企業保護數據資產的安全有很多任務,如數據備份安全、數據存儲安全、數據脫敏和加密...大多數專註於可用性的企業安全人員還沒有完全理解數據庫安全的重要性,但根據前瞻性的統計,越來越多的企業信息安全領導者已經開始將數據庫安全的子領域納入自己的作弊清單。業務連續性是企業組織的根本核心,業務安全和數據安全是企業長期發展的安全保障。以企業數據資產為核心競爭力,數據庫作為企業組織“核心競爭力”——數據資產的容器,承載著企業的核心數據,成為業務運營和數據保護的基礎設施。數據庫的安全防禦已經躍居CTO/CIO工作內容象限的首位。
企業組織的數據庫系統不僅僅是數據庫軟件平臺本身,不會流動的數據也是沒有意義的。當我們考慮數據庫安全時,顯然需要合理評估數據庫受攻擊面的大小,數據庫訪問涉及的認證、授權和審計問題,開發人員疏忽造成的軟件漏洞,運維人員管理不善等。各種風險都可能產生並帶來可怕的後果。作者所在實驗室通過收集各種漏洞平臺和企業安全運營商反饋的數據庫安全信息,參考OWASP TOP 10,做出了數據庫應用防禦的十大數據庫風險威脅列表。
十大數據庫安全威脅(數據庫漏洞10)
1.權力濫用
2.特權提升
3.數據庫軟件漏洞
4.SQL註入
5.缺少審計記錄
6.拒絕服務
7.通信協議漏洞
8.認證不足
9.敏感數據泄露
10.安全配置不規範。
答案是墨菲定律,它陳述了壹個事實,如果事情變得更糟(發生),無論可能性有多小,它都會發生。
從此在技術領域裏不脛而走,不是我想強加在數據庫安全領域,因為它講述了壹個規律,安全風險必然會從可能性變成突發事實。
從墨菲定律來觀察數據庫入侵防禦,我們應該采取積極的態度。既然數據庫安全風險必然會發生,就要順應必然性,積極應對,做好應急響應和處置工作。在數據庫安全防禦方面,為了科學合理地規劃全面積極的應對方案,必須做到事前主動防禦,及時封堵,事後全面審計。
根據墨菲定律,我們可以總結出對數據庫入侵防禦的啟示:
1.數據庫風險的小概率事件不容忽視。
盡管數據庫安全事件不斷發生,但仍有壹定數量的安全負責人認為,企業安全防護已經從物理層、網絡層、計算主機層、應用層等多重防禦進行,網絡邊界得到嚴格控制,外部威脅情報和內部態勢感知系統能夠完美配合,業務數據得到了層層保護,安全威脅無法被利用引發數據庫安全事件。
因為小概率事件在壹個實驗或活動中發生的可能性非常小,所以給人壹種在壹個活動中不會發生的錯誤認識。與事實相反的是,正是因為這種錯覺,事故發生的可能性增加了,結果可能事故頻發。事件發生的原因雖然復雜,但卻說明了小概率事件會經常發生的客觀事實。
墨菲定律從強調小概率事件的重要性這壹點給我們啟示。雖然數據庫安全風險事件發生的概率很小,但在入侵防禦系統的活動中仍然可能發生和將要發生,因此不可忽視。
2.在數據庫安全中積極應用墨菲定律。
1)加強數據庫入侵防禦的安全意識。
數據庫已經成為企業安全防護的核心。為了防止數據庫不安全狀態下突發事件的發生,了解可能出現的數據庫安全威脅的必然性,必須提前做好防範措施,從網絡層、應用層、數據庫層覆蓋業務系統(中間件)和運維DBA,全面控制,提前規劃。既然數據庫入侵是不可避免的,那麽審計取證和證據留存就要保證完整原始的數據庫訪問記錄,做到有據可查。
2)規範安全管理,正確理解數據庫安全控制。
安全管理的目標是杜絕事故的發生,而事故是不經常發生的事故,這些事故發生的概率壹般很小。因為這些小概率事件在大多數情況下是不會發生的,管理疏忽往往是事故發生的主觀原因。墨菲定律告誡我們,數據庫和業務數據的安全控制不可忽視。為了保證數據庫的安全,必須從基礎做起,對數據庫的基礎安全配置形成統壹的安全基線,將數據庫的訪問行為列入白名單,采取積極的防範方法和措施,杜絕突發事件的發生。
3)轉變觀念,變被動的數據庫入侵防禦為主動的。
傳統的安全管理是被動安全管理,即在安全管理活動中采取安全措施或通過事故發生後總結教訓進行“亡羊補牢”的管理。隨著IT網絡技術的快速發展,安全攻擊手段不斷變化,新的安全威脅不斷出現,數據庫安全事件的誘因不斷增加。然而,傳統的基於網絡的入侵防禦系統模式已經難以滿足當前數據庫安全防禦的需求。因此,不僅要關註現有的安全威脅,還要主動識別新的風險,主動學習,模態分析,及時準確地阻斷風險活動,化被動為主動,牢牢掌握數據庫入侵防禦的主動權。
1.串行和並行數據庫入侵防禦系統之爭
數據庫入侵防禦系統可以通過串行或旁路部署,準確識別和阻斷業務系統與數據庫之間的訪問行為。不僅如此,合理使用還可以具備事前主動防禦和事後審計追蹤的能力。
但也有用戶認為bypass的阻斷行為效果不佳,卻串聯到網絡中實現實時阻斷,擔心影響業務接入。
在業務系統和數據庫之間部署Tandem模式,通過流量協議解碼解析所有SQL語句,基於TCP/IP五元組(地址、端口和協議)、訪問控制因子和數據庫操作行為審查安全策略,結合自主動態建模學習的白名單規則,能夠準確識別惡意數據庫指令,及時阻斷會話或準確攔截惡意操作語句。串聯模式部署最大的風險是不能有誤判,否則會影響正常語句的通過。這就要求系統的SQL語句解析能力足夠準確,能夠建立非常完善的行為模型。當發現危險語句時,它們可以準確地攔截危險語句,而不會中斷會話,也不會影響正常的訪問請求。所以數據庫入侵防禦系統要想發揮最好的作用,必須串聯在數據庫前端,要麽是物理上的(透明橋),要麽是邏輯上的(反向代理)。
旁路部署模式,目前常見的方式是通過發送RESET命令強制會話復位,在低流量的情況下效果最好。如果在業務系統大並發的情況下,每秒SQL事務數大於10000,這種旁路標識阻塞可能無法阻止,會出現延遲。有可能由於延遲,阻塞請求在SQL語句執行後才發送,進而影響正常的業務請求。因此,在高並發、高流量的場景下,要想達到實時精準的阻斷攔截效果,就需要數據庫入侵防禦系統具備超高端的處理性能。
至於串聯部署還是旁路部署更合適,需要匹配相應的業務系統場景。數據庫入侵防禦系統的終極意義在於它的防禦效果,也就是對風險語句的精準攔截能力。從墨菲定律的對比分析來看,旁路部署阻塞請求是必然的。但是有人擔心串口連接對業務訪問的影響,所以總會發生。面對這種風險,我們對數據庫入侵防禦系統的精確阻斷能力有了更高的要求,並試圖將這種風險降到最低。
2.數據庫入侵防禦系統串行實時同步阻斷與異步阻斷之爭。
相對於數據庫入侵防禦系統的串並聯之爭,同步阻斷和異步阻斷串聯更加細分,市場上有兩種串聯的數據庫入侵防禦系統;
壹種是以IBM Guardium為代表的本地代理引擎對在線監控的異步阻斷。當危險語句通過代理發送到DBMS時,代理會將內容信息的副本發送到分析中心,分析中心會判斷其是否非法或違反入侵防禦規則,然後向代理程序發送阻塞指令。很明顯,這種部署的優勢不局限於數據庫的網絡環境,可以到達ip,劣勢更明顯。即在代理與中心通信過程中,釋放sql訪問,即如果前幾個包中出現致命攻擊語句,那麽這個攻擊將被有效執行,即防禦系統將被有效繞過。
另壹種是以中國廠商信息為代表的串行實時同步阻斷。當壹個危險的句子通過串行數據庫入侵防禦系統時,入侵防禦系統如果檢測到該危險的句子就會立即阻止它。無風險聲明發布,此模型和即時分析立即判斷。顯然,這種部署模式的好處是,小概率事件或蓄謀已久的直接攻擊語句也會被實時屏蔽;缺點也很明顯,就是處理效率。如果數據庫入侵防禦系統的處理效率不好,就會出現排隊等待的狀態,影響業務的連續性。關鍵是要把握好這個平衡點,至少要做到無意識。這個點的選擇取決於每個數據庫安全廠商處理sql語句的算法能力。
墨菲定律並不復雜。將其應用於數據庫入侵防禦領域,揭示了數據庫安全中不可忽視的小概率風險事件。要正視墨菲定律,並將其轉化為積極的應對,就要充分理解墨菲定律,抵制“數據庫層層保護沒有風險”、“別人都這麽做”、“數據庫入侵防禦系統並行不會被誤堵”等錯誤觀念,牢記只要有潛在風險,就會有事件發生,遲早會發生。我們應該結束這種習慣。