信息化安全的提升,某种程度上,依赖于攻击与防护对抗的碰撞力度。攻击愈烈,防守意识愈能提升,安全防护的技术水平愈加速发展,和安全防御的能力愈不断提升;而防守越强,同时也反向刺激攻击手段不断“创新”与“求变”。
本次社保行业信息泄露事件的集中报道,就是信息化安全攻与防较量的一个典型代表。
7天连锁酒店的600万会员信息泄密;
csdn 1000多万客户信息被窃取;
06网站被攻破,上百万人的信息泄露;
“房叔房姐”信息屡被搜集挖掘,终被曝光;
陕西移动1300万的用户数据泄露,被运维工程师窃取网上兜售;
3.15晚会连续4年报道电信行业内鬼,持续倒卖客户信息;
……
近4、5年来,数据泄密事件层出不穷。大大小小的企业、组织都在遭到数据库泄密事件的重创。组织整体的信息化安全结构和水平决定了安全攻击的目标和核心。
根据verizon 对2亿8500万次累计攻击行为调查而发布的数据泄露调查报告表明,数据库成为入侵者最主要的攻击目标,高达76%的数据泄露直接来自数据库。
1) 当前信息化安全主要短板逐渐显示在后端
绝大部分政府/大型企业用户,当前已经进行了终端安全、网络安全防护,形成相对有效的边界安全防护能力,防火墙、防病毒软件、网站防攻击软件、ca认证系统等都已具备。
然而,在最接近核心资产数据库的后端”应用”和数据库部分,很多用户是没有有效防护手段甚至没有意识到需要安全防护。
2)b/s外网系统,存在明显的隐患,成为安全攻击的重要场所
b/s应用系统,由于其特殊的使用方式,使得终端用户可以轻松与后台应用服务进行互联,当前外网型b/s应用已经成为黑客及其他攻击者的首选试验田。
其中,最常用的就是利用应用系统、数据库的漏洞进行sql注入。一旦sql注入成功,可以轻松做到:一、不具备用户口令,但骗取登入应用;二、在查询窗口注入语句,可骗取应用的处理逻辑直接获得整表或大批量数据。
sqlmap等开源sql注入工具,已经验证一大批b/s应用的注入点,成为攻击者的教学使用软件。
当前虽然有不少用户已经使用了waf(web应用防火墙)等手段进行防护,但效果显然还不够健壮。目前已经曝光的多种sql注入,是waf不易防范的,如运算函数、sql动态语句、数据库函数运算等特征的sql注入等。
3)数据库自身缺陷,使得运维端容易获取批量数据
数据库自身的设计缺陷,使得dba超级用户在数据库中完全不受限,另外有oracle等数据库存在sys超级用户本地访问不需校验密码等重大缺陷。这使得运维域的管理员、驻场人员、运维人员、测试人员、网管等都有机会批量获取敏感数据。
敏感数据的安全性提升,严格来讲,不是某一个安全产品或厂商的单点职责。有效的安全机制应该是一个闭环的、由外到内的、由弱到强的、多层次塔式防御体系。
在终端、网络等传统安全措施相对健全的条件下、重点需要加强针对数据库内在核心的本质防护。
作为人力资源和社会保障自主可控信息化产业联盟(简称人社联盟)成员单位,北京安华金和科技有限公司,作为国家专业数据库安全厂商,为广大用户可提供如下数据库安全防护建议:
1)建立数据库安全主动防御机制
利用专门的数据库防火墙技术,彻底的对sql注入、数据库漏洞攻击行为进行防御。
数据库防火墙,不同于传统的防火墙,传统的防火墙无法防止sql注入等攻击手段;也不同于web防火墙,web防火墙实际上有很多的应用限制,有很多的sql注入绕开手段,web防火墙也无法做到防止批量下载和后门程序。
而数据库防火墙可以对数据库的通讯过程进行精确的解析和控制;对于sql注入本身比web防火墙拦截得更为彻底;同时可以对社保行业应用建立应用特征模型,建立社保正常访问语句的抽象表达,对每种语句的返回总量进行控制;从而防止批量下载和后门程序。
2)建立数据库底线保护机制
安全防护与安全攻击一样,都有成功概率。即使能防护住99%的行为,也有可能存在1%的攻破概率,而且随着攻击人员不断“创新”攻击方案或程序,比如会存在短暂的攻方暂时领先,如同杀毒软件的病毒库更新一样。
因此,在数据库安全的防护上,建议增加底线防护机制,通过使用数据记录行数阀值控制的技术,在最邻近数据库的位置部署数据库防火墙,即使攻击方法穿透了网络、主机、应用,但是一旦超过一定阀值(如100行),所有的访问行为将立即进行阻断、拦截。首先能做到规避大规模数据的泄密灾难。
3)建立数据库安全监控和告警机制
利用数据库监控与审计技术,可以记录下所有人员、所有通道、所有时间的数据库访问行为;可以突破应用层限制,将sql语句与业务人员身份有效关联,在发生安全事件后,形成有效追踪。为追责、问责提供有力的保障手段。
最后,安华金和的技术专家们提醒大家,任何目的攻击测试与实验,有目的或无意识的公众系统安全攻击,一旦造成个人隐私、国家信息的泄露与窃取行为,都是违法的,都需要受到刑法的追责。
试用申请