在数据库安全问题已经跃居CSO工作内容象限之首的今天,数据库安全的防御之路任重而道远。如何让对业务安全和数据安全的攻击成为挑战?废鞋底的马拉松,为了防止恶意行为者利用漏洞威胁这条“线”,最终撕掉所有数据的“线裤”,让我们在数据库安全能力建设中着眼于识别数据库安全威胁。安全威胁简介数据泄露对每个企业都构成威胁,损失超出敏感数据、机密数据和品牌损害的实际丢失或泄露。公司承担与补救和多年法律责任索赔相关的重大财务成本。成本。对风险敏感的组织必须时刻关注数据库安全,以保护和保护其数据免受各种外部和内部威胁。是什么让您的数据成为主要目标?根据Verizon的2019年DBIR报告,黑客的动机可能是经济利益、间谍活动、意识形态或怨恨,甚至是娱乐。71%的违规行为是出于经济动机,大多数掠夺者通过阻力最小的路径攻击最弱的猎物。好消息是,这意味着您的安全性虽然不一定完美,但足以阻止恶意攻击者——让他们去别处寻找更容易的猎物。“你不必跑得比熊还快就可以逃走。你只需要跑得比你旁边的人快。”JIMBUTCHER“你不必跑得比熊还快就可以逃脱。你只需要比你旁边的人跑得更快。”——JimButter坏消息是许多公司都在努力实施多层安全防御检测、监控、预防和减轻威胁的方法。在本文中,我们将讨论关系数据库面临的前五名数据库安全威胁。我们还将探讨保护大数据的需求,大数据通常是数据库的首选存储库依赖敏感数据的业务分析和客户体验应用程序。5大数据库安全威胁是什么?过多、不适当和未使用的权限权限滥用Web应用程序安全性不足审计跟踪不足存储介质不安全前两种威胁可直接归因于内部威胁的增加。通常,企业网络被认为受到保护边界的下一代防火墙的保护。然而,一旦恶意行为者越过防火墙,大多数企业都没有能够检测横向移动并防止重大数据泄露的保护机制,从而对数据构成重大威胁。此外,外部威胁持续存在,内部流程不完善导致管理漏洞,因此当今的安全最佳实践要求组织采取多层次、多方面的方法来有效保护数据并防止数据泄露。让我们详细探讨这五种数据库安全威胁。1.过多、不适当和未使用的权限当您授予某人超出其工作职能的数据库权限时,这些权限可能会被滥用。例如,其工作能力需要更新员工休假信息的HR可以利用过多的数据库权限对同事或管理人员的薪资数据进行未经授权的查询。此外,当某人在组织中的角色发生变化时,他对敏感数据的访问通常不会更新以删除他的新角色不再需要的权限。统计显示47%的企业用户拥有过多的权限应用程序的复杂性和所使用的相应数据结构意味着管理员往往会默认授予过多的权限,只是为了避免因缺乏访问权限而导致应用程序崩溃的风险失败。因此,用户可能会被授予远远超出其特定工作要求的通用或默认访问权限,或者他们可能会随着时间的推移积累这些权限。通常,企业可以保护或“强化”高级职位员工(例如CEO、CFO等)的设备。强化有助于发现威胁情况、终止访问和潜在的本地存储数据泄露。但是,这在BYOD情况下不是可行的解决方案。当普通用户的设备遭到入侵时,很可能更难被发现,如果该用户拥有过多的权限,则可能造成损害,从而导致大规模的数据丢失事件。2.特权滥用对多个企业的两年数据研究表明,在每个企业中,人们使用数据库服务帐户访问数据库,这些用户滥用这些特权服务帐户直接访问敏感数据,从而绕过API.此外,某些“特权用户”可能会出于未经授权的目的滥用合法的数据库特权。组织中的某些用户组由于其职业和活动而可以访问整个数据库。特权用户的两个主要类别是数据库系统管理员和开发人员:数据库系统管理员(DBA)可以不受限制地访问数据库中的所有数据。为了获得最佳安全性,DBA在管理数据库时不应直接访问数据库中的应用程序数据(应用程序数据/表)。当DBA直接通过数据库而不是通过应用程序接口访问应用程序数据时,他绕过了应用程序日志记录和检索限制,并避开了应用程序权限和安全机制。当使用防泄露解决方案的客户端收到以下警告时:受信任的DBA直接通过数据库而不是通过应用程序门户访问了此应用程序表中的敏感数据。信息。这一发现清楚地说明了内部威胁的风险。开发人员通常可以完全访问生产数据库,质量团队可以对数据库进行快照以进行测试,而工程师可以调试实时生产系统。在每一种情况下,敏感数据都容易受到特权滥用。什么是内部威胁?内部威胁可分为三类:恶意的、疏忽的和受威胁的:恶意的内部威胁来自企业内部或与企业直接相关的人员(例如,员工、前员工、供应商、合作伙伴),他们获取有关企业安全的内部信息实践、数据和计算机系统。Palerra提交的InsiderThreatSpotlight报告指出,平均每50个用户中就有一个是恶意用户。疏忽的内部人员是指企业内部人员或与企业有直接关系的人,没有恶意,但由于粗心大意,暴露了敏感数据,导致数据泄露。受损用户成为利用或接管组织系统的“外部”恶意攻击者的牺牲品。外部攻击者可以使用多种技术来攻击组织,包括使用直接攻击、计算机病毒、社会工程、网络钓鱼和其他不断发展的技术。VerizonDBIR表示,六分之一的用户滥用或泄露数据。3.Web应用程序安全性不足大多数企业组织严重依赖应用程序与客户进行交互,并且针对可公开访问的可公开数据的应用程序的攻击类型多种多样。针对数据库的两种常见Web应用程序攻击是SQL注入和WebShell。多年来,SQL注入(SQLi)攻击一直是Verizon的DBIR报告中的头号威胁。SQLi攻击是输入验证不完整或不充分的结果,它允许不良行为者以从未预料到的方式通过Web应用程序将SQL命令传递到数据库。Webshell攻击是一种用于获取对服务器的未授权远程访问的隐蔽方法。WebShell是一种后门程序,它利用Web服务器的核心功能(为远程客户端提供服务),通过与服务器Shell的接口获得持久的远程访问并获得对服务器的完全或有限的控制。根据VerizonDBIR,WebShell后门在Web应用程序漏洞数量中仅次于被盗凭据。WebShell可以使用shell的功能来破坏企业组织数据库并在不被发现的情况下泄露数据。攻击者使用shell的文件浏览功能从应用程序的配置文件中查找和窃取合法应用程序使用的数据库凭据。这是通过shell的服务器应用程序/守护程序本身的固有操作系统特权实现的。此外,在某些应用程序中,数据库凭据(用户名和密码)以明文形式存储在配置文件中。4.审计追踪不足接下来,我们将讨论由内部流程的缺陷或弱点引起的威胁。监控整个企业的数据访问应该是任何生产数据库的一部分。无法同时监视安全性和合规性异常并收集适当的数据库活动审计详细信息会在许多层面上造成严重的组织风险。此外,具有薄弱(或有时不存在)数据库审计机制的组织也发现它们不符合行业和政府监管要求。旨在防止会计错误和欺诈的萨班斯-奥克斯利法案(SOX)和医疗保健领域的《医疗保健信息携带和责任法案》(HIPAA)都是具有明确数据库审计要求的法规示例。欧盟新的通用数据保护条例(GDPR)首次对未能满足严格数据保护措施的企业处以惨淡的罚款,包括足以满足所有个人数据量法规的审计和违规通知要求的数据库监控能力。(1)为什么审计跟踪具有挑战性第一个原因是许多企业转而使用其数据库供应商提供的数据库原生审计功能,或者依赖临时的和手动的变通办法,认为它们已经足够了。本地审计不记录支持安全性和合规性审计或检测攻击所需的上下文详细信息,也不提供事件取证。此外,本机数据库审计机制因不稳定和过度耗尽数据库服务器的CPU和磁盘资源而臭名昭著,迫使许多企业缩减或完全取消本机审计。最后,大多数本机审计机制都是这种类型的数据库服务器平台所独有的。例如,Oracle日志与MSSQL不同,MSSQL日志与DB2不同。对于具有异构数据库环境的企业,这对实施统一、可扩展的审计流程和报告构成了重大障碍。该报告称只有19%的公司监控数据库活动。对数据库具有管理访问权限(合法或恶意获得)的用户可以关闭本机数据库审计以隐藏欺诈活动。审计功能和职责应与数据库管理员和数据库服务器平台分开,以确保职责之间的严格分离。(2)第二个挑战:审计处理拥有正确的审计记录只是保护数据的第一步。第二步是了解数据活动和访问尝试记录以处理该数据并识别可信威胁。如果您没有为此任务构建的工具,则可能难以识别访问数据库的实体并区分DBA、应用程序、用户和作业流程。您需要知道哪些对数据库的访问是可疑的,例如,失败的登录尝试在数据库访问中很常见。由于忘记或输入错误的凭据或更改密码,用户无法登录到数据库。但是,当用户多次登录数据库失败而从未尝试再次登录时,或者当用户尝试访问企业中的多个数据库失败时,这是可疑的,并且可能表明用户没有获得对申请授权。在一些账户安全研究中,发现一个用户被识别出试图访问一个他从未访问过的数据库,然后在不到一个小时内使用了四个不同的账户都没有成功,他使用了第五个账户成功登录了数据库,但该帐户没有足够的权限对??数据库执行任何操作。此活动有几个危险信号:用户突然对他们从未尝试访问的数据库感兴趣单个用户使用多个帐户访问数据库该帐户没有权限,这可能导致得出该帐户不应访问的结论在所有数据泄露事件中都能够访问数据库据报道,超过3500万条记录丢失或被盗,其中44%与医疗或保健相关。该活动在此事件中被标记为高风险,并且提供的分析表明该事件是由受到威胁的内部人员执行的。为了识别此类事件,您需要知道哪些用户是人类用户(而不是工作流程和应用程序)。不幸的是,当今使用的许多安全系统工具无法识别数据泄露,因为它们无法区分对数据库的可疑访问和良性访问。这些工具会产生太多模糊的警报,需要大量的调查和分析才能可视化,造成过度消耗。通用警报的超载是研究不到1%的关键安全警报的原因。同行组异常的一个示例是,当一个开发人员访问应用程序表作为其开发工作的一部分,而另一个开发人员访问该表以查看同事的个人数据时。确定风险级别的关键是上下文,特别是了解用户和同行的正常表访问权限。这种无法区分上下文的情况很危险,因为恶意内部人员可以使用他们的特权从企业组织窃取数据(请参阅“特权滥用”部分)。本地审核工具无法区分异常用户访问和合法内容,并且通常会导致出现大量警报,所有这些警报都必须由安全专业人员进行筛选。SIEM工具可以缩小此范围并使其更易于可视化,但它们缺乏该领域的专业知识,并且仅从源数据中提取,并且仅提供有限的可操作选项用于直接调查。需要具有反入侵行为分析和自动数据库监控和检测功能的系统,以提供以上下文和可操作的方式关注真正威胁所需的情报。5.不安全的存储介质您上一次担心存储介质备份的威胁是什么时候?通常,它是完全不受保护的。许多管理违规涉及数据库备份磁盘和磁带的盗窃或意外暴露。采取适当的措施来保护敏感数据的备份副本不仅是数据安全最佳实践,而且是许多法规的强制性要求。此外,更高权限的用户通常可以直接访问数据库服务器。这种物理访问意味着他们可以插入拇指大小的USB驱动器并直接对数据库执行SQL命令,这将关闭本地审计并绕过所有保护,除了那些部署在数据库服务器内核级别的保护。我们需要强大的数据库监控和防御工具来防止这些类型的违规行为。(1)威胁组合到目前为止讨论的每个数据库威胁肯定足以导致数据泄露,但幸运的恶意攻击者会寻找阻力最小的路径。很多时候,我们会看到多种威胁的组合,这些威胁可以加速攻击者对数据的访问,并简化他们在不被发现的情况下泄露数据的能力。以下是一些示例:当应用程序拥有太多权限时,SQL注入或Webshell可能会危及数据库由于审计跟踪不足,很难发现权限滥用当用户或应用程序拥有太多权限时,权限滥用会更严重57%的公司相信数据库是最容易受到内部攻击的资产。(2)大数据应用的安全威胁不容忽视。大数据应用尚处于起步阶段,很少有成熟的商业部署解决方案,无需根据每个公司的具体需求进行定制。在市场发展的现阶段,还缺乏了解大数据技术并能跟上其快速发展的专家。在大多数情况下,内部开发人员在没有足够的培训、需求定义、时间或资源的情况下设计、编码、测试和部署大数据应用程序和硬件。人们可能会错误地认为大数据“开源”包是一种快速且成功的安装方式,而实际上这些系统要复杂得多。构建软件时的第二个问题是缺乏不排除自定义解决方法的可行的本机安全或审计框架。缺乏本地模型使得安全实施变得困难,并且需要深入的设计和持续的维护。结果,需要考虑的安全和审计功能被反复延迟,使您的数据容易受到攻击。(3)大数据——安全性不是重点大数据领域的一些人认识到对本地安全和治理能力的需求,并且有早期的Apache项目正在寻求解决这些需求。不幸的是,这些项目通常有自己的安全问题,这些问题会直接影响他们试图保护的大数据系统的安全。这些问题包括:向应用程序添加身份验证过程。这需要更多的安全考虑并使应用程序更加复杂。例如,应用程序需要定义用户和角色。基于这些数据,应用程序可以决定是否授予用户访问系统的权限。输入验证。我们又一次看到了困扰RDBMS应用程序的同样问题,这些问题同样困扰着NoSQL数据库。OWASP现在建议测试NoSQL数据库,例如MongoDB以进行SQL注入攻击。应用意识。每个应用程序都需要管理安全性,因此它必须了解所有其他应用程序。这是禁用对任何非应用程序数据的访问所必需的。将新数据类型添加到数据存储时,数据存储管理员必须弄清楚并确保哪些应用程序无法访问该特定数据。弱代码。有许多大数据项目和产品是通过敏捷开发方法实现的,没有分配时间或资源进行安全检查和测试。恶意行为者将利用有缺陷的利用方法,探索漏洞并加以利用。(4)重复数据NoSQL强大的功能也是它在安全性上的致命弱点。在这些系统中,数据并没有严格保存在唯一的表中。相反,数据被复制到许多表中以优化查询处理。因此,无法根据特定的敏感度表对病毒进行分类。相反,这样的数据可以在不同的地方找到:交易日志、个人账户明细、代表所有***的特定表格,以及其他可能甚至没有被考虑过的地方。(5)隐私问题虽然我们重视安全,但隐私问题也不容忽视。以医疗大数据平台为例,提供商可以共享患者数据。患者可以访问系统获取遗传信息,然后访问系统获取有关药物的信息。分析这些数据的应用程序可以关联信息以发现与遗传学和健康相关的购买趋势。问题是最初插入数据时没有考虑这种类型的依赖关系。因此,数据不会去匿名化,从而可以在更大的趋势图中精确定位特定的个人。这将违反多项法规,包括HIPAA和GDPR。如何创建全面的数据安全解决方案数据安全需要对数据和用户活动进行统计。这个过程从指纹识别、数据库服务器发现和基于域的访问/活动监控管理开始。还需要持续的用户权限管理以防止特权滥用。最佳实践解决方案考虑了数据访问的每个实例(包括特权用户的实例)、敏感数据的匿名化和脱敏,以及为用户和应用程序构建完整的安全配置策略。异构环境下的数据库审计日志,利用机器自学习关注日常行为的上下文,准确识别内部威胁,防止数据泄露。加强访问数据库的应用程序的安全性也很重要。SQLi和WebShell只是Web应用程序面临的两种威胁。同时,需要像高级Web应用防火墙这样的数据库服务防火墙,可以阻断SQLi和WebShell事件,防止复杂的业务逻辑攻击,以防止未经授权的数据访问。提供重要的保护。正如您所看到的,这五种数据库威胁需要多重安全防御,仅依靠本地工具或忽略外部和内部攻击者可以并且将会利用的安全漏洞已经不够了。保护数据库中的数据对于保护客户、声誉和业务生存能力至关重要。
