最新消息:

攻与防的较量—信息化安全提升的源动力

业界新闻 admin 1152浏览 0评论

摘要: 信息化安全的提升,某种程度上,依赖于攻击与防护对抗的碰撞力度。攻击愈烈,防守意识愈能提升,安全防护的技术水平和能力愈加速发展;而防守越强,同时也刺激攻击手段不断“创新”与“求变”。 本次社保行业信息泄露事件的集中报道,就是信息化安全攻与防较量的一个典型代表。 …

信息化安全的提升,某种程度上,依赖于攻击与防护对抗的碰撞力度。攻击愈烈,防守意识愈能提升,安全防护的技术水平和能力愈加速发展;而防守越强,同时也刺激攻击手段不断“创新”与“求变”。

本次社保行业信息泄露事件的集中报道,就是信息化安全攻与防较量的一个典型代表。

1、社保数据遭受泄露事件曝光绝不”纯属偶然”;

7天连锁酒店的600万会员信息泄密;

CSDN 1000多万客户信息被窃取;

12306网站被攻破,上百万人的信息泄露;

“房叔房姐”信息屡被搜集挖掘,终被曝光;

陕西移动1300万的用户数据泄露,被运维工程师窃取网上兜售;

3.15晚会连续4年报道电信行业内鬼,持续倒卖客户信息;

……

近4、5年来,数据泄密事件层出不穷。大大小小的企业、组织都在遭到数据库泄密事件的重创。

组织整体的信息化安全结构和水平决定了安全攻击的目标和核心。

根据verizon 对2亿8500万次累计攻击行为调查而发布的数据泄露调查报告表明,数据库成为入侵者最主要的攻击目标,高达76%的数据泄露直接来自数据库。

jinglingshu_2015-04-30_08-38-17

2、安全事件发生的原因分析

1)当前信息化安全主要短板逐渐显示在后端

绝大部分政府/大型企业用户,当前已经进行了终端安全、网络安全防护,形成相对有效的边界安全防护能力,防火墙、防病毒软件、网站防攻击软件、CA认证系统等都已具备。

jinglingshu_2015-04-30_08-38-171

然而,在最接近核心资产数据库的后端”应用”和数据库部分,很多用户是没有有效防护手段甚至没有意识到需要安全防护。

2)B/S外网系统,存在明显的隐患,成为安全攻击的重要场所

B/S应用系统,由于其特殊的使用方式,使得终端用户可以轻松与后台应用服务进行互联,当前外网型B/S应用已经成为黑客及其他攻击者的首选试验田。

其中,最常用的就是利用应用系统、数据库的漏洞进行SQL注入。一旦SQL注入成功,可以轻松做到:一、不具备用户口令,但骗取登入应用;二、在查询窗口注入语句,可骗取应用的处理逻辑直接获得整表或大批量数据。

SQLMap等开源SQL注入工具,已经验证一大批B/S应用的注入点,成为攻击者的教学使用软件。

当前虽然有不少用户已经使用了WAF(WEB应用防火墙)等手段进行防护,但效果显然还不够健壮。目前已经曝光的多种SQL注入,是WAF不易防范的,如运算函数、SQL动态语句、数据库函数运算等特征的SQL注入等。

3)数据库自身缺陷,使得运维端容易获取批量数据

数据库自身的设计缺陷,使得DBA超级用户在数据库中完全不受限,另外有Oracle等数据库存在SYS超级用户本地访问不需校验密码等重大缺陷.

这使得运维域的管理员、驻场人员、运维人员、测试人员、网管等都有机会批量获取敏感数据。

3、敏感数据安全提升的有效解决办法

敏感数据的安全性提升,严格来讲,不是某一个安全产品或厂商的单点职责。有效的安全机制应该是一个闭环的、由外到内的、由弱到强的、多层次塔式防御体系。

在终端、网络等传统安全措施相对健全的条件下、重点需要加强针对数据库内在核心的本质防护。

作为人力资源和社会保障自主可控信息化产业联盟(简称人社联盟)成员单位—北京安华金和科技有限公司,作为国家专业数据库安全厂商,安华金和的技术专家们,为广大用户可提供如下数据库安全防护建议:

1)建立数据库安全主动防御机制

利用专门的数据库防火墙技术,彻底的对SQL注入、数据库漏洞攻击行为进行防御。

数据库防火墙,不同于传统的防火墙,传统的防火墙无法防止SQL注入等攻击手段;也不同于WEB防火墙,WEB防火墙实际上有很多的应用限制,有很多的SQL注入绕开手段,WEB防火墙也无法做到防止批量下载和后门程序。

而数据库防火墙可以对数据库的通讯过程进行精确的解析和控制;对于SQL注入本身比WEB防火墙拦截得更为彻底;同时可以对社保行业应用建立应用特征模型,建立社保正常访问语句的抽象表达,对每种语句的返回总量进行控制;从而防止批量下载和后门程序。

2)建立数据库底线保护机制

安全防护与安全攻击一样,都有成功概率。即使能防护住99%的行为,也有可能存在1%的攻破概率,而且随着攻击人员不断“创新”攻击方案或程序,比如会存在短暂的攻方暂时领先,如同杀毒软件的病毒库更新一样。

因此,在数据库安全的防护上,建议增加底线防护机制,通过使用数据记录行数阀值控制的技术,在最邻近数据库的位置部署数据库防火墙,即使攻击方法穿 透了网络、主机、应用,但是一旦超过一定阀值(如100行),所有的访问行为将立即进行阻断、拦截。首先能做到规避大规模数据的泄密灾难。

3)建立数据库安全监控和告警机制

利用数据库监控与审计技术,可以记录下所有人员、所有通道、所有时间的数据库访问行为;可以突破应用层限制,将SQL语句与业务人员身份有效关联,在发生安全事件后,形成有效追踪。为追责、问责提供有力的保障手段。

最后,安华金和的技术专家们提醒大家,任何目的攻击测试与实验,有目的或与无意识的公众系统安全攻击,一旦造成个人隐私、国家信息的泄露与窃取行为,都是违法的,都需要受到刑法的追责。

转自:http://www.youxia.org/gongfang-xinxianquan-tisheng.html

转载请注明:jinglingshu的博客 » 攻与防的较量—信息化安全提升的源动力


Warning: Use of undefined constant PRC - assumed 'PRC' (this will throw an Error in a future version of PHP) in /usr/share/nginx/html/wp-content/themes/d8/comments.php on line 17
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

网友最新评论 (1)

  1. 防护从外到内分为网络防护、主机防护、应用防护。
    admin5年前 (2015-04-30)回复