Imperva Database Firewall 資料庫防火牆違規檢測

imperva DAM & DBF

使用 Imperva 資料庫防火牆進行數據偵察工作

資料外洩對任何組織都可能造成極大損害。公司在展開業務的過程中會定期收集與客戶相關的資料,但如果未能妥善保護、防止暴露,可能導致客戶信任度喪失,甚至進一步提起訴訟,並受到監管機構依據資料保護法給予的處罰。

Imperva 資料庫防火牆讓企業可以減少潛在資料外洩的風險。透過監控對資料庫及其包含的資料存取模式,能在網路罪犯存取或洩露機敏資訊前就檢測出這些企圖破壞數據的行為。

在攻擊節點進行偵測辨識

Imperva DBF 可以在網路攻擊生命週期的不同節點檢測破壞數據的企圖,包含從攻擊者的初始攻擊媒介到最終洩漏機敏資料的所有內容。

在攻擊者存取或洩露組織的機敏資料前就要先找到它們!Imperva DBF 包括若干種問題類型,涉及網路攻擊生命週期的偵察階段。這些問題將攻擊者的行為與組織資料庫的正常存取模式進行比較,並警告、阻擋異常事件。因此 Imperva DBF 對新興攻擊的識別不會影響組織員工的日常業務。

登錄失敗次數過多

低安全性和重複使用的帳戶是常見的網路資安問題。網路罪犯會定期進行憑據填充或暴力密碼猜測攻擊,以試圖存取特定系統。

這也可以應用於公司網路中的資料庫。儘管攻擊者可以通過用戶的帳戶存取網路,但該帳戶可能缺少實現其目標所需的存取和權限。但是,如果攻擊者可以猜測具有所需權限的帳戶,則他們可以從資料庫存取和竊取數據。

DBF 中的“登錄失敗過多”將處理此特定情況。DBF 可追蹤特定用戶在嘗試存取資料庫時通常進行的失敗登錄嘗試次數,如果連續失敗的登錄次數超過閾值,則採取措施。這使系統能夠檢測嘗試的憑據填充或密碼猜測攻擊,而不會懲罰經常輸錯密碼或忘記密碼的用戶。

過多的資料庫存取

大多數公司的網路中都有許多不同的資料庫。這些資料庫中包含一些網路犯罪分子可能會感興趣的資訊,而其他一些資料庫基本上則對攻擊者沒有用。由於竊取大量數據會增加攻擊者被檢測到的可能性,因此對於攻擊者而言,重要的是在從資料庫中提取數據之前識別出有用的資料庫,而不是在數據被竊取後等待分類。

為此,網路罪犯通常會開始搜索網路上存在的資料庫。這是 Imperva DBF 的過多資料庫存取問題可以檢測到入侵的地方。儘管員工和系統可以在短時間內存取多個資料庫,但是這些存取通常符合標準模式。搜索資料庫以查找機敏資料的攻擊者可能會偏離這些模式,從而進行適當的檢測和回應。

可疑的機敏資料庫掃描

一個資料庫包含許多不同的表。其中一些可能包含敏感且有價值的資訊(用戶憑據等),而另一些可能對攻擊者而言價值較小。

在確定組織網路中潛在有希望的資料庫之後,攻擊者還需要確定該資料庫中的哪些表實際上包含目標數據。這可能需要使用手動命令掃描多個不同的資料庫表。

對於應用程式(許多資料庫的主要用戶)而言,許多手動命令是不尋常的。例如,應用程式不需要詢問資料庫中表的數量和名稱,也不需要詢問特定表中的記錄數量。Imperva DBF 監控這些異常行為,並在檢測到人類用戶在特定時間段內對特定資料庫中的敏感表提出異常數量的手動請求時採取措施(發出告警)。

機器接管

網路犯罪分子在獲得對網路上系統的存取權限時,通常會嘗試以幾種不同的方式以擴大其影響力和覆蓋範圍。這些措施包括利用網路上的其他系統,以及通過洩露的憑據獲得對新用戶帳戶的存取權限。

在安全可靠的網路中,只有受感染機器和憑據的正確組合才能使攻擊者存取資料庫。只有需要存取資料庫的機器才能存取該資料庫,並且對資料庫的存取應僅限於某些用戶。

Imperva DBF 可辨認是攻擊者識別出主機帳戶和用戶帳戶的"正確"組合而不是"正常"帳戶的情況。例如,特定用戶的工作站可以存取資料庫,但是來自該工作站的請求正在使用另一個用戶的帳戶。由於系統和帳戶的這種組合是異常的,因此 Imperva DBF 可以標記存取嘗試,從而可以根據需要更輕鬆地採取其他措施,以防止對資料庫的未授權存取。