資料庫安全稽核產品採購大特輯

根據研究機構的調查，資料外洩事件，高達78%是內部人員所為，其中準備離職的員工嫌疑最大。在為這個數字瞠目結舌的同時，有什麼產品可以幫助我們監控使用者存取資料庫的行為，並留下紀錄呢？請參考本期的採購特輯，我們為你整理了6套關於資料庫安全稽核的解決方案。

家賊難防，企業敞開後門而不自知

多少人握有高存取權限的資料庫帳號，往往是未知數
面對層出不窮的個資外洩事件，企業強化了外部存取的關卡，然而，出入的門戶改裝成了銅牆鐵壁就萬無一失嗎？是否想過資料遭竊的原因，可能是來自擁有鑰匙的自家人呢？

資料庫安全稽核產品的作法

大致上的作法可以分為兩種，一類是分析網路封包，以WAF起家的Imperva便是這一類型，其他還包括玄力科技與庫柏資訊；另一種作法是在資料庫主機安裝代理程式，IBM Guardium與Fortinet、Sentrigo均是這樣的設計

要做好稽核記錄的分析，資料詳細程度是重點
如果系統記錄的資訊不夠詳細，會導致判斷的依據不足。因此記錄資訊的詳細程度是選擇產品的一大考量，諸如使用者名稱、來源IP、行為、存取的資料庫、資料表、欄位、時間、叫用資料的應用程式……等

除非是SQL Injection，否則阻斷存取的情況不多
根據我們採訪6家廠商接觸客戶的經驗，以及臺灣碩網、資策會產業情報研究所應用這類產品的結果，幾乎都表示透過政策設定自動阻斷的例子很少

稽核記錄需具備不可否認性
因應稽核需求，資料庫安全稽核產品所留存的記錄，需具備獨立性與不可否認性。除此之外，稽核記錄還以特殊格式加密、壓縮及封裝，只有透過產品專屬的設備與介面，才可以解讀資料

資料庫本身內建的稽核工具不能幫企業把關嗎？
耗用系統資源是最根本的原因，事實上，資訊安全廠商每次提到資料庫稽核工具耗用系統資源的比重，都說在40%～80%之間，似乎帶有嚇人的意味。不過，臺灣碩網的經驗顯示有這樣的可能性

人員的分權是安全的最後防線
Oracle大中華區臺灣技術諮詢部資深諮詢經理黃久安建議，DBA、系統管理者及資訊安全，這三個角色的負責人一定要分開。只要做到最基本的分權，就可以大大降低不法事件發生的可能性

政令宣導與實體安全也是不容忽視的環節
任何產品或設備都只能提供程度上的資訊安全輔助，個資法通過之後，企業多少開始擔心資安防範該採取哪些措施，其實第一步不是思考導入什麼設備，而是資訊安全觀念的宣導

個資法刺激需求，但企業是否積極導入還很難說
即使個資法已經通過，許多企業仍抱持觀望的態度。各家廠商均表示，個資法通過後，確實增加了產品的詢問度，不過是否能夠轉化為成交的訂單，仍需觀察

6款資料庫安全稽核產品總評
代理程式必須考量效能影響程度
主要分為代理程式及網路分析模式，各有優缺點。代理程式搜集的記錄完整，但會占用資料庫的系統資源；而網路分析的好處是避免共用帳號衍生的問題，但有漏失封包可能性

共用資料庫帳號的情況，目前有特殊解法
這方面有一些廠商已找到解法，例如IBM Guardium及Sentrigo，他們在網站應用伺服器安裝程式，在使用者登入系統時擷取到身分相關的資料，以SQL的註解一併傳送給後端代理程式

網路封包解析的方式，不影響資料庫但可能掉封包
Fortinet臺灣區技術顧問劉乙分析：「發生有大幅度攻擊時，掉封包的機率就值得懷疑了。」他建議企業購買Mirror能力強的交換器，可減少掉封包的情況

政策有內建清單可參考，自動學習機制當心誤判的可能
黑／白名單的建置是企業省不掉前置作業，是指存取行為的政策定義，這樣的好處是減少管理者的負擔；不過，機器多少有誤判的狀況，所以在導入的初期，可能有許多虛驚的警示出現

資料保存機制是保存舉證記錄的重要防線
多數產品的管理伺服器採用專屬的硬體設備，不允許企業自行配置；內部的資料均已壓縮且加密，以避免有心人士刪改資料

6款資料庫安全稽核產品實測
玄力Chalet ADS 3.0
可記錄違反政策的可疑行為，也保留一份完整的資料庫存取清單，以備不時之需

庫柏DBAegis
從網路及本機兩端監控存取資料庫的人、事、時、地、物，若有異常狀況，即發布警訊

Fortinet FortiDB
以代理程式監控資料庫存取，兼具弱點掃描與安全稽核功能，但需克服共用帳號的情況

IBM Guardium 7
所有存取行為全數記錄，且管理伺服器不具刪改機制，可確保內容的不可否認性

Imperva SecureSphere 7.5
監控、稽核與管理、報表等功能在一臺完成，據點分散的企業，也可選擇分工處理

Sentrigo Hedgehog 3.5.2
純軟體式的解決方案，需注意系統層面的權責分離，不過設定彈性高且價格相對低廉