由于數據庫管理員隊伍在工作中的疏漏,許多機構都面臨著數據庫安全項目無用武之地的窘境。越來越多的機構已經在積極采取行動,將保護數據庫中的數據作為工作的常態;而整個過程中最大的挑戰之一來自業務成員。為了切實減輕數據泄露的風險,安全團隊不僅要學習如何與數據庫管理員們打成一片,更重要的是讓這些管理員同樣真正參與進來,與他們所管理著的數據庫做到休戚相關。專家認為,要達成這一目的,教育及以尊重為基礎的交流不可或缺,同時需要雙方勇于放開自己的習慣性思維。
"當下(行業內部)存在著一種轉變,即我們正著手逐步改進自己的數據庫安全實踐,并專注于解決那些以往常常被忽視的數據庫安全領域,"應用程序安全公司CTO Josh Shaul如是說。"掌控著數據庫的家伙--也就是數據庫管理員們——發現他們所熟知的世界正發生顛覆式變革,而出于對安全性的基礎要求,過去他們曾習以為常的某些自主措施也已經消失不見。以我個人的經歷來看,數據庫管理員與安全團隊之間的裂隙正日益擴大,二者在理解或是遠景預期方面的差異程度正是決定機構在數據庫安全方面能否有所作為的關鍵性因素。"
這種認知差異的產生原因主要來自技術背景方面的分歧。
"通常情況下,數據庫管理員們會把主要精力放在性能及細節調整方面,他們一般都沒什么時間參加與安全性有關的培訓。我們得承認他們在自己的份內工作上表現出色,至于其它內容,邊做邊學也算是種不錯的選擇,"Protiviti公司執行董事Scott Laliberte說道。"而在另一方面,大多數安全專業人士對數據庫也沒什么深入理解,他們往往是操作系統、網絡及具體應用方面的行家;聽取他們的安全建議非常簡單,但大家常常會發現這些建議無法直接應用于數據庫當中,更不能實際進行操作。正是出于這一原因,數據庫管理員對這類建議往往相當抵觸。"
根據紐約家訪護理服務中心CISO(即首席信息安全官)Larry Whiteside的說法,許多安全控制工作在實施的同時會必然導致數據庫內部處理性能的相應下降。而對于將處理性能視為生命的數據庫管理員們而言,這種消極結果當然是很難忍受的;因此他們總在討論安全性話題時打哈哈也在情理之中。
"由于數據庫管理員的述職報告通常以執行層面的信息為重點,因此他們總是強烈關注數據庫的運作角度--保證其正常工作、保證其工作效率等--而與此同時,跟數據庫安全性相關的各類組件所負責的內容則幾乎與管理員們背道而馳--嘗試在其中加入監控機制、嘗試清理可能產生性能阻礙的東西等等,"Whiteside解釋道。"這對于數據庫管理員的日常工作內容來說簡直是種挑釁。"
為了讓管理員隊伍擺脫安全工作這種令人厭惡的第一印象,CISO團隊應該盡量嘗試與他們進行深入交流并通力協作,而不是一味對抗或強迫。一段時間以來,安全部門中已經出現一種趨勢,也就是說他們從過去否定一切的惱人身份轉變為如今以商務交易安全性為主旨的合作者,Whiteside補充道。
"在過去的三到五年中,安全人員的作用已經發生了變化。四年前剛剛入行時,我的主要目的是讓自己的職位不要站在IT團隊、管理員以及商務部門的對立面,而是盡量成為他們的朋友。這樣他們就會切身體會到雖然我常常帶來壞消息,但歸根結底大家同坐一條船,并且我的出發點是從長遠角度幫助企業節約時間、金錢跟資源,"他表示。"(我希望)確保自己不會對商務團隊進行人身攻擊或是阻礙其正常工作。而當下這種標準則進一步細化為努力配合數據庫管理員的業務流程。"
當他開始與數據庫管理員主管Larry Byrnes展開對話,這種原則性態度使得數據庫環境內部的控制實施工作變得更為順暢。
"討論使具體工作變得更加簡單易行,因為我們站在同樣的立場上分析問題,而且雙方都不希望為安全性所做出的改變給數據庫或者數據庫訪問用戶所需要的應用程序帶來任何負面影響,"紐約家訪護理服務中心數據庫主管Byrnes指出。"所以我們決定為同一個奮斗目標并肩努力,最終拿出一套能令大家都感到滿意的方案。"
Whiteside與Byrnes之所以能夠成功部署來自AppSec的數據庫安全體系,正是由于這種拋棄己見、服務全局的戰略眼光。同時Byrnes在整個實施流程中為自己設置的導航員角色也起到了相當良好的輔助作用。他認為,如果安全團隊希望贏得數據庫安全項目的最終勝利,那么讓直接了解這一領域的數據庫管理員放到主駕位置無疑是必要的;管理員對數據庫的部署及管理工作自然得心應手,而安全專家則包攬數據觀察及輸出結果審計監控的工作。
"必須調動數據庫管理員們的主觀能動性,讓他們參與進來、掌管項目并真正為落實工作做出貢獻,"Byrnes評價道。"一天的工作結束之后,我們必須保證數據庫本身內容準確、工作良好。而數據庫管理員則無疑是收集(安全團隊所需的)系統工作狀態信息的上上之選,"Byrnes補充道,他還解釋稱數據庫管理員應該將此視為對職業發展大有裨益的鍛煉良機。"如果大家已經對著數據庫和列表工作了多年,那么嘗試跳出這個圈子,多了解一些其它領域的知識不也是完善職業規劃的一種有益嘗試嗎?這樣的經驗能為我們提供更多的選擇。"
為了讓以上各種美好設想變為現實,像來自Vormetric公司的解決方案架構師Jonathan Intner這樣的多位專家都認為,各類機構必須努力為數據庫管理員提供更好的安全性原則培訓。
"要迅速與數據庫管理員們建立信任與合作關系,IT安全專家們最好的辦法之一就是幫他們學習一些基本的安全原則。不少管理員都沒意識到這一領域的重要性,"Intner說道。"我身邊就有這樣一個實例。我們發現有家公司對數據進行了加密,并把密鑰文件保存在了同一臺服務器中。而每一次他們對數據庫內容進行備份,這個密鑰文件就被備份一次。這有點像鎖了門之后卻把鑰匙粘在門把手上。將密鑰與數據保存在一處會帶來不必要的安全風險。這對于安全專家而言屬于常識,但大多數數據庫管理員卻對此一無所知。"
英文原文鏈接:http://www.darkreading.com/database-security/167901020/security/news/232300305/can-security-teams-and-dbas-play-nice.html
原文鏈接:http://netsecurity.51cto.com/art/201112/307178.htm
