最新《财富》世界 500 强排行榜出炉,其中保险占 51 家,成为上榜企业最多的行业。
近年来,越来越多保险机构提出数字化转型发展战略,寻求以数字科技赋能保险业高质量发展。此背景下,保险公司再持续挖掘客户需求、优化客户体验的过程中积累了海量丰富的数据资产,并尝试从最大化数据价值中寻找新的业务突破和盈利点。其中,数据安全成为牵引数字经济发展的生命线。本文将分享云集至协同某保险集团企业开展数据安全建设的一个典型产品实践案例。
作为一家综合性保险集团,xx 保险在数字化进程中保持着以体验为核心、以数据为基础、以技术为驱动的新保险业态。通过对集团数据安全现状的梳理发现:
(1)日均数十亿 SQL 吞吐。集团拥有财产险、人寿险、集团险等十几种业务种类,每天有数十亿条的 SQL 吞吐量,针对安全事件行为日志、结果集等无法正常检索;
(2)安全排查耗时过长。海量风险告警,导致安全排查工作耗时长,且无法实现有效关联;
(3)缺乏数据分析能力。未能建立分析模型,尽管拥有海量日志,却无法通过分析产生价值,这要求数据库审计具有强大的检索能力、智能关联能力,让数据安全、使用双管齐下;
(4)审计需求无法满足。传统的数据库审计仅支持关系型数据库,并注重上行流量审计,关注用户做什么,怎么做。现有业务环境不仅使用关系型数据库,同时拥有大数据非结构化数据库,所以必须依靠新型数据库审计系统来替代传统的数据库审计系统,从而解决复杂环境和业务场景关联的有效审计。
解决上述需求和问题,引入专业成熟的数据库审计是最优解。我们在之前的文章里做过探讨,再小的客户也敢用它作为敲门砖,纵使其他防护手段都不考虑,也要出了事有交代、可追查;大客户则将数据库审计看做试金石,数审都做不好的厂商,其他防护类产品用户也将没有心情考察;超大用户则将数据库审计看做杀手锏,它既可以作为风险监控、态势感知的预警机,也可以作为事件溯源、追责免责的不二利器。云集至数据库审计产品针对上述保险集团现状和需求,与客户一起应对需求,收获客户价值:
1、解决安全事件排查
常规产品:通用数据库审计系统一般使用传统关系型数据库存储、audit 引擎进行分析检索,这就使得海量数据检索难、安全事件排查工作耗时长。
我们的能力表现:高效处理(快)
云集数据库审计系统,采用大数据联机分析系统 ( OLAP ) 进行数据存储;使用自研的数据组织管理系统(DCMS);使用日志查询预测技术,预先加载部分日志,加速查询过程。结合归一化、模板化、高效后台存储技术以及深入优化技术实现审计系统的极致性能,同时提升数据入库的处理性能和数据出库的检索性能,实现千亿级日志规模下查询秒级返回的高性能处理,帮助保险客户解决海量日志检索难的问题,同时快速溯源安全事件相关信息,让安全事件排查工作不再是难题。
2、解决数据分析难题
常规产品:通用数据库审计产品对 sql 进行解析并返回 sql 操作内容,无深入剖析并关联业务信息进行有效解析。
我们的能力表现:精准识别(准)
云集数据库审计系统,采用双向审计、SQL 词法分析、嵌套语句 / 长语句深度解析、数据包重组、绑定变量交叉关联、应用关联等技术,实现数据库协议与复杂语句的 100% 精准识别和解析。通过对双向数据包的解析、识别及还原,做到对数据库操作请求实时审计,可对数据库系统返回结果进行完整的还原和审计,彻底避免 " 误审 "、" 漏审 " 等问题发生,帮助客户精准监测所有异常操作行为,第一时间向客户发出告警消息。
3、建立有效行为基线
常规产品:通用数据库审计产品对数据库操作行为进行一段时间的学习,形成一个基线,维度单一,无多维度深入分析,对每一个人形成独立的用户安全画像,从而无法形成有效的行为基线。
我们的能力表现:机器学习(智)
云集数据库审计系统,业内率先在数据库审计与分析系统中采取智能机器学习、用户实体行为分析(UEBA)和基线告警技术,通过 1% 的人工介入和 99% 的智能学习,设立用户来源基线、数据表操作基线、SQL 操作摘要基线等基线,并智能分析和发现用户异常行为,让数据库审计与分析系统真正 " 智能 " 起来,解放人力使用成本,同时通过多个维度形成用户安全画像,从源头规避安全隐患。
4、高效溯源取证
常规产品:通用数据库审计产品对数据库操作行为记录,存入日志行为中,溯源检索无法有效还原操作画像,故溯源取证难!
我们的能力表现:语句回放(录)
云集数据库审计系统在传统的 SQL 语句七元组内容审计基础之上,首创 SQL 语句操作视频回放技术,1:1 完整还原整体操作过程,身临其境般展现 " 作案过程 " 和 " 作案现场 ",实现数据库安全问题的有效分析和快速追踪,帮助客户高效溯源取证。
总结:通过部署云集数据库审计系统,实现了在 xx 保险集团相关业务场景下千亿级数据量中行云流水的审计响应。不仅可以做到面向所有人员对数据库操作、访问及命令的全面监测审计,加强对数据库临时账户与高权限账户的审计监测审计,加强针对重要数据的访问审计监测,并提供丰富的报表统计,还有效解决了海量 SQL 行为无法正常检索;安全事件排查工作耗时长;风险告警无法关联等业务痛点问题 , 帮助集团在规避数据风险的前提下,最大化利用各类数据 ( 如交易数据、业务数据等 ) 和外部公司的共享数据,从而通过数据价值的释放提升保险企业生产经营效率。
猜想
数审的未来
或成为数据安全的神经网络触点
技术的发展是无止境的,对安全的需求也没有尽头。只要威胁在演变,技术在革新,防御手段就需不断进化以至平衡。近年越来越多的用户已经不仅仅满足对执行操作的精准审计,还要对结果集的数据进行保存用于日后取证追溯 ......
听闻某银行单一业务系统的日志吞吐量已达 30 万 / 秒量级 ......
又听说某保险公司的数据库数量已突破 3000 个 ......
还耳闻某些高端场景的数审分析能力要求是千亿级日志,分钟内响应 .....
我们大胆猜测,不久之后,第四代数据库审计产品,除自身要具备高智能、高性能的气质之外,还可能成为数据安全集中管控和安全大数据分析的神经网络触点,所有安全防护核心能力交由平台型产品进行统一调度、防御和分析,而数据库审计作为数据和行为的采集端,形成 " 树 " 和 " 根 " 的强关联结构。
此时审计将不再是独立系统,不再独立工作,而是为平台提供数据的输入。这样更能与 KAFkA、FLUME、ELK 等先进的大数据分析和流式处理等分析技术结合,真正解决超大数据规模的日志利用问题,这可能也是未来的数据安全的发展方向之一,我们拭目以待。随着用户需求提升,也祝愿数据安全爱好者们能不断打破边界,大踏步朝技术更深处走去。
