IMPERVA SecureSphere 7.5提供監控、稽核與管理、報表等功能

 

 

資安廠商 Imperva 推出的 SecureSphere 包含應用程式防火牆及資料庫安全稽核兩大部分,是透過網路封包監控使用者存取資料的行為,並且針對違反政策(Policy)的部分留存記錄,甚至發布警訊(Alert)或阻斷(Block)存取。
從應用模組來看,分為資料庫弱點偵測、資料庫監控、資料庫防火牆、網站應用程式防火牆及全系列解決方案,等共五個模組,初期若購買單一模組,後續升級只需付費加購即可啟動功能。

5層面的機制做到資料庫安全防護

SecureSphere 支援的資料庫包括 SQL Server、Oracle、Sybase、DB2、Informix、Teradata 及 MySQL。 在資料庫安全稽核方面,透過資產評估模組,可以了解資料庫本身的環境是否存在已知的弱點,檢查的結果將提供完整的報表,內容包含修復的建議。
此外,有 5 個層面提供資料庫的稽核與防護。第一是分析通訊協定,檢查包括 HTTP、HTTPS、ODBC、JDBC 等與資料庫之間的網路連線協定。第二是定義黑名單,資料庫的攻擊和網路攻擊一樣,也存在特定的模式,例如 SQL Injection,針對 Web 及資料庫,SecureSphere 內建的黑名單超過 6,500 個,而且持續更新。
第三個防護層面是定義敏感性資料,例如信用卡號及身分證字號等,只要網路上發生傳遞類似資料的情況,便自動發布警示,而且後續在報表上,針對這類資料也將以遮罩機制避免個資外洩。

自動學習機制,找出使用者的例行行為

其次,系統會分析使用者日常存取資料庫的行為、來源應用程式及 SQL 指令,成為白名單的列表,也就是允許使用者執行的存取行為,在這部分系統提供自動學習的機制,日後超出白名單的行為,也將發出警示。
SecureSphere 根據網路流量,自動學習與分析使用者的操作慣例,可減少人為介入的弊端,也簡化設定的複雜度。白名單的內容明確顯示了使用者於日常工作中實際存取的資料,包括資料庫、資料及 SQL 述句。管理者認為某個帳號不應該接觸到某些資料表,可以在名單中直接取消他的權限。

制定安全與稽核政策,控管資料庫存取行為

接著再反向建立黑名單,也就是針對可能是不法的行為,建立稽核政策,除了留下記錄之外,也會警示管理者,或者 Data Firewall 以上的模組可以設定直接阻斷(block)存取。SecureSphere 已預設了許多安全性政策,企業可參考原廠的定義,修改成適合自己的政策。 違反安全政策的存取行為,除了區分嚴重等級並留下記錄,更重要的是,應該採取的措施。
在 SecureSphere 中,可在「Action」機制選擇「None」,系統會發布警報;或者「Block」,則阻斷存取行為。
此外,還可設定進階的處理方式,例如寄發郵件通知負責人員、觸發 Syslog 或 SNMP Trap 等,或者針對 IP、Session、帳號做長或短時間的阻擋。

壓縮且加密記錄,維護稽核不可否認性

Imperva 強調 SecureSphere 是「One Box」的架構。企業可以設定在一臺 SecureSphere 設備中,同時處理監測與管理的工作。 企業可以選擇以網路側錄(Sniffing)或者橋接(Bridge)的方式,分析封包的內容。目前各家產品中,只有 SecureSphere 可採取橋接方式,原廠並標榜即使設備出狀況也不會影響網路運作。
若是企業的機房不只一處,或者處理的資料量相當龐大,則可考慮再增設一臺管理伺服器 MX Management Server 來幫忙,並且透過它來設定各臺 SecureSphere 的安全與稽核政策、黑/白名單及檢視報表,不但可以集中管理,而且不用擔心影響執行的效能。
此外,SecureSphere 是從網路監控並記錄實際發生的行為,且管理者無法刪修資料,可保有稽核的獨立性。
若要進一步針對資料庫本機的存取進行監控,SecureSphere 提供代理程式(Agent),可安裝於資料庫伺服器,記錄本機的存取行為。
稽核記錄也需要安全存放,所以企業可以選擇將 SecureSphere 所儲存的資料加密、封裝及壓縮,置於外接的儲存設備中,未來需要調閱稽核資料時,也必須經由 SecureSphere 才能解密讀取,因此沒有竄改的疑慮。

針對國際資安法規,提供超過245種報表

而報表方面,SecureSphere 內超過245種報表範本,可包含圖形化的分析與清單式的列表資訊,支援的法規報表包括PCI、SOX、HIPPA、J-SOX、K-SOX、GLBA、EU Directive、PIPEDA、CA 1386等。
管理者可以選擇直接套用,或者根據需求加以客製,然而設定排程產生日/周/月報表。產生的報表可選擇 CSV 或 PDF 格式,並設定自動以電子郵件寄給相關負責人員。

 

稽核報告包含詳細的行為記錄
在管理者點閱 SecureSphere 監控報告,可以看到最即時的存取事件,來源 IP、使用者名稱及詳細的行為描述,進一步點選單筆資料,還可以檢視帳號及執行的 SQL 指令。

 

自動學習使用者行為模式
SecureSphere 的自動學習功能是一種自動建模機制,它藉由記錄一段時間內使用者存取資料庫的行為,歸納出不同帳號的行為模式。以表中的 SQL 述句為例,內容即是使用者每天執行 SQL 指令的記錄,類似的語法會歸納成一個群組,層層展開的話,可以檢視完整的執行條件。

資料來源:iThome