|
如今的風(fēng)險(xiǎn)環(huán)境充斥著各種新舊不同的風(fēng)險(xiǎn)和漏洞����。有些最大的風(fēng)險(xiǎn)在過(guò)去的幾年中并沒(méi)有什么變化�����。許多風(fēng)險(xiǎn)仍在肆虐���,給敏感信息造成極大的威脅和巨大的破壞成本��。其中����,數(shù)據(jù)庫(kù)的安全風(fēng)險(xiǎn)一直是業(yè)界關(guān)注的重點(diǎn)。2012年�����,企業(yè)面臨的數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)將有增無(wú)減���。
數(shù)據(jù)庫(kù)越來(lái)越容易遭到攻擊有兩方面原因:首先,公司被要求越來(lái)越多地增加對(duì)存儲(chǔ)在數(shù)據(jù)庫(kù)中數(shù)據(jù)的訪問(wèn)�����。增加的數(shù)據(jù)訪問(wèn)極大地增加了數(shù)據(jù)被竊取和濫用的風(fēng)險(xiǎn)���。要求訪問(wèn)數(shù)據(jù)的人員包括內(nèi)部雇員��、審計(jì)人員����、承包商���、分包商���、供應(yīng)鏈的合作伙伴等���。其次,數(shù)據(jù)庫(kù)的攻擊者已經(jīng)發(fā)生了變化���。過(guò)去��,攻擊者的目的是為了炫耀其才能�����,雖然意圖并不高尚�����,但很少造成數(shù)據(jù)失竊���。如今,攻擊者的動(dòng)機(jī)往往是經(jīng)濟(jì)上的��,有時(shí)與政治或意識(shí)形態(tài)有關(guān)��。攻擊者有組織并且死心塌地地尋求可以使其發(fā)財(cái)?shù)男畔����,如知識(shí)產(chǎn)權(quán)��、信用卡號(hào)��、個(gè)人身份證號(hào)�、政府機(jī)密等私密信息���。
在考慮到這些風(fēng)險(xiǎn)后,企業(yè)需要一種可以清除漏洞��、定位敏感數(shù)據(jù)���、確認(rèn)用戶訪問(wèn)���、監(jiān)視數(shù)據(jù)庫(kù)活動(dòng)的安全策略,而且能在數(shù)據(jù)庫(kù)水平上減輕風(fēng)險(xiǎn)�����。從歷史上看��,企業(yè)將工作的重點(diǎn)放在外圍安全和外部攻擊上�����,投資購(gòu)買(mǎi)了防火墻、反病毒軟件��,并確保路由器的配置安全等���。雖然這些投資很有必要�����,但對(duì)于阻止針對(duì)數(shù)據(jù)庫(kù)的直接攻擊卻收效甚微��。如果不阻擊這些攻擊����,就會(huì)搞垮公司���。調(diào)查發(fā)現(xiàn)���,現(xiàn)代的數(shù)據(jù)庫(kù)攻擊所造成的單位成本比以往任何攻擊都要巨大。而修復(fù)數(shù)據(jù)庫(kù)損害的花費(fèi)更是越來(lái)越高�����。在這種環(huán)境中,企業(yè)必須保護(hù)自己免受最高風(fēng)險(xiǎn)的危害����,并重視保護(hù)數(shù)據(jù)庫(kù)免受各種新出現(xiàn)風(fēng)險(xiǎn)的破壞。
下文討論的是一些需要引起關(guān)注的重要安全風(fēng)險(xiǎn)���,在制定和實(shí)施2012年的數(shù)據(jù)庫(kù)防御策略時(shí)��,必須考慮這些方面�����。
一���、內(nèi)部人員錯(cuò)誤
數(shù)據(jù)庫(kù)安全的一個(gè)潛在風(fēng)險(xiǎn)就是“非故意的授權(quán)用戶攻擊”和內(nèi)部人員錯(cuò)誤���。這種安全事件類(lèi)型的最常見(jiàn)表現(xiàn)包括:由于不慎而造成意外刪除或泄漏�����,非故意的規(guī)避安全策略��。在授權(quán)用戶無(wú)意訪問(wèn)敏感數(shù)據(jù)并錯(cuò)誤地修改或刪除信息時(shí)���,就會(huì)發(fā)生第一種風(fēng)險(xiǎn)��。在用戶為了備份或“將工作帶回家”而作了非授權(quán)的備份時(shí)�,就會(huì)發(fā)生第二種風(fēng)險(xiǎn)����。雖然這并不是一種惡意行為,但很明顯�,它違反了公司的安全策略,并會(huì)造成數(shù)據(jù)存放到存儲(chǔ)設(shè)備上����,在該設(shè)備遭到惡意攻擊時(shí),就會(huì)導(dǎo)致非故意的安全事件�����。例如�����,筆記本電腦就能造成這種風(fēng)險(xiǎn)��。
經(jīng)常進(jìn)行用戶權(quán)利的檢查可以使審計(jì)人員���、IT顧問(wèn)等知道企業(yè)的數(shù)據(jù)所有權(quán)���、訪問(wèn)控制��、對(duì)敏感信息的權(quán)利等詳細(xì)信息�����。這個(gè)過(guò)程可以使企業(yè)確立有效的責(zé)任分離制度�����,更好地滿足合規(guī)要求���。
監(jiān)視責(zé)任的分離變得日益重要。適當(dāng)?shù)脑L問(wèn)權(quán)限是一個(gè)關(guān)鍵的安全問(wèn)題���,責(zé)任分離的控制是合規(guī)要求的一個(gè)基本原則。
為確保這些無(wú)意的違反不會(huì)發(fā)生�����,企業(yè)應(yīng)當(dāng)將關(guān)鍵的保護(hù)從網(wǎng)絡(luò)和Web應(yīng)用程序?qū)訑U(kuò)展到數(shù)據(jù)庫(kù)�。常規(guī)的數(shù)據(jù)庫(kù)安全評(píng)估包括審計(jì)和滲透測(cè)試���,而且應(yīng)當(dāng)執(zhí)行錯(cuò)誤配置的檢查,以盡量減少這些風(fēng)險(xiǎn)�。此外,還可以實(shí)施活動(dòng)監(jiān)視��,以保證不會(huì)無(wú)意下載或傳輸敏感數(shù)據(jù)����。
二、社交工程
由于攻擊者使用的高級(jí)釣魚(yú)技術(shù)�,在合法用戶不知不覺(jué)地將安全機(jī)密提供給攻擊者時(shí),就會(huì)發(fā)生大量的嚴(yán)重攻擊����。這些新型攻擊的成功,意味著此趨勢(shì)在2012年繼續(xù)�����。在這種情況下����,用戶會(huì)通過(guò)一個(gè)受到損害的網(wǎng)站或通過(guò)一個(gè)電子郵件響應(yīng)將信息提供給看似合法的請(qǐng)求。應(yīng)當(dāng)通知雇員這種非法的請(qǐng)求�,并教育他們不要做出響應(yīng)�。此外��,企業(yè)還可以通過(guò)適時(shí)地檢測(cè)可疑活動(dòng)�����,來(lái)減輕成功的釣魚(yú)攻擊的影響�。數(shù)據(jù)庫(kù)活動(dòng)監(jiān)視和審計(jì)可以使這種攻擊的影響最小化。
三���、內(nèi)部人員攻擊
很多數(shù)據(jù)庫(kù)攻擊源自企業(yè)內(nèi)部���。當(dāng)前的經(jīng)濟(jì)環(huán)境和有關(guān)的裁員方法都有可能引起雇員的不滿,從而導(dǎo)致內(nèi)部人員攻擊的增加�����。這些內(nèi)部人員受到貪欲或報(bào)復(fù)欲的驅(qū)使��,且不受防火墻及入侵防御系統(tǒng)等的影響�����,容易給企業(yè)帶來(lái)風(fēng)險(xiǎn)��。
常見(jiàn)的內(nèi)部人員攻擊包括口令猜測(cè)或竊取�����、特權(quán)提升���、數(shù)據(jù)竊取�����、惡意軟件部署�、拒絕服務(wù)攻擊等���。例如���,如果某雇員準(zhǔn)備離職,在對(duì)目前的公司不滿時(shí)��,就有可能訪問(wèn)并竊取大量的私密文檔��。這表明��,僅有防火墻和網(wǎng)絡(luò)安全是遠(yuǎn)遠(yuǎn)不夠的。企業(yè)應(yīng)定期執(zhí)行用戶權(quán)力的檢查�����、評(píng)估漏洞并監(jiān)視特權(quán)活動(dòng)(包括受信任的雇員和合伙人)等�,這至關(guān)重要。
在不少企業(yè)�����,很多人可以訪問(wèn)需要特定權(quán)限才能訪問(wèn)的數(shù)據(jù)��������;蛘��,雇員擁有過(guò)高的權(quán)限�����,可被用于訪問(wèn)敏感數(shù)據(jù)�����。從本質(zhì)上講�,公司網(wǎng)絡(luò)上的通道越多�,利用網(wǎng)絡(luò)訪問(wèn)點(diǎn)的機(jī)會(huì)就越多,企業(yè)就更容易遭到攻擊����。
在任何企業(yè)中,知道最敏感的數(shù)據(jù)在哪里至關(guān)重要���。首要的一步是全面分析哪些用戶可以訪問(wèn)每個(gè)系統(tǒng)���,他們可以訪問(wèn)哪些數(shù)據(jù)和功能,根據(jù)用戶的業(yè)務(wù)功能驗(yàn)證用戶是否被授予了適當(dāng)?shù)脑L問(wèn)水平����。具有前瞻性思維的企業(yè)必須主動(dòng)地實(shí)施用戶權(quán)利的最佳實(shí)踐,確保將數(shù)據(jù)的適當(dāng)訪問(wèn)和所有權(quán)分配給機(jī)密數(shù)據(jù)��。如果不執(zhí)行全面的用戶權(quán)利檢查����,就會(huì)增加企業(yè)的數(shù)據(jù)訪問(wèn)被濫用的風(fēng)險(xiǎn),并增加不遵守合規(guī)要求的風(fēng)險(xiǎn)����。
對(duì)關(guān)鍵系統(tǒng)建立強(qiáng)健的基于策略的訪問(wèn)和活動(dòng)監(jiān)視可以阻止內(nèi)部人員攻擊���;顒(dòng)監(jiān)視和審計(jì)提供對(duì)可疑活動(dòng)的警告功能���,從而可以對(duì)可疑活動(dòng)及時(shí)采取行動(dòng)�����。數(shù)據(jù)庫(kù)安全解決方案允許IT和安全人根據(jù)不同的活動(dòng)類(lèi)型設(shè)置不同的警告級(jí)別�,可以用不同的格式智能地過(guò)濾這些警告�����,并根據(jù)預(yù)先定義的策略來(lái)定義用戶組或個(gè)人���。
管理員應(yīng)當(dāng)為插入�����、更新����、刪除等命令創(chuàng)建存儲(chǔ)過(guò)程。在存儲(chǔ)過(guò)程中�����,管理員可以將一條記錄插入到日志表中��,要記錄所需要的細(xì)節(jié)����。管理員可以用存儲(chǔ)過(guò)程來(lái)撤銷(xiāo)對(duì)數(shù)據(jù)庫(kù)表的插入�����、更新����、刪除等語(yǔ)句。注意�����,屬于特定角色(如db_owner)的任何人仍能夠直接對(duì)表進(jìn)行操作����。
管理員還應(yīng)當(dāng)對(duì)表的更新����、插入�����、刪除等建立觸發(fā)器�����。在觸發(fā)器中�,可以將任何東西記錄到日志表中。通過(guò)此法��,可以將所有的數(shù)據(jù)修改操作記錄下來(lái)�����,而不管其實(shí)現(xiàn)方式(直接的SQL語(yǔ)句或通過(guò)存儲(chǔ)過(guò)程)�����。
四�、錯(cuò)誤配置
黑客可以使用數(shù)據(jù)庫(kù)的錯(cuò)誤配置控制“肉機(jī)”訪問(wèn)點(diǎn),借以繞過(guò)認(rèn)證方法并訪問(wèn)敏感信息�����。這種配置缺陷成為攻擊者借助特權(quán)提升發(fā)動(dòng)某些攻擊的主要手段。如果沒(méi)有正確的重新設(shè)置數(shù)據(jù)庫(kù)的默認(rèn)配置��,非特權(quán)用戶就有可能訪問(wèn)未加密的文件�����,未打補(bǔ)丁的漏洞就有可能導(dǎo)致非授權(quán)用戶訪問(wèn)敏感數(shù)據(jù)�����。
1�、修復(fù)默認(rèn)的�、空白的、弱口令���。確保所有的數(shù)據(jù)庫(kù)都擁有復(fù)雜的口令�����,并清除空白的����、默認(rèn)的及弱口令。要保證每一個(gè)實(shí)例都使用獨(dú)立的口令��,要強(qiáng)化企業(yè)當(dāng)前正在使用的口令策略����,并將其擴(kuò)展到所有的網(wǎng)絡(luò)登錄中。如果數(shù)據(jù)庫(kù)支持���,可以考慮使用網(wǎng)絡(luò)認(rèn)證����,如活動(dòng)目錄�����,而不使用用戶名和口令認(rèn)證���。
2��、加密靜態(tài)和動(dòng)態(tài)的敏感數(shù)據(jù)����。不要把敏感數(shù)據(jù)以明文形式存放到數(shù)據(jù)庫(kù)中的表中��。通過(guò)修復(fù)數(shù)據(jù)庫(kù)漏洞,并密切監(jiān)視對(duì)敏感數(shù)據(jù)存儲(chǔ)的訪問(wèn)����,數(shù)據(jù)庫(kù)專(zhuān)業(yè)人員可以發(fā)現(xiàn)并阻止攻擊。防御SQL注入攻擊要求一種多層的方法����,保護(hù)措施必須與端到端的檢查結(jié)合起來(lái),這意味著無(wú)論是Web應(yīng)用程序還是數(shù)據(jù)庫(kù)的基礎(chǔ)架構(gòu)都要納入到解決方案中����。
五、未打補(bǔ)丁的漏洞
如今攻擊已經(jīng)從公開(kāi)的漏洞利用發(fā)展到更精細(xì)的方法�,并敢于挑戰(zhàn)傳統(tǒng)的入侵檢測(cè)機(jī)制。漏洞利用的腳本在數(shù)據(jù)庫(kù)補(bǔ)丁發(fā)布的幾小時(shí)內(nèi)就可以被發(fā)到網(wǎng)上���。當(dāng)即就可以使用的漏洞利用代碼,再加上幾十天的補(bǔ)丁周期(在多數(shù)企業(yè)中如此)���,實(shí)質(zhì)上幾乎把數(shù)據(jù)庫(kù)的大門(mén)完全打開(kāi)了����。
使用專(zhuān)業(yè)工具發(fā)現(xiàn)并修復(fù)這些漏洞�,然后再結(jié)合監(jiān)視沒(méi)有打補(bǔ)丁的漏洞可以保護(hù)企業(yè)免受這種風(fēng)險(xiǎn)���。
六、高級(jí)持續(xù)性威脅
之所以稱(chēng)其為高級(jí)持續(xù)性威脅�����,是因?yàn)閷?shí)施這種威脅的是有組織的專(zhuān)業(yè)公司或政府機(jī)構(gòu)�����,它們掌握了威脅數(shù)據(jù)庫(kù)安全的大量技術(shù)和技巧����,而且是“咬定青山不放松”“立根原在‘金錢(qián)(有資金支持)’中”,“千磨萬(wàn)擊還堅(jiān)勁,任爾東西南北風(fēng)”�����。這是一種正甚囂塵上的風(fēng)險(xiǎn):熱衷于竊取數(shù)據(jù)的公司甚至外國(guó)政府專(zhuān)門(mén)竊取存儲(chǔ)在數(shù)據(jù)庫(kù)中的大量關(guān)鍵數(shù)據(jù)��,不再滿足于獲得一些簡(jiǎn)單的數(shù)據(jù)�。特別是一些個(gè)人的私密及金融信息,一旦失竊����,這些數(shù)據(jù)記錄就可以在信息黑市上銷(xiāo)售或使用��,并被其它政府機(jī)構(gòu)操縱��。鑒于數(shù)據(jù)庫(kù)攻擊涉及到成千上萬(wàn)甚至上百萬(wàn)的記錄����,所以其日益增長(zhǎng)和普遍�。通過(guò)鎖定數(shù)據(jù)庫(kù)漏洞并密切監(jiān)視對(duì)關(guān)鍵數(shù)據(jù)存儲(chǔ)的訪問(wèn),數(shù)據(jù)庫(kù)的專(zhuān)家們可以及時(shí)發(fā)現(xiàn)并阻止這些攻擊��。
小結(jié):將安全作為一個(gè)過(guò)程
不少企業(yè)的安全解決方案是作為應(yīng)對(duì)已知風(fēng)險(xiǎn)的一系列技術(shù)而部署的���,而不是作為一種保障企業(yè)安全的綜合方法和過(guò)程�。安全并不是購(gòu)買(mǎi)并部署了安全產(chǎn)品那么簡(jiǎn)單����,它是一個(gè)需要持續(xù)關(guān)注的過(guò)程。例如��,在企業(yè)部署了Web應(yīng)用程序防火墻后��,還應(yīng)當(dāng)經(jīng)常檢查其有效性和可用性�,隨著業(yè)務(wù)的開(kāi)展而對(duì)其進(jìn)行調(diào)整。再比如���,在購(gòu)買(mǎi)了某軟件后���,你還得關(guān)注它有沒(méi)有漏洞,開(kāi)發(fā)商什么時(shí)候提供補(bǔ)丁下載和安裝���。
此外���,企業(yè)如果不把對(duì)雇員的教育放在首位,任何安全措施都會(huì)成為空談���。所以��,構(gòu)建一種能夠隨著企業(yè)的增長(zhǎng)和變化而演變的系統(tǒng)化的動(dòng)態(tài)過(guò)程��,才能更有效地保障當(dāng)今的動(dòng)態(tài)環(huán)境�����。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)���!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
