資料庫安全稽核產品｜Imperva SecureSphere 7.5 自動學習機制找出使用者的例行行為

包含應用程式防火牆及資料庫安全稽核的硬體搭配軟體方案Imperva SecureSphere，應用上分為資料庫弱點偵測（Discovery and Assessment Server，DAS）、資料庫監控（Database Activity Monitoring，DAM）、資料庫防火牆（Database Firewall）、網站應用程式防火牆（Web Application Firewall，WAF）及全系列解決方案（Data Security Suite），等共五個模組。硬體可選擇X2500、X4500及X6500等3種不同等級的設備，而其他還有1U的機型，是應用程式防火牆的產品。

選購模組的時候，主要的差別在於授權。例如企業在導入之初，只選擇網站應用程式防火牆，而後續想要加購資料庫監控機制時，只要付費並開啟該模組的功能，即可直接升級，無需加裝任何軟硬體。

5個層面做到安全防護

以資料庫安全稽核的模組而言，SecureSphere支援的資料庫包括SQL Server、Oracle、Sybase、DB2、Informix、Teradata及MySQL。

它從5個層面做到資料庫的稽核與防護。第一是分析通訊協定，檢查包括HTTP、HTTPS、ODBC、JDBC等與資料庫之間的網路連線協定。第二是定義黑名單，事實上資料庫的攻擊和網路攻擊一樣，也存在特定的模式，例如SQL Injection，原廠表示，針對Web及資料庫的黑名單已超過6,500個，而且持續更新。

第三個防護層面是定義敏感性資料，例如信用卡號及身分證字號等，當使用者定義好資料的格式之後，只要網路上發生傳遞類似資料的情況，便自動提出告警（Alert），而後續在報表上，SecureSphere針對這類資料將提供遮罩，以避免資料外洩。

其次，使用者日常的存取資料庫的行為、來源應用程式及SQL指令，SecureSphere也會加以分析及記錄，成為白名單的列表，一旦超出白名單的範圍，也將發出警示。最後，Imperva以周為單位，提供等同於防毒軟體的更新機制，以避免黑名單比對的政策或資訊過時，此外，針對國際資安法規，也會更新報表範本。

自動學習機制，找出使用者的例行行為

第一步可以先透過資產評估模組，了解資料庫本身的環境是否存在已知的弱點，包括資料庫或作業系統有無更新程式、是否存在員工自行架設的未知資料庫，或者資料庫程式、儲存程序、連結協定是否有安全性漏洞。

在環境檢查之後，在系統正式運作之前，需要設定白名單，也就是允許使用者執行哪些存取行為，在這部分SecureSphere提供自動學習的機制。

SecureSphere將從網路流量中，自動學習與分析出使用者的操作慣例，由實際的流量加以分析與記錄，不但減少人為介入可能的弊端，也簡化設定的複雜度。

白名單記錄的都是應用程式及資料庫已經授權使用者存取的範圍，管理者若是認為某個帳號不應該接觸到某些資料表，可以直接在名單中直接取消他的存取權限。

白名單確立之後，列表中未記錄的行為及資料，SecureSphere將視為不允許存取的範圍，一旦觸犯將發出警告。

制定安全與稽核政策，控管資料庫存取行為

建立允許的行為之後，接下來再反向建立黑名單，也就是針對可能是不法的行為建立稽核政策，除了要留下記錄之外，也會警示管理者，或者搭配Data Firewall、WAF或Data Security Suite等模組，可以設定直接阻斷（block）存取。SecureSphere已預設了許多安全性政策，企業可參考原廠的定義，修改成適合自己的政策。

這些違反安全政策的存取行為，除了區分嚴重等級並留下記錄之外，更重要的是，應該採取的措施。在SecureSphere中，可在「Action」機制，選擇「None」的話，那麼系統會發布警報；或者選擇「Block」，則直接阻斷不法行為。

除此之外，還可在「Follow Action」中設定進階的處理方式，例如寄發郵件通知負責人員、觸發SysLog或SNMP trap等，或者針對IP、Session、帳號做長時間或短時間地阻擋。

記錄且加密實際發生的存取行為，維護稽核獨立性

在監控方面，SecureSphere可以在使用者與網路伺服器，以及網路伺服器與資料庫之間，做資料的協同比對，即使多個使用者以共用的帳號存取資料庫，也可以透過來源IP及Host Name找到特定人。

架構上，企業可以選擇以網路側錄（Sniffing）或者橋接（Bridge）的方式，分析封包的內容。亞利安科技建議使用橋接方式，因為雖然網路側錄只需占用一個連接埠（Port），但是因為需要在交換器（Switch）上設定Mirror Port，然而流量大的時候，Switch會選擇優先處理正常封包，所以資料可能會漏失。而橋接的方式，資料的流通一定會經過SecureSphere，可確保資料的完整性。

若是企業的機房不只一處，或者處理的資料量相當龐大，則可考慮再增設一臺管理伺服器MX Management Server，透過它來設定與管理各個SecureSphere的安全與稽核政策、黑／白名單，及檢視報表，以這種方式做到集中式的管理，比較方便。

若要進一步針對資料庫本機的存取進行監控，SecureSphere提供代理程式（Agent），可安裝於資料庫伺服器，記錄本機的存取行為。

針對國際資安法規，提供超過245種報表

稽核記錄也需要安全存放，所以企業可以選擇將SecureSphere所儲存的資料加密、封裝及壓縮，置於外接的儲存設備中，未來需要調閱稽核資料時，也必須經由SecureSphere才能解密讀取，因此較沒有竄改的疑慮。

在管理介面中，企業可直接在管理介面依人、事、時、地、物等條件，查詢所有存取資料庫的記錄，也可依需求調整顯示的欄位與排序方式。

而報表方面，SecureSphere內超過245種報表範本，可包含圖形化的分析與清單式的列表資訊。管理者可以選擇直接套用，或者根據需求加以客製，然後設定排程產生日／周／月報表。產生的報表可選擇CSV或PDF格式，並設定自動以電子郵件寄給相關負責人員。

稽核報告包含詳細的行為記錄

管理者查詢SecureSphere監控的記錄，可以看到來源IP、使用者名稱及詳細的行為描述，點選單筆資料，還可以檢視資料庫的帳號及執行的SQL指令。

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商。】