Imperva创新数据安全理念:理解是保护的前提

  创新的数据安全概念:理解是保护的先决条件

  技术新闻12月19日消息,防止数据泄露是网络安全领域的核心需求之一。检测关系数据库中潜在的数据泄露不仅需要成功识别数据库中的可疑活动,还需要频繁的虚假警报。后者不仅会显着增加运营负担,而且还会为识别真正可疑的数据访问创造障碍。 Imperva在最新发布的CounterBreach解决方案中提出,准确检测数据访问违规的关键在于深入了解数据库的类型。数据库背后隐藏着检测异常行为成功的关键。作为准确检测的先决条件,我们需要回答:数据库的目的是什么?我们期望用户在数据库中做什么?我们可以从数据库中的数据读取什么?为了回答这些问题,我们必须了解数据库的类型,包括用户类型,数据类型和数据库类型。 OLTP和OLAP在关系数据库的世界中,有两种类型的系统。第一个是在线事务处理(OLTP),第二个是在线分析处理(OLAP)。这两种处理类型功能相似但用途不同。 OLTP系统用于商业应用。这些数据库中发生的查询是简单的短期在线交易,具有实时数据更新。 OLTP的常见例子是零售,金融交易和订单输入系统。在数据库环境中使用OLAP系统,目的是有效地分析数据,使用户从数据中探索趋势,计算数字,提取含义。 OLAP系统在数据挖掘领域被广泛使用,数据是历史性的。而且由于数字处理通常涉及大数据集,因此与数据库的交互持续时间更长。另外,OLAP数据库交互(SQL查询)形态不能预先预测。数据库特性和访问模式OLTP和OLAP数据系统的不同性质决定了用户访问模式和数据签名的差异。我们预计OLTP用户通过应用程序的交互界面访问存储在数据库中的商业应用程序数据,而交互式(或人为)用户不应该直接通过数据库访问数据,这种情况不同于OLAP,商业智能(BI)用户分析人员需要直接访问数据库中的数据来进行报告,分析和处理数据,为了清楚地区分这两种数据处理方式,Imperva的研究团队在几十家企业客户的支持下,真正的数据库侧重于OLTP和OLAP的数据访问模式和数据特性。在四周的时间里,SecureSphere收集了观测数据,并使用CounterBreach来整合洞察力,以确认两种数据库类型之间的差异。与OLAP数据库相比,在四周内,OLTP中几乎没有新的交互式(或人为)用户访问; OLAP中的新业务数据表的数量很小,在OLAP中要高得多。总之,OLTP数据表比较稳定, OLAP系统中有很多新的表格。存储在OLAP中的数据是历史数据,ETL(提取,转换,加载)过程以常规方式(每小时/每天/每周)上传数据,并操作数据库中的数据。在绝大多数情况下,数据需要上传到这些新表中。 CounterBreach基于理解引入最佳检测最新版本的Imperva CounterBreach进一步增加了对数据库类型的理解,并将数据库类型合并到其测试方法中。通过整合OLTP和OLAP的差异,大大提高了可疑数据访问的检测水平。基于Imperva研究小组的研究,CounterBreach使用基于数据库的机器学习技术来根据交互式用户访问数据库的模式对数据库进行分类。结合对数据库类型的理解,CounterBreach能够确定检测可疑行为的最佳方法。在OLTP系统中运行的数据库中,CounterBreach检测并警告任何交互式用户对业务应用程序数据的异常访问;在OLAP系统中,访问业务应用程序数据是交互式用户的日常活动,因此CounterBreach不会警告这些合法行为。在这些系统中,商业智能用户可以正常工作,并使用其他指标检测数据滥用情况,例如从数据库的业务应用程序表中获取的记录数量异常,从而确保数据驱动的业务流程不会中断,减少错误警报Imperva的数据科学家正在继续调查和确定OLTP和OLAP系统的更多显着特征。这些功能超越了交互式用户访问数据库和数据的模式,并且包括数据库中表的名称,用于访问数据库的源应用程序,ETL过程,数据库操作之间的差异,不同实体访问数据库等方面。不断拓展研究成果,将促进检测精度的进一步优化。对数据库有更深入的了解,使潜在的数据泄露无处藏身。