编者注:有关V10.1.2增强功能,请参考文章“新的和增强的Guardium离群值检测” 。
过多的信息
一家大型零售商臭名昭著的2013年数据泄露事件表明,其监控软件发出的安全警报通常被忽略,或者至少被认为不值得进一步调查。 这不足为奇。 安全分析人员遭到误报,没有任何相对风险的迹象,因此无法对分析进行优先排序。
攻击者进入网络内部后,更糟糕的是,他们通常能够窃取其他凭据并获得对组织数据库服务器中驻留的“皇冠上的宝石”的不受限制的访问权限。 然后,攻击者可以花费自己的时间,并在很长一段时间内执行此操作,而不会被发现。 同样,在应用程序特权下发生SQL注入攻击也可能能够在正常状态下伪装访问敏感数据。
本文介绍了一种通过增强智能来扩展传统数据库监视的方法,以帮助您了解基于行为相对变化的风险。
异常值如何提供帮助:方案
例如,如果观察到乔DBA所访问的表比过去多得多,则可能是随着时间的推移他正在缓慢下载少量数据。 如果应用程序产生SQL错误数量超过过去,则可能正在发生SQL注入攻击。
考虑一个有效的银行转账交易,该交易可以转换为数十或数百个SQL语句,以确保进行正确的验证和授权,获取帐号,计算余额明细等。 攻击者或恶意内部人员极有可能会绕过“正常”方式访问数据。 通过绕过这数百条SQL语句,可以将攻击者标记为异常,即“异常值”。
心怀不满的DBA决定将整个联系人列表提取为CSV文件或他们可以随身携带的其他格式,或者将所有敏感数据转储到数据库中。 离群值检测算法可以检测到对该特定源的访问来自不应从操作数据中提取的DBA。 随着用户绕过访问控制机制并尝试学习所需的结构和特权,异常(错误)也可能会增加。 在时间窗口内通过下载创建的卷也可能是例外。 这些事件中的任何一个或全部都可能触发异常值指示。
DBA尝试将一些错误代码放入存储过程中,这些代码在消失后将证明需要的代码数量“增加”。 该算法可以识别出异常数量的错误,因为不应假定DBA访问存储过程对象。 它还可以检测是否临时授予了DBA特权以入侵存储过程。
离群值检测如何工作
IBM Guardium数据活动监视包括先进的机器学习算法,可帮助及早发现操作过程中可能发生的攻击。 该算法自动建模用户活动的正常模式,而无需任何监督。 也就是说,它主要基于无监督学习技术。 根据行为对用户进行聚类可以捕获真正有效的组,这与依赖于预定义组的基于规则的安全系统不同。
该过程不仅检查用户活动以查看它们是否与该用户的先前活动一致,而且还会针对相似用户的活动对该用户的活动进行建模。 例如,与一组类似用户相比,用户的新行为对于该类型的用户可能是一致且正常的。 这种两管齐下的方法减少了误报的数量。
出于安全和合规性原因,异常检测算法使用正常收集的数据。 如果尚未通过Guardium安全策略对数据进行审核,那么Guardium将无法对其进行分析。
请参阅图1,以快速了解Guardium在其正常运行期间如何收集审核数据。
图1. Guardium如何收集和记录数据库事件数据
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/48923.html