這款Sentrigo Hedgehog是以Java開發的純軟體式的資料庫安全稽核工具,分為vPatch與Enterprise兩個版本,vPatch是攻擊行為阻斷,它就像防毒軟體需要更新病毒碼一樣,原廠會不定期更新攻擊特徵(Signature),以避免駭客利用資料庫漏洞或不當的程式寫法,對資料庫發動攻擊。

而Enterprise則增加自訂政策的功能,系統已內建一些基本的政策供企業直接套用,不過主要由管理者根據資料庫應用,定義需要記錄、警示或阻斷存取的狀況。

以監看記憶體的方法,掌握存取資料庫的行為

Hedgehog的代理程式在資料庫中屬於獨立運行的程式,不與資料庫的DBMS整合,以避免代理程式本身出問題的時候,牽連資料庫的穩定性。

為了不影響資料庫,代理程式透過記憶體監控資料庫存取。它的設計原理是資料庫啟動之後,會定位(Locate)一段記憶體區段作為運行之用,而Hedgehog便監看這段記憶體的活動。若是違反規定,便留下記錄,或直接清除指令,不允許更動資料庫。

這樣的設計可能因為記憶體處理的速度太快,以致簡短的SQL述句發生沒有記錄到的情況。這方面Hedgehog已能針對DDL(Data Definition Language,DDL)命令,例如Create、Alter 以及Drop等,設定擱置處理,檢查後才放行,根據原廠的經驗,99%以上的指令都可以偵測出來。

目前Hedgehog支援的資料庫包括SQL Server、Oracle以上及Sybase,預計明年將推出IBM DB2。

可防禦惡意攻擊及違反政策的正常存取

Hedgehog的防禦機制分為兩部分,vPatch部分是防禦SQL Injection之類明顯的攻擊情況,而Enterpirse版本則增加自訂政策(Policy)的機制。

Enterprise的政策設定,主要基於「IF…Then…Else…」的架構,可以選擇的條件包括資料庫、資料表、欄位、IP、Instance、使用者、時間……等,搭配大於、小於、等於、and、or、not、between等,可組合複雜的複合條件。

警示與阻斷的方式具彈性

針對危險等級不同的情況發生時,Hedgehog可設定記錄、警示及阻斷等不同處理方式。這方面攻擊防禦與自訂政策兩者的設定方式一樣,管理者可以設定寫入事件至Syslog、SNMP Trap、Windows Event Log,或者記錄到檔案、發送訊息至指定郵件,甚至是Twitter。

此外,也勾選「Terminate」阻斷存取。比較特別的是,Hedgehog的阻斷功能可以設定只執行一段時間,例如30分鐘。

共用帳號問題,結合IDentifier可解決

由於Hedgehog的代理程式主要監控資料庫端的行為,若是企業以共用帳號存取資料庫,那麼Alert清單中的使用者名稱與來源IP,將是資料庫帳號及網站應用程式伺服器的IP。

為解決這類問題,Sentrigo推出另一套產品IDentifier。安裝於網站應用程式伺服器,即可取得使用者登入系統的帳號、IP、主機名稱、應用程式名稱等詳細資訊。IDentifier以應用伺服器計價,建議售價為35萬元。

它的限制是應用伺服器必須是IBM WebSphere、BEA WebLogic、Apache Tomcat、JBoss等,或者Microsoft .NET的IIS,若是舊版的ASP程式,便無法判讀。若企業採用的應用伺服器是上述廠牌之一,便可在不改程式的情況下,取得使用者資訊。

針對法規需要的報表,有精靈化模組協助設定產生

Hedgehog記錄下來的資訊,除了幫助追查可疑行為,另一個重要的目的,就是因應國際法規的要求,產出稽核報表。而產品內建Best Practice、沙賓、HIPAA、PCI等資安模組。點選模組後,系統將以精靈化的方式,一步步指引管理者選擇需要的資料表、欄位,然後自動產出符合法規的報表。

Hedgehog儲存資料的方式有兩種,一種是儲存在內建的小型資料庫,另一方式是外接資料庫。

內建資料庫存取空間僅有2GB,當資料量逐漸增大,系統將自動壓縮歷史資料,另存成RAR格式的檔案。

若選擇外接資料庫的作法,原廠將提供代理程式監控資料的存取,任何刪改行為將因違反政策而被系統拒絕,就更可確保資料不被竄改。

 

彈性的政策設定

政策的設定方式有精靈化的步驟,主要基於「IF⋯Then⋯Else⋯」的架構,可以組合成相當複雜的複合條件。

 

警示內容

警示訊息包括來源的代理程式、資料庫、應用程式名稱、使用者、主機名稱、登入時間、執行的SQL述句⋯⋯等。

 

 

產品資訊

Sentrigo Hedgehog 3.5.2

●原廠:Sentrigo

●產品屬性:軟體

●建議售價:18萬元/雙核處理器

●原廠網址:www.imperva.com

●代理商:亞太信息

●代理商電話:(02)3765-2726

●代理商網址:www.infosource.com

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

 


相關報導請參考「資料庫安全稽核產品採購大特輯」


Advertisement

更多 iThome相關內容