数据,作为各个企业组织机构重要的资产,一旦丢失或泄露往往造成不可挽回的损失。事实上,知识产权、客户信息、销售信息等有价值的、敏感的数据,往往会成为攻击者的目标。就在上月,土耳其爆发重大数据泄露事件,近5000万土耳其公民的个人信息牵涉其中,除此以外还有越来越多的数据泄露事件发生,安全从业者意识到,是时候采取一些行动了。
“内部威胁+数据泄露 ”已经成为企业组织机构的网络安全大敌!在《IBM 2015 X-Force第一季度报告》中曾显示,去年泄露的电子邮件、信用卡号、密码及其他类型的个人可识别信息(PII)总值超过10亿。而后的《IBM 2015 X-Force第二季度报告》曾表明,企业的“内部威胁”在众多攻击类型当中高居榜首,同时,IBM Security 2015年网络安全情也表明,内部威胁在多众攻击类型中危害更大,55% 的攻击事件都来自于拥有系统访问权的内部人员。
目前,在如何有效防御来自内外的数据威胁这个课题中,安全业界还是存在很多短板,企业组织机构往往并不真正了解其自身数据的相关细节,包括存储位置、谁浏览以及获取了数据、哪些数据被修改甚至被删除,更不知道数据隐患藏在哪个环节,有效的杜绝数据安全隐患变成了空谈。
从源头保护数据安全
在IBM Security看来,由于安全问题的复杂性,敏感数据的保护是一个需要长期管理、监控与推进的系统性工程。IBM在维护数据安全方面独具匠心,其产品——Guardium选择从数据源头解决数据安全问题,而不是去封堵各种类型、层出不穷的数据访问渠道。IBM认为:“天下大事,必作于细。加强数据防护,才能为企业前进提供动力。”
IBM将Guardium定位为数据访问活动的监控产品,可被理解为是一套数据安全防护的解决方案系统,拥有包括:数据库、文件系统和大数据平台的审计、监控、保护和分析的能力,是一套有关于数据安全的综合性系统平台。
关于对内部威胁的监控和防护,Guardium不同于用户所理解的传统的行为管理系统,也有区别于传统事后的、偏管理类的数据保护系统,Guardium并非是在数据传输应用的渠道上对数据进行保护,而是直接在数据源头入手,设置策略,保护数据,以避免对数据未授权和违规的访问,防止数据泄露。从用户的IT架构来看,所有的交易数据、客户数据等所在的数据库是数据安全防护的重点区域之一。以处于后端的数据库为例,数据库作为所有的应用或其他访问渠道的最终数据源目的地,不具备类似于行为管理,以及细粒度访问控制这样的数据安全防护能力,利用其自身的能力,无法抵御来自与内部和外部的网络威胁或恶意行为。与数据库相似的,缺乏体系化安全设计的文件系统和大数据平台更是重灾区。这种现状,导致当数据在IT系统内“*穿梭”时,安全威胁无处不在。
IBM Guardium如何从源头阻断安全风险? IBM专家介绍,Guardium首先帮助客户针对数据进行安全级别评估,首先让用户了解自身关键的、核心的数字资产是如何分布和保存的,该过程被称之为“发现”。而后,Guardium会对现有的数据基础设施进行安全性评估,发现存在的漏洞,并为用户提供行之有效的补救措施,该过程被称之为“加固”。在此基础之上,通过设定数据安全防护策略,Guardium会开始有目的性的监控和保护重要数据资产,按照企业内外的合规和审计要求来提供对数据的安全防护能力。
构建面向未来的数据保护体系
具体来说,Guardium是根据企业的安全策略,发挥其数据审计、监控、保护和分析能力的。
在数据库、文件系统以及大数据平台上,Guardium依照企业安全管理规范,构建一套保护体系,对企业内所有的敏感、关键业务数据进行实时的保护。例如,针对风险极高的、在IT系统内能“为所欲为”的“特权用户”,如:数据库管理员,企业可以通过Guardium来设置自己所需的防护策略,阻挡未授权的、与业务无关的用户去访问相应的敏感业务数据,如果发生违规访问,Guardium系统会立即切断当前会话并发出报警,从源头上杜绝针对数据的高风险操作。
与此同时,通过可视化,IBM Guardium可以让用户掌握自己系统内部的数据安全情况,包括:漏洞信息、权限设置以及数据库配置等细节内容,用户可以动态的设置自己需要的安全防护策略,比如:拦截违规访问、对可以客户端的可疑用户进行隔离,根据访问场景动态改变SQL语句等技术手段,用于限定访问场景,防止出现违规操作,,同时保障审计信息的真实性和完整性。
另外,采用Guardium,可以使得数据库、文件及大数据平台系统摆脱了繁重的安全防护功能,例如:开启审计日志等,这样便可以使用户IT架构中的各个系统各司其职,降低数据系统负载,更好地服务于业务。
据悉,IBM Guardium数据安全防护平台支持Windows、Linux、AIX、HP-Unix、Solaris、IBM i以及IBM z等平台,数据系统支持Oracle、DB2、MS SQL Server、MySQL、Hadoop、MongoDB等。
同时IBM Guardium自身具有的对数据安全威胁分析的能力,内建机器学习的引擎。同时,由于IBM Guardium能够将宝贵的数据访问活动数据分解成可处理、可理解的元素,并有效保存,随后可以将其导出至企业大数据平台,无论是进行独立分析还是与其它信息融合进行关联性分析,对于企业来讲都将会带来非常大的价值。
很多时候,数据的风险不仅是从数据角度发现,IBM把Guardium打造为了数据安全事件的信息源,能够与企业级SIEM平台进行对接,丰富SIEM系统的数据源,以综合安全的视角对企业信息安全风险进行评判。
未来,IBM Guardium也将与IBM的认知计算相结合,不断丰富并完善其对数据安全的分析能力。同时,会增强对云计算的支持,加强对客户云端数据的安全防护。
原文发布时间为:2016-05-24
本文作者:杨昀煦
本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。