数据安全监控和审计
数据的安全监控和审计是指面向数据操作平面的监控和审计,如对于数据库、数据存储OSS的访问行为监控,操作行为监控及审计。
数据安全监控和审计有利于事前发现风险和事后审计,面向云的数据安全监控和审计需要考虑的维度如下:
安全监控的维度 | 监控特征 | 特征描述 |
流转异常 | 异常地理位置下载敏感数据 | 来自异常地理位置的数据下载可能是由于账号访问权限被外部攻击者获取,并导致数据泄露。 |
异常终端下载敏感数据 | 来自异常终端的数据下载可能是由于账号访问权限被外部攻击者获取,或者员工使用非工作终端进行数据下载。 | |
异常时间下载敏感数据 | 来自异常时间的数据下载可能是由于账号访问权限被外部攻击者获取,或者员工在非正常工作时间内进行数据下载。 | |
初次下载敏感数据 | 账号首次下载敏感数据可能是由于账号被错误分配敏感数据下载权限,导致敏感数据泄露。 | |
下载非常用敏感表 | 账号下载非常用敏感表可能是由于账号被错误分配敏感数据下载权限,导致敏感数据泄露。 | |
文件下载量异常 | 账号文件下载量异常可能是由于账号访问权限被外部攻击者获取,或者员工恶意备份数据。 | |
下载非常用Bucket内敏感文档 | 账号下载非常用敏感Bucket可能是由于账号被错误分配敏感数据下载权限,导致敏感数据泄露。 | |
数据下载量异常 | 账号数据下载量异常可能是由于账号访问权限被外部攻击者获取,或者员工恶意备份数据。 | |
下载非常用敏感库(IP维度) | IP访问非历史常用库可能是由于账号访问权限被外部攻击者获取,并导致数据泄露。 | |
下载敏感数据的IP数量过多 | 使用过多的IP进行数据下载可能是由于账号访问权限被外部攻击者获取,并导致数据泄露。 | |
异常频率下载敏感数据 | 使用过快的频率进行数据下载可能是由于账号访问权限被外部攻击者获取,并导致数据泄露。 | |
异常Referer下载敏感数据 | 来自异常Referer的数据下载可能是由于账号访问权限被外部攻击者获取,并导致数据泄露。 | |
执行SQL语句异常 | 异常的SQL执行可能是由于账号访问权限被外部攻击者获取,或者员工在执行新业务。 | |
行为异常 | 登录时间异常 | 来自异常时间的鉴权记录可能是由于账号访问权限被外部攻击者获取,或者员工在非工作时间访问数据。 |
登录使用终端异常 | 来自异常终端鉴权记录可能是由于账号访问权限被外部攻击者获取,或者员工使用非办公终端访问数据。 | |
登录地址异常 | 来自异常地理位置的鉴权记录可能是由于账号访问权限被外部攻击者获取,可能导致数据泄露。 | |
多次尝试访问不存在的文件 | 出现多次尝试访问不存在的文件可能是存在外部攻击尝试。 | |
多次尝试访问没有权限的文件 | 出现多次尝试访问没有权限的文件可能是存在外部攻击尝试。 | |
登录密码连续错误 | 多次尝试错误的账号密码登录可能是由于攻击者在使用弱口令探测登录密码。 | |
来自恶意源(威胁情报数据)的敏感数据下载 | 来自恶意源的下载可能是攻击者正在尝试攻击或者已经攻击成功。 | |
配置异常 | 配置失当-MaxCompute敏感项目未设置保护 | 包含敏感数据的项目未设置Protection标识,则该项目无法实现数据流出保护。 |
配置失当-MaxCompute敏感项目未设置标签安全 | 包含敏感数据的项目未设置Label Security标识,则无法控制用户对敏感数据的访问。 | |
配置失当-OSS敏感Bucket被设置为公开 | 包含敏感数据的Bucket被设置为公开,则外部人员都可以通过接口访问到敏感数据。 | |
RDS白名单IP被设置为公开访问 | RDS实例IP白名单存在0.0.0.0/0,则任何外部人员都可以连接到该实例,从而暴力破解登录密码。 |
数据操作审计需要企业针对数据存储的方式开启审计服务,数据审计有助于在事后分析安全风险,进行风险的溯源。审计日志需要符合相关法规的安全要求,如等级保护中审计日志需要留存180天。