陇南信息港

当前位置:

安恒解读网站数据库泄密带来的隐私危机0

2019/04/25 来源:陇南信息港

导读

近日国内多家知名站用户数据库被公然下载,国内外媒体频繁报导,影响卑劣,涉及到游戏类、社区类、交友类等站用户数据正逐渐公然。各报道中也针对系列

近日国内多家知名站用户数据库被公然下载,国内外媒体频繁报导,影响卑劣,涉及到游戏类、社区类、交友类等站用户数据正逐渐公然。各报道中也针对系列事件向用户提出密码设置策略等安全建议。用户数据作为站所有者的信息资产,触及到站及关联信息系统的实质业务,对其保密性的要求强度不言而喻。为此,安恒信息已于近日对多家遭到攻击的站提供站安全检测并为其提供解决方案。安恒信息的专家将从信息安全防御的角度,就WEB运用的数据库的防泄密策略提出解决建议,以杜绝类似的数据库泄漏事件再次产生。

数据库为什么成为目标攻击者为什么会冒着巨大的法律风险去获取数据库信息?

2001年随着络游戏的兴起,虚拟物品和虚拟货币的价值逐步被人们认可,络上出现了多种途径可以将虚拟财产转化成现实货币,针对游戏帐号攻击的逐步兴起,并发展成庞大的虚拟资产交易市场;

2004年-2007年,相对通过木马传播方式获得的用户数据,攻击者采取入侵目标信息系统取得数据库所取得的信息其针对性与攻击效力都有显著提高。在巨额利益驱动下,络游戏服务端成为黑客 “拖库”的主要目标。

2008年-2009年,国内信息安全立法和追踪手段的得到完善,攻击者针对中国境内络游戏的攻击日趋收敛。与此同时残余攻击者的操作手法越发精细和隐蔽,攻击目标也随着电子交易系统的发展散布至的电子商务、彩票、境外赌博等主题站,并通过黑色产业链将权限或数据转换成为现实货币。招商加盟类站也由于其本身数据的商业业务价值,成为攻击者的“拖库”的目标。

2010年,攻防双方经历了多年的博弈,国内站安全运维水平不断提升,信息安全防御产品的成熟度加强,单纯从技术角度对目标系统进行渗透攻击的难度加大,而通过收集分析管理员、用户信息等一系列被称做“社会工程学”的手段的攻击效果被广大攻击者认可。获得更多的用户信息数据有利于提高攻击的实际效力,攻击者将目标指向了具有大量注册用户真实详细信息的社区及社交站,并在地下建立起“人肉搜索库”,预期实现:获知某用户经常使用ID或EMAIL,可以直接搜索出其常常使用密码或常常使用密码密文。

2011年12月21日,仅仅是在这一天,攻击者曾经获得到的部份数据库被陆续地公然了。

数据库是如何被取得的攻防回合的延续使入侵游服务端主机系统难度加大,而WEB应用的登录入口表明了WEB应用程序与用户数据表之间存在关联,通过入侵WEB站获得数据库信息成为针对站数据库攻击的主要入手点,常见的攻击步骤以下:

1. 寻觅目标站(或同台服务器的其他站)程序中存在的SQL注入、非法上传、后台管理权限等漏洞;

2. 通过上述漏洞添加一个以页脚本方式控制站服务器的后门,即:WEBSHELL;

3. 通过已取得的WEBSHELL提升权限,取得对WEB应用服务器主机操作系统的控制权,并通过查看站数据库链接文件,或得数据库的链接密码;

4. 通过在WEB运用服务器上镜像数据库连接,将目标数据库中所需要的信息导入至攻击者本地数据库(或直接下载服务器上可能存在的数据库备份文件);

5. 清理服务器日志,设置长时间后门。

目前攻击者以团队为单位,无论从工具的制造、攻击实行的具体手法都已形成了体系化的作业流程。

安恒专家建议针对于WEB运用和数据库基于以上技术防御目标和业务影响,安恒信息提出以下基本防御策略:

技术方面,根据具体信息系统的实际情况适当采取对应的安全工具或装备,如:WEB运用弱点扫描器、数据库弱点扫描器、WEB运用防火墙、数据库审计系统等;并通过人工手段,对系统进行多种方式的脆弱性评估和加固工作,如:渗透测试、代码审计等。

管理方面,加强对WEB应用和数据库对应的组织人员、开发规范、运维策略、安全培训等的建设,在单业务系统的范围内,到达体系完善。如:对数据库用户权限和备份文件加强管理,针对于某些攻击手段的防御效果可能高于产品部署而大幅降低成本。

实现控制安全事件产生的可能性和对业务造成的影响。

解决方案国内对络信息安全存在一定的误区,如用户普遍认为没有必要制定符合企业长远发展的安全策略;面对不法分子日趋猖獗的复合式攻击很多行业用户试图通过单点产品的简单堆砌来加以应对,而对产品之间的协调工作考虑较少,导致了安全防护体系的整体防御能力低下;对复杂多变的络环境和层见叠出的安全漏洞认识不足,许多行业用户把已经部署了的安全防御体系看成是“完美工事”。安恒信息根据一般WEB运用和数据库常见的部署情况,推荐了几款针对性的防御产品:

1.1.1.1. WEB运用弱点扫描器

WEB应用弱点扫描器(简称:WEBSCAN)的主要功能是发现WEB运用的常见技术弱点,本质是一种摹拟常见WEB攻击的非破坏性的工具。在WEB应用的开发、测试、运维阶段,WEBSCAN常常作为一种事前的安全检查用具,来快速高效地,发现系统可能存在的弱点,常见功能如图所示:

▲图 WEBSCAN主要功能

1.1.1.2. 数据库弱点扫描器

数据库弱点扫描器(简称:DBSCAN)是专门针对于数据库管理系统的脆弱性检测而开发的一种安全工具。DBSCAN主要包含前端程序和扫描引擎两部分。引擎的功能是访问要扫描的数据库,实行前端提交的扫描要求,并将扫描结果返回前端。前端功能是与用户交互,主要功能模块包括:项目管理、扫描管理、报表管理、用户权限管理、策略管理、日志管理。引擎和前端程序可以分开运行,它们之间一般采取自定义的络协议通讯。功能如图所示:

▲图 DBSCAN主要功能

目前,除各系统运维单位外,国内各公安部门、测评中心、检验所等检查机构也将WEBSCAN和DBSCAN作为等级保护测评工具,它们是事前系统弱点检测的有效工具。一般部署扫描工具,只需要对应络协议可达,并不会影响现有络结构。

1.1.1.3. WEB应用防火墙

Web应用防火墙(Web Application Firewall,简称: WAF)是通过履行一系列针对HTTP/HTTPS的安全策略来专门为Web运用提供保护的一款产品。主要功能是:检测、防御并记录的WEB攻击、应用加速、抗运用层DDOS、防篡改等。它是攻击产生时,提升系统防御能力的主要手段,能够阻挡攻击者对WEB应用程序漏洞的利用,为修复程序漏洞争取时间。在WAF的保护下,也能够提升新业务系统上线的速度。甚至于,保护哪些历史上遗留下来,已找不到开发者修复漏洞的历史遗留WEB运用系统。它的一个常见部署方式如下:

▲图 WAF部署方式

透明直连模式不需要给WAF配置IP地址,只要将WAF接入业务链路,配置好保护的WEB运用服务器的IP地址及端口,就可以实现对WEB运用业务的安全检测。而部署WAF,不但不会影响业务系统的性能,同时还能够提升应用交付。

1.1.1.4. 数据库审计系统

数据库审计系统是一种检测、响应、记录并分析对数据库操作的安全管理设备。通过部署数据库审计能够实现:

对数据库的对象(包括用户(数据库)、表、字段、视图、索引、存储进程、包等)进行审计规则定制; 制定细粒度的审计规则,如精细到表、字段、具体报文内容的细粒度审计规则,实现对敏感信息的精细监控; 基于IP地址、MAC地址和端口号审计; 根据SQL执行时间长短、根据SQL执行回应和具体报文内容等设定规则等。数据库审计系统不光能够检测、记录与回放攻击者的在任何时间的操作行动,也应当能够展现其已获得到的信息,让运维和安全人员了解到当前造成的损失。如图所示:

▲图 数据库审计系统操作回放示例

对B/S架构的运用系统而言,用户通过WEB运用服务器实现对数据库的访问,传统的数据库审计系统只能审计到WEB 运用服务器的相干信息,没法辨认是哪一个原始访问者发出的要求。而通过关联应用层的访问和数据库层的访问操作请求,可以追溯到应用层的原始访问者及要求信息(如:操作产生的URL、客户端的IP等信息),产品主要根据时间片、关键字等要素进行信息挑选,以确定符合数据库操作请求的WEB访问,通过三层审计更精确地定位事件产生前后所有层面的访问及操作要求。如图所示:

▲图 三层审计的部署示意图以下

利鲁唑片哪里有卖
年轻人重度骨关节炎
宝宝普通感冒怎么用药
标签