由本土廠商玄力科技開發的Chalet ADS,是整合了軟體和專屬硬體設備的解決方案,包含事前的政策定義與管理、事中發現異常狀況,觸發警報(Alert)或者阻絕(Block)機制,還有事後的分析與報表。

比較特別的是,多數同類型的資安產品只針對可疑行為做記錄,對於政策設定沒有定義的行為便不會留下記錄,而Chalet ADS不只針對可疑行為留下記錄,同時也儲存所有存取資料庫的行為。

也就是說,Chalet ADS在網路層監控存取資料庫的行為時,除了針對違反政策的行為,記錄下相關的人、事、時、地、物等資訊,也會儲存一份包含所有存取行為的原始資料。未來若是在層層防禦與稽核情況下,仍發生資安事件,因而必須清查過去某個時間範圍,使用者異動資料庫的清單,此時可結合該公司的另一項產品Chalet CSI,來鑑識歷史記錄,對於不法行為的調查,及個資法所需之舉證工作都有幫助。

透過Mirror Port監控使用者存取資料庫的行為

Chalet ADS的部署架構,是在資料庫與網站應用程式伺服器之間,透過交換器(Switch),以Mirror Port的方式,監控存取資料庫的行為。而一臺Chalet ADS設備,包含5個網路埠,因此可以同時連接5個網段,並監控封包的內容。

由於大多數企業的應用程式,在登入系統後,是以共用帳號的方式存取資料庫,所以光憑記錄資料庫的帳號,並無法確認使用者身分。而Chalet ADS辨識使用者身分的作法,是在網站應用程式伺服器上額外安裝一個小程式,自動在存取資料庫的SQL述句之後,以加註解的方式標記使用者登入應用程式的帳號。

這與其他同質性產品略有不同。有些產品的作法,是在使用者與網站應用程式伺服器之間,架設一臺監控存取行為的機器,這樣才能比對封包經過網站應用程式伺服器前後的內容,以確認使用者的身分。

而透過外掛程式加註解的方式,可能令企業擔心更動程式的風險。關於這一點,原廠表示,企業不需要修改應用程式,主要是透過網站應用伺服器加註解;而且相較於比對時間與封包的作法,他們認為這樣的設計對使用者身分的判斷可以做到更精準。

資產管理與政策設定

部署完成之後,透過自動學習的機制,Chalet ADS將整理出資料庫、資料表、使用者、預存程序(Stored Procedure)的列表,等於是一份資料庫的資產盤點。管理者可根據這份清單制定設定群組與政策。

所有存取行為的記錄,都是人、事、時、地、物的組合,所以,管理者可在Chalet ADS中針對以上條件制定各種政策,例如以時間當作條件,下班之後若有存取行為,即認定是違反政策,需要發布警示;或者定義哪些使用者是高權限使用者,定義為一個群組,以便針對他們的所有存取行為,要求系統全部記錄下來。

Chalet ADS針對所有記錄下來的事件,會做即時的分析,提供圖形化及表列式的報表,例如某個資料表的查詢作業特別忙碌,或者特定使用者存取資料庫頻繁。

自動學習行為規則,針對異常的行為發布警訊

定義存取政策之餘,Chalet ADS也會對資料庫使用者、資料庫物件及SQL語法的模式自動學習,以便針對異常的「量」與行為發出警訊。

異常的量包括兩種,一種是存取的資料量,另一個觀察角度是錯誤的次數。例如客服人員平均一天服務100個客戶,若有位客服人員某天存取了1,000個客戶的資料,雖然沒有做出違反政策的行為,也必須視為是異常的警訊。

就錯誤次數而言,例如SQL Injection之類的網路攻擊,在發動過程中,通常會嘗試各種路徑或帳號密碼,以試圖掌握資料庫的環境,所以會產生大量的存取錯誤。而一般的應用程式存取,有固定的操作模式,少有存取失敗或拒絕回應的情況,所以針對錯誤次數異常增加的情況,系統也會發布警訊。

發生使用者從來沒有做過的行為,也可能是一種異常。異於平常的表現,會被視為可疑,即便使用者操作系統授權的功能,也將被視為異常。

結合Chalet CSI,有助於歷史存取行為鑑識

即使企業訂定了許多政策,記錄下可能是不法的行為,仍可能發生百密一疏的情況,若是沒有留下完整的記錄,後續要追查或舉證,仍可能有困難。

所以,玄力科技認為,最好的方法是每個行為都懷疑,在稽核的一開始,就不分行為的好壞,全部留存記錄。

這部分是Chalet ADS不同於其他同質性產品的特色,它在比對網路封包時儲存了兩份資料,一份是記錄違反政策的行為,這部分已建立了人、事、時、地、物的關聯,查詢起來速度很快。

而另一部分,是不過濾內容,儲存所有存取資料庫的行為。未來若發生資安事件,必須調閱存取記錄作為法律上的舉證,那麼搭配玄力科技的另一個產品──Chalet CSI,即可解析這份原始資料,系統可依據管理者設定的條件,重新建立人、事、時、地、物的關聯性並產出報表,確保一定可以提得出舉證。

Chalet CSI還有一個角色,是當企業的機房分散多個據點,而必須安裝多個Chalet ADS時,它可作為集中管理的伺服器,此外,它也兼具備份的功用,管理者可以設定每隔一段時間,同步Chalet ADS的資料到Chalet CSI中。

儲存於Chalet ADS及Chalet CSI中的資料,皆已經過加密及壓縮,也可搭配數位簽章等機制,確保內容的不可否認性。而且,企業可外接儲存設備,當系統儲存的資料量超過儲存設備容量的一定比例,將發布訊息提醒管理者,如果管理者未加以處理,Chalet ADS則將自動從最舊的資料開始刪除,以確保系統能夠正常運作。

報表支援PDF及CSV兩種格式

除了存取政策、行為分析及針對異常的存取與行為提出警示,更重要的是留下來的稽核記錄,必須產出符合各式法規的報表,同時這些報表也必須兼具不可否認性,而Chalet ADS可產生的報表也包含密碼及數位簽章等機制。

在Chalet ADS的「戰情中心」介面,系統提供即時分析的結果,包含各式圖表類的分析,管理者可設定條件,檢視各種角度的分析結果,查詢的條件可以儲存,就可以訂閱成固定檢視的周報表、月報表,報表內容還可以區分成不同的章節,彙整成一本書的型式呈給主管。

而這套系統報表支援的檔案格式包含PDF和CSV,管理者可以自定欄位、排序及呈現方式,若需要更多樣的編排,可運用CSV匯入Excel,便擁有更彈性的變化空間。

 

在「戰情中心」中,Chalet ADS提供最即時的分析報表,管理者也可以設定過濾條件,檢視需要的訊息。

 


產品資訊 建議售價●210萬元 原廠●玄力科技 電話●(02)2366-0292 網址●www.chalettech.com 使用的作業系統●Red Hat Linux 網路介面●GbE×3 處理器●Intel Xeon 5500以上 記憶體●4GB以上 硬碟●2×500G 可監控的資料庫類型●SQL Server、Oracle、Sybase、DB2及MySQL支援的法規報表●個資法、ISO27001、ISMS、PCI、SOX、HIPPA
 

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

熱門新聞

Advertisement