存档

文章标签 ‘合规’

基于输出的数据库审计和三层数据库审计

2011年2月2日 1 条评论
1、市面上是否有基于输出的数据库审计系统?
我看了几款数据库审计系统,大多基于输入操作进行告警。这有点不大合适,因为我们关注的并操作本身(输入),而是操作的结果(输出)。大家都知道,要实现一个结果,有N种操作方式,也就有N种输入。这种黑名单对安全人员或者数据库审计系统厂商来说实在是一个难题,本来我还希望能有数据库审计系统厂商给我解决这个问题的,现在没办法,只有换一个思路,聚焦在输出上。因为任何基于数据库访问的拖库行为和场景,对应的输出都是有规律的。
当然了,在面对数据库篡改的时候,我们也需要关注输入 :)

2、三层数据库审计系统给我们带来神马收益?
三层:WAF–>Web Server–>App Server–>DB Audit–>Database
传统的2层:Web Server–>App Server–>DB Audit–>Database

数据库审计另一思路

2011年2月2日 评论已被关闭

现有的数据库审计系统大多基于输入进行审计,其实基于输出的审计更能提高审计的有效性,避免漏报和误报。

之前和一些数据库审计系统供应商交流的时候,他们把设计和实施审计系统策略的责任推给用户(至少我是这么认为的),说什么要和业务结合,说什么都是select,但是有的select合法,有些不合法,说什么他们不懂我们的业务,不知道该如何设计策略。从我的角度出发看,这就是借口。根本都没有认真深入的思考,我就不信抽象不出通用的东西。他们现在的状态就是卖产品帮助甲方应付法规的要求。当然了,这和他们的用户级别比较低有关,都是神马医院,ZF的用户。所以也不能全怪厂商,数据库审计系统市场尚属于混沌初开的状态。

想真正把数据库审计产品用起来的企业在采购的时候得多琢磨琢磨,想清楚自己到底需要解决神马问题,把具体的问题列出来1,2,3,4,5,然后传递给供应商去解决。素包子提醒一下,我们所关注的是数据库资产,而非SQL语句。

国外黑客劫持某网游玩家数据威胁服务商

2011年1月18日 2 条评论

看来外国黑客要比国内黑客V5,外国黑客都是直接要挟游戏公司的,国内的黑客就刷刷库,下个代码啥的。 

国外黑客劫持某网游玩家数据威胁服务商

阅读全文…

Auditor Answers: IT Audit vs. IT Compliance Responsibilities

2010年6月18日 评论已被关闭

文中案例说的是今年4月份RIM公司BlackBerry电子邮件服务故障,造成大量用户无法使用BlackBerry电子邮件服务。一些用户对Research In Motion对故障的起因以及它采取的故障解决措施非常不满。RIM的CEO解释说,“最重要的是恢复服务。这一故障与网络容量和安全无关”并一再表示“这是一次升级时出现的偶然故障”
随后,RIM发表了一个电子邮件声明:引起这一故障的原因是没有经过充分测试的新的存储功能,它引发了一系列的错误,故障转移群集没有象预期的那样正常启动。

文中深层次的分析了原因,可能这次升级并不是一次关键的update或Change,或者”that was low risk, so we didn’t retain the results.”  RIM所做的可能符合SOX 404 review of application maintenance或者是RIM’s policy,所以也就不可能出现“adverse audit finding”也就不存在任何“compliance issue”.  但是,一次“non-critical change”产生了级联效应,导致了“failover process”没有正常启动,造成严重的故障。“IT compliance”的功能仅仅局限于“oversight”“policy review” ,很少分析“cause”,而这正是 audit的功能。

阅读全文…

数据库审计产品收集

2009年9月2日 2 条评论

主要是审计oracle数据库的操作

SecureSphere产品介绍-数据库监视网关,这家好像还做WAF的。

离题一下,我们到底要不要考虑把WAF和DB AUDIT整合在一起?

这个是一个值得仔细思考的问题,好处到底是啥?