墨菲定律視角下的數據庫入侵防禦
發(fā)布時間: 2019.07.12 | 來源: 帕拉迪


        随著(zhe)網絡信息化的發(fā)展,企業組織對(duì)網絡安全的關注,由物理安全、邊界安全和系統安全,已逐漸轉移到業務安全和數據安全,業務數據的安全防護成(chéng)本已占到企業組織IT預算成(chéng)本的一半以上。特别在新時代新形勢新業态的互聯網安全中,信息安全部門已逐步成(chéng)爲企業組織的一級部門,企業數據已經(jīng)成(chéng)爲組織核心資産,針對(duì)數據的保護已寫入企業的基本戰略。



       企業對(duì)數據資産的安全防護存在多項工作:數據備份安全、數據存儲安全、數據脫敏及加密等。在以可用性爲主的業務安全觀點人群中,大多數還(hái)沒(méi)有完全理解數據庫安全的重要性,而據前瞻性統計發(fā)現,越來越多的企業信息安全負責人開(kāi)始將(jiāng)數據庫安全細分領域列入自己的備忘清單。業務連續性爲企業組織的根本核心,而業務安全和數據安全是企業長(cháng)久發(fā)展的安全保障,在以企業數據資産爲核心競争力的當下,數據庫作爲企業組織“核心競争力”--數據資産--的容器,承載了企業核心數據,成(chéng)爲業務運行和數據保護的基礎設施,解決數據庫的安全防禦問題已躍至CTO/CIO的工作内容象限的榜首。


一、數據庫面(miàn)臨哪些安全威脅


       企業組織的數據庫體系,不僅僅是數據庫軟件平台本身,不會(huì)流動的數據沒(méi)有意義,當我們考慮數據庫安全的時候,顯然我們需要合理評估數據庫的受攻擊面(miàn)大小;數據庫訪問涉及的認證、授權和審計問題;由于開(kāi)發(fā)人員疏忽帶來的軟件漏洞和運維人員的管理不善導緻的潛在風險等,不難發(fā)現在實際運維中,各種(zhǒng)各樣(yàng)的風險都(dōu)可能(néng)産生并帶來可怕的後(hòu)果。筆者實驗室通過(guò)收集各漏洞平台及企業安全運營者的反饋數據庫安全信息,參考OWASP TOP 10制定了數據庫應用防禦的十大數據庫風險威脅列表。




二、數據庫安全風險是否會(huì)發(fā)生

       答案就(jiù)是墨菲定律,它闡述了一個事(shì)實:如果事(shì)情有變糟糕(發(fā)生)的可能(néng),不管這(zhè)種(zhǒng)可能(néng)性有多小,它總會(huì)發(fā)生。

       墨菲(Edward A. Murphy)是美國(guó)愛德華茲空軍基地的上尉工程師。1949年,他和他的上司斯塔普少校,在一次火箭減速超重試驗中,因儀器失靈發(fā)生了事(shì)故。墨菲發(fā)現,測量儀表被(bèi)一個技術人員裝反了。由此,他得出的教訓是:如果做某項工作有多種(zhǒng)方法,而其中有一種(zhǒng)方法將(jiāng)導緻事(shì)故,那麼(me)一定有人會(huì)按這(zhè)種(zhǒng)方法去做。

        在事(shì)後(hòu)的一次記者招待會(huì)上,斯塔普將(jiāng)其稱爲“墨菲法則”,并以極爲簡潔的方式作了重新表述:凡事(shì)可能(néng)出岔子,就(jiù)一定會(huì)出岔子。墨菲定律的适用範圍非常廣泛,它揭示了一種(zhǒng)獨特的社會(huì)及自然現象。它的極端表述是:如果壞事(shì)有可能(néng)發(fā)生,不管這(zhè)種(zhǒng)可能(néng)性有多小,它總會(huì)發(fā)生,并造成(chéng)最大可能(néng)的破壞。

       此定律在技術界同樣(yàng)适用,并不是我要將(jiāng)其強加在數據庫安全領域,隻因爲它道(dào)出了一個法則,即安全風險必將(jiāng)由可能(néng)性變爲突發(fā)性


三、以墨菲定律分析數據庫安全

        通過(guò)墨菲定律來觀察數據庫入侵防禦,我們要持以積極的态度,既然數據庫安全風險不可避免,那我們一定要順應必然性,積極應對(duì),做好(hǎo)事(shì)件應急和處置。在數據庫安全防禦方面(miàn),要科學(xué)合理規劃全面(miàn)積極的應對(duì)方案,必須做到事(shì)前主動防禦、事(shì)中及時阻斷、事(shì)後(hòu)完整審計。

根據墨菲定律可總結對(duì)數據庫入侵防禦的啓示:

一、不能(néng)忽視數據庫風險小概率事(shì)件   

       雖然數據庫安全事(shì)件不斷發(fā)生,但仍有一定數量的安全負責人認爲,企業安全防護已經(jīng)從物理層、網絡層、計算主機層、應用層等進(jìn)行了多重防禦,網絡邊界嚴格準入控制,外部威脅情報和内部态勢感知系統能(néng)完美配合,業務數據早已經(jīng)過(guò)層層保護,安全威脅不可能(néng)被(bèi)利用發(fā)生數據庫安全事(shì)件。

       而現實情況是:由于小概率事(shì)件在一次實驗或活動中發(fā)生的可能(néng)性很小,因此,就(jiù)給人一種(zhǒng)錯誤的理解,即在一次活動中不會(huì)發(fā)生。與事(shì)實相反,正是由于這(zhè)種(zhǒng)錯覺,加大了事(shì)件發(fā)生的可能(néng)性,其結果是事(shì)故可能(néng)頻繁發(fā)生。雖然事(shì)件原因是複雜的,但這(zhè)卻說明小概率事(shì)件也會(huì)常發(fā)生的客觀事(shì)實。

       墨菲定律正是從強調小概率事(shì)件的重要性的角度啓示我們:雖然數據庫安全風險事(shì)件發(fā)生的概率很小,但在入侵防禦體系活動中,仍可能(néng)發(fā)生且必將(jiāng)發(fā)生,因此不能(néng)忽視。

二、在數據庫安全中積極應用墨菲定律   

1、強化數據庫入侵防禦的安全認知

       數據庫已經(jīng)成(chéng)爲企業安全防護的核心,認識數據庫安全威脅事(shì)件可能(néng)發(fā)生的必然性,預防數據庫不安全狀态的意外性事(shì)件發(fā)生,必須要采取事(shì)前預防措施,從網絡層、應用層和數據庫層,涵蓋業務系統(中間件)和運維DBA,全面(miàn)管控,提前謀劃。既然數據庫入侵事(shì)件無可避免,那一定要保證完整原始的數據庫訪問記錄,以供審計取證留存證據,做到有據可查。

2、規範安全管理,正确認識數據庫安全控制

       安全管理的目标是杜絕事(shì)故的發(fā)生,而事(shì)故是一種(zhǒng)不經(jīng)常發(fā)生的意外事(shì)件,這(zhè)些意外事(shì)件發(fā)生的概率一般比較小,由于這(zhè)些小概率事(shì)件在大多數情況下不發(fā)生,所以,往往管理疏忽恰恰是事(shì)故發(fā)生的主觀原因。墨菲定律告誡我們,數據庫及業務數據的安全控制不能(néng)疏忽。要想保證數據庫安全,必須從基礎做起(qǐ),對(duì)數據庫的基本安全配置,要形成(chéng)統一的安全基線,對(duì)數據庫的訪問行爲要做到“白名單化”,采取積極的預防方法和措施,避免意外的事(shì)件發(fā)生。

3、轉變觀念,數據庫入侵防禦變被(bèi)動爲主動

       傳統安全管理是被(bèi)動的安全管理,是在安全管理活動中采取安全措施或事(shì)故發(fā)生後(hòu),通過(guò)總結教訓,進(jìn)行“亡羊補牢”式的管理。随著(zhe)IT網絡技術迅速發(fā)展,安全攻擊方式不斷變化,新的安全威脅不斷湧現,發(fā)生數據庫安全事(shì)件的誘因增多,而傳統的網絡型入侵防禦系統模式已難于應付當前對(duì)數據庫安全防禦的需求。爲此,不僅要重視已有的安全威脅,還(hái)要主動地去識别新的風險,主動學(xué)習,模态分析,及時而準确的阻斷風險活動,變被(bèi)動爲主動,牢牢掌握數據庫入侵防禦的主動權。

三、正确認識數據庫入侵防禦系統   

1、數據庫入侵防禦系統串聯與并聯之争

       數據庫入侵防禦系統,可以通過(guò)串聯或旁路部署的方式,對(duì)業務系統與數據庫之間的訪問行爲進(jìn)行精确識别、精準阻斷。不僅如此,合理使用還(hái)能(néng)具有事(shì)前主動防禦和事(shì)後(hòu)審計追溯的能(néng)力。

        不過(guò),部分用戶認爲旁路的阻斷行爲效果不佳,而串聯進(jìn)網絡實現實時阻斷,又擔心影響業務訪問時。

        串聯模式部署在業務系統與數據庫中間,通過(guò)流量協議解碼對(duì)所有SQL語句進(jìn)行語法解析,審核基于TCP/IP五元組(來往地址、端口與協議)、準入控制因素和數據庫操作行爲的安全策略,結合自主動态建模學(xué)習的白名單規則,能(néng)夠準确識别惡意數據庫指令,及時阻斷會(huì)話或準确攔截惡意操作語句。串聯模式部署最大風險在于不能(néng)出現誤判,否則影響正常語句通過(guò),此必需要系統的SQL語句解析能(néng)力足夠精确,并且能(néng)夠建立非常完善的行爲模型,在發(fā)現危險語句時,能(néng)夠在不中斷會(huì)話的情況下,精準攔截風險語句,且不影響正常訪問請求。因此,若想數據庫入侵防禦系統發(fā)揮最佳效果,必須串聯在數據庫的前端,可以物理串聯(透明橋接)或邏輯串聯(反向(xiàng)代理)。

        旁路部署模式,目前的常用方式是通過(guò)發(fā)送RESET指令進(jìn)行強行會(huì)話重置,此部署方式在較低流量情況下效果最佳。如在業務系統大并發(fā)情況下,每秒鍾SQL交易量萬條以上,這(zhè)種(zhǒng)旁路識别阻斷有可能(néng)出現無法阻斷情況,且會(huì)出現延遲。有可能(néng)因爲延遲,阻斷請求發(fā)送在SQL語句執行之後(hòu),那麼(me)反倒影響了正常業務請求。所以在高并發(fā)大流量場景下,如果要實現實時精準阻斷攔截效果,就(jiù)要求數據庫入侵防禦系統具有超高端的處理性能(néng)。

       至于串聯部署還(hái)是旁路部署更爲合适,需要匹配相應的業務系統場景。數據庫入侵防禦系統最終奧義是它的防禦效果,即對(duì)風險語句的精準阻斷能(néng)力。通過(guò)墨菲定律對(duì)比分析,旁路部署有阻斷請求的可能(néng)性則必然會(huì)發(fā)生。而串聯存在影響業務訪問的擔憂,那它始終都(dōu)會(huì)發(fā)生,而正視這(zhè)種(zhǒng)風險,讓我們對(duì)數據庫入侵防禦系統的精準阻斷能(néng)力有更高要求,盡可能(néng)將(jiāng)這(zhè)種(zhǒng)風險降到最低。

2、數據庫入侵防禦系統串聯實時同步阻斷與異步阻斷之争

       相對(duì)數據庫入侵防禦系統的串并聯之争來講,串聯實現同步阻斷與異步阻斷更爲細分,市面(miàn)上存在兩(liǎng)類串聯的數據庫入侵防禦系統;

        一類就(jiù)是以IBM Guardium爲代表的本地代理引擎在線監聽異步阻斷,當有危險語句通過(guò)代理到DBMS時,代理會(huì)將(jiāng)内容信息副本發(fā)至分析中心,由中心判斷是否違法或觸犯入侵防禦規則,進(jìn)而給代理程序發(fā)出阻斷指令,很顯然這(zhè)種(zhǒng)部署的好(hǎo)處是不局限與數據庫的網絡環境,IP可達即可,而壞處就(jiù)更明顯了,那就(jiù)是Agent與Center通信期間,SQL訪問是放行的,也就(jiù)是如果在前面(miàn)幾個包就(jiù)出現了緻命攻擊語句,那麼(me)這(zhè)次攻擊就(jiù)會(huì)被(bèi)有效執行,即防禦體系被(bèi)有效繞過(guò)。

        另一類就(jiù)是以國(guó)内廠商帕拉迪爲代表的串聯實時同步阻斷,當有危險語句通過(guò)串聯數據庫入侵防禦系統時,入侵防禦系統若監測到風險語句,立馬阻斷;無風險的語句放行,這(zhè)種(zhǒng)模式及立馬分析立馬判斷。也很顯然,這(zhè)種(zhǒng)部署模式的好(hǎo)處是小概率事(shì)件或預謀已久的直接攻擊語句也會(huì)被(bèi)實時阻斷;而壞處也非常明顯,那就(jiù)是處理效率,如果數據庫入侵防禦系統處理效率不行,就(jiù)會(huì)出現排隊等待的狀态,進(jìn)而對(duì)業務的連續性造成(chéng)影響。關鍵就(jiù)是要把握這(zhè)個平衡點,至少要達到無感知,這(zhè)個點的取舍就(jiù)取決于各個數據庫安全廠商處理SQL語句的算法能(néng)力了。

四、結束語   

       墨菲定律并不複雜,將(jiāng)它應用到數據庫入侵防禦領域,揭示了在數據庫安全中不能(néng)忽視的小概率風險事(shì)件,要正視墨菲定律轉爲積極響應,應充分理解墨菲定律,抵制“數據庫層層保護不存在風險”、“别人都(dōu)是這(zhè)樣(yàng)做”、“數據庫入侵防禦系統并聯不會(huì)誤阻斷”等錯誤認識,牢記隻要存在風險隐患,就(jiù)有事(shì)件可能(néng),事(shì)件遲早會(huì)發(fā)生,我們應當杜絕習慣性認知,積極主動應對(duì)數據庫安全風險。



Copyright © 2019 All Rights Reserved Designed
杭州梵汐網絡科技有限公司