防止資料外洩是資訊安全的核心需求之一。在關聯式資料庫中檢測潛在的資料外洩,不僅需要成功辨別資料庫中的可疑行為,同時也要避免頻繁的錯誤告警,後者不僅可能增加許多維運工作的負擔,也會阻礙辨別真正可疑的資料存取行為。Imperva 在推出最新的 CounterBreach 資料庫AI智能防護時提出,要準確檢測出不當的資料存取行為,關鍵在於深入了解資料庫的類型。因此,我們需要先知道:資料庫的目的是什麼?我們希望使用者在資料庫中執行哪些行為?我們又能從資料庫的資料分析出什麼?要回答這些問題,我們必須了解資料庫的類型,包括使用者類型、資料類型和資料庫類型。
OLTP與OLAP
在關聯式資料庫的世界裡,存在兩種系統類型:一種是線上交易處理 OLTP,另一種則是線上分析處理 OLAP,兩者功能相似,但目的不同。 OLTP 系統多在商業應用中使用,發生在這些資料庫中的查詢是簡單、時間很短的線上交易,且資料會即時更新。OLTP 常見的例子是零售、金融交易和訂單輸入系統。
OLAP系統則在資料庫環境中使用,目的是有效分析資料,讓使用者從資料中發掘趨勢、運算數字並歸納意義。OLAP系統廣泛應用於資料採集領域,將既有的歷史資料加以分析,但因為數據處理通常涉及很大的資料集合,所以與資料庫的交互運作時間較長。此外,OLAP資料庫的交互型態(SQL查詢)也無法提前預知。
資料庫特徵與存取模式
OLTP 和 OLAP 資料系統性質上的不同也決定了使用者存取模式和資料特徵變化的差異。OLTP 的使用者透過應用程式交互介面存取儲存在資料庫中的商業應用資料,互動式(或個人)使用者不應該直接從資料庫存取資料。OLAP 的情況則不同;商業智慧(BI)使用者和分析師需要直接存取資料庫中的資料,以製作報告、進行資料分析及運算。
為了明確區分這兩種資料處理類型,Imperva 研究團隊在數十家企業客戶的支援下,利用他們實際的資料庫,集中分析 OLTP 和 OLAP 的資料存取模式和資料特徵。在長達四週的時間裡,Imperva 以 SecureSphere 收集觀測資料,結合 CounterBreach 統整洞察結論,進而確認這兩種資料庫類型的差異。 在研究期間,Imperva 發現 OLTP 中幾乎沒有新的互動式(或個人)使用者存取,而 OLAP 資料庫則正好相反;OLTP 中新增的業務資料表單數量很少,而 OLAP 中的數量則高出很多。
整體而言,OLTP 的資料報表數量是相對穩定的;而 OLAP 系統中則會產生很多新報表。OLAP 中儲存的資料是歷史性資料,且 ETL 過程(擷取、轉化、載入)會定期(每小時/每天/每週)上傳資料,並使用資料庫中的資料。多數情況下,資料都會上傳到新增的報表之中。
CounterBreach 基於對資料庫的了解,提供最佳檢測建議
Imperva CounterBreach 強化了對資料庫類型的認知,並把資料庫類型納入檢測分析的方式中,透過 OLTP 和 OLAP 的差異特徵,大大提升了可疑資料存取行為的辨識水準。根據 Imperva 團隊的研究成果,CounterBreach 會依互動式使用者存取資料庫的模式,透過機器學習技術為資料庫分類。
結合對資料庫類型的分析,CounterBreach 可以確認出辨別不當存取行為的最佳方案。在 OLTP 系統中運作的資料庫,CounterBreach 將檢測並對互動使用者在商業應用資料的異常存取進行告警;而在OLAP系統中,存取商業應用資料則是互動式使用者的日常工作,所以 CounterBreach 不會對這些合法行為進行告警。在OLAP系統中,它會讓BI用戶正常工作,透過其它指標來檢測資料是否被濫用,如資料庫商業應用報表存取數量的異常記錄。這能夠確保資料驅動 (data driven) 的業務流程不受干擾,並減少錯誤告警的發生。
Imperva 的資料專家仍持續研究並辨別更多區分 OLTP 和 OLAP 系統的特徵,這些特徵超越了互動式使用者存取資料庫和資料的模式層面,包括資料庫報表的名稱、存取資料庫的應用程式、ETL過程、資料庫操作的多樣性、不同實體存取資料庫的比例等。不斷累積的研究成果,將持續提升 CounterBreach 檢測辨別的準確度,並透過對資料庫的充分了解,讓潛在的資料外洩風險無處可藏。
資料編輯來源:Imperva 大中華區微信