数据安全合规神器|应用腾讯云数据安全审计,构建全面深度的防护体系
随着企业业务数据的云端迁移,数据安全问题日益突出。企业不仅要满足网络安全法规要求,还要能有效应对外部持续威胁和内部违规导致的数据安全风险。腾讯云数据安全审计(DSAudit)专门为企业数据的使用和运营设计,是企业合规、数据安全管理的必备选择。
挑战一:业务等保合规挑战
网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法,开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障。网络安全等级保护工作包括定级、备案、专家评审、主管部门审核(有主管部门的)、建设整改、等级测评、监督检查。定级对象建设完成后,运营、使用单位或者其主管部门应当选择符合国家要求的测评机构,依据《网络安全等级保护测评要求》等技术标准,定期对定级对象安全等级状况开展等级测评。
依据等保“一个中心,三重防护”的核心理念,构建网络边界安全、网络通信安全、计算环境安全和安全管理的等保合规防护体系。
在安全计算环境-安全审计要求中明确到,“应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;并记录和保护审计信息;应对审计进程进行保护,防止未经授权的中断。” 针对以上场景,需采用数据安全审计产品来满足对用户行为和重要安全事件审计和记录要求。
挑战二:外部风险和内部违规导致数据泄漏
高价值的数据本身是企业的核心资产和安身立命之本,也是黑客组织主要的觊觎目标。近年来,数据安全事件层出不穷,其中不乏威胁国民数字 经济 和公众信息安全的大型数据泄露事件。事故主体轻则被处罚影响公司声誉和运营,重则导致公司破产。部分案例如下:
● 2023年6月,北京昌平网安部门发现某生物技术有限公司存在数据泄露并处罚。 该公司因未落实安全保护措施,导致“基因外显子数据分析系统”中的数据泄露,总量达19.1GB,包含大量公民信息和技术信息。被网安依法警告并罚款。
● 2023年12月,美国国家公共数据公司(National Public Data, NPD)因数据泄露事件而破产。 NPD为美国最大的背景调查公司之一。因被黑客入侵,导致数亿人的数据被泄漏,包括姓名、社会安全号码、电话号码、地址和出生日期等敏感信息的数据。这些数据随后在非法市场上被出售,引发了广泛的关注和担忧。NPD最终因面临多方诉讼压力,而申请破产。
● 2024年3月,美国电话电报公司(AT&T)数据泄漏。 公司发现其7000多万现任和前任客户的个人数据在暗网上出售。泄漏的用户个人数据包括姓名、家庭住址、电话号码、社会安全号码等个人信息。至今AT&T仍然没有发现这些数据是如何泄露的。
● 2024年5月,英国伦敦证券交易所集团数据泄露。 伦敦证券交易所集团的World-Check数据库因黑客入侵,超过500万条敏感数据记录被窃取并泄露至网络。泄露数据内容广泛,涉及多国政要、外交官、司法人士及犯罪嫌疑人的隐私资料,包括社会安全号、银行账户、护照信息及详尽的个人履历等。
● 2024年6月,云存储巨头Snowflake大规模数据泄露。 Snowflake客户招受大规模的忘网络攻击,至使全球超过165家知名企业发生大规模数据泄露。包括票务巨头Ticketmaster被盗5.6亿条记录, 汽车 零件商AdvanceAutoParts被盗7900万条记录,票务巨头TEG被窃3000万条记录,以及Ticketmaster、桑坦德银行、Pure Storage、及Cylance等在内的一大批知名企业。该事件被称为“云计算历史上最严重的数据泄漏事件之一”。
除了外部攻击外,企业内部的员工违规也带来了巨大的数据泄漏风险。 如下图所示,在《2024 Data Breach Investigations Report | Verizon》调研报告中,因内部原因导致的数据泄露事件占比近40%,同比增加约一倍。
图源:2024 数据泄露调研报告
挑战三:传统数据库审计无法满足当下数据安全合规要求
在数字化转型加速的今天,企业数据资产跨地域、跨云、跨VPC成为常态。数据的存储形态多种多样:云数据库、自建数据库、关系型数据库(DB)、非关系型数据库(NoSQL)、大数据平台等。
企业业务应用面临着对业务、多数据库资产、大数据资产的跨平台数据源统一管理、面对复杂的攻击和漏洞进行威胁识别、以及快速满足法律合规以及日志分析的多重挑战,数据库内置的审计无法满足当下业务数据安全要求。如:
● 没有预置安全能力: 数据库内置的审计模块仅仅记录数据库访问和操作记录,没有预置的安全检测规则和UEBA行为分析模型。即使少量产品支持用户自定义规则,用户投入巨大的资源后仍然难以弥补差距。在面对当前外部风险和内部违规时,不具备安全监测和异常行为审计能力,无法有效阻止数据泄露事件发生。
● 部署使用困难: 数据库内置的审计模块仅支持数据库自身日志审计,无法适用于IDC/私有化部署环境,无法支持公有云、多云、混合云环境,也无法适配数据存储服务和大数据服务。
● 仅支持传统数据库: 数据库内置的审计模块仅具备对自身协议数据库审计能力。无法支持非关系型数据库(NoSQL)和大数据平台,如:Redis、MongoDB、HIVE等。
因此亟需一款云原生、基于人工智能,预置体系化安全能力的数据安全审计系统,可实时监测和审计业务数据访问、操作过程中各类潜在风险和隐患。快速便捷满足企业的等保合规需求,并高效应对内外部安全威胁。
腾讯数据安全审计(DSAudit)
为了更有效地应对以上安全风险与挑战,腾讯安全倾力打造数据安全审计(DSAudit)产品,联合数据安全治理中心(DSGC)和数据安全网关(CASB),构建了覆盖事前、事中、事后的完善数据安全全生命周期防护方案。
● 事前数据分类分级、敏感数据识别, 全面而系统的风险评估、策略管控闭环、和风险修复收敛。
● 事中对敏感数据流转、访问、操作,以及数据安全策略状态进行持续监测运营, 基于日志汇聚、行为基线、UEBA用户行为分析,实时感知敏感数据资产安全风险,并对风险活动进行及时告警处置。
● 事后对全量数据行为进行细粒度审计溯源, 全场景还原用户行为轨迹,有效追踪溯源数据的访问行为。
相比传统数据库审计和部分数据库内置审计模块,仅记录数据库日志供查询和检索。腾讯数据安全审计(DSAudit)产品提供了全面、深度的事中数据风险监测和事后异常行为审计能力,并切实有效地保护数据的安全,防止数据泄露和滥用。产品自研三大安全引擎,预置了700+规则模型,基于大数据+AI,构建一个全面的数据安全监控、异常行为分析和细粒度安全审计体系,帮助企业保护其最宝贵的数据资产。三大安全引擎包括:规则引擎、语义引擎、和UEBA行为分析引擎。
1.规则引擎
规则引擎是数据安全审计的一个关键组件,它能够根据预设的规则进行实时的数据活动监控。当监测到的操作或行为与规则相匹配时,引擎会触发相应的告警动作。规则引擎基于多维度参数配置,可以灵活设置黑白名单、风险操作、SQL注入和数据库漏洞等多种维度的审计规则。并支持用户自定义。
2.语义引擎
语义引擎深度解析SQL语句,理解数据操作的真实意图和目的,从而更准确地识别潜在的安全威胁、不合规操作。相比传统方案,能更有效的减少误报和漏报。如:SQL注入、拖库、删库、数据破坏等高危敏感数据库操作场景等威胁。如:
● SQL注入: 如UNION型NULL注入攻击、MYSQL-解释注释绕过、空格绕过注入、引号型注入等。
● 漏洞攻击: 如非法使用XP_CMDSHELL执行系统命令(SQLServer语法)、SQLServer-执行危险的存储过程、DBMS_AQADM_SYS缓冲区溢出漏洞(Oracle语法)等。
● 操作规则: 无where更新或删除、MySQL-数据库用户密码泄露。
● 数据泄漏: 使用DUMPFILE导出、使用OUTFILE导出。
3.UEBA异常行为检测引擎
UEBA异常行为分析引擎弥补了数据库审计产品和数据库内置审计模块的“AI+安全”能力的不足,是有效应对外部威胁和内部违规导致数据泄漏的神器。UEBA异常行为分析引擎使用机器学习、AI和大数据分析技术,对用户和终端的行为进行建模和分析,以识别异常或可疑的行为。可以自动学习用户和业务正常的行为模式,当检测到偏离正常模式的行为时触发告警。可以有效地检测到外部漏洞攻击和内部违规导致的账户劫持、高危操作、数据窃取、数据泄露、删库、数据破坏等异常行为。如下表:
目前腾讯数据安全审计(DSAudit)产品预置700+规则模型,覆盖SQL注入、漏洞攻击、账号爆破、以及拖库、删库、数据破坏、数据窃取等高危敏感数据库操作场景。如下图所示:
UEBA异常行为分析引擎,系统性构建数据库异常行为分析能力,包括:登录场景、访问场景、查询场景、操作场景等。
产品优势
腾讯云原生数据安全审计能够对云上应用系统网络中的数据库各类会话信息、访问操作、SQL语句进行全量审计入库。获得审计数据后,数据安全审计能够根据多种规则库和威胁检测引擎识别操作中的恶意行为,并且及时通知管理员采取相应的安全防护措施,满足合规要求。对于已发生的安全事件,数据安全审计支持对审计日志进行深度分析还原安全事故全貌并定位责任人。相比于数据库自带的审计功能,数据安全审计具有以下优势:
1.等保专项审计报表助力
● 符合法规要求: DSAudit助力企业满足网络安全法、等保三级要求,提供符合法规的审计报表,帮助企业在合规性检查中顺利通过。
● 专项审计报表: DSAudit能够生成专项审计报表,详细记录和分析数据库操作,为企业提供数据操作的透明度,便于企业进行内部审计和合规性评估。
● 责任定位: 对于已发生的安全事故,DSAudit支持对数年的日志进行审计和分析,为企业还原安全事故全貌并定位责任人提供参考依据。
2.支持多种数据源的统一审计
● 跨平台兼容性: 数据安全审计(DSAudit)支持对多种数据源进行统一审计,包括云数据库、自建数据库和大数据组件。这意味着无论是在腾讯云、其他云服务商还是本地数据中心,企业都能实现数据资产的集中管理和审计。
● 简化管理: 通过跨云多地域集中审计功能,DSAudit能够简化管理流程,无需在不同平台间切换,即可实现对所有数据资产的监控和审计,大大提高了审计效率和准确性。
● 自动化发现: DSAudit的云数据库自动发现功能,可以在用户授权后自动获取云数据库列表,减少人工录入的工作量,同时避免资产遗漏,确保审计的全面性。
3.丰富的规则引擎识别风险
● AI驱动的威胁识别: 依托腾讯云专业的深度学习技术和丰富的样本训练环境,DSAudit内置的AI引擎能够应对多变的威胁场景,具备多达700+个内置规则的规则库,有效识别安全事件,如威胁攻击、恶意操作和SQL注入。
● 自定义规则审计: DSAudit支持按照库、表、字段、访问源、数据库实例等多种维度进行审计规则设置,使企业能够根据具体需求定制审计策略,实现精细化监控。
● 实时响应: 当DSAudit识别到威胁操作时,能够立即向管理员发送告警信息,支持企业 微信 、短信、邮件等多种告警方式,确保及时响应和处理安全事件。
腾讯云原生数据安全审计DSAudit 已通过《信息安全技术 网络安全专用产品安全技术要求》等相关国家标准的强制性要求测试,安全认证合格。满足等保要求,为企业合规提供强有力的支撑。
申领试用机会请关注腾讯安全公众号,了解更多产品详情。