数据库虚拟补丁技术,打造轻安全-尊龙凯时官方旗舰店

数据库虚拟补丁技术,打造轻安全
作者:安华金和 发布时间:2016-06-29

用户在思考,厂商就变革。当各类安全重型“武器”摆在客户面前使用时,当客户的it系统在各个层面均需要不同的安全设备防护时,问题来了:如同盔甲 上身,武器装备多了,动作步伐也会变得沉重起来。安华金和关注数据存储的最核心介质——数据库安全,自主研发产品,不断体会客户的使用感受,提升产品易用 性,让安全运维变得轻盈可控。数据库虚拟补丁技术,就是在这种理念下的一种技术产物。

什么是数据库虚拟补丁

虚拟补丁技术是通过控制所保护系统的输入输出,防止对数据库系统的漏洞攻击行为的技术,是对已有数据库系统通过外围的方式,针对漏洞攻击的特征进行攻击行为发现和拦截的安全防御手段。它使针对漏洞防御的实施更为轻量,更为及时。

虚拟补丁技术较早的使用是在web应用系统上,较早提出这个概念的是趋势科技,近来绿盟也加入了这个领域,也是应用在web上。数据库的虚拟补丁是近几年的防御技术,较早提出的是mcaffee,国内数据库安全厂商安华金和也是这方面的佼佼者。

数据库虚拟补丁一般是集成在数据库防火墙产品中,数据库防火墙是一款新的、有效针对数据库进行主动安全防御的产品,目前安华金和是国内首家数据库防 火墙供应商。这种技术,一经面世,就受到了国内外用户的广泛欢迎;除了防御能力外,国内用户欢迎的一个重要原因还在于,在以极光为代表的网络漏扫工具,每 年都会对数据库主机报告数十个高中危漏洞,然而发布漏洞补丁需要一定的周期,其次漏洞补丁的升级在带来相应的人力,物力成本的同时存在相应的风险,与之相 反的是被检测单位亟待解决这些数据库漏洞问题,而虚拟补丁技术,无疑也对这种现实的需求提供了有效的尊龙凯时官方旗舰店的解决方案。

数据库虚拟补丁技术

常规的数据库虚拟补丁技术主要分2种:

技术一: 修改数据库程序的运行时代码。如果发现攻击涉及到某些存储敏感信息的数据表,会创造一个输出补丁,从而改变数据库返回的结果集输出的方向,向某特定地址传输该数据包。

技术二:在数据库的前端设置某种类型代理,以控制数据库的输入和输出,从而阻止或消除攻击行为。可以检测对漏洞的尝试利用,并终止可疑的会话。

当前市场上的数据库防护工具,如果具备数据库漏洞防护能力,通常采用第二种虚拟补丁防护方式,避免对数据库做代码层级的改动。安华金和数据库防火墙 产品(dbfirewall)中提供了虚拟补丁技术,所采用的是第二种技术,无需修改动用用户的数据库运行代码,通过在数据库外的网络层创建一个安全层, 用户在无需补丁的情况下,即可帮助用户主动防御外部入侵数据库。dbfirewall支持22类460个虚拟补丁。

数据库虚拟补丁在数据库防护中的作用

随着网络黑客的攻击活动方式越来越多,速度越来越快,针对信息系统的漏洞研究和系统安全漏洞的修补,成为了攻与防永恒的主题。但系统漏洞的修补永远 晚于漏洞的发现,系统设计的缺陷导致漏洞难以修补,现实稳定运行的信息系统难以接受系统的升级等等,这些原因都造成了现实世界中诸多被暴露了漏洞的系统仍 然在持续‘裸奔’中。这如同已经被曝了安全隐患的汽车,无法召回,人们只能祈祷‘厄运’不要降临在自己身上。

在信息安全日益严峻的今天,系统漏洞从来就没有真正消失,许多公司都在为系统打补丁的工作付出超额的人力成本,但等待安装安全补丁的维护时期,则是一段艰难和危险的过程,这与黑客多次利用零日(0day)漏洞大规模攻击形成鲜明对比。

虚拟补丁的防护机制正是过监控所有数据库活动,获取通讯信息。利用监控数据与保护规则相比较,从而发现攻击企图。当比较结果与规则匹配时,就发出告警警报,并根据防护策略及时的终止可疑会话、操作程序或隔离用户,直到这个可疑的活动被审查通过。

虚拟补丁的优势所在,就是可以在无需修补dbms内核的情况下保护数据库。虚拟补丁在数据库外创建了一个安全层,从而无需根据数据库厂商提供的补丁做数据库修复,也不需要停止服务和回归测试。

数据库虚拟补丁技术,作为数据库漏洞防护体系中最简便、最节省资源的处理方式,具有极高的可应用性。其价值不仅在于对数据库漏洞的简单防护,未来更 可以配合数据库漏扫系统,为数据库建立起周密而可对照的检测与防护系统。作为数据库防火墙的重要功能组件,其价值更在数据库防护过程中得到充分的体现。


网站地图