張某是某科技公司數(shù)據(jù)安全管理部部長(zhǎng)，發(fā)現(xiàn)公司的敏感數(shù)據(jù)被泄露在公網(wǎng)上，馬上啟動(dòng)風(fēng)險(xiǎn)調(diào)查進(jìn)行回溯。這部分?jǐn)?shù)據(jù)未被共享給任何第三方，所以很可能是內(nèi)部操作導(dǎo)致，隨后調(diào)閱公司部署的第三方數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，但是很遺憾并沒(méi)有定位出任何和此次數(shù)據(jù)泄露相關(guān)的任何日志記錄，風(fēng)險(xiǎn)記錄。

隨后張某咨詢多家業(yè)內(nèi)同行和安全產(chǎn)品供方，基本推測(cè)應(yīng)該是訪問(wèn)行為繞過(guò)了數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)實(shí)施了數(shù)據(jù)導(dǎo)出，并且通過(guò)和多個(gè)產(chǎn)品供方進(jìn)行研討，昂楷科技專家向張某反饋了一件類似案例，且因?yàn)椴捎昧税嚎萍紝徲?jì)產(chǎn)品新特性，及時(shí)抓住了準(zhǔn)備再次實(shí)施數(shù)據(jù)竊取行為的一名運(yùn)維人員。

經(jīng)過(guò)運(yùn)維人員的陳述，他明知公司已部署了數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品，但是憑借自己的對(duì)產(chǎn)品原理的了解，通過(guò)本地訪問(wèn)的特殊場(chǎng)景躲避了被審計(jì)的發(fā)生。

01漏審背后的原因？

數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品常用部署方式：采用旁路部署鏡像引流方式或者在數(shù)據(jù)庫(kù)服務(wù)器上部署Agent插件引流方式，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)所有操作語(yǔ)句的審計(jì)和風(fēng)險(xiǎn)預(yù)警；

昂楷科技通過(guò)長(zhǎng)期的行業(yè)實(shí)踐和研究，發(fā)現(xiàn)部分客戶端工具進(jìn)行本地訪問(wèn)數(shù)據(jù)庫(kù)時(shí)不采用本地回環(huán)方式（指定回環(huán)網(wǎng)卡及端口，流量經(jīng)過(guò)回環(huán)網(wǎng)卡，這一過(guò)程種有本地訪問(wèn)流量產(chǎn)生）。區(qū)別于常規(guī)的數(shù)據(jù)庫(kù)訪問(wèn)方式，非回環(huán)本地訪問(wèn)詳情難以被第三方數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品捕捉到，導(dǎo)致數(shù)據(jù)漏審，容易造成數(shù)據(jù)泄露風(fēng)險(xiǎn)和合規(guī)性風(fēng)險(xiǎn)。

這種比較特別的本地訪問(wèn)方式采用進(jìn)程間通信（IPC），不會(huì)經(jīng)過(guò)任何網(wǎng)卡即可完成通訊。通信原理如下圖：

所以我們?cè)诓渴饠?shù)據(jù)庫(kù)審計(jì)設(shè)備時(shí)，不可以忽略本地訪問(wèn)的漏審風(fēng)險(xiǎn)，需要采取技術(shù)手段來(lái)覆蓋此場(chǎng)景， 并選擇專業(yè)、有行業(yè)積淀的數(shù)據(jù)庫(kù)審計(jì)解決方案廠家。

02有沒(méi)有辦法杜絕漏審？

昂楷科技數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，針對(duì)本地客戶端通過(guò)IPC方式訪問(wèn)數(shù)據(jù)庫(kù)場(chǎng)景仍然可以完整審計(jì)的產(chǎn)品， 通過(guò)對(duì)底層操作指令完全獲取，獲取之后將關(guān)鍵信息進(jìn)行存儲(chǔ)或轉(zhuǎn)發(fā)，并對(duì)非法攻擊者或者運(yùn)維人員私自修改或者刪除數(shù)據(jù)庫(kù)相關(guān)關(guān)鍵文件進(jìn)行記錄審計(jì)，并在告警時(shí)，將具體的變化內(nèi)容通知給相關(guān)人員。

03漏審會(huì)給客戶帶來(lái)哪些危害？

本地訪問(wèn)是重大數(shù)據(jù)安全事故的高發(fā)地，“內(nèi)部風(fēng)險(xiǎn)” 高發(fā)集中在運(yùn)維人員、數(shù)據(jù)庫(kù)管理員、合作方、開發(fā)人員。這些具備一定技術(shù)背景，因工作要求掌握數(shù)據(jù)庫(kù)操作權(quán)限，長(zhǎng)期從事數(shù)據(jù)安全運(yùn)行機(jī)制和保障機(jī)制建設(shè)，距離數(shù)據(jù)最近的人員一但從“數(shù)據(jù)安全防守方”變?yōu)椤皵?shù)據(jù)安全攻擊方”，所造成的危害一定空前嚴(yán)重。

“內(nèi)部威脅”遠(yuǎn)遠(yuǎn)超過(guò)了“外部攻擊”， 針對(duì)內(nèi)部威脅，因?yàn)楣粽呔邆鋬?nèi)部知識(shí)，可以直接訪問(wèn)核心信息資產(chǎn)，對(duì)組織造成嚴(yán)重危害；同時(shí)，透明性與隱蔽性卻使得這種威脅難以檢測(cè)發(fā)現(xiàn)，難以防范。

★產(chǎn)生威脅的內(nèi)部人員高權(quán)限人員正常開展工作，必須獲取一定的數(shù)據(jù)訪問(wèn)權(quán)限。很難界定正常工作和惡意數(shù)據(jù)竊取行為，監(jiān)管最為困難。

★針對(duì)內(nèi)部人員的安全防護(hù)及檢測(cè)措施少，大多數(shù)安全檢測(cè)手段是針對(duì)外部攻擊。

★內(nèi)部人員更加熟悉組織內(nèi)部的運(yùn)行機(jī)制，甚至可能是安全設(shè)備的策略配置者，可以在實(shí)施惡意行為時(shí)規(guī)避相應(yīng)的檢測(cè)機(jī)制，事后刪除日志以逃避追溯。

昂楷科技長(zhǎng)期深耕于數(shù)據(jù)安全行業(yè)，不斷研究數(shù)據(jù)安全審計(jì)風(fēng)險(xiǎn)領(lǐng)域，并研究提供場(chǎng)景化技術(shù)方案，長(zhǎng)期踐行“全面審計(jì)、杜絕漏審” 的數(shù)據(jù)安全審計(jì)產(chǎn)品理念， 積累豐富的產(chǎn)品優(yōu)勢(shì)，助力政企數(shù)據(jù)安全防護(hù)。