資安廠商Imperva推出的SecureSphere包含應用程式防火牆及資料庫安全稽核兩大部分,是透過網路封包監控使用者存取資料的行為,並且針對違反政策(Policy)的部分留存記錄,甚至發布警訊(Alert)或阻斷(Block)存取。

從應用模組來看,分為資料庫弱點偵測、資料庫監控、資料庫防火牆、網站應用程式防火牆及全系列解決方案,等共五個模組,初期若購買單一模組,後續升級只需付費加購即可啟動功能。

5層面的機制做到資料庫安全防護

SecureSphere支援的資料庫包括SQL Server、Oracle、Sybase、DB2、Informix、Teradata及MySQL。

在資料庫安全稽核方面,透過資產評估模組,可以了解資料庫本身的環境是否存在已知的弱點,檢查的結果將提供完整的報表,內容包含修復的建議。

此外,有5個層面提供資料庫的稽核與防護。第一是分析通訊協定,檢查包括HTTP、HTTPS、ODBC、JDBC等與資料庫之間的網路連線協定。第二是定義黑名單,資料庫的攻擊和網路攻擊一樣,也存在特定的模式,例如SQL Injection,針對Web及資料庫,SecureSphere內建的黑名單超過6,500個,而且持續更新。

第三個防護層面是定義敏感性資料,例如信用卡號及身分證字號等,只要網路上發生傳遞類似資料的情況,便自動發布警示,而且後續在報表上,針對這類資料也將以遮罩機制避免個資外洩。

自動學習機制,找出使用者的例行行為

其次,系統會分析使用者日常存取資料庫的行為、來源應用程式及SQL指令,成為白名單的列表,也就是允許使用者執行的存取行為,在這部分系統提供自動學習的機制,日後超出白名單的行為,也將發出警示。

SecureSphere根據網路流量,自動學習與分析使用者的操作慣例,可減少人為介入的弊端,也簡化設定的複雜度。白名單的內容明確顯示了使用者於日常工作中實際存取的資料,包括資料庫、資料及SQL述句。管理者認為某個帳號不應該接觸到某些資料表,可以在名單中直接取消他的權限。

制定安全與稽核政策,控管資料庫存取行為

接著再反向建立黑名單,也就是針對可能是不法的行為,建立稽核政策,除了留下記錄之外,也會警示管理者,或者Data Firewall以上的模組可以設定直接阻斷(block)存取。SecureSphere已預設了許多安全性政策,企業可參考原廠的定義,修改成適合自己的政策。

違反安全政策的存取行為,除了區分嚴重等級並留下記錄,更重要的是,應該採取的措施。

在SecureSphere中,可在「Action」機制選擇「None」,系統會發布警報;或者「Block」,則阻斷存取行為。

此外,還可設定進階的處理方式,例如寄發郵件通知負責人員、觸發Syslog或SNMP Trap等,或者針對IP、Session、帳號做長或短時間的阻擋。

壓縮且加密記錄,維護稽核不可否認性

原廠強調SecureSphere是「One Box」的架構。企業可以設定在一臺SecureSphere設備中,同時處理監測與管理的工作。

企業可以選擇以網路側錄(Sniffing)或者橋接(Bridge)的方式,分析封包的內容。目前各家產品中,只有SecureSphere可採取橋接方式,原廠並標榜即使設備出狀況也不會影響網路運作。

若是企業的機房不只一處,或者處理的資料量相當龐大,則可考慮再增設一臺管理伺服器MX Management Server來幫忙,並且透過它來設定各臺SecureSphere的安全與稽核政策、黑/白名單及檢視報表,不但可以集中管理,而且不用擔心影響執行的效能。

此外,SecureSphere是從網路監控並記錄實際發生的行為,且管理者無法刪修資料,可保有稽核的獨立性。

若要進一步針對資料庫本機的存取進行監控,SecureSphere提供代理程式(Agent),可安裝於資料庫伺服器,記錄本機的存取行為。

稽核記錄也需要安全存放,所以企業可以選擇將SecureSphere所儲存的資料加密、封裝及壓縮,置於外接的儲存設備中,未來需要調閱稽核資料時,也必須經由SecureSphere才能解密讀取,因此沒有竄改的疑慮。

針對國際資安法規,提供超過245種報表

而報表方面,SecureSphere內超過245種報表範本,可包含圖形化的分析與清單式的列表資訊,支援的法規報表包括PCI、SOX、HIPPA、J-SOX、K-SOX、GLBA、EU Directive、PIPEDA、CA 1386等。

管理者可以選擇直接套用,或者根據需求加以客製,然而設定排程產生日/周/月報表。產生的報表可選擇CSV或PDF格式,並設定自動以電子郵件寄給相關負責人員。

 

稽核報告包含詳細的行為記錄

在管理者點閱SecureSphere監控報告,可以看到最即時的存取事件,來源IP、使用者名稱及詳細的行為描述,進一步點選單筆資料,還可以檢視帳號及執行的SQL指令。

 

自動學習使用者行為模式

SecureSphere的自動學習功能,是一種自動建模機制,它藉由記錄一段時間內使用者存取資料庫的行為,歸納出不同帳號的行為模式。以表中的SQL述句為例,內容即是使用者每天執行SQL指令的記錄,類似的語法會歸納成一個群組,層層展開的話,可以檢視完整的執行條件。

 

 

產品資訊

Imperva SecureSphere 7.5

●原廠:Imperva

●產品屬性:硬體+軟體

●建議售價:464萬元起

●原廠網址:www.imperva.com

●代理商:亞利安科技/(02)2799-2800、中飛科技/(02)2888-1267

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

 


相關報導請參考「資料庫安全稽核產品採購大特輯」


Advertisement

更多 iThome相關內容