大數據時代的來臨,使得各個行業數據量成BT級別增長。數據庫被廣泛使用在各種新的場景中。數據庫本身是被設計在內網之中的,處在相對安全的環境中。而現在發展的趨勢是內外網逐漸融合,數據庫將面臨大量新型場景,由此伴隨而來的安全威脅無法靠數據庫現有安全機制來進行防護。數據庫的優良性能和落后的安全機制成為鮮明的對比。數據庫現在首要需要解決的就是有針對的加強某些場景下的安全防護能力。否則安全將成為數據庫的“阿喀琉斯之踵”。
為了提高數據庫用戶的安全意識,快速反饋最新數據庫漏洞被利用方向,安華金和數據庫攻防實驗室(以下簡稱:DBSec Labs)最新發布《2016年數據庫漏洞安全威脅報告》。數據選取截至2016年12月,該報告用于快速跟蹤及反饋數據庫安全的發展態勢。該報告回顧了2016年全球超過10萬起安全事件和2260起已經確認的數據泄漏事件。根據verizon統計報告,全球數據庫泄露事件呈現緩步提高趨勢,手段和方式呈現多種變化。分析已確認的2260起數據泄露事件,泄露源7成以上和數據庫相關。數據庫信息泄露主要是由人為因素、數據庫自身安全漏洞和第三方惡意組件造成,三大因素共同成為威脅數據庫安全的“三駕馬車”。
下面,我們將從該調查報告中截取部分內容,從不同維度對2016年度數據庫漏洞加以盤點。
數據庫安全威脅主要來自三個方面,其中數據庫漏洞威脅依舊是數據庫最嚴重的威脅。本文將從漏洞時間分布、漏洞威脅分布、數據庫廠商爆出漏洞比例、受影響組件和漏洞類型分類等5個角度來研究數據庫漏洞,最終總結出漏洞的趨勢,提醒客戶提早應對。(本文的漏洞都取自NVD-美國國家漏洞庫。)
1.按發布時間分布情況分析
1996年開始數據庫進入安全團隊的視野。同年4月份Oracle被披露出第一個安全漏洞。從1999年的4個漏洞開始,漏洞數量每年穩步增長,到2012年一年被爆出116個漏洞。本文選取了2012年至今的5個主流數據庫(oracle 、mssql、MySQL、db2、postgresql)漏洞來進行分析。下面是5年對比圖, 2016年截止到12月份初被確認數據庫漏洞一共136個。
和去年比,漏洞數量增加了62個,增幅達到81%。這和今年新出的一些新攻擊手法以及各家數據庫開發了一些新功能密切相關。數據庫安全漏洞總數呈下降趨勢,但基本屬于一年高一年低的狀態。數據庫安全切莫掉以輕心。
具體細分,今年的136個數據庫漏洞來自4個數據庫。(postgresql無漏洞)如下圖所示:
136個漏洞中, Mysql占到102個,占全年漏洞的75%,主要集中在5.5、5.6和5.7這三個主流版本中。所以,使用mysql的公司、團體和個人及時對自己的mysql數據庫進行補丁升級。有研發能力的單位最好對mysql源碼進行源碼審計,修復其中的問題。關閉和自己業務無關的組件,編譯出適合自己應用需求的客制化mysql。Oracle數據庫也被爆出26個漏洞,數量位列第二。各廠商產品的漏洞數量不僅與產品自身的安全性有關,而且也和廠商的產品數量、產品的復雜度、受研究者關注程度等多種因素有關。因此,并不能簡單地認為公開漏洞數量越多的廠商產品越不安全。雖然Oracle漏洞數量占到93%,但其實Oracle無論是性能還是安全性在同業者中都處于前列。
2.按威脅類型分布情況分析
按照對數據庫的機密性、完整性和可用性的影響程度漏洞可分成3大類:高威漏洞、中危漏洞和低危漏洞。其中高危漏洞必須及時處理,低危和中危漏洞在某些特定情況下也會達到高危漏洞的危害程度,所以切莫輕視。在2016年被確認的136個漏洞中高危漏洞有6個,中危漏洞有88個低危漏洞有42個。
數據庫名稱 | Oracle | MySQL | Postgresql | Microsoft SQL Server | IBM DB2 |
漏洞數量 | 24個 | 102個 | 0個 | 7個 | 3個 |
高危漏洞數量 | 4個 | 2個 | 0個 | 0個 | 0個 |
其中,最受關注的是高危漏洞,高危漏洞集中分布在Oracle和mysql數據庫中。高危漏洞占漏洞總數的4%,中危漏洞數量最多占據了65%、低威脅漏洞占據31%的比例。
其中,低危漏洞基本不會對數據庫造成真正的傷害。真正能被黑客利用入侵數據庫的是高危漏洞和少量中危漏洞。因此,上述6個高危漏洞才是我們需要重點關注的。
3.按受影響組件屬性分類情況分析
2016年被爆出漏洞最多的兩種數據庫,同時也是市場占有率最高的兩種數據庫(Oracle,Mysql)。
1)、Oracle 的26個漏洞主要集中于java vm、XDB和Core RDBMS中(這三個占新漏洞的53%)。這3個組件中Core RDBMS 是oracle數據庫的最核心組件。Java VM是java 虛擬機負責運行Oracle中的Java代碼。XDB的漏洞往往來自于XDB,是負責處理XML的組件。此外,Oracle GoldenGate 、Data Pump Import 、OLAP等組件中也發現了一些安全威脅。
2)、MySQL今年共有102個漏洞,這和它代碼開源,外加平行版本、衍生版本(例如:MariaDB、PerconaDB等)較多不無關系。
3)、Postgresql今年表現很好,未出現新的安全漏洞。
今年的數據庫安全的防護重點應該集中于MySQL和Oracle數據庫。因此,上云廠商尤其要關注他們的安全。云的環境讓數據庫過分暴露,很容易成為不法分子的目標。
4.按漏洞的攻擊途徑分類情況分析
通常漏洞按攻擊途徑劃分為遠程服務器漏洞和本地漏洞:
從上圖可知:遠程漏洞占74%,本地漏洞基本只占17%。而在遠程漏洞中,需要登入到數據庫在SQL層的漏洞遠多于協議層的漏洞。除去不確定的漏洞,SQL層占據了全部漏洞類型的81%,協議層漏洞則為9%。
5.數據庫漏洞利用趨勢
漏洞往往是扎堆被爆出,多個漏洞出現在同一函數、存儲過程中。數據庫漏洞中高危漏洞最為關鍵,對高危漏洞出現的函數、存儲過程進行安全加固,不但有利于防護已爆出的漏洞,更可能提高針對0day漏洞的預防能力。
2016年高危漏洞集中于數據庫Oracle 和MySQL中,分別:
·CVE-2016-3609
·CVE-2016-3489
·CVE-2016-3479
·CVE-2016-3454
·CVE-2016-0639
·CVE-2016-3471
數據庫安全發展到現在,權限的控制和輸入限制是永恒的話題。盡管緩沖區溢出和通訊協議破解的漏洞越來越少,但一旦出現將是數據庫的噩夢。今年6個高危漏洞中的3個是緩沖區溢出漏洞。SQL層入侵依舊是漏洞中的主流,基本80%以上的漏洞都屬于SQL層入范疇。作為數據庫管理員請嚴格分配用戶權限,防止分配給用戶過高權限;對非必要服務請進行禁用或卸載,防止其中存在的漏洞被黑客利用,入侵數據庫。
數據庫漏洞影響廣、威脅大,防護者除了積極更新補丁外,還可通過合理配置提高入侵難度的特性。對數據庫漏洞進行研究探索將有助于預知數據庫可能出現0day漏洞的位置,幫助客戶對數據庫可能被入侵組件進行加固。加固數據庫安全要從三個方面進行,嚴格限制弱口令、及時排出配置問題、定期升級補丁和對第三方惡意SQL語句進行審查。
1.入侵事前檢查防護
網絡中任何一點的漏洞都可能導致數據泄露,定期對整個網絡環境進行弱點掃描,定期請專人對整個網絡做滲透測試,同時可以通過Web安全掃描器、數據庫漏洞掃描器等相關產品對整個環境進行安全檢查。尤其要注意掃描器需要具備掃描后門、惡意SQL痕跡的能力。
2.入侵事中阻斷防御
事中防御的重點是準確的判斷出哪些語句或行為可能會引發入侵動作。推薦在數據庫和應用系統之間串聯數據庫防火墻:從數據庫層防護和阻斷SQL注入行為;具備虛擬補丁功能,給不打補丁的數據庫帶來和打補丁一樣的安全;對第三方惡意組件中的惡意語句,有解密并阻斷效果。
3.入侵事后減小損失
通過對用戶訪問數據庫行為的記錄、審計分析,幫助用戶事后進行數據泄密行為的追根溯源,提高數據資產安全。
數據庫跟隨業務逐漸從后臺走向前臺,從內網走向外網,從實體走向虛擬(云)。數據庫處于新的環境之中,給黑客帶來了更多入侵的機會。最后,提醒大家遵循一些簡單的原則防止或緩解數據庫受到的威脅:
·和數據庫關聯的軟硬件,請使用官方正版,防止破解版中被植入后門、惡意SQL等內容威脅數據庫安全。
·按時安裝數據庫最新補丁,如果有某種原因無法及時打補丁,也請使用VPATCH功能保護數據庫安全。
·合理的配置,定期通過工具管理數據庫用戶名和密碼,防止弱口令和錯誤配置出現。
產品咨詢:4000 258 365 
