安華金和數據庫攻防實驗室(DBSec Labs)以月為單位,將高危漏洞匯總,形成分析報告,分享廣大用戶及合作伙伴。
8月報告核心觀點
1.Web是數據泄露的主要渠道
2.互聯網成為數據泄漏頻發地
3.8月常見數據泄漏原因
4.針對數據泄漏的防范手段
報告正文
2015年8月,我們總結發布了102個數據泄密高危漏洞,這些漏洞分別來自漏洞盒子、烏云、補天等平臺,涉及11個行業,企業機構、互聯網、交通運輸、教育、金融保險、旅游、能源、社保公積金、醫療衛生、運營商、政府。102個漏洞中,其中絕大多數泄露威脅是由SQL注入和弱口令引起的。
Web是數據泄漏的主要渠道
自互聯網普及之日起,Web由于它在網絡中的位置和廣泛的用途、不兼容的協議等多種原因,長期處于黑客視野之中。在《2015年全球數據泄露調查報告》中明確指出由技術原因導致的數據泄漏,第一名就是Web端的SQL注入。相信在長時間內這一情況不會有太大好轉。
互聯網成為數據泄漏頻發地
從8月102個數據泄露威脅的行業來看,互聯網行業成為重災區。其中39個數據泄漏威脅直指互聯網,占全部數據泄露威脅的38%。金融、政府、企業機構緊隨其后,漏洞比例分別占10%以上。
8月安全漏洞行業分布
互聯網行業,不但數據泄露安全威脅多而且可能泄露的數據量也非常巨大,基本都在200W條以上。最主要原因是由于互聯網公司的業務發展速度較快,但是長期以來互聯網公司大多只把關注點放在業務上,先讓業務系統運轉,把業務支撐起來,至于這里面的信息安不安全往往是第二步;同時還有一個很重要的原因由于成本等因素升級任務往往進行外包,以至于大量網站的代碼有明顯的缺陷。這些缺陷最終很可能給網站帶來數據泄漏威脅。
在企業機構和金融行業中,上述問題也是數據泄密的重要原因之一,同時還因大量人為因素存在。例如泛華保險某核心系統、甘肅省某政府系統、湖北政府某平臺等存在不同程度的弱口令。
8月常見數據泄露原因
Web開發中出現的代碼缺陷,很可能最終轉化成數據泄漏的漏洞。這種漏洞往往會被SQL注入利用;弱口令更多是人為因素導致,企事業單位應該在管理機制上盡量避免弱口令的出現。
8月份數據泄漏威脅主要原因
SQL注入是當前針對數據庫安全進行外部攻擊的一種常見手段。當前應用大多基于B/S模式開發,因此通過SQL注入等方式對數據庫進行攻擊的案例逐漸增多,其所帶來的危害性比例也逐步升高。
弱口令完全可以通過定期更換密碼和利用一些小型安全檢查軟件來避免。弱口令雖然技術難度不高,但大量的存在于互聯網行業當中。筆者在分析這部分內容時用一款自動化掃Web軟件,對某網段中的網頁進行掃描發現大量弱口令:
通過對30個網站樣本進行掃描,發現3個弱口令。其中第一個是admin|f297a57a5a743894a0e4。7a57a5a743894a0e,百度一下就知道是admin的CMD5值。也就是說第一個網站他的管理員賬號密碼和用戶名是一致的。密碼的設置一定要避免和一些可能無需登錄就能暴露出來的信息有關。筆者建議密碼千萬不要和用戶名、網站名或域名有任何關系,這些都是極容易被別人猜出來的。
針對數據泄露的防御方案
想要針對SQL注入和弱口令進行防護,主要從三個時間點來進行全面防護:1.入侵事前檢查防護。2.入侵事中阻斷防御。3.入侵事后追蹤審計,減小損失。
1.入侵事前檢查防護
事前的重點是檢查。在遭遇外部入侵前,我們需要定期對整個網絡環境進行弱點掃描。網絡中任何一點的漏洞都可能導致最后的數據泄露。可以定期請專人對整個網絡做滲透測試,同時可以通過Web安全掃描器、數據庫漏洞掃描器等相關產品對整個環境進行安全檢查。
2.入侵事中阻斷防御
過程中防御的重點是準確的判斷出哪些語句屬于入侵語句。推薦在Web前端部署WAF來解決大部分針對Web的入侵行為。僅以SQL注入為例,某些類型的SQL注入WAF難以準確識別。會把部分入侵語句放過去,導致數據被泄露。所以同時推薦您在數據庫前部署專業的數據庫防火墻。
因為WAF的局限性在于無法對WEB發給數據庫的SQL語句進行協議分析、無法進行語句還原,只能通過正則匹配來遍歷每種情況。而數據庫防火墻則恰好彌補了WAF的技術路線缺陷。數據庫防火墻的防護策略、手段都是基于SQL協議解析而來。數據庫防火墻在防止SQL注入上徹底的解決了WAF以犧牲性能為代價的方式。相信如何數據庫防火墻和WAF配合使用會使您的數據更加安全。
對數據密級要求比較高的企業,可以通過數據加密軟件對數據庫中最重要的數據進行加密。這樣即使黑客拿走了數據庫中的部分數據,也只是拿到了密文。數據庫加密技術利用復雜的算法可以保證在一定時間內黑客是無法破譯出明文內容。
3.入侵事后減小損失防御
通過對用戶訪問數據庫行為的記錄、審計分析,幫助用戶事后進行數據泄密行為的追根溯源,提高數據資產安全。
關于弱口令更多在于管理者的安全意識和責任心。相信廣大管理員只要保持定期更換復雜的密碼就可以從根本上斷絕弱口令的存在。
結束語
為了實現讓數據使用更安全的使命,安華金和數據庫攻防實驗室有義務和責任為客戶提供創新前沿與穩定的數據防泄漏產品與解決方案。
最后,也是最重要的,用戶還是要從主觀因素上提高安全意識加強內部安全管理防范。安全就是這樣一種形態,平時不出狀況看不到安全的效果,一旦企業出現了數據泄露事件,其經濟損失、名譽損失將不可估量,更甚者企業形象會一落千丈,從此難以翻身。
8月份數據安全漏洞列表
京公網安備 11010502049343號