攻与防的较量—信息化安全提升的源动力

 信息化安全的提升,某种程度上,依赖于攻击与防护对抗的碰撞力度。攻击愈烈,防守意识愈能提升,安全防护的技术水平和能力愈加速发展;而防守越强,同时也刺激攻击手段不断“创新”与“求变”。

  本次社保行业信息泄露事件的集中报道,就是信息化安全攻与防较量的一个典型代表。

1、社保数据遭受泄露事件曝光绝不”纯属偶然”;

  7天连锁酒店的600万会员信息泄密;

  CSDN 1000多万客户信息被窃取;

  12306网站被攻破,上百万人的信息泄露;

  “房叔房姐”信息屡被搜集挖掘,终被曝光;

  陕西移动1300万的用户数据泄露,被运维工程师窃取网上兜售;

  3.15晚会连续4年报道电信行业内鬼,持续倒卖客户信息;

  ……

  近4、5年来,数据泄密事件层出不穷。大大小小的企业、组织都在遭到数据库泄密事件的重创。

  组织整体的信息化安全结构和水平决定了安全攻击的目标和核心。

  根据verizon 对2亿8500万次累计攻击行为调查而发布的数据泄露调查报告表明,数据库成为入侵者最主要的攻击目标,高达76%的数据泄露直接来自数据库。

2、安全事件发生的原因分析

  1)当前信息化安全主要短板逐渐显示在后端

  绝大部分政府/大型企业用户,当前已经进行了终端安全、网络安全防护,形成相对有效的边界安全防护能力,防火墙、防病毒软件、网站防攻击软件、CA认证系统等都已具备。

  然而,在最接近核心资产数据库的后端”应用”和数据库部分,很多用户是没有有效防护手段甚至没有意识到需要安全防护。

  2)B/S外网系统,存在明显的隐患,成为安全攻击的重要场所

  B/S应用系统,由于其特殊的使用方式,使得终端用户可以轻松与后台应用服务进行互联,当前外网型B/S应用已经成为黑客及其他攻击者的首选试验田。

  其中,最常用的就是利用应用系统、数据库的漏洞进行SQL注入。一旦SQL注入成功,可以轻松做到:一、不具备用户口令,但骗取登入应用;二、在查询窗口注入语句,可骗取应用的处理逻辑直接获得整表或大批量数据。

  SQLMap等开源SQL注入工具,已经验证一大批B/S应用的注入点,成为攻击者的教学使用软件。

  当前虽然有不少用户已经使用了WAF(WEB应用防火墙)等手段进行防护,但效果显然还不够健壮。目前已经曝光的多种SQL注入,是WAF不易防范的,如运算函数、SQL动态语句、数据库函数运算等特征的SQL注入等。

  3)数据库自身缺陷,使得运维端容易获取批量数据

  数据库自身的设计缺陷,使得DBA超级用户在数据库中完全不受限,另外有Oracle等数据库存在SYS超级用户本地访问不需校验密码等重大缺陷.

  这使得运维域的管理员、驻场人员、运维人员、测试人员、网管等都有机会批量获取敏感数据。

3、敏感数据安全提升的有效解决办法

  敏感数据的安全性提升,严格来讲,不是某一个安全产品或厂商的单点职责。有效的安全机制应该是一个闭环的、由外到内的、由弱到强的、多层次塔式防御体系。

  在终端、网络等传统安全措施相对健全的条件下、重点需要加强针对数据库内在核心的本质防护。

  作为人力资源和社会保障自主可控信息化产业联盟(简称人社联盟)成员单位—北京安华金和科技有限公司,作为国家专业数据库安全厂商,安华金和的技术专家们,为广大用户可提供如下数据库安全防护建议:

  1)建立数据库安全主动防御机制

  利用专门的数据库防火墙技术,彻底的对SQL注入、数据库漏洞攻击行为进行防御。

  数据库防火墙,不同于传统的防火墙,传统的防火墙无法防止SQL注入等攻击手段;也不同于WEB防火墙,WEB防火墙实际上有很多的应用限制,有很多的SQL注入绕开手段,WEB防火墙也无法做到防止批量下载和后门程序。

  而数据库防火墙可以对数据库的通讯过程进行精确的解析和控制;对于SQL注入本身比WEB防火墙拦截得更为彻底;同时可以对社保行业应用建立应用特征模型,建立社保正常访问语句的抽象表达,对每种语句的返回总量进行控制;从而防止批量下载和后门程序。

  2)建立数据库底线保护机制

  安全防护与安全攻击一样,都有成功概率。即使能防护住99%的行为,也有可能存在1%的攻破概率,而且随着攻击人员不断“创新”攻击方案或程序,比如会存在短暂的攻方暂时领先,如同杀毒软件的病毒库更新一样。

  因此,在数据库安全的防护上,建议增加底线防护机制,通过使用数据记录行数阀值控制的技术,在最邻近数据库的位置部署数据库防火墙,即使攻击方法穿透了网络、主机、应用,但是一旦超过一定阀值(如100行),所有的访问行为将立即进行阻断、拦截。首先能做到规避大规模数据的泄密灾难。

  3)建立数据库安全监控和告警机制

  利用数据库监控与审计技术,可以记录下所有人员、所有通道、所有时间的数据库访问行为;可以突破应用层限制,将SQL语句与业务人员身份有效关联,在发生安全事件后,形成有效追踪。为追责、问责提供有力的保障手段。

  最后,安华金和的技术专家们提醒大家,任何目的攻击测试与实验,有目的或与无意识的公众系统安全攻击,一旦造成个人隐私、国家信息的泄露与窃取行为,都是违法的,都需要受到刑法的追责。

时间: 2024-10-16 00:58:02

攻与防的较量—信息化安全提升的源动力的相关文章

高屋建瓴之WebMail攻与防

0x01:前言 随着互联网的快速发展,我们的生活与互联网的联系愈加的紧密.各种快捷方便的信息化通信工具渐渐取代了传统的通信方式.微博.QQ.MSN.微信.陌陌, …这样的社交软件和平台已经成为了我们生活必不可少的通讯和交友平台. 但是像上述的这些软件及平台都有一个共同的特征,那就是即时性.即时性的通信虽然有其独特的优点所在但是在企业级方面的安全性却得不到全方面的保障:电子邮件却恰恰相反,虽然即时通讯的能力不强,但是在企业级的安全性方面相对于即时通信还是略占优势的.根据一则报道显示: “有52%的

智能家居网络安全攻与防

以下均内容均为博主原创.如转载,请注明出处.谢谢! 背景 物联网将会成为继互联网之后的下一个暴发点,目前以有不少公司已进入该领域. 智能家居作为物联网中最具有潜力的领域,网络安全是必须引起重视的课题.在互联网领域中,用户去安全性的敏感度并不是那个高.但是在智能家居领域中,如果系统被黑客攻击:半夜房门自动打开.无故解除安防系统.灯不亮等严重威胁到了用户的财产人身安全. 所以,智能家居想发展,安全性是决不可忽视的关键要素. 网络通信安全 任何信息在网络上传播能是能被第三者监听的.一个局域网就像是一间

图片盗链的攻与防

前言: 之前在整理nginx资料的时候, 里面谈到过防盗链的配置. 当时觉得有些新鲜(还是自己孤陋寡闻了), 毕竟很少接触这个概念或者说是名词. 大致的意思时, 防止他人的网站引用你的图片, 进而消耗你网络带宽资源的一种措施. 本文将讲述防盗链的原理, nginx如何配置防盗链, 以及如何反防盗链的一些思路. 笔者这是简单谈谈, 权当抛砖引玉. 科普: 他人网站未经你的允许, 引用你网站的资源链接(图片/文档). 不仅消耗你服务器的网络带宽, 甚至侵害你的利益, 间接盗取你的网站流量, 所以危害

SQLCipher之攻与防

在移动端,不管是iOS还是Android,开发人员用的最多的本地数据库非SQlite莫属了.SQLite是一个轻量的.跨平台的.开源的数据库引擎,它的在读写效率.消耗总量.延迟时间和整体简单性上具有的优越性,使其成为移动平台数据库的最佳解决方案. 但是,用SQLite保存一些不是很敏感的信息还可以接受,存储敏感信息就值得商榷了,免费版的SQLite中的信息是明文存放的,你甚至直接用文本编辑器打开都可以看到敏感内容,比如下面这个: 其实SQLite是提供了加密功能的,即SQLite Encrypt

DDos攻与防

DDos(Distributed Denial of Service),分布式拒绝服务,在游戏.在线业务等方面常会发现这样的攻击,一般是竞争对手所为.那DDOS攻击的方式有哪些呢? 1流量攻击(四层) 主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机. 1.1 SYN/ACK Flood攻击 这个是很古老的攻击方法了,不过前期还是挺凑效的,主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK 包,导致主机的缓存资源被耗尽或忙于发送回应

攻和防谁更厉害?AI技术在恶意软件检测中的应用和对抗

AI技术的发展为网络安全带来新机遇的同时,黑客也在逐渐利用AI漏洞建立对抗样本以躲避攻击,双方在各自领域的更多尝试也将是AI技术发展的一场新博弈.那么,在应用中,如何利用AI检测技术与恶意软件展开对抗? 腾讯安全技术专家王佳斌为您带来分享解读. AI检测的背景 上世纪50.60年代,早期的人工智能技术已出现,70年代到80年代,机器学习技术已被大家认识和应用.到2010年后,深度学习技术已被广泛应用在各大领域,安全领域也是其中之一. 传统的检测方式是人工定制的安全检测方案,通过输入的数据进行研判

SQL注入攻与防之代码层防御SQL注入

[目录] 0x0 前言 0x1 领域驱动的安全 1.1 领域驱动的设计 1.2 领域驱动的安全示例 0x2 使用参数化查询 2.1 参数化查询 2.2 Java中的参数化语句 2.3 .NET(C#)中的参数化语句 2.4 PHP中的参数化语句 2.5 PL/SQL中的参数化语句 0X3 移动应用中的参数化语句 3.1 iOS应用程序中的参数化语句 3.2 Android应用程序中的参数化语句 3.3 HTML浏览器中存储的参数化语句 0x4 输入验证 4.1 白名单 4.2 黑名单 4.3 J

前端江湖之攻与防

前端安全的话题再次被提及,深航东航系统被攻破,乘客信息泄露并被利用,这类例子比比皆是.在前端江湖中,攻击与防守更像是一场漫无硝烟的战争,悄无声息却无时无刻都在进行. 前端常见漏洞包括XSS.CSRF及界面操作劫持,服务端如SQL注入等. 前端使用的传输协议是http,不经过加密直接传输的.HTML中有很多地方可以内嵌脚本.及前端的存储,cookie,web storage.这些在一定程度上带来了一些安全风险. 同域:两个站点同协议,同域名,同端口. 出于防范跨站脚本攻击的同源安全策略,浏览器禁止

PHP 采集大全 采集原理分析 禁用采集 各种采集方法详解 采集的攻于防 采集性能 应用协议分析

//py by http://my.oschina.net/cart 做了N年的PHP,采集了N家数据,由初学者菜鸟,到现在的熟手,采集天猫.淘宝.腾讯.京东.敦煌.Lightinthebox.大龙.zencart.magento.prestashop.opencart.xcart.踏踏....对采集颇有诸多的理解. 现在给大家分析下,如有误,请指出. 我能想到的常用采集方法: 1. file 支持应用层协议,返回的数据是以数组形式返回,需要开启allow_url_fopen. 长处:擅长处理本