玄力科技開發的Chalet ADS,是透過網路側錄的方式,監控使用者存取資料庫的行為。它的應用架構整合了軟體和專屬硬體設備,在網站應用伺服器是透過軟體取得使用者身分,然後將資訊夾帶在SQL述句中,傳至後端伺服器儲存。

比較特別的是,多數同類型的資安產品只針對可疑行為做記錄,政策中沒有定義的行為便不會記錄,而Chalet ADS記錄可疑行為的同時,還會留存一份關於所有存取行為的資料。

未來若是在層層防禦與稽核情況下,仍發生資安事件,可搭配玄力科技的另一項產品Chalet CSI,清查過去某段時間,使用者異動資料庫的記錄清單,對於不法行為的調查,及個資法提及之舉證工作都有幫助。

透過Mirror Port監控使用者存取資料庫的行為

Chalet ADS的部署架構,是在資料庫與網站應用程式伺服器之間,透過交換器(Switch),以Mirror Port的方式,監控存取資料庫的行為。而一臺Chalet ADS設備,包含5個網路埠,因此可以同時連接5個網段,並監控封包的內容。

由於大多數企業的應用程式,在登入系統後,會以共用帳號的方式存取資料庫,所以單單記錄資料庫的帳號,並未必能夠確認使用者身分。Chalet ADS辨識使用者身分的作法,是在網站應用程式伺服器上額外安裝一個小程式,自動在存取資料庫的SQL述句之後,以加註解的方式標記使用者登入應用程式的帳號。

相較於比對時間與封包的作法,原廠認為這樣的設計對使用者的身分判斷,可以做到更精確。

資產管理與政策設定

部署完成後,透過自動學習的機制,Chalet ADS將整理出資料庫、資料表、使用者、預存程序(Stored Procedure)的列表。管理者可根據這份清單制定設定群組與政策。

所有存取行為的記錄,都是人、事、時、地、物的組合,所以,管理者可在Chalet ADS中針對以上條件制定各種政策,例如以時間當作條件,下班之後若有存取行為,即認定是違反政策,需要發布警示;或者定義哪些使用者是高權限使用者,定義為一個群組,以便針對他們的所有存取行為,要求系統全部記錄下來。除了發布警示,也可以設定直接阻斷(Block)。

此外,Chalet ADS針對所有記錄下來的事件,會做即時的分析,提供圖形化及表列式的報表。

提供自動學習機制,針對異常行為發布警訊

定義存取政策之餘,Chalet ADS也會對資料庫使用者、資料庫物件及SQL語法的模式自動學習,以便針對異常的「量」與行為發出警訊。

異常的量包括兩種,一種是存取的資料量,另一個是錯誤的次數。例如客服人員平均一天服務100個客戶,若有位客服人員某天存取了1,000個客戶的資料,雖然沒有做出違反政策的行為,也必須視為是異常的警訊。就錯誤次數而言,例如SQL Injection之類的網路攻擊,在發動過程中,通常會嘗試各種路徑或帳號密碼,以試圖掌握資料庫的環境,所以會產生大量的存取錯誤。

除此之外,使用者執行了過去從未使用的功能,也是可疑的現象,即便使用者具備存取權限,系統也會發布警訊。

即使企業訂定了許多政策,記錄下可能是不法的行為,然而犯罪手法不斷更新,所以玄力科技認為,最好的方法是所有行為都懷疑,因此另存了一份所有存取行為的記錄。

結合Chalet CSI有助於歷史存取行為鑑識

這部分是Chalet ADS的一大特色,事實上,它在比對網路封包時,儲存了兩份資料,一份是政策中明定違反規定的行為;而另外還有一部分,是不過濾內容,儲存所有存取資料庫的行為。未來若有需要調閱存取記錄,那麼搭配另一個產品──Chalet CSI,即可解析這份原始資料,重建人、事、時、地、物的關聯性,並產出報表,確保可以提得出舉證。

Chalet CSI還有一個角色,是當企業的機房分散多個據點,而必須安裝多個Chalet ADS時,它可作為集中管理的伺服器,此外,它也兼具備份的功用,管理者可以設定每隔一段時間,同步Chalet ADS的資料到Chalet CSI中。

儲存於Chalet ADS及Chalet CSI中的資料,皆已經過加密及壓縮,也可搭配數位簽章等機制,確保內容的不可否認性。而且,企業可外接儲存設備,當系統儲存的資料量超過一定比例,系統將發布訊息提醒管理者,如果未加以處理,Chalet ADS則將自動從最舊的資料開始刪除。

報表支援PDF及CSV兩種格式

除了存取政策、行為分析及針對異常的存取與行為提出警示,更重要的是必須符合法規要求。Chalet ADS針對個資法、ISO27001、ISMS、PCI、SOX及HIPPA均可產出對應的報表,而且報表包含密碼及數位簽章等機制,具備不可否認性。

在Chalet ADS的「戰情中心」介面,系統提供即時分析的結果,包含各式圖表類的分析,管理者可設定條件,檢視各種角度的分析結果,查詢的條件可以儲存,並訂閱成固定檢視的周/月/季報表,甚至區分成不同的章節,彙整起來便是一本書的型式。

報表支援的檔案格式包含PDF和CSV,管理者可以自定欄位、排序及呈現方式,若需要更多樣的編排,可匯入Excel,便可自行調整。

 

盤點資料庫的內容

Chalet ADS可幫助企業清點內部所有的資料庫、表格、使用者及Stored Procedure,基於這一份清單,可幫助管理者制定稽核政策。

 

透過戰情中心做即時的分析

在「戰情中心」中,Chalet ADS提供最即時的分析報表,管理者也可以設定過濾條件,檢視需要的訊息。

 

 

產品資訊

玄力Chalet ADS 3.0

●原廠:玄力科技

●產品屬性:硬體+軟體

●建議售價:210萬元(稽核版)

●原廠網址:www.chalettech.com

●聯絡電話:(02)2366-0292

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

 


相關報導請參考「資料庫安全稽核產品採購大特輯」


Advertisement

更多 iThome相關內容