攻与防的较量——信息化安全提升的源动力-尊龙凯时官方旗舰店

攻与防的较量——信息化安全提升的源动力
作者:安华金和 发布时间:2016-09-08

信息化安全的提升,某种程度上,依赖于攻击与防护对抗的碰撞力度。攻击愈烈,防守意识愈能提升,安全防护的技术水平愈加速发展,和安全防御的能力愈不断提升;而防守越强,同时也反向刺激攻击手段不断“创新”与“求变”。

本次社保行业信息泄露事件的集中报道,就是信息化安全攻与防较量的一个典型代表。

1、社保数据遭受泄露事件曝光绝不”纯属偶然”

7天连锁酒店的600万会员信息泄密;

csdn 1000多万客户信息被窃取;

06网站被攻破,上百万人的信息泄露;

“房叔房姐”信息屡被搜集挖掘,终被曝光;

陕西移动1300万的用户数据泄露,被运维工程师窃取网上兜售;

3.15晚会连续4年报道电信行业内鬼,持续倒卖客户信息;

……

近4、5年来,数据泄密事件层出不穷。大大小小的企业、组织都在遭到数据库泄密事件的重创。组织整体的信息化安全结构和水平决定了安全攻击的目标和核心。

根据verizon 对2亿8500万次累计攻击行为调查而发布的数据泄露调查报告表明,数据库成为入侵者最主要的攻击目标,高达76%的数据泄露直接来自数据库。

2、安全事件发生的原因分析

1) 当前信息化安全主要短板逐渐显示在后端

绝大部分政府/大型企业用户,当前已经进行了终端安全、网络安全防护,形成相对有效的边界安全防护能力,防火墙、防病毒软件、网站防攻击软件、ca认证系统等都已具备。

然而,在最接近核心资产数据库的后端”应用”和数据库部分,很多用户是没有有效防护手段甚至没有意识到需要安全防护。

2)b/s外网系统,存在明显的隐患,成为安全攻击的重要场所

b/s应用系统,由于其特殊的使用方式,使得终端用户可以轻松与后台应用服务进行互联,当前外网型b/s应用已经成为黑客及其他攻击者的首选试验田。

其中,最常用的就是利用应用系统、数据库的漏洞进行sql注入。一旦sql注入成功,可以轻松做到:一、不具备用户口令,但骗取登入应用;二、在查询窗口注入语句,可骗取应用的处理逻辑直接获得整表或大批量数据。

sqlmap等开源sql注入工具,已经验证一大批b/s应用的注入点,成为攻击者的教学使用软件。

当前虽然有不少用户已经使用了waf(web应用防火墙)等手段进行防护,但效果显然还不够健壮。目前已经曝光的多种sql注入,是waf不易防范的,如运算函数、sql动态语句、数据库函数运算等特征的sql注入等。

3)数据库自身缺陷,使得运维端容易获取批量数据

数据库自身的设计缺陷,使得dba超级用户在数据库中完全不受限,另外有oracle等数据库存在sys超级用户本地访问不需校验密码等重大缺陷。这使得运维域的管理员、驻场人员、运维人员、测试人员、网管等都有机会批量获取敏感数据。

3、敏感数据安全提升的有效解决办法

敏感数据的安全性提升,严格来讲,不是某一个安全产品或厂商的单点职责。有效的安全机制应该是一个闭环的、由外到内的、由弱到强的、多层次塔式防御体系。

在终端、网络等传统安全措施相对健全的条件下、重点需要加强针对数据库内在核心的本质防护。

作为人力资源和社会保障自主可控信息化产业联盟(简称人社联盟)成员单位,北京安华金和科技有限公司,作为国家专业数据库安全厂商,为广大用户可提供如下数据库安全防护建议: 

1)建立数据库安全主动防御机制

利用专门的数据库防火墙技术,彻底的对sql注入、数据库漏洞攻击行为进行防御。

数据库防火墙,不同于传统的防火墙,传统的防火墙无法防止sql注入等攻击手段;也不同于web防火墙,web防火墙实际上有很多的应用限制,有很多的sql注入绕开手段,web防火墙也无法做到防止批量下载和后门程序。

而数据库防火墙可以对数据库的通讯过程进行精确的解析和控制;对于sql注入本身比web防火墙拦截得更为彻底;同时可以对社保行业应用建立应用特征模型,建立社保正常访问语句的抽象表达,对每种语句的返回总量进行控制;从而防止批量下载和后门程序。

2)建立数据库底线保护机制

安全防护与安全攻击一样,都有成功概率。即使能防护住99%的行为,也有可能存在1%的攻破概率,而且随着攻击人员不断“创新”攻击方案或程序,比如会存在短暂的攻方暂时领先,如同杀毒软件的病毒库更新一样。

因此,在数据库安全的防护上,建议增加底线防护机制,通过使用数据记录行数阀值控制的技术,在最邻近数据库的位置部署数据库防火墙,即使攻击方法穿透了网络、主机、应用,但是一旦超过一定阀值(如100行),所有的访问行为将立即进行阻断、拦截。首先能做到规避大规模数据的泄密灾难。

3)建立数据库安全监控和告警机制

利用数据库监控与审计技术,可以记录下所有人员、所有通道、所有时间的数据库访问行为;可以突破应用层限制,将sql语句与业务人员身份有效关联,在发生安全事件后,形成有效追踪。为追责、问责提供有力的保障手段。

最后,安华金和的技术专家们提醒大家,任何目的攻击测试与实验,有目的或无意识的公众系统安全攻击,一旦造成个人隐私、国家信息的泄露与窃取行为,都是违法的,都需要受到刑法的追责。 


网站地图