張某是某科技公司數(shù)據(jù)安全管理部部長，發(fā)現(xiàn)公司的敏感數(shù)據(jù)被泄露在公網(wǎng)上，馬上啟動(dòng)風(fēng)險(xiǎn)調(diào)查進(jìn)行回溯。這部分?jǐn)?shù)據(jù)未被共享給任何第三方，所以很可能是內(nèi)部操作導(dǎo)致，隨后調(diào)閱公司部署的第三方數(shù)據(jù)庫審計(jì)系統(tǒng)，但是很遺憾并沒有定位出任何和此次數(shù)據(jù)泄露相關(guān)的任何日志記錄，風(fēng)險(xiǎn)記錄。

隨后張某咨詢多家業(yè)內(nèi)同行和安全產(chǎn)品供方，基本推測應(yīng)該是訪問行為繞過了數(shù)據(jù)庫審計(jì)系統(tǒng)實(shí)施了數(shù)據(jù)導(dǎo)出，并且通過和多個(gè)產(chǎn)品供方進(jìn)行研討，昂楷科技專家向張某反饋了一件類似案例，且因?yàn)椴捎昧税嚎萍紝徲?jì)產(chǎn)品新特性，及時(shí)抓住了準(zhǔn)備再次實(shí)施數(shù)據(jù)竊取行為的一名運(yùn)維人員。

經(jīng)過運(yùn)維人員的陳述，他明知公司已部署了數(shù)據(jù)庫審計(jì)產(chǎn)品，但是憑借自己的對產(chǎn)品原理的了解，通過本地訪問的特殊場景躲避了被審計(jì)的發(fā)生。

01漏審背后的原因？

數(shù)據(jù)庫安全審計(jì)產(chǎn)品常用部署方式：采用旁路部署鏡像引流方式或者在數(shù)據(jù)庫服務(wù)器上部署Agent插件引流方式，實(shí)現(xiàn)對數(shù)據(jù)庫所有操作語句的審計(jì)和風(fēng)險(xiǎn)預(yù)警；

昂楷科技通過長期的行業(yè)實(shí)踐和研究，發(fā)現(xiàn)部分客戶端工具進(jìn)行本地訪問數(shù)據(jù)庫時(shí)不采用本地回環(huán)方式（指定回環(huán)網(wǎng)卡及端口，流量經(jīng)過回環(huán)網(wǎng)卡，這一過程種有本地訪問流量產(chǎn)生）。區(qū)別于常規(guī)的數(shù)據(jù)庫訪問方式，非回環(huán)本地訪問詳情難以被第三方數(shù)據(jù)庫審計(jì)產(chǎn)品捕捉到，導(dǎo)致數(shù)據(jù)漏審，容易造成數(shù)據(jù)泄露風(fēng)險(xiǎn)和合規(guī)性風(fēng)險(xiǎn)。

這種比較特別的本地訪問方式采用進(jìn)程間通信（IPC），不會(huì)經(jīng)過任何網(wǎng)卡即可完成通訊。通信原理如下圖：

所以我們在部署數(shù)據(jù)庫審計(jì)設(shè)備時(shí)，不可以忽略本地訪問的漏審風(fēng)險(xiǎn)，需要采取技術(shù)手段來覆蓋此場景， 并選擇專業(yè)、有行業(yè)積淀的數(shù)據(jù)庫審計(jì)解決方案廠家。

02有沒有辦法杜絕漏審？

昂楷科技數(shù)據(jù)庫審計(jì)系統(tǒng)，針對本地客戶端通過IPC方式訪問數(shù)據(jù)庫場景仍然可以完整審計(jì)的產(chǎn)品， 通過對底層操作指令完全獲取，獲取之后將關(guān)鍵信息進(jìn)行存儲(chǔ)或轉(zhuǎn)發(fā)，并對非法攻擊者或者運(yùn)維人員私自修改或者刪除數(shù)據(jù)庫相關(guān)關(guān)鍵文件進(jìn)行記錄審計(jì)，并在告警時(shí)，將具體的變化內(nèi)容通知給相關(guān)人員。

03漏審會(huì)給客戶帶來哪些危害？

本地訪問是重大數(shù)據(jù)安全事故的高發(fā)地，“內(nèi)部風(fēng)險(xiǎn)” 高發(fā)集中在運(yùn)維人員、數(shù)據(jù)庫管理員、合作方、開發(fā)人員。這些具備一定技術(shù)背景，因工作要求掌握數(shù)據(jù)庫操作權(quán)限，長期從事數(shù)據(jù)安全運(yùn)行機(jī)制和保障機(jī)制建設(shè)，距離數(shù)據(jù)最近的人員一但從“數(shù)據(jù)安全防守方”變?yōu)椤皵?shù)據(jù)安全攻擊方”，所造成的危害一定空前嚴(yán)重。

“內(nèi)部威脅”遠(yuǎn)遠(yuǎn)超過了“外部攻擊”， 針對內(nèi)部威脅，因?yàn)楣粽呔邆鋬?nèi)部知識(shí)，可以直接訪問核心信息資產(chǎn)，對組織造成嚴(yán)重危害；同時(shí)，透明性與隱蔽性卻使得這種威脅難以檢測發(fā)現(xiàn)，難以防范。

★產(chǎn)生威脅的內(nèi)部人員高權(quán)限人員正常開展工作，必須獲取一定的數(shù)據(jù)訪問權(quán)限。很難界定正常工作和惡意數(shù)據(jù)竊取行為，監(jiān)管最為困難。

★針對內(nèi)部人員的安全防護(hù)及檢測措施少，大多數(shù)安全檢測手段是針對外部攻擊。

★內(nèi)部人員更加熟悉組織內(nèi)部的運(yùn)行機(jī)制，甚至可能是安全設(shè)備的策略配置者，可以在實(shí)施惡意行為時(shí)規(guī)避相應(yīng)的檢測機(jī)制，事后刪除日志以逃避追溯。

昂楷科技長期深耕于數(shù)據(jù)安全行業(yè)，不斷研究數(shù)據(jù)安全審計(jì)風(fēng)險(xiǎn)領(lǐng)域，并研究提供場景化技術(shù)方案，長期踐行“全面審計(jì)、杜絕漏審” 的數(shù)據(jù)安全審計(jì)產(chǎn)品理念， 積累豐富的產(chǎn)品優(yōu)勢，助力政企數(shù)據(jù)安全防護(hù)。