Database Activity Monitoring: 5 สิ่งที่ควรทำได้และไม่ควรทำ

Imperva ผู้ให้บริการโซลูชัน Database Security ชื่อดัง ออกมาให้คำแนะนำเกี่ยวกับสิ่งที่พึงกระทำและไม่พึงกระทำในการติดตามและเฝ้าระวังระบบฐานข้อมูล รวมไปถึงสรุปฟีเจอร์สำคัญที่เครื่องมือ Database Activity Monitoring ควรมีจากเอกสาร Understanding and Selecting a Database Activity Monitoring Solution โดย Rich Mogull จาก SANS Institute เพื่อให้ผู้ดูแลระบบฐานข้อมูลสามารถนำไปปรับใช้กับองค์กรของตนได้

Credit: macro vectors/Shutterstock

ก่อนที่จะเข้าสู่เนื้อหา ทำความรู้จัก Database Activity Monitoring (DAM) สักเล็กน้อย … Gartner ได้นิยาม DAM ไว้ว่า “เป็นชุดเครื่องมือที่ … รองรับความสามารถในการตรวจจับและรายงานการหลอกลวง การกระทำที่ผิดกฎหมาย หรือพฤติกรรมที่ไม่พึงประสงค์อื่นๆ ซึ่งส่งผลกระทบต่อการปฏิบัติงานของผู้ใช้และผลิตภาพน้อยที่สุด” หรืออาจกล่าวได้ว่าเป็นเครื่องมือที่พัฒนาจากการวิเคราะห์การกระทำของผู้ใช้ กลายเป็นเครื่องมือชี้วัดด้านความมั่นคงปลอดภัยของข้อมูล เช่น การค้นหาและจำแนกประเภทข้อมูล การบริหารจัดการสิทธิ์ของผู้ใช้ การติดตามการใช้สิทธิ์ระดับสูง การปกป้องข้อมูล และการป้องกันการรั่วไหลของข้อมูล เป็นต้น

Imperva ได้สรุปรายการฟีเจอร์ขั้นต่ำที่เครื่องมือ DAM ควรมี ดังนี้

  • ติดตาม (Monitor) และตรวจสอบ (Audit) การกระทำบนฐานข้อมูลทั้งหมดอย่างอิสระ ทั้งการกระทำที่ต้องใช้สิทธิ์ Admin และ SELECT Query Transactions เครื่องมือที่ใช้ต้องสามารถบันทึก SQL Transactions ได้ทั้งหมด ไม่ว่าจะเป็น DML, DDL, DCL (และบางกรณีอาจจะมี TCL ด้วย) โดยไม่จำเป็นต้องพึงหา Log ของ Local Database ซึ่งช่วยให้ประสิทธิภาพของฐานข้อมูลตกลงน้อยกว่า 0 – 2%
  • จัดเก็บ Audit Log แบบรวมศูนย์ภายนอกฐานข้อมูลที่ทำการตรวจสอบ และต้องเก็บอย่างมั่นคงปลอดภัย
  • ติดตาม รวบรวม และเชื่อมความสัมพันธ์ของการกระทำจากหลายๆ Database Management System (DMBS) ที่แตกต่างกันได้ เช่น Oracle, Microsoft SQL Server และ IBM DB2 รวมไปถึงสามารถแปลง Transaction ให้กลายเป็นรูปมาตรฐานทั่วไปที่นำไปใช้วิเคราะห์ต่อได้ (ทำ Normalization)
  • กำหนดหมายเลข IP ที่อนุญาตให้ใช้งาน Service Account เพื่อเข้าถึงฐานข้อมูล รวมไปถึงกำหนดสิทธิ์เฉพาะเท่าที่จำเป็น
  • บังคับให้มีการแบ่งแยกหน้าที่การทำงาน (Segegration of Duties) ผ่านทางการติดตามและบันทึกหลักฐานการกระทำของ DBA
  • สร้างระบบแจ้งเตือนแบบ Rule-based หรือ Heuristic-based เมื่อมีการละเมิดนโยบายด้านความมั่นคงปลอดภัย เช่น แจ้งเตือนเมื่อผู้มีสิทธิ์ระดับสูงส่ง SQL Query ซึ่งคืนค่าข้อมูลบัตรเครดิตกลับคืนมาเกิน 5 รายการ เป็นต้น เพื่อช่วยแจ้งเตือนผู้ดูแลระบบเมื่อแอพพลิเคชันถูกแฮ็คหรือถูก SQL Injection

นอกจากนี้ เครื่องมือ DAM บางยี่ห้อยังมีฟีเจอร์

  • ค้นหาและตรวจสอบที่อยู่ ขนาด และบริบทของข้อมูลที่จัดเก็บอยู่ใน Data Center บนระบบ Cloud หรือบนฐานข้อมูลแบบเก่า
  • จำแนกประเภทของข้อมูล เช่น หมายเลขบัตรเครดิต อีเมล บันทึกการแพทย์ รวมไปถึงระดับความเสี่ยงของข้อมูลดังกล่าว
  • จัดทำนโยบายหรือรายงานตามข้อกำหนดต่างๆ เช่น PCI-DSS หรือ SOX ได้
  • ผสานการทำงานร่วมกับเครื่องมือทำ Change Management เพื่อติดตามการเปลี่ยนแปลงข้อมูลในฐานข้อมูล หรือติดตามการกระทำของ DBA รวมไปถึงจัดทำรายงาน Change Management
Credit: Viappy/ShutterStock

สำหรับรายการสิ่งที่พึงกระทำและไม่พึงกระทำในการติดตามและเฝ้าระวังระบบฐานข้อมูล มีทั้งหมดอย่างละ 5 ข้อ ได้แก่

สิ่งที่พึงกระทำ

  • Agent ที่ใช้ในการเก็บข้อมูลควรบริโภคทรัพยากร CPU และ Disk เพียง 1 – 3% และควรใช้ Agent เก็บข้อมูลแทนที่จะวางขวาง (Bridge) หรือดักจับข้อมูล (Sniff) เนื่องจากสามารถทำคลัสเตอร์ Gateway ได้ง่าย เพราะเพิ่มประสิทธิภาพในการทำ HA ฐานข้อมูล
    • หมายเหตุ การบริโภคทรัพยากรนี้ถือว่าน้อยมากเมื่อเทียบกับการใช้ Database Auditing บนระบบฐานข้อมูลซึ่งบริโภคทรัพยากรเครื่องมากถึง 20%
  • ติดตาม Local SQL Traffic อย่างต่อเนื่อง และอย่างเรียลไทม์ เช่น IPC และ Bequeth รวมไปถึงติดตาม SQL Traffic ที่วิ่งเข้ามายังฐานข้อมูลผ่านระบบเครือข่าย (ถ้าต้องการ)
  • ยิง TCP Reset เมื่อต้องการบล็อกเซสชัน ซึ่งจะทำให้เสมือนว่าเครื่อง Client หลุดจากการเชื่อมต่อ ผลลัพธ์คือ ฐานข้อมูลไม่มีอะไรเปลี่ยนแปลงและเครื่อง Client ที่เชื่อมต่อกับฐานข้อมูลจะถูกจัดการตามปกติ
  • ติดตาม SQL Query ขาเข้าที่จะไปยัง Gateway รวมไปถึงข้อมูล Metadata บางอย่าง เช่น เวลาที่ใช้ตอบสนอง หรือจำนวน Record ที่คืนกลับมา โดยกิน Bandwidth ของระบบเครือข่ายให้น้อยที่สุด
    • หมายเหตุ สามารถติดตามทราฟฟิกขาออกผ่านทางอีกอินเทอร์เฟสหนึ่ง แต่ต้องระวังเรื่องการดักจับข้อมูลที่เป็นความลับด้วย
  • ควรมีหน้า Dashboard ที่เป็นกราฟิกแสดงภาพรวมข้อมูลทั้งหมดไว้ในหน้าเดียว เพื่อให้สามารถแก้ปัญหาได้ง่ายและรวดเร็ว โดยต้องสามารถตรวจสอบการทำงานของ Agent และสามารถแจ้งเตือนไปยังระบบอื่นๆ เช่น SIEM เมื่อมีการบล็อกเกิดขึ้นได้

สิ่งที่ไม่พึงกระทำ

  • Agent ไม่ควรติดตั้ง Object ใดๆ บนฐานข้อมูล เช่น สคริปต์หรือข้อมูลล็อกอิน
  • Agent ต้องไม่ยุ่งเกี่ยวใดๆ กับฐานข้อมูล ไม่ว่าจะเป็นข้อมูลในฐานข้อมูล ไฟล์ที่ใช้ตั้งค่าฐานข้อมูล หรือแม้แต่พารามิเตอร์ของฐานข้อมูล
  • หลังติดตั้งหรือแก้ไขการตั้งค่า Agent ไม่ควรมีการรีสตาร์ทเครื่อง เว้นแต่ในกรณีที่หลีกเลี่ยงไม่ได้จริงๆ
  • ไม่ควรมีการสร้างชื่อบัญชีฐานข้อมูลใหม่สำหรับติดตั้ง ติดตาม หรือบล็อก SQL Traffic บน Agent
  • Agent ไม่ควรแก้ไขไฟล์ของระบบ เว้นแต่ในกรณีที่การเชื่อมต่อไปยัง Gateway ถูกตัดขาดจากการบล็อก และควรกลับไปเป็นแบบเดิมหลังจากที่การเชื่อมต่อถูกสร้างขึ้นมาใหม่

ที่มา: https://www.imperva.com/blog/2017/05/database-activity-monitoring-checklist/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Kali Linux 2017.3 เวอร์ชันใหม่เปิดให้ดาวน์โหลดแล้ว

Offensive Security ผู้ให้บริการการทดสอบเจาะระบบคอมพิวเตอร์และฝึกอบรมด้านความมั่นคงปลอดภัยสารสนเทศ ได้ประกาศเปิดตัว Kali Linux 2017.3 แพลตฟอร์มสำหรับทดสอบการเจาะระบบแบบ Open Source เวอร์ชันใหม่ล่าสุดส่งท้ายปี พร้อมให้นักทดสอบเจาะระบบและผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยดาวน์โหลดไปใช้งานแล้ว

Cisco จับมือ INTERPOL ต่อสู้อาชญากรรมทางไซเบอร์

Cisco ผู้นำด้านเทคโนโลยีระดับโลก และองค์การตำรวจสากล (INTERPOL) ซึ่งเป็นองค์กรตำรวจระหว่างประเทศที่ใหญ่ที่สุดในโลก ประกาศข้อตกลงในการแบ่งปันข้อมูลข่าวกรองเกี่ยวกับภัยคุกคาม โดยนับเป็นก้าวแรกของความร่วมมือในการต่อสู้กับอาชญากรรมทางไซเบอร์ร่วมกัน