數(shù)據(jù)庫安全威脅TOP5

方明

數(shù)據(jù)泄露對每個企業(yè)都構(gòu)成威脅，其損失不僅超出了敏感數(shù)據(jù)、機密數(shù)據(jù)和品牌損害帶來的實際損失或披露范圍，公司還承擔了與補救和多年法律責任索賠相關的重大財務成本。風險敏感的企業(yè)組織必須在數(shù)據(jù)庫安全性方面保持領先地位，以保護和防御數(shù)據(jù)免受各種外部和內(nèi)部威脅。

根據(jù)Verizon2019DBIR報告，黑客的動機可能是受到經(jīng)濟利益、間諜活動、意識形態(tài)或怨恨甚至娛樂的鼓動，71 %的泄露事件是出于經(jīng)濟動機，因為大多數(shù)掠食者通過阻力最小的路徑攻擊最弱的獵物。

好消息是，這意味著您的安全性雖然并不一定完美，但它足以阻止惡意攻擊者，讓他們?nèi)テ渌胤綄ふ腋菀椎墨C物。

壞消息是許多公司都難以實現(xiàn)多重安全防御方法，該方法可以檢測、監(jiān)視、預防和緩解威脅。本文討論關系型數(shù)據(jù)庫面臨的五大數(shù)據(jù)庫安全威脅，還將探討確保大數(shù)據(jù)安全的需求，大數(shù)據(jù)通常是依賴敏感數(shù)據(jù)的業(yè)務分析和客戶體驗應用程序的首選存儲庫。

五大數(shù)據(jù)庫安全威脅分別是：

過多的、不適當?shù)暮臀词褂玫奶貦?quán)；

權(quán)限濫用；

Web應用程序安全性不足；

審計線索不足；

不安全的存儲介質(zhì)。

前兩大威脅可以直接歸因于內(nèi)部威脅的增加。通常，企業(yè)網(wǎng)絡被認為受到可保護邊界的下一代防火墻的保護。但是，一旦惡意行為者越過防火墻，大多數(shù)企業(yè)就沒有檢測橫向移動并防止重大數(shù)據(jù)泄露的保護機制，這對數(shù)據(jù)構(gòu)成了重大威脅。此外，外部威脅持續(xù)不斷，內(nèi)部流程不足會留下管理漏洞，因此，當今的安全最佳實踐要求組織必須采取多層次、多方面的方法來保護數(shù)據(jù)并防止數(shù)據(jù)泄露。

1.過多的、不適當?shù)暮臀词褂玫奶貦?quán)

當授予某人超出其工作職能的數(shù)據(jù)庫特權(quán)時，這些特權(quán)可能會被濫用。例如，其工作能力是需要更新員工休假信息的HR，可能會利用過多的數(shù)據(jù)庫特權(quán)，對同事或高管的薪資數(shù)據(jù)進行未經(jīng)授權(quán)的查詢。此外，當某人在組織內(nèi)的角色更改時，通常不會更新他對敏感數(shù)據(jù)的訪問權(quán)限，以刪除新角色不再需要的權(quán)限。

應用程序的復雜性和使用的相應數(shù)據(jù)結(jié)構(gòu)意味著管理員傾向于默認情況下授予過多的特權(quán)，只是為了避免由于缺少訪問特權(quán)而導致應用程序失敗的風險。因此，用戶可能被授予遠遠超出其特定工作要求的通用或默認訪問特權(quán)，或者可能隨時間推移累積這些特權(quán)。通常，企業(yè)可以保護或“強化”處于高級職位（例如CEO，CFO等）的員工設備免受外部和內(nèi)部攻擊者的侵害，以保護對這些用戶所需敏感數(shù)據(jù)的廣泛訪問，這種加強有助于發(fā)現(xiàn)威脅情況，終止訪問以及本地存儲數(shù)據(jù)的潛在破壞。但是，BYOD情況下這不是可行的解決方案。當普通用戶設備受到攻擊時，很可能更難檢測到，如果該用戶擁有過多特權(quán)，可能會造成破壞，從而導致大規(guī)模數(shù)據(jù)丟失事件。

2.權(quán)限濫用

在一項來自多個企業(yè)數(shù)據(jù)長達2年的研究中表明，每個企業(yè)中人們都使用數(shù)據(jù)庫服務帳戶來訪問數(shù)據(jù)庫，并且用戶濫用這些特權(quán)服務帳戶來直接訪問敏感數(shù)據(jù)，從而繞過了應用程序界面。

此外，某些特權(quán)用戶可能會出于未經(jīng)授權(quán)的目的濫用合法的數(shù)據(jù)庫特權(quán)。組織中的某些用戶組由于職業(yè)和活動而有權(quán)訪問整個數(shù)據(jù)庫。特權(quán)用戶的2個主要類別是數(shù)據(jù)庫系統(tǒng)管理員和開發(fā)人員。

數(shù)據(jù)庫系統(tǒng)管理員（DBA）可以無限制地訪問數(shù)據(jù)庫中的所有數(shù)據(jù)。為了獲得最佳安全性，DBA在管理數(shù)據(jù)庫時不應直接訪問數(shù)據(jù)庫中的應用程序數(shù)據(jù)（應用程序數(shù)據(jù)/表）。當DBA直接通過數(shù)據(jù)庫而不是應用程序界面訪問應用程序數(shù)據(jù)時，他繞過了應用程序日志記錄和檢索限制，且避免了應用程序權(quán)限和安全性機制。

當某個使用防泄露方案的客戶端收到以下警告：受信任的DBA已直接通過數(shù)據(jù)庫而不是某應用程序入口訪問了此應用程序表中的敏感數(shù)據(jù)，這些表包含DBA不應訪問的財務信息。這一發(fā)現(xiàn)清楚地說明了內(nèi)部威脅的風險。開發(fā)人員通?？梢酝耆L問生產(chǎn)數(shù)據(jù)庫，質(zhì)量團隊可以快照數(shù)據(jù)庫以進行測試，而工程師可以調(diào)試實時生產(chǎn)系統(tǒng)，在這些情況下，敏感數(shù)據(jù)容易受到特權(quán)濫用的影響。

內(nèi)部威脅可以分為3類：惡意、疏忽和受到威脅。

惡意內(nèi)部人員威脅來自企業(yè)內(nèi)部或與企業(yè)直接相關的人員（如員工、前雇員、供應商和合作伙伴），他們掌握有關企業(yè)的安全實踐、數(shù)據(jù)和計算機系統(tǒng)的內(nèi)部信息。Palerra曾提交的Insider Threat Spotlight報告指出，平均每50位用戶中就有一位是惡意用戶。

疏忽大意的內(nèi)部人員是沒有惡意企圖的企業(yè)內(nèi)部人員或與企業(yè)直接相關的人員，但是由于粗心大意的行為，他們會將敏感數(shù)據(jù)暴露，導致數(shù)據(jù)泄露。

受威脅的用戶成為利用或接管組織系統(tǒng)的“外部”惡意攻擊者的受害者。外部攻擊者可以使用多種技術來攻擊組織，包括使用直接攻擊、計算機病毒、社會工程學、網(wǎng)絡釣魚和其他不斷發(fā)展的技術。Verizon DBIR表示1/6的用戶會濫用或公開數(shù)據(jù)。

3. Web應用程序安全性不足

大多數(shù)企業(yè)組織嚴重依賴應用程序與客戶進行交互，對可公開訪問應用程序的攻擊有很多類型，可以暴露數(shù)據(jù)。針對數(shù)據(jù)庫的2種常見的Web應用程序攻擊是SQL注入和WebShell。

多年來，SQL注入（SQLi）攻擊一直是Verizon DBIR報告中的頭號威脅。SQLi攻擊是輸入驗證不完整或不充分的結(jié)果，它使不良行為者以未曾預料到的方式通過Web應用程序?qū)QL命令傳遞給數(shù)據(jù)庫。

Web Shell攻擊是一種隱蔽方法，用于獲得對服務器未經(jīng)授權(quán)的遠程訪問。Web Shell是利用Web服務器核心功能（為遠程客戶端提供服務）獲得持久遠程訪問并通過與服務器Shell的接口獲得對服務器完全或有限控制的后門程序。根據(jù)Verizon DBIR由Web Shell后門造成的Web應用程序攻擊破壞數(shù)量僅次于憑據(jù)被盜。

Web Shell可以使用Shell的功能來破壞企業(yè)組織數(shù)據(jù)庫并泄露數(shù)據(jù)而不被檢測到。攻擊者使用Shell程序的文件瀏覽功能從應用程序的配置文件中查找和竊取合法應用程序使用的數(shù)據(jù)庫憑據(jù)。Shell固有地擁有服務器應用程序/守護進程本身的OS特權(quán)，從而使之成為可能。此外，在某些應用程序中，數(shù)據(jù)庫憑證（用戶名和密碼）甚至以明文形式存儲在配置文件中。

4.審計線索不足

接下來，將討論由內(nèi)部流程不足或漏洞引起的威脅。監(jiān)控整個企業(yè)中的數(shù)據(jù)訪問應該是任何生產(chǎn)數(shù)據(jù)庫的一部分。無法同時監(jiān)視安全性和合規(guī)性異常以及無法收集數(shù)據(jù)庫活動的適當審計詳細信息，這在許多層面上都構(gòu)成了嚴重的組織風險。

此外，具有薄弱（或有時不存在）數(shù)據(jù)庫審計機制的組織還發(fā)現(xiàn)，它們與行業(yè)和政府法規(guī)要求不符。旨在防止會計錯誤和欺詐行為的薩班斯·奧克斯利法案（SOX），以及醫(yī)療保健領域的《醫(yī)療保健信息攜帶和責任法案》（HIPAA），都是具有明確數(shù)據(jù)庫審計要求的法規(guī)示例。歐盟新頒布的通用數(shù)據(jù)保護條例（GDPR）是第一個對未能滿足嚴格的數(shù)據(jù)保護措施（包括足以滿足所有個人數(shù)據(jù)的審計和違規(guī)通知要求的數(shù)據(jù)庫監(jiān)控功能）的企業(yè)處以令人沮喪的罰款數(shù)額條例。

（1）為何審計跟蹤具有挑戰(zhàn)性

第1個原因是，許多企業(yè)轉(zhuǎn)向其數(shù)據(jù)庫供應商提供的數(shù)據(jù)庫本地審計功能，或者依賴臨時和手動解決方法，并認為這些方法已足夠。本地審計不會記錄支持安全性與合規(guī)性審計或檢測攻擊所需的上下文詳細信息，也不提供事件取證。此外，本地數(shù)據(jù)庫審計機制由于數(shù)據(jù)庫服務器的CPU和磁盤資源的不穩(wěn)定和過度消耗而“臭名昭著”，這迫使許多企業(yè)縮減或完全取消本機審計。最后，大多數(shù)本地審計機制是此類數(shù)據(jù)庫服務器平臺獨有的，例如，Oracle日志與MSSQL不同，并且MSSQL日志與DB2不同。對于具有異構(gòu)數(shù)據(jù)庫環(huán)境的企業(yè)，這對實施統(tǒng)一、可擴展的審計流程和報告形成了重大障礙。

具有對數(shù)據(jù)庫（合法或惡意獲得）管理訪問權(quán)的用戶可以關閉本機數(shù)據(jù)庫審計以隱藏欺詐性活動。審計功能和職責應與數(shù)據(jù)庫管理員和數(shù)據(jù)庫服務器平臺分開，以確保職責之間的強烈隔離。

（2）第2個挑戰(zhàn)：審計處理

擁有正確的審計記錄只是保護數(shù)據(jù)的第1步。第2步是了解數(shù)據(jù)活動和訪問嘗試記錄，以處理該數(shù)據(jù)并確定可信威脅。如果沒有為該任務構(gòu)建工具，則很難識別訪問數(shù)據(jù)庫的實體并區(qū)分DBA、應用程序、用戶和作業(yè)進程。需要了解對數(shù)據(jù)庫的哪些訪問是可疑的，例如，登錄失敗嘗試是數(shù)據(jù)庫訪問中的常見現(xiàn)象。用戶由于忘記或鍵入錯誤的憑據(jù)或更改密碼而無法登錄數(shù)據(jù)庫。但是，當用戶多次未能成功登錄數(shù)據(jù)庫而從未嘗試過再次登錄時，或者當用戶試圖成功訪問企業(yè)中的多個數(shù)據(jù)庫而未成功時，則是可疑的，可能表明用戶沒有獲得訪問應用程序的授權(quán)。

在一些帳戶安全研究中，發(fā)現(xiàn)確定了一個用戶，該用戶嘗試訪問一個他從未訪問過的數(shù)據(jù)庫，然后在不到一個小時的時間內(nèi)使用4個不同的帳戶而沒有成功，使用第5個帳戶成功登錄了數(shù)據(jù)庫，但是該帳戶沒有足夠的特權(quán)來對該數(shù)據(jù)庫執(zhí)行任何操作。

此活動有多個危險信號：

用戶突然對從未嘗試訪問過的數(shù)據(jù)庫產(chǎn)生興趣；

單個用戶使用多個帳戶；

訪問數(shù)據(jù)庫的帳戶沒有權(quán)限，這可能會導致一個結(jié)論即該帳戶根本不應該訪問此數(shù)據(jù)庫。

曾有數(shù)據(jù)泄露報告稱超過3 500萬條記錄丟失或被盜，其中44 %與醫(yī)療或醫(yī)療保健相關。

此事件中將該活動標記為高風險，并提供了一項分析，指出此事件是由受威脅的內(nèi)部人員實施的。為了識別此類事件，需要了解哪些用戶是人類用戶（而不是作業(yè)進程和應用程序）。

不幸的是，當今使用的許多安全系統(tǒng)工具無法識別數(shù)據(jù)泄露，因為它們無法區(qū)分對數(shù)據(jù)庫的可疑訪問和正常訪問。這些工具產(chǎn)生了太多模糊的告警，這些告警需要進行大量調(diào)查分析才能具有可視化，從而造成了過度消耗。通用告警的這種過載是為什么只研究了不到1 %的關鍵安全警告的原因。

對等組異常的一個例子是，一個開發(fā)人員在其開發(fā)工作中訪問一個應用程序表，而另一名開發(fā)人員訪問該表以查看同事的個人數(shù)據(jù)。確定風險級別的關鍵是上下文，特別是要了解用戶和對等用戶的正常表訪問權(quán)限。由于惡意內(nèi)部人員會利用特權(quán)從企業(yè)組織中竊取數(shù)據(jù)，因此無法區(qū)分上下文非常危險。

本地審計工具無法區(qū)分不正常的用戶訪問和正常的內(nèi)容，并經(jīng)常導致過多的告警，所有這些必須由專業(yè)安全人員進行篩選。SIEM工具可以減小此范圍并使其更易于可視化，但是它們?nèi)狈Υ祟I域?qū)I(yè)知識，并且僅從源數(shù)據(jù)中提取，只為直接調(diào)查提供了有限的可操作選項。需要具有反入侵行為分析以及自動化的數(shù)據(jù)庫監(jiān)視和檢測功能系統(tǒng)，可以提供關注實際威脅所需的情報，以上下文關聯(lián)和可操作的方式關注真正的威脅。

5.不安全的存儲介質(zhì)

上次關注存儲介質(zhì)備份的威脅是什么時候？通常，它是完全不受保護的。許多管理漏洞涉及數(shù)據(jù)庫備份磁盤和磁帶被盜或意外暴露。采取適當措施保護敏感數(shù)據(jù)的備份副本不僅是數(shù)據(jù)安全的最佳實踐，而且是許多法規(guī)的強制性要求。

此外，特權(quán)較高的用戶通常具有直接訪問數(shù)據(jù)庫服務器的權(quán)限。這種物理上的接觸意味著他們可以插入類似拇指大小的USB驅(qū)動器，并直接對數(shù)據(jù)庫執(zhí)行SQL命令，這可以關閉本地審計功能并繞過除數(shù)據(jù)庫服務器內(nèi)核級別部署保護機制之外的所有保護機制。我們需要強大的數(shù)據(jù)庫監(jiān)控和防御工具，阻止這些類型違規(guī)行為的工具。

（1）威脅組合

到目前為止，討論的每種數(shù)據(jù)庫威脅肯定足以造成數(shù)據(jù)泄露，但是僥幸的惡意攻擊者會尋找阻力最小的途徑。許多時候，我們看到多種威脅的組合使用，這些威脅會加快攻擊者對數(shù)據(jù)的訪問，并簡化在未被發(fā)現(xiàn)情況下泄漏數(shù)據(jù)的能力。這里有一些例子：

當應用程序具有過多特權(quán)時，SQL注入或Web Shell會使數(shù)據(jù)庫受到破壞；

由于審計線索不足，難以發(fā)現(xiàn)特權(quán)濫用；

當用戶或應用程序擁有過多特權(quán)時，特權(quán)濫用會更加嚴重；

57 %的公司認為數(shù)據(jù)庫是內(nèi)部攻擊最脆弱的資產(chǎn)。

（2）大數(shù)據(jù)應用程序的安全威脅不可忽略

大數(shù)據(jù)應用程序仍處于起步階段，在不根據(jù)每個公司的特定需求進行自定義的情況下進行部署，幾乎沒有成熟的商業(yè)解決方案。在市場發(fā)展的現(xiàn)階段，仍然缺少了解大數(shù)據(jù)技術并能跟上其快速發(fā)展的專家。

在大多數(shù)情況下，內(nèi)部開發(fā)人員設計、編寫代碼、測試和部署大數(shù)據(jù)應用程序和硬件時，卻沒有得到足夠的培訓、需求定義、時間或資源。

人們可能誤認為，大數(shù)據(jù)開源軟件包是一種快速成功的安裝方式，實際上這些系統(tǒng)要復雜得多。構(gòu)建軟件時的第2個問題是缺乏可行的本機安全性或?qū)徲嬁蚣埽摽蚣懿粫恋K定制解決方法。缺少本地模型使安全性實現(xiàn)變得不容易，并且需要深入的設計和持續(xù)不斷的維護。因此，需要考慮的安全和審計功能會被反復推遲，從而使數(shù)據(jù)容易受到攻擊。

（3）大數(shù)據(jù)安全不是重點

大數(shù)據(jù)領域的某些人認識到對原生安全性和治理能力的需求，有早期的Apache項目正在尋求解決這些需求。不幸的是，這些項目經(jīng)常有自己的安全問題，這些問題可能直接影響到它們試圖保護的大數(shù)據(jù)系統(tǒng)的安全性。

這些問題包括：

向應用程序添加身份驗證過程。需要更多的安全考慮，會使應用程序更加復雜。例如，應用程序需要定義用戶和角色。基于此類數(shù)據(jù)，應用程序可以決定是否授予用戶訪問系統(tǒng)的權(quán)限。

輸入驗證。我們再次看到困擾RDBMS應用程序的問題又回來了，同樣困擾著NoSQL數(shù)據(jù)庫。OWASP現(xiàn)在建議測試NoSQL數(shù)據(jù)庫（例如MongoDB）是否受到SQL注入攻擊。

應用意識。在每個應用程序都需要管理安全性的情況下，它必須了解每個其他應用程序。這是禁用對任何非應用程序數(shù)據(jù)的訪問所必需的。

當新的數(shù)據(jù)類型添加到數(shù)據(jù)存儲時，數(shù)據(jù)存儲管理員必須弄清楚并確保哪些應用程序無法訪問該特定數(shù)據(jù)。

弱代碼。有許多大數(shù)據(jù)項目和產(chǎn)品，是通過敏捷開發(fā)方法實現(xiàn)的，沒有為安全性檢查和測試分配時間或資源。惡意行為者將利用有缺陷的開發(fā)方法，探索漏洞加以利用。

（4）重復數(shù)據(jù)

NoSQL的強大功能也是它的安全性致命弱點。在這些系統(tǒng)中，數(shù)據(jù)并非嚴格保存在唯一表中。而是將數(shù)據(jù)復制到許多表以優(yōu)化查詢處理。因此，不可能根據(jù)特定的敏感表對某些數(shù)據(jù)進行分類。相反，可以在不同位置找到此類數(shù)據(jù)，例如：交易日志、個人帳戶詳細信息、代表所有數(shù)據(jù)的特定表以及可能沒有考慮到的其他位置。

（5）隱私問題

盡管我們專注于安全性，但是隱私問題也不容忽視。以醫(yī)療大數(shù)據(jù)平臺為例，提供商可以共享患者數(shù)據(jù)?；颊呖梢栽L問系統(tǒng)獲取遺傳信息，然后再訪問有關藥物信息的系統(tǒng)。分析此數(shù)據(jù)的應用程序可以將信息關聯(lián)起來，以找到與遺傳和健康有關的購買趨勢。問題在于，最初插入數(shù)據(jù)時未考慮這種類型的相關性。因此，數(shù)據(jù)未被匿名化脫敏，從而可以從更大的趨勢圖中查明特定的個人。這將違反包括HIPAA和 GDPR在內(nèi)的多項法規(guī)。

如何創(chuàng)建全面的數(shù)據(jù)安全解決方案

數(shù)據(jù)安全性需要對數(shù)據(jù)和用戶活動進行統(tǒng)計。此過程從指紋識別到發(fā)現(xiàn)數(shù)據(jù)庫服務器，然后分域管理進行準入訪問/活動監(jiān)控，還需要連續(xù)的用戶權(quán)限管理來阻止特權(quán)濫用。最佳實踐的解決方法會考慮數(shù)據(jù)訪問的每個實例（包括特權(quán)用戶的實例），敏感數(shù)據(jù)的匿名化脫敏，為用戶和應用程序構(gòu)建完整的安全配置策略。在異構(gòu)環(huán)境下的數(shù)據(jù)庫審計日志方面，以及日常行為中關注上下文使用機器自學習，可以準確識別內(nèi)部威脅并防止數(shù)據(jù)泄露。

而加強訪問數(shù)據(jù)庫的應用程序安全也很重要。SQLi和Web Shell只是Web應用程序面臨的2種威脅，同時也需要能夠阻止SQLi，Web Shell事件并防止復雜的業(yè)務邏輯攻擊類似高級Web應用防火墻的數(shù)據(jù)庫業(yè)務防火墻，為防止未經(jīng)授權(quán)的數(shù)據(jù)訪問提供重要的保護。

應對數(shù)據(jù)庫的此5種威脅需要多重安全防御機制，僅僅依靠本機工具或忽略外部和內(nèi)部攻擊者能夠利用或?qū)玫陌踩┒匆巡辉僮銐?。保護數(shù)據(jù)庫中的數(shù)據(jù)對于保護客戶、聲譽和企業(yè)業(yè)務生存能力至關重要。