信息化安全的提升,某種程度上,依賴于攻擊與防護對抗的碰撞力度。攻擊愈烈,防守意識愈能提升,安全防護的技術水平愈加速發展,和安全防御的能力愈不斷提升;而防守越強,同時也反向刺激攻擊手段不斷“創新”與“求變”。
本次社保行業信息泄露事件的集中報道,就是信息化安全攻與防較量的一個典型代表。
1、社保數據遭受泄露事件曝光絕不”純屬偶然”
7天連鎖酒店的600萬會員信息泄密;
CSDN1000多萬客戶信息被竊取;
12306網站被攻破,上百萬人的信息泄露;
“房叔房姐”信息屢被搜集挖掘,終被曝光;
陜西移動1300萬的用戶數據泄露,被運維工程師竊取網上兜售;
3.15晚會連續4年報道電信行業內鬼,持續倒賣客戶信息……
近4、5年來,數據泄密事件層出不窮。大大小小的企業、組織都在遭到數據庫泄密事件的重創。組織整體的信息化安全結構和水平決定了安全攻擊的目標和核心。
根據verizon 對2億8500萬次累計攻擊行為調查而發布的數據泄露調查報告表明,數據庫成為入侵者最主要的攻擊目標,高達76%的數據泄露直接來自數據庫。
2、安全事件發生的原因分析
(1)當前信息化安全主要短板逐漸顯示在后端
絕大部分政府/大型企業用戶,當前已經進行了終端安全、網絡安全防護,形成相對有效的邊界安全防護能力,防火墻、防病毒軟件、網站防攻擊軟件、CA認證系統等都已具備。
然而,在最接近核心資產數據庫的后端”應用”和數據庫部分,很多用戶是沒有有效防護手段甚至沒有意識到需要安全防護。
(2)B/S外網系統,存在明顯的隱患,成為安全攻擊的重要場所
B/S應用系統,由于其特殊的使用方式,使得終端用戶可以輕松與后臺應用服務進行互聯,當前外網型B/S應用已經成為黑客及其他攻擊者的首選試驗田。
其中,最常用的就是利用應用系統、數據庫的漏洞進行SQL注入。一旦SQL注入成功,可以輕松做到:一、不具備用戶口令,但騙取登入應用;二、在查詢窗口注入語句,可騙取應用的處理邏輯直接獲得整表或大批量數據。
SQLMap等開源SQL注入工具,已經驗證一大批B/S應用的注入點,成為攻擊者的教學使用軟件。
當前雖然有不少用戶已經使用了WAF(WEB應用防火墻)等手段進行防護,但效果顯然還不夠健壯。目前已經曝光的多種SQL注入,是WAF不易防范的,如運算函數、SQL動態語句、數據庫函數運算等特征的SQL注入等。
(3)數據庫自身缺陷,使得運維端容易獲取批量數據
數據庫自身的設計缺陷,使得DBA超級用戶在數據庫中完全不受限,另外有Oracle等數據庫存在SYS超級用戶本地訪問不需校驗密碼等重大缺陷。這使得運維域的管理員、駐場人員、運維人員、測試人員、網管等都有機會批量獲取敏感數據。
3、敏感數據安全提升的有效解決辦法
敏感數據的安全性提升,嚴格來講,不是某一個安全產品或廠商的單點職責。有效的安全機制應該是一個閉環的、由外到內的、由弱到強的、多層次塔式防御體系。
在終端、網絡等傳統安全措施相對健全的條件下、重點需要加強針對數據庫內在核心的本質防護。
作為人力資源和社會保障自主可控信息化產業聯盟(簡稱人社聯盟)成員單位,北京安華金和科技有限公司,作為國家專業數據庫安全廠商,為廣大用戶可提供如下數據庫安全防護建議:
(1)建立數據庫安全主動防御機制
利用專門的數據庫防火墻技術,徹底的對SQL注入、數據庫漏洞攻擊行為進行防御。
數據庫防火墻,不同于傳統的防火墻,傳統的防火墻無法防止SQL注入等攻擊手段;也不同于WEB防火墻,WEB防火墻實際上有很多的應用限制,有很多的SQL注入繞開手段,WEB防火墻也無法做到防止批量下載和后門程序。
而數據庫防火墻可以對數據庫的通訊過程進行精確的解析和控制;對于SQL注入本身比WEB防火墻攔截得更為徹底;同時可以對社保行業應用建立應用特征模型,建立社保正常訪問語句的抽象表達,對每種語句的返回總量進行控制;從而防止批量下載和后門程序。
(2)建立數據庫底線保護機制
安全防護與安全攻擊一樣,都有成功概率。即使能防護住99%的行為,也有可能存在1%的攻破概率,而且隨著攻擊人員不斷“創新”攻擊方案或程序,比如會存在短暫的攻方暫時領先,如同殺毒軟件的病毒庫更新一樣。
因此,在數據庫安全的防護上,建議增加底線防護機制,通過使用數據記錄行數閥值控制的技術,在最鄰近數據庫的位置部署數據庫防火墻,即使攻擊方法穿透了網絡、主機、應用,但是一旦超過一定閥值(如100行),所有的訪問行為將立即進行阻斷、攔截。首先能做到規避大規模數據的泄密災難。
(3)建立數據庫安全監控和告警機制
利用數據庫監控與審計技術,可以記錄下所有人員、所有通道、所有時間的數據庫訪問行為;可以突破應用層限制,將SQL語句與業務人員身份有效關聯,在發生安全事件后,形成有效追蹤。為追責、問責提供有力的保障手段。
最后,安華金和的技術專家們提醒大家,任何目的攻擊測試與實驗,有目的或無意識的公眾系統安全攻擊,一旦造成個人隱私、國家信息的泄露與竊取行為,都是違法的,都需要受到刑法的追責。
京公網安備 11010502049343號