數(shù)據(jù)庫信息泄漏 不可忽視的安全短板

責(zé)任編輯:editor04

作者:安華金 石川 潭心 廉小偉

2015-01-26 20:21:33

摘自:51CTO

這些存儲(chǔ)文件包括數(shù)據(jù)庫的數(shù)據(jù)文件、備份文件、日志文件等;這樣只要能夠訪問或得到數(shù)據(jù)庫存儲(chǔ)文件,就可以獲得數(shù)據(jù)庫中的信息。數(shù)據(jù)庫安全事件頻頻發(fā)生的原因也是由于當(dāng)前數(shù)據(jù)庫的應(yīng)用環(huán)境和應(yīng)用模式日趨復(fù)雜,與數(shù)據(jù)庫應(yīng)用環(huán)境相關(guān)的安全隱患主要有三個(gè)方面:

一、 概述

傳統(tǒng)的信息安全解決方案主要是通過網(wǎng)絡(luò)傳輸通道加密、PKI或增強(qiáng)身份認(rèn)證、防火墻、IPS、堡壘機(jī)等技術(shù)構(gòu)成綜合的信息安全應(yīng)對(duì)策略,但這些方案在現(xiàn)實(shí)中變得弱不禁風(fēng),大量信息泄露事件頻繁爆發(fā)。

數(shù)據(jù)庫信息泄漏 不可忽視的安全短板

圖1 Verizon2014數(shù)據(jù)泄露事件

2014年數(shù)據(jù)泄漏調(diào)查報(bào)告中回顧了63737起賽博安全事件和1367起已經(jīng)確認(rèn)的數(shù)據(jù)泄露事件(賽博含義理解為:敏感數(shù)據(jù)資產(chǎn))。

數(shù)據(jù)庫信息泄漏 不可忽視的安全短板

圖2 Verizon2014十大內(nèi)部資產(chǎn)濫用排名

根據(jù)Verizon2014年數(shù)據(jù)泄漏調(diào)查分析報(bào)告和對(duì)近期發(fā)生的信息安全事件技術(shù)分析,總結(jié)出信息泄露呈現(xiàn)兩個(gè)趨勢:

(1)黑客通過B/S應(yīng)用,以Web服務(wù)器為跳板,竊取數(shù)據(jù)庫中數(shù)據(jù);傳統(tǒng)解決方案對(duì)應(yīng)用訪問和數(shù)據(jù)庫訪問協(xié)議沒有任何控制能力,比如:SQL注入就是一個(gè)典型的數(shù)據(jù)庫黑客攻擊手段。

(2)內(nèi)部人員的濫用數(shù)據(jù)庫存儲(chǔ)的有價(jià)值信息導(dǎo)致數(shù)據(jù)資產(chǎn)丟失數(shù)據(jù)泄露常常發(fā)生在內(nèi)部,大量的運(yùn)維人員直接接觸敏感數(shù)據(jù),傳統(tǒng)以防外為主的網(wǎng)絡(luò)安全解決方案失去了用武之地。

數(shù)據(jù)庫在這些泄露事件成為了主角,這與我們?cè)趥鹘y(tǒng)的安全建設(shè)中忽略了數(shù)據(jù)庫安全問題有關(guān),在傳統(tǒng)的信息安全防護(hù)體系中數(shù)據(jù)庫處于被保護(hù)的核心位置,不易被外部黑客攻擊,同時(shí)數(shù)據(jù)庫自身已經(jīng)具備強(qiáng)大安全措施,表面上看足夠安全,但這種傳統(tǒng)安全防御的思路,存在致命的缺陷。

二、 數(shù)據(jù)庫本身存在重大安全缺陷

傳統(tǒng)觀念認(rèn)為數(shù)據(jù)庫系統(tǒng)本身已具備完整的安全保障機(jī)制,存儲(chǔ)在數(shù)據(jù)庫中的數(shù)據(jù)足夠安全, Oracle總裁Larry Ellison曾宣稱Oracle數(shù)據(jù)庫是世界上最為安全的數(shù)據(jù)庫系統(tǒng),但事實(shí)上以O(shè)racle為首的數(shù)據(jù)庫系統(tǒng)存在重大安全缺陷,主要體現(xiàn)為如下三個(gè)方面:

數(shù)據(jù)庫信息泄漏 不可忽視的安全短板

圖 3 主流數(shù)據(jù)庫系統(tǒng)漏洞級(jí)別分布

2.1存儲(chǔ)文件解析后為明文

數(shù)據(jù)庫的數(shù)據(jù)是存儲(chǔ)在物理文件里,這些數(shù)據(jù)按照數(shù)據(jù)庫自定義的格式組織在數(shù)據(jù)庫中,但這些數(shù)據(jù)本質(zhì)上都是明文存儲(chǔ);主流的大型數(shù)據(jù)庫數(shù)據(jù)文件的組織結(jié)構(gòu)主動(dòng)或被動(dòng)公開化,只要得到這些數(shù)據(jù)文件,存儲(chǔ)的數(shù)據(jù)其實(shí)就是透明的。

這些存儲(chǔ)文件包括數(shù)據(jù)庫的數(shù)據(jù)文件、備份文件、日志文件等;這樣只要能夠訪問或得到數(shù)據(jù)庫存儲(chǔ)文件,就可以獲得數(shù)據(jù)庫中的信息。比如:在互聯(lián)網(wǎng)上公開的MyDUL軟件就是可以成功解析Oracle數(shù)據(jù)文件獲得明文信息的開源工具。

數(shù)據(jù)庫的明文存儲(chǔ)也會(huì)因?yàn)榇疟P、備份磁帶的丟失引起泄密,如香港花旗銀行在裝修期間丟失了服務(wù)器引起的客戶資料泄密。同時(shí),明文存儲(chǔ)使只要能夠訪問到數(shù)據(jù)庫文件的人員,都可以看到數(shù)據(jù)庫中的存儲(chǔ)內(nèi)容,如網(wǎng)絡(luò)管理員或者攻入到內(nèi)網(wǎng)當(dāng)中的黑客。

2.2數(shù)據(jù)庫自身存在諸多可攻擊安全漏洞

數(shù)據(jù)庫往往被認(rèn)為具備較為完備的安全機(jī)制,從身份認(rèn)證、訪問控制、到通訊加密,但事實(shí)上數(shù)據(jù)庫也存在諸多的安全漏洞,當(dāng)前在國際漏洞庫CVE上公布了2000多個(gè)數(shù)據(jù)庫漏洞,號(hào)稱最為安全的Oracle數(shù)據(jù)庫就占了1000多個(gè);這些漏洞大多是國際上的安全專家對(duì)數(shù)據(jù)庫安全狀況進(jìn)行研究后發(fā)現(xiàn)的,包括提權(quán)漏洞(如從普通用戶提權(quán)到DBA用戶)、緩沖區(qū)溢出漏洞(通過該漏洞可以使數(shù)據(jù)庫執(zhí)行非法代碼或癱瘓)、系統(tǒng)注入漏洞(通過該漏洞在調(diào)用系統(tǒng)函數(shù)時(shí)執(zhí)行任意非法SQL代碼)。

黑客已經(jīng)利用這些漏洞,對(duì)數(shù)據(jù)庫進(jìn)行了多次侵入;雖然數(shù)據(jù)庫廠商據(jù)此提供了大量補(bǔ)丁包,但這些補(bǔ)丁包所修復(fù)的漏洞數(shù)量也是有限的,同時(shí)大量的應(yīng)用系統(tǒng)出于系統(tǒng)穩(wěn)定性和兼容性的原因也無法實(shí)現(xiàn)補(bǔ)丁升級(jí);因此這些漏洞依然是黑客入侵?jǐn)?shù)據(jù)庫的常用通道,同時(shí)隨著這些安全問題的廣泛傳播,數(shù)據(jù)庫維護(hù)人員和程序人員也使用這些技術(shù)手段進(jìn)行越權(quán)工作,對(duì)數(shù)據(jù)庫造成了巨大威脅。

2.3數(shù)據(jù)庫自身的訪問控制存在缺陷

數(shù)據(jù)庫采用的訪問控制機(jī)制,依然是典型的三元組,也就是主體、客體和操作,其中主體主要是數(shù)據(jù)庫用戶或角色,客體是數(shù)據(jù)庫對(duì)象,操作是典型的DDL、DML、ACL語句和某些維護(hù)操作;但對(duì)這些操作的具體內(nèi)容和影響不再做控制,如是否采用了欺騙性的SQL語句、是否返回了大量數(shù)據(jù)無法控制。

當(dāng)前廣為流傳的SQL注入就是大量地利用這些控制缺陷,在SQL語句中構(gòu)造永真表達(dá)式、執(zhí)行外部調(diào)用、非法登錄應(yīng)用系統(tǒng)進(jìn)行批量數(shù)據(jù)導(dǎo)出。

同時(shí)某些程序人員也惡意利用這些控制缺陷,在應(yīng)用程序中埋下后門程序,對(duì)有價(jià)值的信息進(jìn)行非法下載,如陜西移動(dòng)、深圳福彩、某三甲醫(yī)院統(tǒng)方的安全事件,這些惡意行為可以通過數(shù)據(jù)庫中的檢索返回行數(shù)進(jìn)行控制并阻斷。

三、 數(shù)據(jù)庫的應(yīng)用環(huán)境變得日趨復(fù)雜

數(shù)據(jù)庫安全事件頻頻發(fā)生的原因也是由于當(dāng)前數(shù)據(jù)庫的應(yīng)用環(huán)境和應(yīng)用模式日趨復(fù)雜,與數(shù)據(jù)庫應(yīng)用環(huán)境相關(guān)的安全隱患主要有三個(gè)方面:

數(shù)據(jù)庫信息泄漏 不可忽視的安全短板

圖4 復(fù)雜業(yè)務(wù)環(huán)境下數(shù)據(jù)庫的安全隱患

3.1 B/S架構(gòu)使數(shù)據(jù)庫間接暴露在互聯(lián)網(wǎng)上

大量Web應(yīng)用的興起,面向公眾的政府、金融單位提供服務(wù)的動(dòng)態(tài)網(wǎng)站和應(yīng)用系統(tǒng)快速增加;大企業(yè)的各分支機(jī)構(gòu)分布地域廣闊,在企業(yè)內(nèi)部也通過互聯(lián)網(wǎng)實(shí)現(xiàn)財(cái)務(wù)、辦公、商務(wù)等信息化管理。這些系統(tǒng)采用B/S為主要技術(shù)架構(gòu),用戶通過瀏覽器訪問WEB服務(wù)器,WEB服務(wù)器再訪問數(shù)據(jù)庫服務(wù)器,形成了從用戶到數(shù)據(jù)庫的合法訪問通道,從而將數(shù)據(jù)庫間接暴露在互聯(lián)網(wǎng)上。甚至在某些企業(yè),數(shù)據(jù)庫就直接安裝在對(duì)外提供WEB服務(wù)的計(jì)算機(jī)上,通過攻擊web服務(wù)器即可實(shí)現(xiàn)數(shù)據(jù)庫的敏感數(shù)據(jù)訪問。

3.2數(shù)據(jù)庫維護(hù)模式改變?yōu)榉?wù)外包模式

傳統(tǒng)的數(shù)據(jù)庫維護(hù)主要是企業(yè)內(nèi)部的DBA完成,但隨著業(yè)務(wù)系統(tǒng)復(fù)雜度的增加和累積數(shù)據(jù)規(guī)模的增大,大型企業(yè)和政府單位的數(shù)據(jù)庫采用服務(wù)外包給IT企業(yè)的方式進(jìn)行維護(hù)管理,同時(shí)各關(guān)鍵行業(yè)處于信息化快速發(fā)展和建設(shè)中,往往是一邊開發(fā)新系統(tǒng)一邊正常使用完成的系統(tǒng),就導(dǎo)致存在大量的駐場程序開發(fā)人員;這樣使數(shù)據(jù)庫的直接接觸人員,不僅限于企業(yè)的內(nèi)部維護(hù)人員,同時(shí)包含大量的服務(wù)外包人員、程序開發(fā)人員和系統(tǒng)測試人員,這些人員直接接觸數(shù)據(jù)庫系統(tǒng)的真實(shí)數(shù)據(jù),使傳統(tǒng)基于人工內(nèi)部管理模式為主的數(shù)據(jù)庫安全機(jī)制面臨巨大挑戰(zhàn)。

3.3訪問數(shù)據(jù)庫系統(tǒng)的應(yīng)用形式多樣化

當(dāng)前數(shù)據(jù)庫內(nèi)的數(shù)據(jù)被大量共享訪問,數(shù)據(jù)庫的訪問形式不僅限于傳統(tǒng)的模式,B/S架構(gòu)的應(yīng)用逐漸成為主流。數(shù)據(jù)查詢類、分析類應(yīng)用迅速增加,數(shù)據(jù)倉庫、數(shù)據(jù)同步系統(tǒng)的建設(shè)以促進(jìn)共享。數(shù)據(jù)的定期備份、異地備份大量增加以加強(qiáng)數(shù)據(jù)的可靠性,訪問形式的多樣化,決定了數(shù)據(jù)庫安全問題的多樣化,需要綜合性的安全解決方案。

四、 傳統(tǒng)網(wǎng)絡(luò)安全解決方案存在致命缺陷

我國經(jīng)過十多年的信息安全建設(shè),已經(jīng)建立起相對(duì)完善的網(wǎng)絡(luò)信息安全體系,包括網(wǎng)絡(luò)安全設(shè)備、終端安全、認(rèn)證安全、主機(jī)安全、防病毒等系列化的安全產(chǎn)品和整體的安全解決方案;特別是以防火墻、IPS/IDS、UTM等產(chǎn)品為代表的網(wǎng)絡(luò)安全產(chǎn)品,更是成為了當(dāng)前安全建設(shè)的標(biāo)配。但這些產(chǎn)品都無法防止數(shù)據(jù)庫服務(wù)的安全缺陷。傳統(tǒng)的網(wǎng)絡(luò)安全解決方案中存在如下致命缺陷:

4.1網(wǎng)絡(luò)防火墻不對(duì)數(shù)據(jù)庫通訊協(xié)議進(jìn)行控制

傳統(tǒng)的網(wǎng)絡(luò)防火墻產(chǎn)品主要是基于:源IP + 源端口 + 目的IP + 目的端口 + 協(xié)議類型進(jìn)行訪問控制,傳統(tǒng)的防火墻不對(duì)協(xié)議的內(nèi)容進(jìn)行解析和控制。由于應(yīng)用要訪問數(shù)據(jù)庫,因此數(shù)據(jù)庫的通訊端口總是開放的,本質(zhì)來說傳統(tǒng)防火墻對(duì)于數(shù)據(jù)庫網(wǎng)絡(luò)通訊無任何的安全防護(hù)能力。

4.2 IPS/IDS對(duì)數(shù)據(jù)庫通訊協(xié)議的控制很弱

IPS/IDS(入侵防護(hù)系統(tǒng)/入侵偵測系統(tǒng))產(chǎn)品比起傳統(tǒng)防火墻更進(jìn)了一步,開始嘗試對(duì)應(yīng)用層的通訊協(xié)議進(jìn)行解析,但這些協(xié)議都限于標(biāo)準(zhǔn)通訊協(xié)議,如FTP、郵件、LDAP、Telnet等,對(duì)一些針對(duì)標(biāo)準(zhǔn)協(xié)議的攻擊行為進(jìn)行防范;但對(duì)于數(shù)據(jù)庫這樣的非標(biāo)準(zhǔn)化通訊協(xié)議,協(xié)議的復(fù)雜度很高,當(dāng)前市場上的主流IPS/IDS產(chǎn)品均未實(shí)現(xiàn)對(duì)數(shù)據(jù)庫通訊協(xié)議的解析和防護(hù)。

4.3 繞過WAF系統(tǒng)的刷庫行為屢見不鮮

WAF(Web Application Firewall 網(wǎng)站應(yīng)用防火墻)產(chǎn)品主要是對(duì)Http協(xié)議的解析,通過對(duì)Http協(xié)議中的內(nèi)容進(jìn)行分析,實(shí)現(xiàn)攻擊防御;通過WAF可以實(shí)現(xiàn)對(duì)部分SQL注入行為的阻止,但WAF對(duì)于復(fù)雜的SQL注入和攻擊行為無能為力;2012年的黑客大會(huì)宣布有150多種方法可以繞開WAF實(shí)現(xiàn)對(duì)Web應(yīng)用服務(wù)器的攻擊。在Web應(yīng)用服務(wù)器上利用應(yīng)用的數(shù)據(jù)庫賬戶攻擊數(shù)據(jù)庫服務(wù)器是當(dāng)前刷庫的主要手段。

4.4 NGFW無法解決來自于業(yè)務(wù)系統(tǒng)本身的安全威脅

NGFW(Next generation firewall下一代防火墻)比傳統(tǒng)防火墻更近了一步,更偏重于應(yīng)用層,號(hào)稱是UTM(Unified Threat Management統(tǒng)一威脅管理)有更多技術(shù)革新性的產(chǎn)品,集成了傳統(tǒng)防火墻、IPS、防病毒、防垃圾郵件等諸多功能的綜合安全產(chǎn)品。NGFW將視角更多地轉(zhuǎn)向了應(yīng)用層,在控制規(guī)則上增加了用戶、應(yīng)用類型和內(nèi)容,一些NGFW產(chǎn)品也號(hào)稱能夠識(shí)別幾百種應(yīng)用;但NGFW中所兼容的應(yīng)用層協(xié)議,特別是對(duì)應(yīng)用層的協(xié)議內(nèi)容進(jìn)行控制,僅限于標(biāo)準(zhǔn)化的應(yīng)用服務(wù),如FTP協(xié)議、Telnet協(xié)議、Mail協(xié)議、LDAP協(xié)議;但對(duì)于數(shù)據(jù)庫這種沒有通訊協(xié)議標(biāo)準(zhǔn)、通訊又極其復(fù)雜、各個(gè)廠商各自為政的應(yīng)用層協(xié)議,當(dāng)前沒有任何一家NGFW產(chǎn)品能夠?qū)崿F(xiàn)對(duì)數(shù)據(jù)庫通訊協(xié)議的安全控制;因此即使有了NGFW,依然無法阻止黑客通過數(shù)據(jù)庫的通訊進(jìn)行的攻擊。

4.5 內(nèi)網(wǎng)管控的堡壘機(jī)解決方案存在重大缺陷

針對(duì)來自于內(nèi)部的數(shù)據(jù)安全問題,當(dāng)前比較流行的是以堡壘機(jī)為核心的集中運(yùn)維管控解決方案,通過這種方案可以將運(yùn)維人員對(duì)主機(jī)設(shè)備和數(shù)據(jù)庫的維護(hù)集中到堡壘機(jī)上完成,在堡壘機(jī)上完成統(tǒng)一的認(rèn)證、授權(quán)和審計(jì)。

但堡壘機(jī)的解決方案存在以下安全缺陷:

A、堡壘機(jī)無法對(duì)圖形化工具的操作進(jìn)行控制,只能通過錄屏的方式進(jìn)行錄像記錄;

B、備份的磁帶不受堡壘機(jī)控制,DBA可以通過磁帶獲取明文數(shù)據(jù);

C、網(wǎng)絡(luò)管理員可以通過解析數(shù)據(jù)文件,獲取數(shù)據(jù)庫中明文數(shù)據(jù);

D、程序開發(fā)人員通過在生產(chǎn)系統(tǒng)的服務(wù)器上駐留后門程序訪問數(shù)據(jù)庫;

E、測試和開發(fā)人員訪問測試系統(tǒng)的數(shù)據(jù)庫獲得真實(shí)數(shù)據(jù)。

以上安全問題決定市場上還是需要更為專業(yè)的數(shù)據(jù)庫安全產(chǎn)品。

五、 市場需要專業(yè)的數(shù)據(jù)庫安全

5.1數(shù)據(jù)庫安全整體應(yīng)對(duì)策略

目前數(shù)據(jù)庫應(yīng)用和維護(hù)環(huán)境有了很大的變化,傳統(tǒng)安全解決方案存在了諸多安全隱患,數(shù)據(jù)庫安全問題也越來越引起國家安全部門的重視,市場上需要更為專業(yè)的數(shù)據(jù)庫安全整體應(yīng)對(duì)策略:

提供專業(yè)工具對(duì)數(shù)據(jù)庫的安全狀況進(jìn)行評(píng)估。

防止外部黑客通過數(shù)據(jù)庫通訊鏈路進(jìn)行攻擊行為。

防止內(nèi)部運(yùn)維人員的高危數(shù)據(jù)庫操作。

防止信息服務(wù)外包人員的刷庫行為(對(duì)敏感數(shù)據(jù)大規(guī)模下載)。

對(duì)數(shù)據(jù)庫的訪問行為進(jìn)行記錄,提供事后分析工具。

存儲(chǔ)數(shù)據(jù)、備份數(shù)據(jù)和導(dǎo)出數(shù)據(jù)為加密態(tài)。

通過以上數(shù)據(jù)庫安全措施,有效地防止敏感數(shù)據(jù)泄露的安全事件發(fā)生。

5.2 數(shù)據(jù)庫漏掃

數(shù)據(jù)庫漏掃是一種幫助用戶對(duì)當(dāng)前的數(shù)據(jù)庫系統(tǒng)進(jìn)行自動(dòng)化安全評(píng)估的專業(yè)軟件,能有效暴露當(dāng)前數(shù)據(jù)庫系統(tǒng)的安全問題,提供對(duì)數(shù)據(jù)庫的安全狀況進(jìn)行持續(xù)化監(jiān)控,幫助用戶保持?jǐn)?shù)據(jù)庫的安全健康狀態(tài)。發(fā)現(xiàn)外部黑客攻擊漏洞,實(shí)現(xiàn)從外到內(nèi)的檢測;模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù),在沒有授權(quán)的情況下,對(duì)目標(biāo)數(shù)據(jù)庫的安全性作深入的探測分析。

5.3數(shù)據(jù)庫防火墻

數(shù)據(jù)庫防火墻是一款基于數(shù)據(jù)庫訪問協(xié)議分析與控制技術(shù)的網(wǎng)絡(luò)數(shù)據(jù)庫安全防護(hù)系統(tǒng),基于主動(dòng)防御機(jī)制,實(shí)現(xiàn)數(shù)據(jù)庫的訪問行為控制、危險(xiǎn)操作阻斷、可疑行為審計(jì)。

數(shù)據(jù)庫信息泄漏 不可忽視的安全短板

圖5 數(shù)據(jù)庫防火墻的核心功能

數(shù)據(jù)庫防火墻面對(duì)來自于外部的入侵行為,提供SQL注入禁止和數(shù)據(jù)庫虛擬補(bǔ)丁包功能;通過虛擬補(bǔ)丁包,數(shù)據(jù)庫系統(tǒng)不用升級(jí)、打補(bǔ)丁,即可完成對(duì)主要數(shù)據(jù)庫漏洞的防控。

5.4 數(shù)據(jù)庫加密

數(shù)據(jù)庫加密是基于透明加解密技術(shù)的數(shù)據(jù)庫安全加固系統(tǒng),基于主動(dòng)防御機(jī)制,可以防止明文存儲(chǔ)引起的數(shù)據(jù)泄密、突破邊界防護(hù)的外部黑客攻擊、來自于內(nèi)部高權(quán)限用戶的數(shù)據(jù)竊取、防止繞開合法應(yīng)用系統(tǒng)直接訪問數(shù)據(jù)庫,能夠?qū)崿F(xiàn)對(duì)數(shù)據(jù)加密存儲(chǔ)、訪問控制增強(qiáng)、應(yīng)用訪問安全、安全審計(jì)以及三權(quán)分立等功能,從根本上解決數(shù)據(jù)庫敏感數(shù)據(jù)泄漏問題。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)