Pemantauan aktivitas basis data
Pemantauan aktivitas basis data adalah teknologi keamanan untuk memantau dan menganalisis aktivitas database yang beroperasi secara independen dari sistem manajemen database (DBMS) dan tidak tidak bergantung pada segala bentuk asli (DBMS-Resident) Audit atau log asli seperti jejak atau log transaksi. Bendungan ini biasanya dilakukan terus menerus dan secara real-time.
Aktivitas database Monitoring dan pencegahan (DAMP) adalah perluasan untuk DAM yang melampaui pemantauan dan memperingatkan untuk juga memblokir kegiatan yang tidak sah. DAM membantu bisnis menangani mandat kepatuhan terhadap peraturan seperti standar keamanan data industri kartu pembayaran (PCI DSS), UU portabilitas dan akuntabilitas asuransi kesehatan (HIPAA), UU Sarbanes-Oxley (SOX), peraturan pemerintah AS seperti 800-53 NIST, dan peraturan Uni Eropa.
DAM juga merupakan teknologi penting untuk melindungi database sensitif dari serangan eksternal oleh penjahat Cyber. Menurut 2009 Verizon Business ' data pelanggaran investigasi laporan-berdasarkan data dianalisis dari Verizon Business ' beban kasus dari 90 dikonfirmasi pelanggaran melibatkan 285.000.000 dikompromikan catatan selama tahun 2008-75 persen dari semua catatan dilanggar berasal dari Server database yang dikompromikan.
Menurut Gartner, "DAM menyediakan pengguna istimewa dan pemantauan akses aplikasi yang independen dari penebangan database asli dan fungsi audit. Hal ini dapat berfungsi sebagai kontrol kompensasi untuk pengguna istimewa pemisahan-of-tugas masalah dengan pemantauan aktivitas administrator. Teknologi ini juga meningkatkan keamanan database dengan mendeteksi database yang tidak biasa membaca dan memperbarui aktivitas dari lapisan aplikasi. Database peristiwa agregasi, korelasi dan pelaporan menyediakan kemampuan audit database tanpa perlu mengaktifkan fungsi audit database asli (yang menjadi sumber daya intensif sebagai tingkat audit meningkat).[2]
Menurut survei oleh independen Oracle User Group (IOUG), sebagian besar organisasi tidak memiliki mekanisme di tempat untuk mencegah database administrator dan pengguna database istimewa lainnya dari membaca atau perusakan dengan informasi sensitif keuangan, HR, atau aplikasi bisnis lainnya. Sebagian besar masih tidak dapat bahkan mendeteksi pelanggaran atau insiden tersebut.
Forrester mengacu pada kategori ini sebagai "audit database dan perlindungan real-time".[1]
Kasus penggunaan umum untuk DAM
suntingIstimewa Monitoring pengguna: pemantauan hak istimewa pengguna (atau superusers), seperti administrator database (DBAs), administrator sistem (atau sysadmins), pengembang, staf bantuan, dan personil outsourcing-yang biasanya memiliki akses tak terbatas ke perusahaan database–sangat penting untuk melindungi terhadap ancaman eksternal dan internal. Pemantauan pengguna istimewa mencakup audit semua aktivitas dan transaksi; mengidentifikasi aktivitas anomali (seperti melihat data sensitif, atau membuat akun baru dengan hak istimewa superuser); dan merekonsiliasi aktivitas yang diamati (seperti menambahkan atau menghapus tabel) dengan permintaan perubahan yang sah.
Karena sebagian besar organisasi sudah dilindungi di tingkat perimeter, memang perhatian utama terletak pada kebutuhan untuk memantau dan melindungi dari pengguna istimewa. Ada korelasi tinggi oleh karena itu antara keamanan database dan kebutuhan untuk melindungi dari ancaman orang dalam. Ini adalah tugas yang kompleks sebagai pengguna yang paling istimewa mampu menggunakan teknik canggih untuk menyerang database-disimpan prosedur, pemicu, pandangan dan mengaburkan serangan lalu lintas yang mungkin sulit untuk mendeteksi menggunakan metode tradisional.
Selain itu, karena serangan yang ditargetkan sering menyebabkan penyerang mendapatkan hak istimewa pengguna kredensial, pemantauan kegiatan istimewa juga merupakan cara yang efektif untuk mengidentifikasi sistem dikompromikan.
Sebagai hasilnya, auditor kini menuntut pemantauan pengguna istimewa untuk praktik terbaik keamanan serta berbagai peraturan. User monitoring yang istimewa membantu memastikan:
- Privasi data, sehingga hanya aplikasi dan pengguna yang sah yang melihat data sensitif.
- Tata Kelola data, sehingga struktur dan nilai basis data yang kritis tidak diubah di luar prosedur kontrol perubahan perusahaan.
Aplikasi pemantauan aktivitas: tujuan utama dari pemantauan aktivitas aplikasi adalah untuk memberikan tingkat yang lebih besar dari akuntabilitas pengguna akhir dan mendeteksi penipuan (dan penyalahgunaan lain dari akses yang sah) yang terjadi melalui aplikasi perusahaan, bukan melalui akses langsung ke database.
Multi-tier aplikasi perusahaan seperti Oracle EBS, PeopleSoft, JD Edwards, SAP, Siebel Systems, Business Intelligence, dan kustom aplikasi yang dibangun di server tingkat menengah standar seperti IBM WebSphere dan Oracle WebLogic server topeng identitas pengguna akhir di tingkat transaksi pangkalan data. Hal ini dilakukan dengan mekanisme optimasi yang dikenal sebagai "Connection Pooling." Menggunakan sambungan yang dikumpulkan, aplikasi mengumpulkan semua lalu lintas pengguna dalam beberapa sambungan database yang diidentifikasi hanya dengan nama akun Layanan generik. Pemantauan aktivitas aplikasi memungkinkan organisasi untuk mengaitkan transaksi basis data tertentu dengan pengguna akhir aplikasi tertentu, guna mengidentifikasi aktivitas yang tidak sah atau mencurigakan.
Akuntabilitas pengguna akhir sering diperlukan untuk persyaratan tata kelola data seperti UU Sarbanes-Oxley. Panduan auditor baru dari Dewan Pengawas akuntansi publik perusahaan untuk SOX kepatuhan juga telah meningkatkan penekanan pada kontrol anti-penipuan.
Cyberattack perlindungan: SQL Injection adalah jenis serangan yang digunakan untuk mengeksploitasi praktek pengkodean yang buruk dalam aplikasi yang menggunakan database relasional. Penyerang menggunakan aplikasi untuk mengirim pernyataan SQL yang terdiri dari pernyataan aplikasi gabungan dengan pernyataan tambahan yang memperkenalkan penyerang.[3]
Banyak pengembang aplikasi menulis pernyataan SQL dengan menggabungkan string dan tidak menggunakan pernyataan siap; dalam hal ini aplikasi rentan terhadap serangan injeksi SQL. Teknik mengubah pernyataan SQL aplikasi dari panggilan SQL yang tidak bersalah ke panggilan berbahaya yang dapat menyebabkan akses yang tidak sah, penghapusan data, atau pencurian informasi.[3]
Salah satu cara yang DAM dapat mencegah injeksi SQL adalah dengan memantau aktivitas aplikasi, menghasilkan baseline "perilaku normal", dan mengidentifikasi serangan berdasarkan divergensi dari struktur SQL normal dan urutan normal. Pendekatan alternatif memantau memori database, di mana rencana eksekusi database dan konteks pernyataan SQL terlihat, dan berdasarkan kebijakan dapat memberikan perlindungan granular pada tingkat objek.
Fitur utama DAM
suntingSeperti yang didefinisikan oleh Gartner, "alat DAM menggunakan beberapa mekanisme pengumpulan data (seperti perangkat lunak agen berbasis server dan kolektor jaringan Out-line atau Out-of-band), menggabungkan data di lokasi pusat untuk analisis, dan melaporkan berdasarkan perilaku yang melanggar kebijakan keamanan dan/atau tanda tangan atau mengindikasikan anomali perilaku. Permintaan bendungan didorong terutama oleh kebutuhan untuk pengguna istimewa pemantauan untuk menangani temuan audit terkait kepatuhan, dan dengan persyaratan manajemen ancaman untuk memonitor akses database. Persyaratan DAM perusahaan mulai diperluas, melampaui fungsi dasar, seperti kemampuan untuk mendeteksi aktivitas berbahaya atau akses administrator database (DBA) yang tidak pantas atau tidak disetujui.[4]
Fungsi bendungan yang lebih canggih meliputi:
- Kemampuan untuk memonitor serangan intra-database dan Back-pintu secara real time (seperti disimpan prosedur, pemicu, tampilan, dll)
- Solusi yang agnostik untuk sebagian besar variabel infrastruktur TI-seperti enkripsi atau topologi jaringan
- Pemblokiran dan pencegahan, tanpa di-line untuk transaksi
- Penemuan aktif data yang berisiko
- Meningkatkan visibilitas ke lalu lintas aplikasi
- Kemampuan untuk menawarkan pemantauan aktivitas database di lingkungan virtual, atau bahkan di awan, di mana tidak ada topologi jaringan yang didefinisikan dengan baik atau konsisten.[5]
Beberapa perusahaan juga mencari fungsi lainnya, termasuk:
- Konfigurasi audit untuk mematuhi audit yang diperlukan oleh UU Sarbanes-Oxley AS
- Kemampuan DLP yang menangani masalah keamanan, serta identifikasi data dan persyaratan perlindungan dari industri kartu pembayaran (PCI) dan kerangka kerja regulasi data-sentris lainnya
- Pelaporan pengesahan hak pengguna database, yang diperlukan oleh berbagai peraturan
- Kemampuan untuk menawarkan pemantauan aktivitas database di lingkungan virtual, atau bahkan di awan, di mana tidak ada topologi jaringan yang didefinisikan dengan baik atau konsisten
- Integrasi yang lebih baik dengan produk pemindaian kerentanan
Arsitektur DAM Umum
suntingBerbasis pencegatan: kebanyakan sistem bendungan modern mengumpulkan apa database lakukan dengan mampu "melihat" komunikasi antara klien database dan database server. Apa sistem bendungan lakukan adalah menemukan tempat di mana mereka dapat melihat aliran komunikasi dan mendapatkan permintaan dan tanggapan tanpa memerlukan partisipasi dari database. Pencegatan itu sendiri dapat dilakukan di beberapa titik seperti memori basisdata (misalnya SGA), pada jaringan (menggunakan KERAN jaringan atau Port SPAN jika komunikasi tidak dienkripsi), pada tingkat sistem operasi, atau pada tingkat database Perpustakaan.[3]
Jika ada lalu lintas jaringan yang tidak terenkripsi, maka Paket mengendus dapat digunakan. Keuntungannya adalah bahwa tidak ada pengolahan dilakukan pada host, namun kerugian utama adalah bahwa baik lalu lintas lokal dan serangan intra-database yang canggih tidak akan terdeteksi. Untuk menangkap akses lokal beberapa vendor berbasis jaringan menyebarkan probe yang berjalan pada host. Probe ini mencegat semua akses lokal dan juga dapat mencegat semua akses jaringan dalam kasus Anda tidak ingin menggunakan peralatan jaringan atau dalam kasus komunikasi database dienkripsi. Namun, karena agen tidak melakukan semua pemrosesan - melainkan me-relay data ke alat DAM tempat semua pemrosesan terjadi - hal ini dapat memengaruhi kinerja jaringan dengan semua Traffic lokal dan penghentian sesi real-time mungkin terlalu lambat untuk mengganggu pertanyaan yang tidak sah.
Berbasis memori: beberapa sistem DAM memiliki sensor ringan yang melekat pada basis data yang dilindungi dan terus menerus melakukan jajak pendapat terhadap area global sistem (SGA) untuk mengumpulkan pernyataan SQL saat dilakukan. Arsitektur serupa sebelumnya digunakan oleh produk optimasi kinerja yang juga menggunakan SGA dan struktur data bersama lainnya.[3]
Dalam versi terbaru dari teknologi ini sensor ringan berjalan pada host dan melekat pada proses di tingkat OS untuk memeriksa struktur data pribadi. Keuntungan dari pendekatan ini adalah signifikan:
Cakupan lengkap dari semua transaksi database-sensor mencakup lalu lintas yang datang dari jaringan, dari host, serta dari pintu belakang (prosedur yang tersimpan, pemicu, tampilan)
- Sebuah solusi yang agnostik untuk sebagian besar variabel infrastruktur TI-tidak perlu kembali arsitek jaringan, untuk membuka span Port atau khawatir tentang manajemen kunci jika jaringan dienkripsi, dan model ini juga dapat digunakan untuk melindungi database dikerahkan di virtual lingkungan atau di awan.
Berbasis log: beberapa sistem DAM menganalisis dan mengekstrak informasi dari log transaksi (misalnya, log mengulang). Sistem ini menggunakan fakta bahwa banyak data yang disimpan dalam log mengulang dan mereka mengikis log ini. Sayangnya, tidak semua informasi yang diperlukan adalah pada log mengulang. Misalnya, pilih pernyataan tidak dan sehingga sistem ini akan menambah data yang mereka kumpulkan dari log mengulang dengan data yang mereka kumpulkan dari jejak audit asli seperti yang ditunjukkan pada gambar 3. Sistem ini adalah hibrida antara sistem DAM benar (yang sepenuhnya independen dari DBMS) dan sebuah SIEM yang bergantung pada data yang dihasilkan oleh database. Arsitektur ini biasanya menyiratkan overhead lebih pada server database.[3]
Referensi
sunting- Pattern Discovery With Security Monitoring and Fraud Detection Technologies, Mark Nicolett, Avivah Litan, Paul E. Proctor, 2 September 2009, Gartner Inc.
- HOWTO Secure and Audit Oracle 10g and 11g, Ron Ben Natan, Ph.D., CRC Press, 2009
- Database Activity Monitoring Market Overview, Jeffrey Wheatman, Mark Nicolett, 3 February 2009, Gartner Inc.
- Monitor Amazon Aurora Database Activities 21 February 2018, Amazon AWS
- ^ "The Forrester Wave: Enterprise Database Auditing And Real-Time Protection, Q4 2007, October 2007, Jonathan Penn, Katie Smillie, Forrester Research". Diarsipkan dari versi asli tanggal 2019-06-28. Diakses tanggal 2019-06-28.