如何評估數(shù)據(jù)庫的安全風(fēng)險

作者：Verónica Niro 2021-10-20 13:39:01

本文將介紹從1到10的等級范圍內(nèi)量化數(shù)據(jù)庫的安全級別。首席信息安全官和數(shù)據(jù)庫管理員(DBA)可以使用它來確定他們的安全成熟度等級，并確定進(jìn)一步改進(jìn)的步驟。

數(shù)據(jù)如今已經(jīng)成為企業(yè)最重要的資產(chǎn)之一。企業(yè)通常將數(shù)據(jù)存儲在數(shù)據(jù)庫中，因此了解如何保護(hù)這些數(shù)據(jù)至關(guān)重要。

查找數(shù)據(jù)庫安全等級

1到10級的安全等級，1級是最低安全等級，10級是最高安全等級。所有安全等級的內(nèi)容都是累積的，因此每個等級都包含先前評等級的所有要求。

安全等級的順序反映了安全性的增加以及成本和復(fù)雜性的增加。雖然無需額外軟件即可實(shí)現(xiàn)較低等級，但實(shí)現(xiàn)更高的安全等級變得越來越困難，并且需要合適的產(chǎn)品。

1.沒有額外的安全措施

等級1適用于不安全的數(shù)據(jù)庫。這些數(shù)據(jù)庫都提供了固有的安全級別，沒有額外的安全措施。例如，他們需要憑據(jù)才能連接并擁有角色和特權(quán)。管理數(shù)據(jù)庫中的數(shù)據(jù)是確保數(shù)據(jù)安全的第一步。

2.標(biāo)準(zhǔn)安全和最低權(quán)限

等級2適用于數(shù)據(jù)庫和操作系統(tǒng)均按照行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐進(jìn)行配置的數(shù)據(jù)庫。

這個等級還要求所有數(shù)據(jù)庫帳戶的權(quán)限最低，這意味著授予帳戶的權(quán)限是履行其職責(zé)所需的最低權(quán)限。

作為等級2要求的一部分，應(yīng)該努力消除共享帳戶。如果存在共享帳戶，則不應(yīng)經(jīng)常使用它們，并且它們的憑據(jù)應(yīng)保密。

對于內(nèi)置于數(shù)據(jù)庫中的特權(quán)共享帳戶，限制使用尤其如此。Oracle公司中的SYS和SYSTEM或SQL-Server中的SA等數(shù)據(jù)庫帳戶不應(yīng)經(jīng)常使用，它們的密碼應(yīng)安全保存并限制訪問。

例如，當(dāng)應(yīng)用程序使用特權(quán)帳戶或共享帳戶是企業(yè)運(yùn)營方式的一部分時，這一要求可能具有挑戰(zhàn)性。減少和控制這些帳戶的使用對于安全至關(guān)重要。

3.變更控制和元數(shù)據(jù)快照

等級3適用于受變更控制的數(shù)據(jù)庫。這意味著對元數(shù)據(jù)(例如用戶、權(quán)限、配置和對象)的任何更改都應(yīng)經(jīng)過更改控制批準(zhǔn)流程。

作為等級3要求的一部分，需要制作配置、用戶、權(quán)限和對象元數(shù)據(jù)的每日快照。應(yīng)及時調(diào)查和批準(zhǔn)快照之間的更改。

此外建議將這些快照與類似數(shù)據(jù)庫進(jìn)行交叉比較，以確保一致且統(tǒng)一的配置、用戶、權(quán)限等。

變更控制的挑戰(zhàn)在于它可能很麻煩并且被視為無用的繁文縟節(jié)。然而，缺乏對元數(shù)據(jù)更改的控制很快就會變成對數(shù)據(jù)的缺乏控制。

4.會話監(jiān)控和審查

等級4適用于所有登錄都受到監(jiān)控和定期審查的數(shù)據(jù)庫。企業(yè)應(yīng)該及時調(diào)查來自意外用戶、程序或機(jī)器的登錄。

破壞數(shù)據(jù)庫安全的最簡單方法之一是竊取憑證。例如，竊取數(shù)據(jù)庫管理員(DBA)用戶名和密碼將授予攻擊者對數(shù)據(jù)的無限制訪問權(quán)限。監(jiān)控登錄可以降低這種風(fēng)險。

大多數(shù)數(shù)據(jù)庫允許以最小的開銷審計登錄和失敗的登錄。實(shí)施挑戰(zhàn)是通過報告提供對信息的有效審查。

5.基本的SQL審計(DDL&DML)

等級5適用于定期記錄、報告和審查高風(fēng)險SQL活動的數(shù)據(jù)庫。

高風(fēng)險SQL活動包括：

所有DDL(包括DCL)——修改數(shù)據(jù)庫配置、對象、用戶、權(quán)限等的SQL。
來自意外來源的DML，例如特權(quán)用戶和特定程序。

該要求的目的是對不頻繁和高風(fēng)險的活動實(shí)施控制。審核罕見的活動通常不會產(chǎn)生性能開銷，并且需要最少的時間投入。實(shí)施方面的挑戰(zhàn)是允許對活動進(jìn)行及時有效的審查。

6.完整的SQL審計和網(wǎng)絡(luò)加密

等級6適用于接受全面SQL審計的數(shù)據(jù)庫，其中所有具有潛在風(fēng)險的SQL活動都會定期記錄、報告和審查。

這將轉(zhuǎn)化為審計大量活動，包括查詢。例如：

使用查詢和DML訪問敏感表。
所有的數(shù)據(jù)庫管理員(DBA)和特權(quán)用戶活動。
來自高風(fēng)險程序(例如SQL Plus、Management Studio等)的所有活動。
不是來自應(yīng)用程序服務(wù)器的應(yīng)用程序帳戶的活動。
即使在數(shù)據(jù)庫內(nèi)部由存儲過程或觸發(fā)器執(zhí)行的敏感活動。

等級6還要求所有數(shù)據(jù)庫網(wǎng)絡(luò)活動完全加密，以防止網(wǎng)絡(luò)嗅探和欺騙。這一要求的目的是開始對SQL活動應(yīng)用嚴(yán)格的安全措施，并防止許多網(wǎng)絡(luò)攻擊。

在大多數(shù)數(shù)據(jù)庫中，網(wǎng)絡(luò)活動的加密措施是免費(fèi)內(nèi)置的，并且很容易開啟。這一要求中的主要實(shí)施挑戰(zhàn)是在沒有適當(dāng)解決方案的情況下審計過多活動，這可能會對數(shù)據(jù)庫性能產(chǎn)生重大影響。第二個挑戰(zhàn)是實(shí)現(xiàn)高效的報告，以最少的時間投入及時審查信息。

在搜索審計解決方案時，需要注意某些產(chǎn)品沒有避免數(shù)據(jù)庫性能開銷，而其他產(chǎn)品不支持網(wǎng)絡(luò)加密。

7.會話異常檢測和告警

等級7適用于對異常活動源進(jìn)行自動檢測和警報的數(shù)據(jù)庫。與等級4中執(zhí)行的人工會話審查不同，這一等級需要能夠檢測活動源配置文件變化并發(fā)出警報的自動化。

其中包括：

對連接到數(shù)據(jù)庫的新用戶、程序、機(jī)器或它們的組合發(fā)出警報。
檢測共享帳戶(多個個人使用的帳戶)以及使用多個帳戶的個人。

這個要求的目的是通過自動化來補(bǔ)充人工審查，以注意到并突出異常活動。這有助于避免意外疏忽，并確保快速檢測和響應(yīng)。實(shí)施需要適當(dāng)?shù)慕鉀Q方案來執(zhí)行分析。

8.SQL異常檢測與告警

等級8適用于對異常SQL活動進(jìn)行自動檢測和警報的數(shù)據(jù)庫。與等級5和等級6中的人工SQL審查不同，等級8需要能夠分析數(shù)據(jù)庫中所有SQL活動(包括應(yīng)用程序活動)的自動化。

其中包括：

異常的應(yīng)用程序行為，例如潛在的SQL注入。
異常活動水平。例如，執(zhí)行的SQL數(shù)或訪問的行數(shù)異常多。
在一天中的奇數(shù)時間進(jìn)行活動。
涉及敏感表新的SQL。

這一要求的目標(biāo)遠(yuǎn)遠(yuǎn)超出了避免意外疏忽和改進(jìn)檢測時間的范圍。其目的是對無法接受人工審查的數(shù)據(jù)庫中不可能高的活動量進(jìn)行控制。

即使是低活動的數(shù)據(jù)庫每天也可能執(zhí)行數(shù)百萬次SQL查詢，如果沒有實(shí)現(xiàn)自動化，就不可能對它們應(yīng)用任何級別的控制。實(shí)施需要能夠以低開銷捕獲所有活動并執(zhí)行分析的軟件。

9.主動取證審查

等級9適用于定期進(jìn)行主動活動審查的數(shù)據(jù)庫。這意味著熟悉數(shù)據(jù)庫活動概況的人員會定期檢查活動(例如每月一次)。

取證審查的目的是識別可能未被發(fā)現(xiàn)的行為，包括內(nèi)部濫用和外部攻擊。此外還可以突出控制、風(fēng)險做法等方面的差距。

實(shí)施取證審查需要一個解決方案，能夠以最小的開銷捕獲所有活動，減少并將其存儲在合理數(shù)量的磁盤空間中，并提供取證工具來分析和審查它。

10.限制對DBA和應(yīng)用程序的訪問

等級10適用于限制訪問帳戶的數(shù)據(jù)庫，否則對數(shù)據(jù)的訪問不受限制，例如數(shù)據(jù)庫管理員(DBA)帳戶、特權(quán)帳戶和應(yīng)用程序帳戶。

此類限制通常不是原生數(shù)據(jù)庫功能的一部分，可能包括：

防止特權(quán)帳戶訪問他們不應(yīng)訪問的模式、表或?qū)ο蟆＠纾瑪?shù)據(jù)庫管理員(DBA)帳戶通常不應(yīng)訪問數(shù)據(jù)。
防止不應(yīng)訪問的程序或機(jī)器訪問該帳戶。例如，只有應(yīng)用程序和應(yīng)用服務(wù)器才能訪問應(yīng)用帳號。
防止在不應(yīng)該使用帳戶的日子和時間訪問帳戶。
防止帳戶訪問超出預(yù)期的數(shù)據(jù)(速率限制)。
通過要求安全人員預(yù)先授權(quán)某些特權(quán)活動來強(qiáng)制分離職責(zé)。

這個要求需要一個解決方案來實(shí)施，因?yàn)樗隽藘?nèi)置的數(shù)據(jù)庫預(yù)防控制。對數(shù)據(jù)庫應(yīng)用預(yù)防控制會帶來阻止合法活動的操作風(fēng)險。因此，必須按照適當(dāng)?shù)淖罴褜?shí)踐謹(jǐn)慎地部署此類措施，以最大程度地減少中斷的可能性。