数据库安全能力：安全威胁TOP5

多年来，SQL注入(SQLi)攻击一直是Verizon DBIR报告中的头号威胁。SQLi攻击是输入验证不完整或不充分的结果，它使不良行为者以从未曾预料到的方式通过Web应用程序将SQL命令传递给数据库。

Web Shell攻击是一种隐蔽方法，用于获得对服务器的未经授权的远程访问。Web Shell是利用Web服务器核心功能(为远程客户端提供服务)获得持久远程访问并通过与服务器Shell的接口获得对服务器的完全或有限控制的后门程序。根据Verizon DBIR由Web Shell后门造成的Web应用程序攻击破坏数量仅次于凭据被盗。

WebShell可以使用Shell的功能来破坏企业组织数据库并泄露数据而不被检测到。攻击者使用Shell程序的文件浏览功能从应用程序的配置文件中查找和窃取合法应用程序使用的数据库凭据。Shell固有地拥有服务器应用程序/守护进程本身的OS特权，从而使之成为可能。此外，在某些应用程序中，数据库凭证(用户名和密码)以明文形式存储在配置文件中。

4. 审计线索不足

接下来，我们将讨论由内部流程不足或漏洞引起的威胁。监控整个企业中的数据访问应该是任何生产数据库的一部分。无法同时监视安全性和合规性异常以及无法收集数据库活动的适当审计详细信息，这在许多层面上都构成了严重的组织风险。

此外，具有薄弱的(或有时不存在)数据库审计机制的组织还发现，它们与行业和政府法规要求不符。旨在防止会计错误和欺诈行为的萨班斯-奥克斯利法案(SOX)，以及医疗保健领域的《医疗保健信息携带和责任法案》(HIPAA)，都是具有明确数据库审计要求的法规示例。欧盟新颁布的通用数据保护条例(GDPR)是第一个对未能满足严格的数据保护措施(包括足以满足所有个人数据的审计和违规通知要求的数据库监控功能)的企业处以令人沮丧的罚款数额的条例。

(1) 为何审计跟踪具有挑战性

第一个原因是，许多企业转向其数据库供应商提供的数据库本地审计功能，或者依赖临时和手动解决方法，并认为这些方法已足够。本地审计不会记录支持安全性和合规性审计或检测攻击所需的上下文详细信息，也不提供事件取证。此外，本地数据库审计机制由于数据库服务器的CPU和磁盘资源的不稳定和过度消耗而臭名昭著，这迫使许多企业缩减或完全取消本机审计。最后，大多数本地审计机制是此类数据库服务器平台所独有的。例如，Oracle日志与MSSQL不同，并且MSSQL日志与DB2不同。对于具有异构数据库环境的企业，这对实施统一、可扩展的审计流程和报告构成了重大障碍。

报告称只有19%的公司监控数据库的活动。

具有对数据库(合法或恶意获得)的管理访问权的用户可以关闭本机数据库审计以隐藏欺诈性活动。审计功能和职责应与数据库管理员和数据库服务器平台分开，以确保职责之间的强烈隔离。

(2) 第二个挑战：审计处理

拥有正确的审计记录只是保护数据的第一步。第二步是了解数据活动和访问尝试记录，以处理该数据并确定可信威胁。如果您没有为该任务构建工具，则很难识别访问数据库的实体并区分DBA、应用程序、用户和作业进程。您需要了解对数据库的哪些访问是可疑的，例如，登录失败尝试是数据库访问中的常见现象。用户由于忘记或键入错误的凭据或更改密码而无法登录数据库。但是，当用户多次未能成功登录数据库而从未尝试过再次登录时，或者当用户试图成功访问企业中的多个数据库而未成功时，则是可疑的，可能表明用户没有获得访问应用程序的授权。

在一些帐户安全研究中，发现确定了一个用户，该用户尝试访问一个他从未访问过的数据库，然后在不到一个小时的时间内使用四个不同的帐户而没有成功，他使用第五个帐户成功登录了数据库，但是该帐户没有足够的特权来对该数据库执行任何操作。

此活动有多个危险信号：

• 用户突然对从未尝试访问过的数据库产生兴趣
• 单个用户使用多个帐户
• 访问数据库的帐户没有权限，这可能会导致一个结论即该帐户根本不应该能够访问此数据库

曾数据泄露报告称超过3500万条记录丢失或被盗，其中44%与医疗或医疗保健相关。

此事件中将该活动标记为高风险，并提供了一项分析，指出此事件是由受威胁的内部人员实施的。为了识别此类事件，您需要了解哪些用户是人类用户(而不是作业进程和应用程序)。

不幸的是，当今使用的许多安全系统工具无法识别数据泄露，因为它们无法区分对数据库的可疑访问和正常访问。这些工具产生了太多模糊的告警，这些告警需要进行大量调查分析才能具有可视化，从而造成了过度消耗。通用告警的这种过载是为什么只研究了不到百分之一的关键安全警告的原因。

对等组异常的一个例子是，一个开发人员在其开发工作中访问一个应用程序表，而另一名开发人员访问该表以查看同事的个人数据。确定风险级别的关键是上下文，特别是要了解用户和对等用户的正常表访问权限。由于恶意内部人员会利用其特权从企业组织中窃取数据，因此无法区分上下文非常危险(请参阅“特权滥用”部分)。

本地审计工具无法区分不正常的用户访问和正常的内容，并经常导致过多的告警，所有这些都必须由专业安全人员进行筛选。SIEM工具可以减小此范围并使其更易于可视化，但是它们缺乏此领域专业知识，并且仅是从源数据中提取出来，并且只为直接调查提供了有限的可操作选项。需要具有反入侵行为分析以及自动化的数据库监视和检测功能系统，可以提供关注实际威胁所需的情报，以一种上下文关联和可操作的方式关注真正的威胁。

5. 不安全的存储介质

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!