數據庫漏洞掃描是對數據庫系統進行自動化安全評估的專業技術,能夠充分暴露并證明數據庫系統的安全漏洞和威脅并提供智能的修復建議,將企業的數據庫 安全建設工作由被動的事后追查轉變為事前主動預防,將數據庫的安全自查由低效的人工方式提升到高效準確的自動檢查方式,并以報表的方式呈現給用戶,適時提 出修補方法和安全實施策略,對數據庫的安全狀況進行持續化監控,從而幫助用戶保持數據庫的安全健康狀態,實現“防患于未然”。
? 分析內部不安全配置,防止越權訪問
通過只讀賬戶登錄到數據庫服務器,實現由內到外的檢測;提供現有數據的漏洞透視圖和數據庫配置安全評估;初步診斷內外部的非授權訪問。
? 監控數據庫安全狀況,防止數據庫安全狀況惡化
對于數據庫建立安全基線,對數據庫進行定期掃描,對所有安全狀況發生的變化進行及時報告和分析。
? 用戶授權狀況掃描,便于找到寬泛權限賬戶
對于大型業務系統中用戶,以及用戶的授權狀況,特別是管理員權限的授予狀況,是系統安全的關鍵;從安全合規性的角度,用戶和授權狀況總是審查的要點,提供自動化的收集工具,獲得獨立于DBA 的授權報告。
? 豐富的弱口令字典庫比對,即時展現不安全的口令設置
基于各種主流數據庫口令生成規則實現口令匹配掃描,規避基于數據庫登錄的用戶鎖定問題和效率問題。
提供基于字典庫,基于規則,基于窮舉的多種模式實現弱口令檢測;提供2000 萬弱口令字典庫,兼容CSDN口令庫。
? 發現外部黑客攻擊漏洞,防止外部攻擊
實現非授權的從外到內的檢測;模擬黑客使用的漏洞發現技術,在沒有授權的情況下,對目標數據庫的安全性作深入的探測分析;收集外部人員可以利用的數據庫漏洞的詳細信息。
? 發現敏感數據,保護核心數據資產
一般應用的后臺數據庫都有上百個表和上千個列,要保護您的核心數據資產,首先要了解核心數據資產在什么地方,通過敏感數據發現功能對存儲密碼、個人標識信息、信用卡賬戶等的表和列進行掃描,也支持用戶自定義敏感對象搜索關鍵字功能。
? 按不同安全檢測要求,進行靈活的策略管理
提供策略的管理功能,將策略分類管理,可滿足不同安全等級檢查的需要,如等級保護、行業等安全政策。
? DBMS安全漏洞知識庫
數據庫漏掃技術首先要有個能全面覆蓋數據庫安全隱患的知識庫,包括DBMS 漏洞項、弱安全配置、補丁、缺省用戶名/口令。其中基本漏洞項檢測覆蓋緩沖區溢出漏洞、提權漏洞、拒絕服務漏洞等。
? 數據庫發現和安全檢查
數據庫漏掃要能支持多種數據庫自動化檢查和網絡數據庫發現技術,在實現數據庫服務器發現的同時,還可以提供數據庫端口發現。
數據庫漏掃實現多種DBMS的密碼生成技術,提供多個口令爆破庫,實現快速的弱口令檢測。
? 預定義安全策略集合
數據庫漏掃要包含系列預定義的掃描策略集合,以幫助用戶立即完成不同的掃描任務,比如:全面掃描對對漏洞庫中的所有檢測項進行掃描,基本掃描對數據 庫使用缺陷、DBMS 系統缺陷進行掃描,快速掃描是對數據庫使用缺陷和DBMS 系統缺陷中的風險等級為高風險及中風險的檢測項進行掃描。
? 數據庫安全狀況監控
數據庫漏掃不僅能作為數據庫漏洞檢查工具,還可實現對數據庫運維狀況的監控,包括相關安全配置、連接狀況、用戶變更狀況、權限變更狀況、代碼變更狀況等。通過周期性的監控數據庫的運行狀態和重要操作,展現數據庫的實時的安全視圖。
? 數據庫模擬滲透攻擊
在數據庫的漏洞類型中,屬系統注入、緩沖區溢出和拒絕服務攻擊這幾種類型對數據庫系統造成的危害最大,為了讓用戶更清醒的認識到數據庫的安全隱患, 數據庫漏掃技術可以模擬黑客對數據庫進行滲透攻擊,如口令攻擊、SQL注入和緩沖區溢出等,并確保對目標數據庫造成危害可快速恢復。
? 智能修復建議
對于需手工修復的漏洞能夠給出智能化漏洞修復建議,同時注明漏洞的風險等級、對數據庫系統的危害和漏洞來源,便于數據庫風險評估之后的安全隱患消除。
目前數據庫漏掃技術基于的主要方法是“已知入侵手段檢測”和“已知漏洞掃描”,也就是基于知識庫的技術。因此,決定一個漏洞掃描評估技術和產品的重 要標志之一就是能夠檢測的入侵種類和漏洞數量。為提升系統安全性,Oracle、SQL Server等主流數據庫均開放了數據庫漏洞平臺,及時發布新的漏洞和補丁信息;同時,為幫助用戶最大限度地獲得所有安全信息,通用漏洞披露CVE和中國 國家信息安全漏洞庫CNNVD等平臺和組織相繼建立。這些漏洞庫可以被用戶和安全廠商直接獲取,成為數據庫漏洞評估技術良好的基礎支撐。
發現數據庫漏洞的主要技術路線有黑盒、白盒和滲透測試三種方式。
黑盒檢測方法的原理是在不知道數據庫登錄賬戶的情況下,根據權威的漏洞披露平臺和數據庫的版本號,猜測會出現哪些漏洞,傳統的網絡掃描就是根據黑盒檢測方法出數據庫漏洞檢測報告的,主要存在的缺陷如下:
1、無法掃描出數據庫的低安全配置和所有的弱口令;
2、如果這個版本的數據庫沒有安裝含漏洞的組件,可能導致誤報;
3、相同的數據庫版本號掃描出的數據庫漏洞是一樣的。
白盒檢測方法的原理是使用數據庫用戶和口令登錄,基于漏洞知識庫構建漏洞描述和修復建議模型,采用檢測規則庫形成漏洞對應檢測方法,使用國際主流安全檢測腳本語言NASL腳本語言實現檢測。領先的數據庫漏掃技術一般采用這種方法,這種檢測方法的優勢如下:
1、缺省知識庫將覆蓋CVE、CNNVD中絕大多數重要的數據庫安全威脅;
2、對于知識庫的擴充或升級,只需在知識庫中添加漏洞的描述和修復建議,同時補充NASL腳本檢查程序,系統即可自動完成漏洞庫的擴充或升級;
3、可以掃描出安全配置和弱口令等問題,對DBMS漏洞可以檢測得更準。
滲透測試是模擬黑客使用的漏洞發現技術和攻擊手段,在沒有授權的情況下,對目標數據庫的安全性作深入的探測分析,并實施攻擊(有可能導致停機或對數 據庫造成損害),取得系統安全威脅的真實證據。通過滲透測試,可以直接看到應用弱點被攻擊的后果,如獲得系統權限、執行系統命令,篡改數據等,這類檢測方 法一般用于驗證數據漏洞存在的情況。
? 智能端口發現技術
實現數據庫服務器的自動發現技術的瓶頸在于端口自動識別技術,對于常見的數據庫服務端口,如1433是SQL Server,1521是Oracle,3306是MySQL,這類端口可以根據知識庫快速識別,但對于修改了默認端口的服務識別難度就比較大。
通過“主動方式”獲取指定數據庫所運行的端口信息,即輪詢某一范圍的端口,向它發送符合特定數據庫協議的連接請求,若得到符合格式的回應信息,則說明該端口為指定數據庫服務所監聽的端口。
以Oracle的TNS協議(服務器端與客戶端的通信協議)為例,向某一端口發送連接請求,若該端口為Oracle服務器的監聽端口,則其必然返回拒絕報文與重定向報文。只要收到以上兩個報文之一,則說明該端口為Oracle服務的監聽端口。
? 漏洞庫的匹配技術
基于數據庫系統安全漏洞知識庫通過采用基于規則的匹配技術,既根據數據庫攻防實驗室對數據庫漏洞攻擊特征的研究、黑客攻擊案例的分析和DBA對數據
庫系統安全配置的實際經驗,可以形成一套標準的數據庫系統漏洞庫,然后再此基礎之上構成相應的匹配規則,由掃描程序自動的進行漏洞掃描工作。
這種技術的有效性主要取決于漏洞庫的完整性。對于黑客所探知到的未知漏洞,由于沒有包含在漏洞庫中,其防御性則大幅度降低。另外,漏洞庫的修訂和更新的性能也會影響到檢查結果的準確性。
? 國內外發展現狀
國外的數據庫漏洞掃描產品起步較早,產品較多,按照商業目的劃分,可分為開源產品和商業產品。開源類產品包括Scuba by Imperva等;主要的商業產品有FortiDB、SecureSphere DAS、Microsoft基準安全分析器(MBSA)等。開源產品一般用于學術研究,支持的漏洞種類和個數有限,產品化程度也不高,是一種輕量級的數據 庫漏掃工具,以下就主要幾款國際國內主流商業產品進行分析。
? FortiDB
FortiDB是美國飛塔公司推出的專門用于數據漏洞評估的安全系列產品,可以通過監測密碼漏洞、存儲權限和配置設置來保護數據庫的安全。
該產品擁有多種產品型號,包括FortiDB-400B,FortiDB-1000B和FortiDB-2000B,可滿足多達10-60個并行數據庫的
漏洞評估,具備支持大規模數據庫應用的優勢;同時該產品還具有很強行業合規性,符合支付行業PCI、金融行業GLBA、醫療行業HIPAA等行業法規要
求。但該產品不支持我國國家安全政策,不支持國產數據庫以及中國國家信息安全漏洞庫,并存在明顯的自身安全特性缺失。
? SecureSphere DAS
Imperva公司的SecureSphere發現與評估服務器(DAS)可使企業客戶通過數據資產的發現、存儲數據分類及可識別誤配置與潛在漏洞的綜合漏洞管理,它能擴展支持大型異構環境的需求,并提供企業級報告和分析視圖,包括數據風險管理和歷史趨勢分析。
但該產品不支持滲透檢測功能,不利于取證。另外,也同樣面臨不符合國家安全政策、不支持國產數據庫等問題。
? 國內專業的數據庫安全產品
安華金和數據庫漏洞掃描系統(簡稱DBScan)是一款幫助用戶對當前的數據庫系統進行自動化安全評估的專業軟件,作為領先國內的數據庫漏洞掃描產品,能夠幫助用戶防患于未然,有效暴露當前數據庫系統的安全問題,提供對數據庫的安全狀況進行持續化監控,幫助用戶保持數據庫的安全健康狀態。
產品能夠實現以下安全檢測及防護效果:
發現外部黑客攻擊漏洞,防止外部攻擊:實現非授權的從外到內的檢測;模擬黑客使用的漏洞發現技術,在沒有授權的情況下,對目標數據庫的安全性作深入的探測分析;收集外部人員可以利用的數據庫漏洞的詳細信息。
分析內部不安全配置,防止越權訪問:通過只讀賬戶,實現由內到外的檢測;提供現有數據的漏洞透視圖和數據庫配置安全評估;避免內外部的非授權訪問。
監控數據庫安全狀況,防止數據庫安全狀況惡化:對數據庫進行定期掃描,對所有安全狀況發生的變化進行報告和分析。
產品咨詢:4000 258 365 
