險(xiǎn)

● AI驅(qū)動(dòng)的威脅識(shí)別:依托騰訊云專業(yè)的深度學(xué)習(xí)技術(shù)和豐富的樣本訓(xùn)練環(huán)境,DSAudit內(nèi)置的AI引擎能夠應(yīng)對(duì)多變的威脅場(chǎng)景,具備多達(dá)700+個(gè)內(nèi)置規(guī)則的規(guī)則庫,有效識(shí)別安全事件,如威脅攻擊、惡意操作和SQL注入。

● 自定義規(guī)則審計(jì):DSAudit支持按照庫、表、字段、訪問源、數(shù)據(jù)庫實(shí)例等多種維度進(jìn)行審計(jì)規(guī)則設(shè)置,使企業(yè)能夠根據(jù)具體需求定制審計(jì)策略,實(shí)現(xiàn)精細(xì)化監(jiān)控。

● 實(shí)時(shí)響應(yīng):當(dāng)DSAudit識(shí)別到威脅操作時(shí),能夠立即向管理員發(fā)送告警信息,支持企業(yè)微信、短信、郵件等多種告警方式,確保及時(shí)響應(yīng)和處理安全事件。

騰訊云原生數(shù)據(jù)安全審計(jì)DSAudit 已通過《信息安全技術(shù) 網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求》等相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求測(cè)試,安全認(rèn)證合格。滿足等保要求,為企業(yè)合規(guī)提供強(qiáng)有力的支撐。

image.png

申領(lǐng)試用機(jī)會(huì)請(qǐng)關(guān)注騰訊安全公眾號(hào),了解更多產(chǎn)品詳情。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )