數據庫信息泄漏 不可忽視的安全短板
責編:admin |2015-01-26 20:58:12一、 概述
傳統的信息安全解決方案主要是通過網絡傳輸通道加密、PKI或增強身份認證、防火墻、IPS、堡壘機等技術構成綜合的信息安全應對策略,但這些方案在現實中變得弱不禁風,大量信息泄露事件頻繁爆發。
2014年數據泄漏調查報告中回顧了63737起賽博安全事件和1367起已經確認的數據泄露事件(賽博含義理解為:敏感數據資產)。
根據Verizon2014年數據泄漏調查分析報告和對近期發生的信息安全事件技術分析,總結出信息泄露呈現兩個趨勢:
(1)黑客通過B/S應用,以Web服務器為跳板,竊取數據庫中數據;傳統解決方案對應用訪問和數據庫訪問協議沒有任何控制能力,比如:SQL注入就是一個典型的數據庫黑客攻擊手段。
(2)內部人員的濫用數據庫存儲的有價值信息導致數據資產丟失數據泄露常常發生在內部,大量的運維人員直接接觸敏感數據,傳統以防外為主的網絡安全解決方案失去了用武之地。
數據庫在這些泄露事件成為了主角,這與我們在傳統的安全建設中忽略了數據庫安全問題有關,在傳統的信息安全防護體系中數據庫處于被保護的核心位置,不易被外部黑客攻擊,同時數據庫自身已經具備強大安全措施,表面上看足夠安全,但這種傳統安全防御的思路,存在致命的缺陷。
二、 數據庫本身存在重大安全缺陷
傳統觀念認為數據庫系統本身已具備完整的安全保障機制,存儲在數據庫中的數據足夠安全, Oracle總裁Larry Ellison曾宣稱Oracle數據庫是世界上最為安全的數據庫系統,但事實上以Oracle為首的數據庫系統存在重大安全缺陷,主要體現為如下三個方面:
2.1存儲文件解析后為明文
數據庫的數據是存儲在物理文件里,這些數據按照數據庫自定義的格式組織在數據庫中,但這些數據本質上都是明文存儲;主流的大型數據庫數據文件的組織結構主動或被動公開化,只要得到這些數據文件,存儲的數據其實就是透明的。
這些存儲文件包括數據庫的數據文件、備份文件、日志文件等;這樣只要能夠訪問或得到數據庫存儲文件,就可以獲得數據庫中的信息。比如:在互聯網上公開的MyDUL軟件就是可以成功解析Oracle數據文件獲得明文信息的開源工具。
數據庫的明文存儲也會因為磁盤、備份磁帶的丟失引起泄密,如香港花旗銀行在裝修期間丟失了服務器引起的客戶資料泄密。同時,明文存儲使只要能夠訪問到數據庫文件的人員,都可以看到數據庫中的存儲內容,如網絡管理員或者攻入到內網當中的黑客。
2.2數據庫自身存在諸多可攻擊安全漏洞
數據庫往往被認為具備較為完備的安全機制,從身份認證、訪問控制、到通訊加密,但事實上數據庫也存在諸多的安全漏洞,當前在國際漏洞庫CVE上公布了2000多個數據庫漏洞,號稱最為安全的Oracle數據庫就占了1000多個;這些漏洞大多是國際上的安全專家對數據庫安全狀況進行研究后發現的,包括提權漏洞(如從普通用戶提權到DBA用戶)、緩沖區溢出漏洞(通過該漏洞可以使數據庫執行非法代碼或癱瘓)、系統注入漏洞(通過該漏洞在調用系統函數時執行任意非法SQL代碼)。
黑客已經利用這些漏洞,對數據庫進行了多次侵入;雖然數據庫廠商據此提供了大量補丁包,但這些補丁包所修復的漏洞數量也是有限的,同時大量的應用系統出于系統穩定性和兼容性的原因也無法實現補丁升級;因此這些漏洞依然是黑客入侵數據庫的常用通道,同時隨著這些安全問題的廣泛傳播,數據庫維護人員和程序人員也使用這些技術手段進行越權工作,對數據庫造成了巨大威脅。
2.3數據庫自身的訪問控制存在缺陷
數據庫采用的訪問控制機制,依然是典型的三元組,也就是主體、客體和操作,其中主體主要是數據庫用戶或角色,客體是數據庫對象,操作是典型的DDL、DML、ACL語句和某些維護操作;但對這些操作的具體內容和影響不再做控制,如是否采用了欺騙性的SQL語句、是否返回了大量數據無法控制。
當前廣為流傳的SQL注入就是大量地利用這些控制缺陷,在SQL語句中構造永真表達式、執行外部調用、非法登錄應用系統進行批量數據導出。
同時某些程序人員也惡意利用這些控制缺陷,在應用程序中埋下后門程序,對有價值的信息進行非法下載,如陜西移動、深圳福彩、某三甲醫院統方的安全事件,這些惡意行為可以通過數據庫中的檢索返回行數進行控制并阻斷。
三、 數據庫的應用環境變得日趨復雜
數據庫安全事件頻頻發生的原因也是由于當前數據庫的應用環境和應用模式日趨復雜,與數據庫應用環境相關的安全隱患主要有三個方面:
3.1 B/S架構使數據庫間接暴露在互聯網上
大量Web應用的興起,面向公眾的政府、金融單位提供服務的動態網站和應用系統快速增加;大企業的各分支機構分布地域廣闊,在企業內部也通過互聯網實現財務、辦公、商務等信息化管理。這些系統采用B/S為主要技術架構,用戶通過瀏覽器訪問WEB服務器,WEB服務器再訪問數據庫服務器,形成了從用戶到數據庫的合法訪問通道,從而將數據庫間接暴露在互聯網上。甚至在某些企業,數據庫就直接安裝在對外提供WEB服務的計算機上,通過攻擊web服務器即可實現數據庫的敏感數據訪問。
3.2數據庫維護模式改變為服務外包模式
傳統的數據庫維護主要是企業內部的DBA完成,但隨著業務系統復雜度的增加和累積數據規模的增大,大型企業和政府單位的數據庫采用服務外包給IT企業的方式進行維護管理,同時各關鍵行業處于信息化快速發展和建設中,往往是一邊開發新系統一邊正常使用完成的系統,就導致存在大量的駐場程序開發人員;這樣使數據庫的直接接觸人員,不僅限于企業的內部維護人員,同時包含大量的服務外包人員、程序開發人員和系統測試人員,這些人員直接接觸數據庫系統的真實數據,使傳統基于人工內部管理模式為主的數據庫安全機制面臨巨大挑戰。
3.3訪問數據庫系統的應用形式多樣化
當前數據庫內的數據被大量共享訪問,數據庫的訪問形式不僅限于傳統的模式,B/S架構的應用逐漸成為主流。數據查詢類、分析類應用迅速增加,數據倉庫、數據同步系統的建設以促進共享。數據的定期備份、異地備份大量增加以加強數據的可靠性,訪問形式的多樣化,決定了數據庫安全問題的多樣化,需要綜合性的安全解決方案。
四、 傳統網絡安全解決方案存在致命缺陷
我國經過十多年的信息安全建設,已經建立起相對完善的網絡信息安全體系,包括網絡安全設備、終端安全、認證安全、主機安全、防病毒等系列化的安全產品和整體的安全解決方案;特別是以防火墻、IPS/IDS、UTM等產品為代表的網絡安全產品,更是成為了當前安全建設的標配。但這些產品都無法防止數據庫服務的安全缺陷。傳統的網絡安全解決方案中存在如下致命缺陷:
4.1網絡防火墻不對數據庫通訊協議進行控制
傳統的網絡防火墻產品主要是基于:源IP + 源端口 + 目的IP + 目的端口 + 協議類型進行訪問控制,傳統的防火墻不對協議的內容進行解析和控制。由于應用要訪問數據庫,因此數據庫的通訊端口總是開放的,本質來說傳統防火墻對于數據庫網絡通訊無任何的安全防護能力。
4.2 IPS/IDS對數據庫通訊協議的控制很弱
IPS/IDS(入侵防護系統/入侵偵測系統)產品比起傳統防火墻更進了一步,開始嘗試對應用層的通訊協議進行解析,但這些協議都限于標準通訊協議,如FTP、郵件、LDAP、Telnet等,對一些針對標準協議的攻擊行為進行防范;但對于數據庫這樣的非標準化通訊協議,協議的復雜度很高,當前市場上的主流IPS/IDS產品均未實現對數據庫通訊協議的解析和防護。
4.3 繞過WAF系統的刷庫行為屢見不鮮
WAF(Web Application Firewall 網站應用防火墻)產品主要是對Http協議的解析,通過對Http協議中的內容進行分析,實現攻擊防御;通過WAF可以實現對部分SQL注入行為的阻止,但WAF對于復雜的SQL注入和攻擊行為無能為力;2012年的黑客大會宣布有150多種方法可以繞開WAF實現對Web應用服務器的攻擊。在Web應用服務器上利用應用的數據庫賬戶攻擊數據庫服務器是當前刷庫的主要手段。
4.4 NGFW無法解決來自于業務系統本身的安全威脅
NGFW(Next generation firewall下一代防火墻)比傳統防火墻更近了一步,更偏重于應用層,號稱是UTM(Unified Threat Management統一威脅管理)有更多技術革新性的產品,集成了傳統防火墻、IPS、防病毒、防垃圾郵件等諸多功能的綜合安全產品。NGFW將視角更多地轉向了應用層,在控制規則上增加了用戶、應用類型和內容,一些NGFW產品也號稱能夠識別幾百種應用;但NGFW中所兼容的應用層協議,特別是對應用層的協議內容進行控制,僅限于標準化的應用服務,如FTP協議、Telnet協議、Mail協議、LDAP協議;但對于數據庫這種沒有通訊協議標準、通訊又極其復雜、各個廠商各自為政的應用層協議,當前沒有任何一家NGFW產品能夠實現對數據庫通訊協議的安全控制;因此即使有了NGFW,依然無法阻止黑客通過數據庫的通訊進行的攻擊。
4.5 內網管控的堡壘機解決方案存在重大缺陷
針對來自于內部的數據安全問題,當前比較流行的是以堡壘機為核心的集中運維管控解決方案,通過這種方案可以將運維人員對主機設備和數據庫的維護集中到堡壘機上完成,在堡壘機上完成統一的認證、授權和審計。
但堡壘機的解決方案存在以下安全缺陷:
A、堡壘機無法對圖形化工具的操作進行控制,只能通過錄屏的方式進行錄像記錄;
B、備份的磁帶不受堡壘機控制,DBA可以通過磁帶獲取明文數據;
C、網絡管理員可以通過解析數據文件,獲取數據庫中明文數據;
D、程序開發人員通過在生產系統的服務器上駐留后門程序訪問數據庫;
E、測試和開發人員訪問測試系統的數據庫獲得真實數據。
以上安全問題決定市場上還是需要更為專業的數據庫安全產品。
五、 市場需要專業的數據庫安全
5.1數據庫安全整體應對策略
目前數據庫應用和維護環境有了很大的變化,傳統安全解決方案存在了諸多安全隱患,數據庫安全問題也越來越引起國家安全部門的重視,市場上需要更為專業的數據庫安全整體應對策略:
提供專業工具對數據庫的安全狀況進行評估。
防止外部黑客通過數據庫通訊鏈路進行攻擊行為。
防止內部運維人員的高危數據庫操作。
防止信息服務外包人員的刷庫行為(對敏感數據大規模下載)。
對數據庫的訪問行為進行記錄,提供事后分析工具。
存儲數據、備份數據和導出數據為加密態。
通過以上數據庫安全措施,有效地防止敏感數據泄露的安全事件發生。
5.2 數據庫漏掃
數據庫漏掃是一種幫助用戶對當前的數據庫系統進行自動化安全評估的專業軟件,能有效暴露當前數據庫系統的安全問題,提供對數據庫的安全狀況進行持續化監控,幫助用戶保持數據庫的安全健康狀態。發現外部黑客攻擊漏洞,實現從外到內的檢測;模擬黑客使用的漏洞發現技術,在沒有授權的情況下,對目標數據庫的安全性作深入的探測分析。
5.3數據庫防火墻
數據庫防火墻是一款基于數據庫訪問協議分析與控制技術的網絡數據庫安全防護系統,基于主動防御機制,實現數據庫的訪問行為控制、危險操作阻斷、可疑行為審計。
圖5 數據庫防火墻的核心功能
數據庫防火墻面對來自于外部的入侵行為,提供SQL注入禁止和數據庫虛擬補丁包功能;通過虛擬補丁包,數據庫系統不用升級、打補丁,即可完成對主要數據庫漏洞的防控。
5.4 數據庫加密
數據庫加密是基于透明加解密技術的數據庫安全加固系統,基于主動防御機制,可以防止明文存儲引起的數據泄密、突破邊界防護的外部黑客攻擊、來自于內部高權限用戶的數據竊取、防止繞開合法應用系統直接訪問數據庫,能夠實現對數據加密存儲、訪問控制增強、應用訪問安全、安全審計以及三權分立等功能,從根本上解決數據庫敏感數據泄漏問題。