“实战是检验安全的唯一标准”

随着企业组织的业务规模不断扩大,信息化运用快速发展,业务与数据安全已经被推上战争的高地,成为企业保护自身安全的重中之重,成为企业信息安全官在战略计划汇报中不得不谨慎对待的课题。

现阶段,全球范围内的网络空间对抗加剧,网络军事化特征明显,信息安全正面临严峻的挑战,国家也愈发重视。今年网络安全的红蓝对抗为人们安全观念和意识的转变带来了契机,虽然企业安全防御技术争论不休,但唯一不争的共识是,企业能够建立最好的安全防御体系的方式就是通过对抗演练来进行检验。

企业市场也不断涌现红蓝对抗的建设需求,攻防演练得到企业的重视,攻击视角能帮助防守团队找到防守视角的盲点,企业级渗透测试服务的采购也成为企业安全团队思考的问题。

渗透测试服务标准

企业级渗透测试服务,是工程化的项目服务,具有完整的管理流程和标准化服务。尽管渗透测试的方法各不相同,但依然有一些标准化的方法体系规范,而对于企业内部安全部门在提供安全测试服务时,依然有可取之处。

PTES(Penetration Testing Execution Standard)渗透测试执行标准是安全业界在渗透测试技术领域中开发的一个新标准,也是普遍应用比较广的事实标准,目标是在对渗透测试进行重新定义,新标准的核心理念是通过建立起进行渗透测试所要求的基本准则基线,来定义一次真正的渗透测试过程,已得到安全行业的广泛认同。

完成更好的渗透测试

高价值的渗透测试活动涉及对现实世界中恶意攻击者使用的技术进行建模、发现漏洞,并在一定受控环境下,根据提前精心设计的参与规则和协定的范围,以专业、安全的方式利用这些漏洞。此过程有助于确定业务风险和可能受到攻击的潜在影响,所有这些都旨在帮助企业组织改善其安全现状。

以下是安全专家总结的渗透测试某些阶段的提示,以帮助您在日常工作中提供更高的业务价值。可以成为安全部门在内部提供标准化服务建设时的成熟小建议,同时也可以作为组织寻求企业级渗透测试服务的标准化要求。

1、前期交互:

1.前期沟通时使用话术模板来指导语音会话,以确定参与的范围和规则。

2.对目标系统(MSSP、云提供商、ISP、共享托管环境、边界路由器、DNS服务器等)进行获取信息或进行操作时,请确保您获得了任何第三方的测试书面许可。

3.在与目标系统方人员交流制定您的规则时讨论同时使用黑盒与白盒测试,并指出白盒测试通常提供更详细的结果、更安全,并提供更好的商业价值。

4.与目标系统人员讨论他们在其环境中具有的特殊敏感的信息(例如PII),以及如何在不实际下载的情况下测试对其数据的访问。考虑尝试使用植入通用的样本记录来演示您的访问权限,而不是实际的敏感数据。

5.每天与目标系统人员进行电话汇报,交流意见和经验教训。如果每天太频繁,可以考虑每周打2-3次电话。(每周留出1-2小时参加各种CTF比赛,保持你的技能熟练程度。这些比赛包括各大CTF网站提供的免费在线比赛或线下赛,以及其他类对抗比赛。)

2、情报侦察:

1.仔细考虑与第三方服务器和搜索的所有交互(谨慎使用),以确保您不会泄露有关目标的敏感信息或使用他们导致的违反保密协议。您可能需要考虑使用Tor网络来模糊隐匿您与目标组织的关系。

2.使用谷歌语法搜寻目标网站上常见的办公类文件,例如(或filetype:):

site:<TargetDomain> ext:doc |ext:docx | ext:xls | ext:xlsx | ext:pdf

3.记得搜集社交网站,QQ、微信朋友圈、知乎、微博、支付宝生活圈、抖音,安全从业者尤其喜欢安全圈子论坛及Facebook、Twitter,甚至暗网论坛,了解目标员工及其使用的技术。

4.使用Shodan的“net:”命令在目标网络地址范围内寻找不寻常或有趣的设备。此外,使用唯一的页脚信息(例如目标web页面上的常见版权通知)通过Shodan使用“html:”查找其他页面(推荐FOFA和ZoomEye网络空间搜索引擎)。

5.仔细检查正在进行测试范围中包含的所有IP地址是否属于目标组织,并且无错误。使用whois和traceroute检查地址是否有意义并且实际上属于目标组织。

6.在公开的信息中,查找目标企业的长期以来的IT管理和信息安全管理员工,看看他们熟悉哪些技术,包括防火墙、开发环境等等。

3、脆弱性分析:

1.扫描目标时,运行tcpdump之类的嗅探器,这样可以持续验证扫描器是否仍在正常运行。

2.虽然TCP 445之类的开放端口通常表示目标为一台Windows机器,但情况并非总是如此。目标可以是Samba守护进程,也可以是另一个基于smb的目标。

3.通过研究如何手动或通过Bash、PowerShell、Nmap脚本 (NSE)或其他脚本检查问题,验证发现的漏洞。

4.将根据您已识别的漏洞来确定资产的重要程度,因为这有助于您分配优先级并评估风险。

5.尝试通过运行不同的探测工具(Nmap、Masscan、Nessus、OpenVAS、PocSuite)来排除误报,以确认结果。

6.如果您本地正在使用虚拟机进行远程攻击,请将其配置为桥接网络模式,以避免填充NAT表并确保反向shell连接可以成功返回给您。

4、密码攻击:

1.根据其网站上的文字信息创建一个针对目标组织微调的字典列表。

2.根据用户的社交网络档案,创建一个针对用户进行微调的字典列表。

3.当您使用字符规则成功破解密码时,请将该密码添加到字典中,以便对该渗透测试进行进一步的密码攻击。这样,如果您遇到相同的密码以不同的哈希格式出现,则无需等待单词爆破才能重新发现该密码。

4.记住,可以使用各种技术收集密码,包括通用密码、社工库、自动化猜测、破解、嗅探和击键记录。

5.对于密码猜测,请始终考虑可能的帐户锁定策略,并试图通过使用密码喷射技术(大量帐户和数量很少的密码)来避免它。

6.一旦从目标中获取密码哈希值,就启动密码破解程序以尝试破解确定此密码。不要让时间浪费流逝,请立即开始破解你已经得到的哈希。

7.有时您不需要密码进行身份验证,因为只需使用哈希即可完成工作,例如针对Windows和SMB目标的传递哈希攻击,以及存储在某些网站的cookie中的密码哈希值。

8.如果您的系统上有兼容的GPU,可考虑使用基于GPU的密码破解工具,例如Hashcat,因为将获得20-100倍的速度性能。

5、渗透测试:

1.在创建逃避反恶意软件的免杀payload时,请不要将恶意样本提交到在线扫描站点(例如virustotal.com)以检查能否成功免杀,因为这可能会在分发新签名更新时破坏您的有效载荷(被反恶意软件查杀)。

2.设置一个命令或脚本,在攻击时每隔几秒检查一次目标服务的可用性。这样,如果目标崩溃了,你会很快注意到并且可以联系目标系统人员一起尝试重新启动它。

3.构建有效载荷Payload,以便它们与您建立反向连接shell,从而增加您通过“仅允许出站连接”的防火墙的机会。

4.对于您的有效payload,请使用可能允许从目标环境出站的协议,例如https(具有代理感知的有效载荷,如PowerShell Empire、Metasploit和Veil Framwork中可用的模块)或DNS(如DNScat工具)。

5.为了降低Windows目标系统和服务崩溃的几率,一旦您获得了管理员级别的凭证和SMB访问权限,使用psexec或类似的Windows特性(WMIC, sc等)来让它们运行代码,而不是缓冲区溢出或相关的漏洞。

6.如果您的漏洞利用失败,请仔细阅读您的利用工具的输出信息,以查看错误的位置。此外,运行诸如tcpdump之类的嗅探器,以查看它在建立连接、发送exploit载荷以及加载stager和stage之间的差别。如果你的stager工作正常但你的stage无法加载,那么你的反病毒逃避策略可能失败了(MSF的payload分single、stager、stage三种) 。

6、后渗透:

1.当您获得对目标计算机的访问权限时,请不要过早使用它来扫描内网更多目标,因为这会使您过早被检测到。相反,应根据网络活动发现其他潜在目标信息:

DNS缓存(Windows): c:\>ipconfig /displaydns

ARP缓存:arp -a

建立TCP连接:netstat -na

路由表:netstat -nr

2.当您获得对目标的访问权限时,如果计算机上安装了嗅探器(如tcpdump或Wireshark的tshark工具),则运行它以查找网络流量以识别其他可能的目标计算机,以及包含敏感或有用信息的明文协议。

3.即使没有目标计算机上的root、system或admin权限,您仍然可以执行非常有用的后渗透活动,包括获取用户列表,确定已安装(可能是易受攻击)的软件以及在系统中进行操作。

4.当你进入Windows系统时,寻找端口445(SMB)和3389(RDP)的STABLISHED TCP连接,因为这些系统可能是很好的跳板机。使用如属下列命令:

c:\> netstat -na | find “EST” | find“:445”

c:\> netstat -na | find “EST” | find“:3389”

5.虽然它们对管理人员演示效果非常有用,但对打开摄像头并从受感染的目标机器中捕获音频,要保持小心谨慎。只有获得书面许可情况下才能进行这种的侵入性访问,并由您的法律团队进行审核,以确保符合当地法律。

7、编写报告:

1.通过IP地址(如果您拥有IPv4和IPv6)、域名(如果有)和MAC地址(特别是对于使用DHCP的受损客户机)识别目标。

2.不要等到渗透测试结束才开始编写报告。相反,在渗透测试进行时随时记录编写报告,每天留出时间写一到三页,你不但会写出更好的报告,你的成果也会更好。

3.在你的报告中添加截图,以清楚地说明调查结果。用箭头和圆圈标注截图,指出插图的重要点。

4.如果想要为您的修复建议增加额外的价值,请考虑增加操作人员可以采取的易于落地的步骤,以验证建议的修复是否到位,例如检查补丁是否存在的命令。对于某些发现的问题,这可能很难做到,所以在这些情况下,建议重新测试给定的问题。

5.在报告的每个部分为适当的读者受众撰写不同结构的报告:

- 执行摘要应该适用于分配资源的决策者

- 应根据业务问题从技术角度撰写调查结果

- 修复建议应充分考虑到运营团队及其流程

*本文原创作者:两块,本文属于FreeBuf原创奖励计划,未经许可禁止转载

考虑到数据使用的方式,我们需要将更多的精力放在保护数据的完整性和可用性上。

如今,大多数安全系统在构建时都考虑到了数据的机密性,这一点非常重要。但是,机密性只是数据隐私的一个方面。正如安全专家布鲁斯·施奈尔(Bruce Schneier)在2018年SpiceWorld大会上所说的那样,现在是时候重新理解数据隐私并制定数据隐私策略了。考虑到数据使用的方式,我们需要将更多的精力放在保护数据的完整性和可用性上。

了解“CIA数据安全三要素”

越来越多的安全专家开始关注“CIA三要素”:机密性(confidentiality)、完整性(integrity)和可用性(availability)。对于数据安全来说,这三点最为重要。

根据InfosecInstitute的说法,机密性(目前仍然是数据隐私的重点)是指通过结构化的分类分级指南,来规范个人和第三方机构对个人数据的访问权限。

完整性是指“确保信息从源头传输到目的地的过程中不被篡改(即活动的数据),还包括存储的信息也不被篡改(即静止的数据)。”可用性则是指“确保机构的数据服务是可用的”。

威胁到可用性的典型案例是DoS和勒索软件攻击,这两种攻击都会阻止用户访问文件或网站。

威胁到完整性的典型案例是,威胁源操纵用户账户并篡改其中的信息,例如更改银行账号,这样一来,即使用户的信息没有被盗,也已经不再准确。施奈尔在SpiceWorld大会上说,物联网(IoT)以前所未有的方式将人和机器互联起来,这对数据的完整性和可用性带来了很大的威胁,远超过机密性面临的威胁。“此类威胁影响到受害者的生命和财产安全,可能会造成更加严重的后果。”他说,“比如,虽然我很担心黑客会侵入医院网络并窃取我的就诊记录,但我更担心他们会篡改我的血型”。

转变对数据隐私的理解

在过去的几年中,最严重的安全事件都围绕着数据机密性问题。网络犯罪分子能够窃取***信息、姓名、出生日期、社保号,甚至诸如指纹等生物识别信息——这些信息都保存在政府工作人员的安全审查文件中。

考虑到目前的网络环境,当消费者的数据机密性受到损害时,他们会感到不安也就不足为奇了。诸如《通用数据保护条例》(GDPR)和美国加州《消费者隐私法案》(CCPA)等隐私法规,旨在保护信息的机密性,同时将信息的控制权移交给其合法的所有者——消费者。

GDPR还规定,即使发生安全事件,公司也要保证数据的可用性。施奈尔指出,数据隐私不仅涉及消费者数据(关于消费者个人身份的信息),还涉及汽车、家用恒温器、无人机、智慧城市、医疗设备、关键基础设施和军用系统等(即任何能够联网并生成数据的设备)产生的数据。

“我们开始看到针对关键系统的DDoS攻击,以及针对联网汽车的勒索软件攻击。”施奈尔说。

我们必须认识到,针对CIA三要素中每个要素的攻击会带来什么影响。医院用来处理患者信息的电子病历系统崩溃会导致患者数据丢失,但患者使用的联网起搏器崩溃则可能会危及患者的生命,显然这两者(均指可用性)之间存在着根本性的区别——因此我们应该为安全策略确定相应的优先级。如果数据的完整性和可用性更加重要,我们可以设计安全系统来应对潜在的漏洞和攻击向量。

通过备份和审计来保护数据完整性

如果文件难以访问,那么它们就会更加难以处理。因此,保护数据的完整性涉及机密性的多个方面。数据完整性的一个关键方面是:确保信息是准确的、未被篡改的。

在保护数据完整性方面,备份至关重要。在发生疑似网络安全事件之后,可以将现有文件与之前备份的文件进行对比,以确定文件是否遭到了篡改。

对数据进行定期审计,也有助于各机构了解数据是否发生了变化。当信息应该保持不变时,是否发生了变化?是否出现了规律性的变化?是否出现了不寻常的变化?

各机构对数据越了解,就能更好地保护其完整性。此外,接触数据的人越少越好。访问或编辑数据的员工太多,会增加某人犯错且未能被及时发现的可能性。

数据可用性极其重要

数据可用性旨在确保发生攻击事件后可以快速访问相关信息。同样,我们可以通过可靠的备份或数据丢失恢复系统,来确保数据的可用性。

各机构需要考虑其数据的可用性是否存在风险。例如,是否存在勒索软件攻击风险?是否存在DDoS攻击风险?基础设施是否过于老旧,无法防御自然灾害或黑客攻击?

数据备份有助于应对数据可用性风险。在不同地区设立数据中心、采用可以在几分钟内恢复网站可访问性的云服务、开展降低勒索软件攻击风险的工具和意识培训,都有助于降低数据丢失风险。

由于网络世界的互联性日益增强,机密性已经不再是数据隐私的唯一方面。保护好数据的机密性、完整性和可用性,不仅对隐私保护至关重要,甚至可能导致生与死的差别。

根据《著作权法》“改编、翻译、注释、整理已有作品而产生的作品,其著作权由改编、翻译、注释、整理人享有,但行使著作权时不得侵犯原作品的著作权。”的规定,任何组织、公司及个人在未经译者允许的情况下,不得转载、使用、发布此文件,如需请联系作者。

*参考来源:securityintelligence,两块编译整理。

在数据库的安全问题已跃至CSO的工作内容象限榜首的今天,对数据库安全的防御是艰苦的旅程,如何让针对业务安全和数据安全的攻击成为一场废鞋底的马拉松,防止恶意行为者利用漏洞威胁这个“线头”并最终扯下数据这条“线裤”的全部,让我们一起来关注在数据库安全能力建设中识别数据库的安全威胁。

安全威胁简介

数据泄露对每个企业都构成威胁,其损失不仅超出了敏感数据、机密数据和品牌损害带来的实际损失或披露范围,公司还承担了与补救和多年法律责任索赔相关的重大财务成本。风险敏感的企业组织必须在数据库安全性方面保持领先地位,以保护和防御其数据免受各种外部和内部威胁。

是什么使您的数据成为主要目标?

根据Verizon2019DBIR报告,黑客的动机可能是受到经济利益、间谍活动、意识形态或怨恨甚至娱乐的鼓动,71%的泄露事件是出于经济动机发生的,大多数掠食者通过阻力最小的路径攻击最弱的猎物。好消息是,这意味着您的安全性虽然并不一定是完美的,但它已经足以阻止恶意攻击者–让他们去其他地方寻找更容易的猎物。

“You don’thave to runfaster than thebear to getaway. You just haveto run fasterthan the guynext to you.”

JIM BUTCHER

“你不必跑得比熊还快才能逃脱。你只要比你旁边的人跑得快就行了。”–吉姆•巴特

坏消息是许多公司都难以实现一种多重安全防御方法,该方法可以检测、监视、预防和缓解威胁。在本文中,我们将讨论关系型数据库面临的五大数据库安全威胁。我们还将探讨确保大数据安全的需求,大数据通常是依赖敏感数据的业务分析和客户体验应用程序的首选存储库。

什么是5大数据库安全威胁?

1.过多的、不适当的和未使用的特权

2.权限滥用

3. Web应用程序安全性不足

4.审计线索不足

5.不安全的存储介质

前两大威胁可以直接归因于内部威胁的增加。通常,企业网络被认为受到可保护边界的下一代防火墙的保护。但是,一旦恶意行为者越过防火墙,大多数企业中就没有可以检测到横向移动并防止重大数据泄露的保护机制,这对数据构成了重大威胁。此外,外部威胁是持续不断的,内部流程不足会留下管理漏洞,因此,当今的安全最佳实践要求组织必须采取多层次、多方面的方法来有效保护数据并防止数据泄露。

让我们一起来详细探讨这五种数据库安全威胁。

1.过多的、不适当的和未使用的特权

当您授予某人超出其工作职能的数据库特权时,这些特权可能会被滥用。例如,其工作能力是需要更新员工休假信息的HR,可能会利用过多的数据库特权,对同事或高管的薪资数据进行未经授权的查询。此外,当某人在组织内的角色更改时,通常不会更新他对敏感数据的访问权限,以删除其新角色不再需要的权限。

统计称47%的公司用户拥有过多的权利

应用程序的复杂性和使用的相应数据结构意味着,管理员倾向于默认情况下授予过多的特权,只是为了避免由于缺少访问特权而导致应用程序失败的风险。因此,用户可能被授予远远超出其特定工作要求的通用或默认访问特权,或者他们可能随时间推移累积这些特权。通常,企业可以保护或“强化”处于高级职位(例如CEO、CFO等)的员工的设备免受外部(和内部)攻击者的侵害,以保护对这些用户所需敏感数据的广泛访问,这种加强有助于发现威胁情况,终止访问以及本地存储数据的潜在破坏。但是,BYOD情况下这不是可行的解决方案。当普通用户的设备受到攻击时,很可能更难以检测到,如果该用户拥有过多特权,则可能会造成破坏,从而导致大规模数据丢失事件。

2. 权限滥用

在一项来自多个企业数据的长达两年的研究中表明,在每个企业中人们都使用数据库服务帐户来访问数据库,并且这些用户滥用这些特权服务帐户来直接访问敏感数据,从而绕过了应用程序界面。

此外,某些“特权用户”可能会出于未经授权的目的滥用合法的数据库特权。组织中的某些用户组由于其职业和活动而有权访问整个数据库。特权用户的两个主要类别是数据库系统管理员和开发人员:

数据库系统管理员(DBA)可以无限制地访问数据库中的所有数据。为了获得最佳安全性,DBA在管理数据库时不应直接访问数据库中的应用程序数据(应用程序数据/表)。当DBA直接通过数据库而不是应用程序界面访问应用程序数据时,他绕过了应用程序日志记录和检索限制,并避免了应用程序权限和安全性机制。

当某个使用防泄露方案的客户端收到以下警告:受信任的DBA已直接通过数据库而不是通过某应用程序入口访问了此应用程序表中的敏感数据,这些表包含DBA不应访问的财务信息。这一发现清楚地说明了内部威胁的风险。开发人员通常可以完全访问生产数据库,质量团队可以快照数据库以进行测试,而工程师可以调试实时生产系统。在这些情况下,敏感数据都容易受到特权滥用的影响。

什么是内部威胁?

内部威胁可以分为三类:恶意、疏忽和受到威胁:

恶意内部人威胁来自企业内部或与企业直接相关的人员(如员工、前雇员、供应商、合作伙伴),他们掌握有关企业的安全实践、数据和计算机系统的内部信息。Palerra曾提交的Insider Threat Spotlight报告指出,平均每50位用户中就有一位是恶意用户。

疏忽大意的内部人员是没有恶意企图的企业内部人员或与企业直接相关的人员,但是由于粗心大意的行为,他们会将敏感数据暴露,导致于数据泄露。

受威胁的用户成为利用或接管组织系统的“外部”恶意攻击者的受害者。外部攻击者可以使用多种技术来攻击组织,包括使用直接攻击、计算机病毒、社会工程学、网络钓鱼和其他不断发展的技术。Verizon DBIR表示六分之一的用户会滥用或公开数据。

3. Web应用程序安全性不足

大多数企业组织严重依赖应用程序与客户进行交互,对可公开访问的应用程序的攻击有很多类型,可以暴露数据。针对数据库的两种常见的Web应用程序攻击是SQL注入和WebShell。

多年来,SQL注入(SQLi)攻击一直是Verizon DBIR报告中的头号威胁。SQLi攻击是输入验证不完整或不充分的结果,它使不良行为者以从未曾预料到的方式通过Web应用程序将SQL命令传递给数据库。

Web Shell攻击是一种隐蔽方法,用于获得对服务器的未经授权的远程访问。Web Shell是利用Web服务器核心功能(为远程客户端提供服务)获得持久远程访问并通过与服务器Shell的接口获得对服务器的完全或有限控制的后门程序。根据Verizon DBIR由Web Shell后门造成的Web应用程序攻击破坏数量仅次于凭据被盗。

WebShell可以使用Shell的功能来破坏企业组织数据库并泄露数据而不被检测到。攻击者使用Shell程序的文件浏览功能从应用程序的配置文件中查找和窃取合法应用程序使用的数据库凭据。Shell固有地拥有服务器应用程序/守护进程本身的OS特权,从而使之成为可能。此外,在某些应用程序中,数据库凭证(用户名和密码)以明文形式存储在配置文件中。

4. 审计线索不足

接下来,我们将讨论由内部流程不足或漏洞引起的威胁。监控整个企业中的数据访问应该是任何生产数据库的一部分。无法同时监视安全性和合规性异常以及无法收集数据库活动的适当审计详细信息,这在许多层面上都构成了严重的组织风险。

此外,具有薄弱的(或有时不存在)数据库审计机制的组织还发现,它们与行业和政府法规要求不符。旨在防止会计错误和欺诈行为的萨班斯-奥克斯利法案(SOX),以及医疗保健领域的《医疗保健信息携带和责任法案》(HIPAA),都是具有明确数据库审计要求的法规示例。欧盟新颁布的通用数据保护条例(GDPR)是第一个对未能满足严格的数据保护措施(包括足以满足所有个人数据的审计和违规通知要求的数据库监控功能)的企业处以令人沮丧的罚款数额的条例。

为何审计跟踪具有挑战性

第一个原因是,许多企业转向其数据库供应商提供的数据库本地审计功能,或者依赖临时和手动解决方法,并认为这些方法已足够。本地审计不会记录支持安全性和合规性审计或检测攻击所需的上下文详细信息,也不提供事件取证。此外,本地数据库审计机制由于数据库服务器的CPU和磁盘资源的不稳定和过度消耗而臭名昭著,这迫使许多企业缩减或完全取消本机审计。最后,大多数本地审计机制是此类数据库服务器平台所独有的。例如,Oracle日志与MSSQL不同,并且MSSQL日志与DB2不同。对于具有异构数据库环境的企业,这对实施统一、可扩展的审计流程和报告构成了重大障碍。

报告称只有19%的公司监控数据库的活动

具有对数据库(合法或恶意获得)的管理访问权的用户可以关闭本机数据库审计以隐藏欺诈性活动。审计功能和职责应与数据库管理员和数据库服务器平台分开,以确保职责之间的强烈隔离。

第二个挑战:审计处理

拥有正确的审计记录只是保护数据的第一步。第二步是了解数据活动和访问尝试记录,以处理该数据并确定可信威胁。如果您没有为该任务构建工具,则很难识别访问数据库的实体并区分DBA、应用程序、用户和作业进程。您需要了解对数据库的哪些访问是可疑的,例如,登录失败尝试是数据库访问中的常见现象。用户由于忘记或键入错误的凭据或更改密码而无法登录数据库。但是,当用户多次未能成功登录数据库而从未尝试过再次登录时,或者当用户试图成功访问企业中的多个数据库而未成功时,则是可疑的,可能表明用户没有获得访问应用程序的授权。

在一些帐户安全研究中,发现确定了一个用户,该用户尝试访问一个他从未访问过的数据库,然后在不到一个小时的时间内使用四个不同的帐户而没有成功,他使用第五个帐户成功登录了数据库,但是该帐户没有足够的特权来对该数据库执行任何操作。

此活动有多个危险信号:

用户突然对从未尝试访问过的数据库产生兴趣

单个用户使用多个帐户

访问数据库的帐户没有权限,这可能会导致一个结论即该帐户根本不应该能够访问此数据库

曾数据泄露报告称超过3500万条记录丢失或被盗,其中44%与医疗或医疗保健相关

此事件中将该活动标记为高风险,并提供了一项分析,指出此事件是由受威胁的内部人员实施的。为了识别此类事件,您需要了解哪些用户是人类用户(而不是作业进程和应用程序)。然后,您需要了解用户的正常行为-他们访问哪些数据库、使用哪些数据库帐户、借助哪些工具、何时使用它们以及最终定义对等的正常用户和正常行为的更多详细信息(数据库准入因子自学习可参考:数据库安全能力:安全准入控制矩阵模型构建与实践)。

不幸的是,当今使用的许多安全系统工具无法识别数据泄露,因为它们无法区分对数据库的可疑访问和正常访问。这些工具产生了太多模糊的告警,这些告警需要进行大量调查分析才能具有可视化,从而造成了过度消耗。通用告警的这种过载是为什么只研究了不到百分之一的关键安全警告的原因。

对等组异常的一个例子是,一个开发人员在其开发工作中访问一个应用程序表,而另一名开发人员访问该表以查看同事的个人数据。确定风险级别的关键是上下文,特别是要了解用户和对等用户的正常表访问权限。由于恶意内部人员会利用其特权从企业组织中窃取数据,因此无法区分上下文非常危险(请参阅“特权滥用”部分)。

本地审计工具无法区分不正常的用户访问和正常的内容,并经常导致过多的告警,所有这些都必须由专业安全人员进行筛选。SIEM工具可以减小此范围并使其更易于可视化,但是它们缺乏此领域专业知识,并且仅是从源数据中提取出来,并且只为直接调查提供了有限的可操作选项。需要具有反入侵行为分析以及自动化的数据库监视和检测功能系统,可以提供关注实际威胁所需的情报,以一种上下文关联和可操作的方式关注真正的威胁。

5. 不安全的存储介质

您上次关注存储介质备份的威胁是什么时候?通常,它是完全不受保护的。许多管理漏洞涉及数据库备份磁盘和磁带的被盗或意外暴露。采取适当措施保护敏感数据的备份副本不仅是数据安全的最佳实践,而且是许多法规的强制性要求。

此外,特权较高的用户通常将具有直接访问数据库服务器的权限。这种物理上的接触意味着他们可以插入类似拇指大小的USB驱动器,并直接对数据库执行SQL命令,这可以关闭本地审计功能并绕过除数据库服务器内核级别部署的保护机制之外的所有保护机制。我们需要健壮的数据库监控和防御工具,不允许这些类型的违规行为的工具。

威胁组合

到目前为止,讨论的每种数据库威胁肯定足以造成数据泄露,但是侥幸的恶意攻击者会寻找阻力最小的途径。许多时候,我们看到了多种威胁的组合使用,这些威胁会加快攻击者对数据的访问,并简化其在未被发现的情况下泄漏数据的能力。这里有一些例子:

当应用程序具有过多特权时,SQL注入或Web Shell会使数据库受到破坏

由于审计线索不足,难以发现特权滥用

当用户或应用程序拥有过多特权时,特权滥用会更加严重

57%的公司认为数据库是内部攻击最脆弱的资产

大数据应用程序的安全威胁不可忽略

大数据应用程序仍处于起步阶段,在不根据每个公司的特定需求进行自定义的情况下进行部署,几乎没有成熟的商业解决方案。在市场发展的现阶段,仍然缺少了解大数据技术并能跟上其快速发展的专家。

在大多数情况下,内部开发人员设计、编写代码、测试和部署大数据应用程序和硬件时,却没有得到足够的培训、需求定义、时间或资源。

人们可能误认为,大数据“开源”软件包是一种快速成功的安装方式,实际上这些系统要复杂得多。构建软件时的第二个问题是缺乏可行的本机安全性或审计框架,该框架不会妨碍定制解决方法。缺少本地模型使安全性实现变得不容易,并且需要深入的设计和持续不断的维护。因此,需要考虑的安全和审计功能会被反复推迟,从而使您的数据容易受到攻击。

大数据—安全不是重点

大数据领域的某些人认识到对原生安全性和治理能力的需求,有早期的Apache项目正在寻求解决这些需求。不幸的是,这些项目经常有自己的安全问题,这些问题可能直接影响到它们试图保护的大数据系统的安全性。这些问题包括:

向应用程序添加身份验证过程。这需要更多的安全考虑,会使应用程序更加复杂。例如,应用程序需要定义用户和角色。基于此类数据,应用程序可以决定是否授予用户访问系统的权限。

输入验证。我们再次看到困扰RDBMS应用程序的问题又回来了,同样困扰着NoSQL数据库。OWASP现在建议测试NoSQL数据库(例如MongoDB)是否受到SQL注入式攻击。

应用意识。在每个应用程序都需要管理安全性的情况下,它必须了解每个其他应用程序。这是禁用对任何非应用程序数据的访问所必需的。

当新的数据类型添加到数据存储时,数据存储管理员必须弄清楚并确保哪些应用程序无法访问该特定数据。

弱代码。有许多大数据项目和产品,是通过敏捷开发方法实现的,没有为安全性检查和测试分配时间或资源。恶意行为者将利用有缺陷的开发方法,探索漏洞加以利用。

重复数据

NoSQL的强大功能也是它的安全性致命弱点。在这些系统中,数据并非严格保存在唯一表中。而是,将数据复制到许多表以优化查询处理。因此,不可能根据特定的敏感表对***进行分类。相反,可以在不同位置找到此类数据:交易日志、个人帐户详细信息、代表所有***的特定表以及甚至可能没有考虑到的其他位置。

隐私问题

尽管我们专注于安全性,但是隐私问题也不容忽视。以医疗大数据平台为例,提供商可以共享患者数据。患者可以访问系统获取遗传信息,然后再访问有关药物信息的系统。分析此数据的应用程序可以将信息关联起来,以找到与遗传和健康有关的购买趋势。问题在于,最初插入数据时未考虑这种类型的相关性。因此,数据未被匿名化脱敏,从而可以从更大的趋势图中查明特定的个人。这将违反包括HIPAA和GDPR在内的多项法规。

如何创建全面的数据安全解决方案

数据安全性需要对数据和用户活动进行统计。此过程从指纹识别,发现数据库服务器,然后分域管理进行准入访问/活动监控,还需要连续的用户权限管理来阻止特权滥用。最佳实践的解决方法会考虑到数据访问的每个实例(包括特权用户的实例),敏感数据的匿名化脱敏,为用户和应用程序构建完整的安全配置策略。在异构环境下的数据库审计日志方面,及日常行为中关注上下文使用机器自学习,可以准确地识别内部威胁并防止数据泄露。

而加强访问数据库的应用程序安全也很重要。SQLi和Web Shell只是Web应用程序面临的两种威胁,同时也需要能够阻止SQLi、Web Shell事件并防止复杂的业务逻辑攻击的类似高级Web应用防火墙的数据库业务防火墙,为防止未经授权的数据访问提供重要的保护。

如您所见对数据库的此五种威胁需要多重安全防御机制,仅仅依靠本机工具或忽略外部和内部攻击者能够利用并且将会利用的安全漏洞已不再足够。保护数据库中的数据对于保护客户、声誉和企业业务生存能力至关重要。

注:翻译整理自某安全白皮书

*本文作者:两块,转载请注明来自FreeBuf.COM

一、简介

CISSP是“(ISC)²注册信息系统安全专家”,是由(ISC)²组织和管理,是目前全球范围内最权威、最专业、最系统的信息安全认证,可以证明证书持有者具备了符合国际标准要求的信息安全知识和经验能力,已经得到了全球范围的广泛认可(来自百度百科”CISSP”)。

CISSP的过程分为:认证和考试。现大陆持有证书人数2538人(参考官方统计:点击查看),据不完全统计包含持证未续费及未注册人员在1W人左右。认证介绍也可以参考国内(ISC)2的官方社区

报考要求:

1、参加CISSP认证的人员需要遵守CISSP道德规范(即(ISC)²制定的职业守则)。

2、要有在信息系统安全通用知识框架(CBK)的八个领域之中拥有最少2个范围的专业经验5年(或者4年的有关专业经验及拥有学士资格或ISC2认可的证书)。

3、CISSP应考者还需要得到另外一位持有有效ISC2认证的专业人士的推荐确认。

考试:(两种方式任选一种)

1、自适应考试(根据现场答题情况自动变换题目难度、顺序等),即英文考试,题目100-150道,考试时长3小时,总分1000分得到700分通过。

2、线性考试(线性和固定格式,可选中文),题目250道,考试时长6小时,总分1000分得到700分通过。

题目类型:

CISSP题目全部为单(多)选题,包括单选项选择、拖图题、场景分析几种方式。CISSP题目偏向综合分析,需根据结合场景选择最合适的答案。

费用:

1、报考费用699美元。

2、认证维持年费125美元/年。

CBK考核范围:

·安全与风险管理(安全、风险、合规、法律、法规、业务连续性)

·资产安全(保护资产的安全性)

·安全工程(安全工程与管理)

·通信与网络安全(设计和保护网络安全)

·身份与访问管理(访问控制和身份管理)

·安全评估与测试(设计、执行和分析安全测试)

·安全运营(基本概念、调查、事件管理、灾难恢复)

·软件开发安全(理解、应用、和实施软件安全)

挣取CPE学分:

只要您通过认证考试,并顺利获得证书,申请成为(ISC)2的会员,需要每三年重新进行认证,重新认证需要挣取继续教育(CPE)120学分,并缴纳年金$125。获取学分可关注官方邮件列表参与相关课程学习,或通过阅读与写作、志愿活动、参加会议等。

二、复习考试

2.1 复习

认证考试的大纲最新是2018年4月版。

推荐学习资料有以下三本:

·CISSP认证考试指南(第7版)(俗称的“ALL IN ONE”)

·CISSP官方学习指南(第7版)(白色封皮)

·Official (ISC)2 Guide to the CISSP CBK(课堂教材)

CISSP的All in one(认证考试指南)及官方学习指南已根据新版大纲更新至第八版,但国内暂时无中文翻译版,因为与第七版更新差别不大,可根据第七版(中文)进行复习。

复习:

其他学长都建议从ALL IN ONE直接开始看起来,因为这本书是公认的最好的复习材料。一般建议先从课堂教材CBK开始,先看一遍,然后All in one(认证考试指南)精读细读一边,最后针对考试看一遍官方的认证考试指南。

课堂教材CBK是英文翻译版,适用于课堂讲课及做笔记,具体内容进行了分块精简,不适合用来复习考试,但依然建议看一遍。

All inone(认证考试指南)是公认最好的复习材料,各个章节对技术原理讲解比较细致,部分内容过于陈旧过于琐碎,因此导致此书对应试考试型来说有些脱离题目设置。但其技术原理讲解比较透彻,对安全技术基础不是特别好的同学,不仅适用考试复习,也可以作为平时工作学习的手边参考书。此书建议通读一遍,细读一遍。

官方学习指南是参考考纲的章节设置,直接针对考试题目设置,比较适合复习后期开始模拟考题复习。

第一次参加培训:从2018年5月份参加了培训班5天课程,这是考纲的八个域的第一遍学习。课堂培训上完课以后,我用了一个月的时间粗略看了一遍CBK,中间把课堂老师讲到的重点以笔记形式记录下来。然后再购买书籍的时候,网上官方学习指南大多缺货,只买到了All in one(认证考试指南)一本。

第一遍All in one细读:因为没有确定考试准备,此中间休息了两个月没有看书。从8月份开始细读All in one,两个多月的时间细读了一遍,事先进行了时间安排,预估每周复习一个章节。每天按照安排6点钟早起,上班前看书一个半小时,晚上8点左右开始,两到两个半小时左右,基本上保障每天3-4个小时的看书时间(平均每天30页)。每一章节后的练习题,在复习完第二天进行集中答题练习,然后对比答案,以用来作为前一章节的复习。

第二次参加培训:2018年9月份,当我All in one看到第七章节时,恰巧有机会又在周末时间去上了一遍课程,这次主要是针对前面看书的情况进行了重点听讲。这期间把All in one全部看完了第一遍,基本上前面看的也忘得差不多了,很多考点还不是很清晰,思路有点乱。课程结束最后,跟着老师一起预估了一套模拟题,正确率在60%,因为我学习和工作都是信息安全方向,所以基础还算可以,但我知道还远未达到可通过的水平。

第二遍All in one粗读:因为拖得周期比较长,前面看了到后面就忘记了,国庆节后10月份我准备再把All in one过一遍,这次以考纲和重点内容为主。这次用了一个月时间,平均每天3个小时左右,一周完成两个章节内容或课后习题练习。我用标签纸把所有考试重点及重要的技术点所在的页码贴好,重点考试内容记录笔记,在课后习题时再回头把考到的内容仔细再看一遍。

最后冲刺:进度安排主要以All in one课后习题、模拟题为主,做题目然后对比答案,只需要课后习题和一套模拟题,对每道题目的对应知识点做了一本错题本和重要知识点梳理,记录了一本笔记。到了11月份,开始准备预约考试时间了,本来想在准备两个月到元旦左右考试,因为自己没有把握,所以一直按照两个月的时间来安排的计划,结果11月底预约考试时,只有12月12日考场还有空位,否则只能往元旦后再推。临近考试,经过一番思想斗争,我毅然决然报名参加了考试(复习战线拉长会磨削自己耐性不利于复习效果)。在11月份这一个月左右,主要以All in one课后习题、模拟题(多套)、官方学习指南的课后习题为主,重要知识点梳理记笔记,错题整理。中间正确率在70%多一点,要达到正确率在80%,这个跨越确实有点难,感觉复习达到了瓶颈,心理开始变得紧张浮躁。这时候,我找了已经考试的同学和老师进行了请教沟通,了解他们的复习方法和给的建议,慢慢调整心态(特别感谢他们)。

模拟考试:最后在考前一周,我留了几天用来自己模拟考试,特地留了几套模拟题目。我利用一个封闭的小会议室,模拟正式考场环境,一次性做一套题目,过程中抛弃手机,除了上厕所不理会别的事情。此次练习,主要是在模拟考试的内容同时,体会长达6个小时的重要考试的心理历程,以及身体对此的反应,感受考试环境带来的身体的劳累、疲惫、紧张和心理缓和,感觉自己做题的速度合理安排时间。这种考试是体力、脑力、精神和心理的考验,“知彼知己”才能把握好节奏,顺清楚思绪,在答题是做到思路清晰、心智明了。最后模拟了两次,正确率在80%以上,终于达到可以去考试的标准水平了。

总结建议:

复习主要以提到的三本书为主,CBK粗读一遍基本就可以了;All in one,以基础知识讲解为主,基础稍差的同学建议复习以此书(中文版)为主,对技术讲解比较细致,建议All in one至少看两遍,有基础的同学也要细读一遍;官方学习指南是针对考试考纲设计,更符合考试,建议也要看一遍。至于选择哪一本书作为复习主要材料,个人不建议使用CBK,最好All in one和官方学习指南相结合,各细读一遍,粗读时前期复习理解知识重点以All in one为主,后期面向考试模拟时以官方学习指南为主。

关于复习是否使用英文教材?无论教材还是考试题目,中英文因为翻译的原因,多少存在差距,会导致题目意思被曲解。所以建议英文好的同学可以直接看英文书籍,或者中英文辅助(中文All in one+中文版官方学习指南+英文版官方学习指南),英文不是特别好的建议直接用中文版进行复习,后期做课后练习题时,可以用翻译工具中英文对照进行复习。在做模拟题时,模拟题目都是有中英文对照的,在有不理解的地方一定要对照英文,真实考试中有中文翻译是错误的。

复习时间多久为宜?网上前期学长们主要集中复习时间大多在4-6个月左右,也有2个月时间突击的。我个人建议,除考前模拟考试外不建议请假全天候复习,除非已经报考时间紧急,建议4-6个月,工作日每天保证3小时左右的复习时间。

看书复习有哪些方法?我的复习过程比较笨,就是通读,细读,课后习题,找重点,错题记录。第一点,一定要合理安排时间,根据总体时间和章节,每天看多少页书,要做好合理规划。第二点,一定要坚持,在复习过程中,一定会遇到瓶颈时期,看书看不下去,书本太厚看完遥遥无期,或者模拟题总是错同样的知识点,正确率提升不了,这个时候一定不要放弃,按照计划慢慢看完,等你回头来看时可能就理解这个知识点了。第三点,多与同学交流,交流学习方法,交流对题目的理解,多向他人请教,不要让自己钻进牛角尖里。

复习到何种程度去报考?复习过程中,要能够清楚了解具体知识点考察哪些内容,相关内容属于那一章节的哪些知识点。考题中有25道题目属于不计分测试题目,模拟跟实际考试存在心理和技术发挥问题,一般推荐模拟考试正确率在80%以上,再去进行考试报名。

如何思考题目理解题意?常常题目内容全都认识,可完全不理解题目的出题意图,不知道如何作答。题目中很少是非黑即白的纯理论知识答案,大多题目需要理解然后作答,这个时候请尽量把题目意思带入到自己的实际工作经验场景中去,这样会比较容易理解。大多题目不会只有一个答案,乍一看似乎至少有两个答案都是正确的,一定要充分利用排除法、代入法、比较法,理解场景设置选择最优选项。

个人体会“六句话”:合理安排规划、保证每天学习时间、坚持不泄不躁、错题本很重要、模拟题目1000-2000道、代入实际工作经验中才能显高效。

2.2 考试

报考:

CISSP的考试由VUE考试中心管理,在国内有北京、上海、广州几个考点,一个考点内一般会有10多个考试座位,每天都有人预约考试,所以你需要提前通过考试中心官网(自己缴费)或者培训班(代理缴费)的方式提前预约考试时间,建议一般在提前一个月时间预约,以留取一个月的最后复习时间。

如需更改考试日期,必须至少提前2个工作日(48小时)通知,少于24小时无法更改和取消,(改期手续费,50美金,取消该考试,100美金)否则您的考试将被作废。

报考后会收到邮件提示,告诉你考点的详细地址、考试具体时间、所需要携带的证件及注意事项、证书申请流程。

考前准备:

1、考试时请带上两个有效证件:身份证、军官证、护照、驾驶证(任选一);以及信用卡、医保卡、社保卡、(任选一),需要两个证件同时有效。

2、考试6小时,时间不间断,中间可以去厕所及吃饭,耗费体力需要准备一些干粮。

3、熟悉交通路线,提前参观考场环境,提前预定来往车票及附近酒店,注意饮食。

考试过程:

考试会要求提前半小时入场(考试流程顺序及注意事项及不讲了),考试过程中,一定要心平气和放松心态,按照平时做题速度进行,切忌心浮急躁答题速度过快。部分题目中英文翻译南辕北辙,有些中文翻译题目词语错误的会在其上直接划掉(类似“在法医取证过程中”),当发现有疑问时,可切换英文对照读题。当做题时间一小时以后会有疲惫感觉,可以申请休息(吃点东西或去厕所),特别是感觉不顺,切忌浮躁。我提前模拟过两次,所以心态基本平稳,做题时间4个小时未休息基本完成题目,用了半个多小时进行回顾检查。暂时不确定答案的题目可以先标记(一般来说第一感觉最准确),答完所有题目后提交前,系统会提示你回顾做了标记的题目。考试过程中,一般来说时间充裕,一定要自己审题。

认证背书:

考试完成后,可提前示意老师交卷,走出考试间,老师会当场打印考试成绩(通过与否),当然也会收到官方邮件通知,如果通过后,需要9个月内完成会员申请,登录(ISC)²官方网站(填写个人信息),使用注册账号填写背书审核材料(个人经历证明审核及已通过认证人员的担保),然后等待官方审核的邮件通知(认证背书不细赘),背书流程可能需要6周左右,待审核通过大概需要8周左右收到纸质证书。

其他建议:

是否选择英文考试?英文水平较高者,建议选择英文,考题没有歧义。英文为自适应考试,考试系统根据你的答题情况,调整出题难度,题目数量较少时间较短,但自适应考试有看运气的成分。英文水平不佳的最好建议选择中文考试,但模拟及考试时一定要中英文对照进行。

考场能否提前查看?建议提前一天到考场视察环境,以防止临时情况耽误考试导致迟到。

是否会有几率被抽取进行重考?考试后,官方会根据监控视频进行心理测评和考题情况分析,有极小几率部分人员会被抽取进行重考(重考采用全新的题库)。从被抽中考试的情况来看,一则是看运气,二则分数不能考的太高或太低,做题目速度不要太快,同期同学不要扎堆一起报考。

不计分题目如何设置的?考试题目有25道题目仅供官方测试之用,用于调整考试大纲、测试难易程度或者新技术,不计入总分,但也不标注那些题目为不计分题目。

考试难度如何?CISSP跟国内CISP很早就签署了准备互认的备忘录,只因在法律法规方面不统一至今未达成互认,对技术的考核两者同样都是“一公里宽一厘米深”。但作为一个国际上认可度比较高的高级证书,个人认为CISSP的难度等级比CISP高1-2个级别,但在我参与过的认证考试中,不认为其是最难的考试,毕竟只是涉及知识面广泛,对技术基础和工作经验有一定要求。

(文中提到的书籍、模拟题目及学习资料你可以通过联系作者获取)

*本文原创作者:两块,本文属于FreeBuf原创奖励计划,未经许可禁止转载

随着企业组织自然生长,业务规模不断扩大,信息化建设和网络安全性工作的复杂性越来越高,安全部门工作范围涉及更广,安全保障必须及时匹配以支撑业务的发展。

企业信息数据的高利益诱惑、不断精进的武器化攻击方法、攻击情报收集更加便利,在日益剧增的网络安全威胁状况下,传统性的终端安全和网络安全显得捉襟见肘,已无法保障企业组织真正重要的东西–业务数据和应用程序。

如何维持企业的核心竞争力,保证业务连续性和数据安全,需要构建更高层次、更全面、更具成熟度的数据安全能力(参考DSMM数据安全能力成熟度模型)。而数据库安全能力,承载了企业核心业务数据的系统软件,已经成为业务运行和数据保护的基础设施,自然也成为针对性攻击的首要目标。而数据风险带来的爆炸半径早已远超过去,数据库安全首当其冲跃上安全部门的数据安全能力建设工作清单榜首。

数据库安全能力如何建设?保护企业数据库和应用程序安全,满足数据合规要求以及有效管控数据库免遭数据窃取,是每个CSO都会关注的事情,笔者近几年一直在汉领信息从事数据库安全管控方面的工作,下面介绍下我的数据库安全准入控制矩阵模型的构建和实践心得,以此为企业组织的数据安全能力建设提供借鉴思路。随着信息化开展,业务系统数据化明显,数据被广泛应用于企业内部支撑、合作经营、产品研发等,数据共享带来了普遍性,促进了生产力发展,同时也让数据的边界模糊,流动变得频繁。因此,流通共享数据的安全访问控制带来了更高的挑战。


为什么传统的身份认证和访问控制不再适用于数据安全?

因为传统的身份认证和访问控制是基于网络层的访问控制,通过划分独立数据网络区域和运维管理区域,以IP资源(协议端口)为对象,控制力度较为宽泛,只能参与网络传输层的访问要求。与业务系统有关的访问控制,通常以核心业务实现为中心设计,通过控制用户对不同功能界面的访问来达到权限控制的目的。部分数据共享时,通常系统允许以文件或图片方式保存,并在文件中添加水印,用于在信息泄露后的追溯,如果高权限人员对数据库内具有流动性的单条数据进行传播,系统则难以招架。这些方式在面对数据中心级别资源池面前,便不足以支撑对企业内数据传输、数据交换、数据处理的更高细粒度的访问准入控制要求。

一个核心技术点是协议解码框架,需要有专业的全协议解码能力,识别和分析数据库传输协议以及应用层的协议解码,剥离SQL语句。通过流会话技术,对协议进行流重组,所有解析语句会被标记唯一的标识。在此基础上,针对数据库安全访问的准入控制方面,总结形成了一个安全准入控制矩阵模型。

传统网络架构中,不注重数据安全的流向,关注点始终停留在网络建设层面,对数据库的访问准入策略,元素使用网络传输的来源与目标IP、目标端口及协议(TCP/UDP)。

image.png

在安全准入控制中,对数据库的访问准入还能基于哪些元素?

要实现对数据库访问准入的控制,首当其冲便是对数据库协议的解析。首先需要从网络流量中获取数据库的访问流量,识别数据库协议,例如Oracle的数据传输协议TNS、SQL Server传输协议TDS。

然后对数据库流量协议数据包进行全协议解码,其必然涉及到对加密数据库信息的破解(如SQLServer的TDS协议,需要通过获取加密证书实现加密登录参数解析),从中识别可利用的独特参数。

image.png

从以上对Oracle数据库的简短访问请求中我们可以看到,除了访问IP、端口和协议外,还能够采集的参数信息有客户端应用程序名(navicat.exe)、客户端主机名(DESKTOP-VCK0MFC)、客户端主机用户名(J),以及访问时使用的数据库账号名(system)和实例服务名(xe),以上称为准入控制因子。

企业组织架构设计时,可选用数据库软件种类众多,协议类型、加密方法各不相同,我们通过协议解析获得的数据库应用协议内的参数信息也不相同,其部分举例如下:

image.png

如何构建实现矩阵模型?

创新的安全准入控制模型,以数据库协议的解析为核心基础,加入流量解析识别而来的准入因子,形成更完善的可选准入控制因子集合。

image.png

在安全准入控制模型中,综合以上准入控制因子,便可以实现更高细粒度的访问控制,准入控制策略也将变得更灵活。

image.png

企业内对数据库访问使用的准入因子多种多样,因为访问途径较多,例如业务中间件与数据库集群交互,业务应用后台维护对数据库的访问,运维DBA利用工具对数据库表的操作行为。而做到评估所有的“需要知道”的访问权限信息是非常困难且成本过高的,因此需要自动化的方法,而且需要更智能。

安全准入控制模型,基于数据中心大流量的数据库协议全解码技术,通过机器学习,实现对全网数据库流量(包含业务系统请求的南北向流量、运维与数据中心内服务器交互的东西向流量)内安全访问准入因子的自主学习,甄别自动化脚本攻击掺入的脏数据,快速完善数据库访问策略,形成准入控制矩阵。

如何完美实现技术落地?

在业务系统与数据库访问路径中间,建立完善可视化的准入控制矩阵,形成了白名单式的安全规则配置,对数据库的所有访问行为,都需要进入准入控制矩阵进行混合匹配认证,只有符合复杂白名单规则的访问才被允许。而自动化变换攻击脚本程序、更换账号以及目标设备的异常攻击行为,都会被精准识别并及时阻断。不管从业务系统的外来请求,还是服务器集群内的东西向交互访问,实现完全杜绝非法行为。

所以,数据库安全准入控制矩阵模型的构建是以协议全解码技术为基础,识别多项准入控制因子,通过访问内容的自主学习,形成的准入控制矩阵。对数据库的访问进行准入控制,对非理性和异常行为达到精准阻断,有效落地企业数据库安全能力。


数据库安全准入控制矩阵模型是企业构建数据库安全能力建设内容之中的一环,是实现灵活多变、自适应式、且具有高细粒度访问控制矩阵的最佳实践。对企业组织而言,特别是在面对众多以获取企业敏感数据信息为目的的威胁面前,在未来以数据为中心的新经济时代,通过整合来自人、流程和技术的输入信息,才能有效构建并提升企业数据安全能力,才能在威胁来临之际快速、自信地做出反应。

*本文作者:两块,转载请注明来自FreeBuf.COM

2018-2019年,全球各地深受数据泄露事件的困扰,已造成数以万计损失。据《数据泄露损失研究》评估显示,遭遇数据泄露事件的公司企业平均要损失386万美元,同比去年增加了6.4%。面对如此严峻的数据安全形势,如何有效地保障数据安全成为了众多企业的当务之急。

从数据泄露的途径分析,数据泄漏主要分为三种:窃密、泄密和失密。结合各种实际情况分析,数据泄露的主要途径有以下几种:

窃密

攻击者主动窃密:恶意攻击者或外部竞争对手,基于经济利益或政治原因驱动,通过层出不穷的高超技术手段,窃取企业的各种重要数据。

泄密

离职人员泄密:由于权限管理疏忽等,离职人员在离职时有意或无意违规带走大量核心数据(专利著作及源码数据等)。

内部人员泄密:由于内部员工安全意识薄弱,数据安全分级不明确,操作失误,部分涉密人员无意中泄露数据;部分员工因情绪化报复、利益收买等主动泄露数据。

失密

权限失控失密:由于帐号生命周期管理不善,权限划分及认证鉴别方式失控,导致人员对数据的密级访问权限不对等,高密级数据流向低权限帐号,涉密数据流向无权限帐号等。

数据维护及处置失密:不安全的加密方式或明文存储、公开的存储位置、管理密钥或存储介质丢失、未完全擦除报废,存储数据发生泄露。

信息发布失密:合作渠道商管理不善数据交互泄露,发布信息审核不当涉及密级数据泄露,信息数据流入未授权、竞争关系的第三方。

综合分析数据泄露的原因可能如下:

数据通信安全:网络端口、数据传输等都会因各种原因造成电磁泄露,企业数据库存储未安置防护设施,信息在通信传输过程中未进行加密处置,窃听、非法终端接入、利用非应用方式侵入数据库、线路干扰等方式都可以得知通信信息数据。

数据库管理系统脆弱性:数据及数据库管理系统通常以分级管理,由此DBMS必然存在很多弱点。另外,为了方便访问数据,DBMS会留下不少接口,但其与操作系统的配套必然存在不少不足之处,而且这种不足是先天的,无法完全克服。

病毒与非法入侵:由于病毒或者非法入侵而导致数据泄漏,病毒入侵感染后,破坏数据、勒索加密数据等导致数据不可用,甚至盗取拖库,非法入侵指恶意攻击者运用不道德的手段侵入数据库或者数据存储空间,盗取数据。

系统漏洞:系统内数据库漏洞、操作系统漏洞,硬件上防火墙、存储设备等网络产品的漏洞,补丁更新不及时或不安全配置,导致恶意攻击者主动发现了系统存在的漏洞,从而窃取数据。

访问控制和权限管理不善:人和数据的权限分层、安全分级,帐号的生命周期管理,安全的访问控制,以及因为人的脆弱性存在而导致的数据泄露屡见不鲜。

在数据安全防护措施上有哪些成熟的建议呢?

M1 预防性措施:

l  安全访问控制

l  身份鉴别(强口令认证)

l  权限分离

l  多因素认证MFA

l  安全策略配置

l  数据分级

l  数据脱敏

l  数据加密

l  安全意识培训

对数据的访问,进行帐号权限的划分,三权分立,知其所需,通过完善接入安全,固定接入的终端设备、应用接口,将非法接入拒之门外,同时采用多因素认证(MFA)方式和强口令认证,周期性修改口令,防止弱口令和权限泄露;数据相关的系统更改不安全的默认配置,进行加固操作;对数据根据重要程度和敏感级别进行分级,划分访问权限;存储和传输数据时,进行敏感数据脱敏和加密处理,同时对内部员工进行安全培训,提供保障数据安全意识。

M2 检测性措施:

l  准入控制

l  漏洞检测/修复

l  安全行为审计

l  IDS/IPS/FW

对系统内数据的访问,通过管理权限检测、网络分层(网络层、应用层)控制检测、物理控制做到准入安全;及时检测系统存在的漏洞,进行补丁升级修复或风险规避;对数据访问行为进行记录,通过审计来不断调整权限和发现违规事件;通过入侵检测发现恶意访问事件,进行及时告警。 

M3 威慑性措施:

l  防扫描

l  WAF/数据库防火墙

l  行为阻断告警

通过WEB和数据库防火墙功能,来保障数据安全访问,及时阻断已知的恶意攻击,同时结合告警反馈和防扫描技术来达到对恶意攻击者的威慑。

M4 恢复性措施:

l  数据备份

l  异地灾备

通过数据备份、异地灾备,可以在数据遭受勒索病毒加密、入侵破坏后,快速恢复业务应用。

*本文原创作者:两块,本文属FreeBuf原创奖励计划,未经许可禁止转载