张某是某科技公司数据安全管理部部长，发现公司的敏感数据被泄露在公网上，马上启动风险调查进行回溯。这部分数据未被共享给任何第三方，所以很可能是内部操作导致，随后调阅公司部署的第三方数据库审计系统，但是很遗憾并没有定位出任何和此次数据泄露相关的任何日志记录，风险记录。

随后张某咨询多家业内同行和安全产品供方，基本推测应该是访问行为绕过了数据库审计系统实施了数据导出，并且通过和多个产品供方进行研讨，昂楷科技专家向张某反馈了一件类似案例，且因为采用了昂楷科技审计产品新特性，及时抓住了准备再次实施数据窃取行为的一名运维人员。

经过运维人员的陈述，他明知公司已部署了数据库审计产品，但是凭借自己的对产品原理的了解，通过本地访问的特殊场景躲避了被审计的发生。

01漏审背后的原因？

数据库安全审计产品常用部署方式：采用旁路部署镜像引流方式或者在数据库服务器上部署Agent插件引流方式，实现对数据库所有操作语句的审计和风险预警；

昂楷科技通过长期的行业实践和研究，发现部分客户端工具进行本地访问数据库时不采用本地回环方式（指定回环网卡及端口，流量经过回环网卡，这一过程种有本地访问流量产生）。区别于常规的数据库访问方式，非回环本地访问详情难以被第三方数据库审计产品捕捉到，导致数据漏审，容易造成数据泄露风险和合规性风险。

这种比较特别的本地访问方式采用进程间通信（IPC），不会经过任何网卡即可完成通讯。通信原理如下图：

所以我们在部署数据库审计设备时，不可以忽略本地访问的漏审风险，需要采取技术手段来覆盖此场景， 并选择专业、有行业积淀的数据库审计解决方案厂家。

02有没有办法杜绝漏审？

昂楷科技数据库审计系统，针对本地客户端通过IPC方式访问数据库场景仍然可以完整审计的产品， 通过对底层操作指令完全获取，获取之后将关键信息进行存储或转发，并对非法攻击者或者运维人员私自修改或者删除数据库相关关键文件进行记录审计，并在告警时，将具体的变化内容通知给相关人员。

03漏审会给客户带来哪些危害？

本地访问是重大数据安全事故的高发地，“内部风险” 高发集中在运维人员、数据库管理员、合作方、开发人员。这些具备一定技术背景，因工作要求掌握数据库操作权限，长期从事数据安全运行机制和保障机制建设，距离数据最近的人员一但从“数据安全防守方”变为“数据安全攻击方”，所造成的危害一定空前严重。

“内部威胁”远远超过了“外部攻击”， 针对内部威胁，因为攻击者具备内部知识，可以直接访问核心信息资产，对组织造成严重危害；同时，透明性与隐蔽性却使得这种威胁难以检测发现，难以防范。

★产生威胁的内部人员高权限人员正常开展工作，必须获取一定的数据访问权限。很难界定正常工作和恶意数据窃取行为，监管最为困难。

★针对内部人员的安全防护及检测措施少，大多数安全检测手段是针对外部攻击。

★内部人员更加熟悉组织内部的运行机制，甚至可能是安全设备的策略配置者，可以在实施恶意行为时规避相应的检测机制，事后删除日志以逃避追溯。

昂楷科技长期深耕于数据安全行业，不断研究数据安全审计风险领域，并研究提供场景化技术方案，长期践行“全面审计、杜绝漏审” 的数据安全审计产品理念， 积累丰富的产品优势，助力政企数据安全防护。