Beim Database Activity Monitoring handelt ist sich um die Aufzeichnung und Analyse von Ereignissen oder Statistiken auf den Datenbanksystemen, um Informationen über die Systemnutzung und Performance in einer sauberen und verständlichen Form darzustellen. Das Ziel eines Database Activity Monitoring Systems ist die Erkennung von Sicherheits- oder Complianceverletzungen sowie die Formulierung von Empfehlungen zur Verbesserung der Administration, der Security und der Umsetzung von Complianceanforderungen
Database Activity Monitoring ist ein generelles Verfahren, um eine unabhängige Prüfung und Auswertung von verarbeiteten Daten und Aktivitäten zu ermöglichen. Dieses Verfahren wurde entwickelt, um nachfolgende Funktionen zur Verfügung zu stellen:
-
- Sicherstellung der Erfüllung von Complianceanforderung über etablierte Security Policies und Betriebsverfahren
- Aufspüren von bekannten und unbekannten Sicherheitslücken und Formulierung von Empfehlungen zur Verbesserung der Administration, der Security und der Umsetzung von Complianceanforderungen über etablierte Security Policies und Betriebsverfahren
- Erkennung und Verhinderung von Abweichungen vom Normverhalten speziell der technischen und hoch privilegierten Accounts
- Klärung der Frage nach dem tatsächlichen Verursacher von Datenbankaktionen
Somit zielt das Database Activity Monitoring auf grundlegende Fragen des Datenzugriffs mit dem Zweck der Identifikation Wer Wann Welche Daten geändert hat inkl. des originalen Datenkontextes. Z.B. “Wer hat auf eine Kreditkartennummer zugegriffen?“; “Wann hat jemand eine Kundenadresse geändert?”; “Wie war der Inhalt eines Datensatzes vor der Änderung?”; und “Welche Applikation ist für den Zugriffe auf sensitive Daten genutzt worden?” In der Vergangenheit lag der Focus des Database Activity Monitoring primär auf der Korrektheit von Finanzdaten und war ausgerichtet auf Anforderungen, die von externen Auditoren definiert worden sind. Inzwischen wurde das Database Activity Monitoring auf alle Typen von Daten einschließlich kritischer Personen- und Unternehmensdaten wie z.B. Kreditkarten- und Sozialverischerungsnummern, Finanz und Gesundheitsdaten sowie Corporate Financials ausgedehnt. Mit der zuneh-menden Anforderung zur Absicherung von persönlichen Daten und beschränktem Zugriff auf kritische Daten in Datenbanken, wurde das Database Activity Monitoring ausgeweitet auf privilegierte Nutzer wie Datenbankadministratoren (DBAs) und IT Professionals.
Mit der Verschiebung des Fokus des Database Activity Monitoring auf tiefere Analysen des Datenzugriffs, werden auch höhere Anforderungen hinsichtlich Performance, Skalierbarkeit und Reporting, Rollenteilung innerhalb des Systems sowie Zentralisierung der Administration über mehrere hundert oder tausend Datenbanken hinweg an die Database Activity Monitoring Systeme gestellt.
War Database Activity Monitoring bisher meist ein manueller Prozeß, der durch die Sammlung von Audit Daten des IT Security- und Auditpersonals geprägt war, dass zur Filterung und Klassifizierung von großen Logdatenmengen eigene Skripte und andere Methoden einsetzte, ist Database Activity Monitoring heute nicht mehr ein reines reaktives Prüfen Logdaten, sondern ist in der Lage Risiken und Bedrohungen der Vertraulichkeit und Integrität von Unternehmensdaten zu verringern.
Weil Hacker kontinuierlich neue Methoden entwicklen, um sich unautorisierten Zugriff auf sensitive Daten zu verschaffen, sind Unternehmen gezwungen neueste Sicherheitstechnologien und Real-time Protection zum Schutz ihrer Daten einzusetzen. Das bedeutet, dass seit Hacker nur wenige Sekungen benötigen, um sensitive Daten von einer Datenbank zu kopieren, ist es nicht mehr menschenmöglich solche Angriffe zum Zeitpunkt wenn sie stattfinden aufzuspüren. Daher ist heute Real-time Database Protection zu einer kritischen Anforderung geworden und wird zunehmend im Rahmen von Database Activity Monitoring Aktivitäten berücksichtigt.
Traditionell sind Network Intrusion Detection Systems (NIDS) darauf ausgelegt Angriffe auf das Netzwerk zu erkennen. IDS Systeme basieren auf der Identifikation von bekannten Angriffsmustern und Verhaltensanomalien. Die in jüngerer Zeit entwickelten Datenbank IDS/Third Party Database Activity Monitoring Systeme sind darauf ausgelegt worden, Datenbanken zu monitoren und abzusichern. Um heute auch kritische Personen- und Unternehmensdaten zu sichern ist eine Kombination aus Network IDS System und Datenbank IDS Systems typischerweise empfohlen.
In den weiteren Artikeln werden verschiedene Arten von potenziellen Angriffen auf Datenbanksysteme vorgestellt einschließlich der Möglichkeiten diese zu entdecken sowie die konzeptionelle Architektur von Database Activity Monitoring Systemen und die Herausforderungen, denen sich diese Database Activity Monitoring Lösungen stellen müssen sowie der Umfang des Database Activity Monitoring beschrieben.
Grundsätzlich kann ein erfolgreicher Schutz von Datenbanken nur durch einen klar definierten Prozess erfolgen, in dessen Verlauf Aufgaben aus unterschiedlichen Bereichen zu meistern sind. Diese Bereiche sollen nachfolgend genannt werden:
-
- Discovery und Assessment
- Riskmanagement und Mitigation
- User-Rights Management
- Database Activity Monitoring/Firewalling
Hierbei liefern die Antworten jedes Bereichs den Input für die nachfolgenden Bereiche. Z. B. fordert die SOX-Compliance einen Audit-Trail über alle Änderungen an den Finanzdaten eines Unternehmens. In diesem Fall werden die Ergebnisse aus dem Bereich Discovery und Assessment (u.a. Datenklassifzierung hier Finanzdaten) direkt als Kriterium im Bereich Database Activity Monitoring als Regel verwendet z.B. „Logge alle INSERT, UPDATE, DELETE auf allen Datenbanken in den Finanzdaten gespeichert sind“. Daneben können die Ergebnisse des Bereichs User-Rights Management im Bereich Database Activity Monitoring dazu genutzt werden die Frage zu beantworten „ob und wann auf sensible Daten von Usern einer Abteilung zugegriffen worden ist und welche Berechtigung sie dafür haben“.