4000-110-253
企業數(shù)據安全風險分析及對策建議. 2019-06-26
一、 典型安全事件案例
1.Sony Picture數(shù)據洩露事件:
索尼從2011年4月17日至6月3日,先後遭遇數(shù)起不同黑(hēi)客的攻擊,從其美國總部到全球的業務部門(mén),數(shù)據洩漏受影(yǐng)響的用戶超過1億人(rén),是迄今為(wèi)止規模最大(dà)的用戶數(shù)據外洩案。
6月2日,索尼稱已大(dà)大(dà)提高(gāo)網絡安全性以保護用戶信息,并且全面恢複歐美和(hé)亞洲部分地區(qū)的PlayStation網絡。然而,就在當天,黑(hēi)客組織LulzSec宣布已經通(tōng)過SQL注入的方法獲得(de)了索尼影(yǐng)視(shì)娛樂公司(Sony Picture Entertainment Corporation)的賬戶數(shù)據庫,此次洩漏的數(shù)據多(duō)達100萬名賬戶的資料和(hé)密碼,還(hái)有(yǒu)75000個(gè)音(yīn)樂獲取碼及350萬個(gè)音(yīn)樂優惠券。LulzSec還(hái)驚訝地發現,索尼竟然采用簡單的純文本方式保存用戶密碼,無任何加密。同時(shí)黑(hēi)客還(hái)從荷蘭和(hé)比利時(shí)的索尼BMG攻進了其他地方。
2.Google Gmail郵箱
2011年6月初,谷歌(gē)宣布有(yǒu)人(rén)入侵了數(shù)百個(gè)Gmail用戶的個(gè)人(rén)賬戶。這些(xiē)賬戶屬于具有(yǒu)一定知名度的重要人(rén)士,包括美國高(gāo)級政府官員、中國政治運動人(rén)士、韓國及其他亞洲國家(jiā)的官員,以及軍隊相關人(rén)士和(hé)新聞記者。谷歌(gē)表示這次攻擊是通(tōng)過釣魚手法盜用用戶郵箱密碼,并進入和(hé)監視(shì)其Gmail賬戶行(xíng)動。在攻擊期間(jiān),受害者被迫打開(kāi)那(nà)些(xiē)熟人(rén)的郵件,使用社會(huì)工程技(jì)術(shù)和(hé)高(gāo)度個(gè)人(rén)化內(nèi)容的郵件信息能夠引誘他們點擊所發的鏈接,從而引導他們進入僞裝成Gmail登錄頁
面的惡意站(zhàn)點,盜取受害者的郵箱登錄信息。
3. 花(huā)旗銀行(xíng)
2011年6月9日,花(huā)旗銀行(xíng)的系統被黑(hēi),20萬多(duō)個(gè)銀行(xíng)卡帳号被盜。這起事件在五月初被發現,但(dàn)直至6月份才公開(kāi)此事,花(huā)旗銀行(xíng)表示,被盜信息包括用戶的名字、帳号密碼及其他諸如郵箱地址等聯系信息。然而,其他個(gè)人(rén)認證信息,如用戶生(shēng)日、社會(huì)安全号碼、卡截止日期及CW代碼并未被盜。
4.CSDN等網站(zhàn)用戶信息洩漏
2011年12月21日上(shàng)午,CSDN網站(zhàn)部分用戶數(shù)據在網絡上(shàng)被公開(kāi)。此後陸續幾天,天涯、人(rén)人(rén)、當當、凡客、卓越、開(kāi)心、多(duō)玩等多(duō)家(jiā)網站(zhàn),相繼被曝出密碼遭網上(shàng)公開(kāi)洩漏。目前網上(shàng)公開(kāi)暴露的網絡帳戶密碼已超1億個(gè)。
二、 企業網絡安全風險分析
針對企業數(shù)據安全方面所面臨的主要威脅是信息洩漏特别是數(shù)據庫洩密,企業數(shù)據特别是企業網站(zhàn)用戶數(shù)據,做(zuò)為(wèi)企業所有(yǒu)者的信息資産,涉及到網站(zhàn)及關聯信息系統的實質業務,對其保密性的要求強度不言而喻。本報告将就Web應用的數(shù)據庫的防洩密策略提出解決建議。
三、 數(shù)據庫為(wèi)什麽會(huì)成為(wèi)目标
攻擊者為(wèi)什麽會(huì)冒着巨大(dà)的法律風險去獲取數(shù)據庫信息?
2001年,随着網絡遊戲的興起,虛拟物品和(hé)虛拟貨币的價值逐步被人(rén)們認可(kě),網絡上(shàng)出現了多(duō)種途徑可(kě)以将虛拟财産轉化成現實貨币,針對遊戲帳号攻擊的逐步興起,并發展成龐大(dà)的虛拟資産交易市場(chǎng)。
2004~2007年,相對于通(tōng)過木馬傳播方式獲得(de)的用戶數(shù)據,攻擊者采用入侵目标信息系統獲得(de)數(shù)據庫所獲得(de)的信息其針對性與攻擊效率都有(yǒu)顯著提高(gāo)。在巨額利益驅動下,網絡遊戲服務端成為(wèi)黑(hēi)客“拖庫”的主要目标。
2008~2009年,國內(nèi)信息安全立法和(hé)追蹤手段得(de)到完善,攻擊者針對中國境內(nèi)網絡遊戲的攻擊日趨收斂。與此同時(shí),殘餘攻擊者的操作(zuò)手法愈加精細和(hé)隐蔽,攻擊目标也随着電(diàn)子交易系統的發展擴散至的電(diàn)子商務、彩票(piào)和(hé)境外賭博等主題網站(zhàn),并通(tōng)過黑(hēi)色産業鏈将權限或數(shù)據轉換成為(wèi)現實貨币。招商加盟類網站(zhàn)也由于其本身數(shù)據的商業業務價值,成為(wèi)攻擊者的“拖庫”的目标。
2010年,攻防雙方經曆了多(duō)年的博弈,國內(nèi)網站(zhàn)安全運維水(shuǐ)平不
斷提升,信息安全防禦産品的成熟度加強,單純從技(jì)術(shù)角度對目标系統進行(xíng)滲透攻擊的難度加大(dà),而通(tōng)過收集分析管理(lǐ)員、用戶信息等一系列被稱做(zuò)“社會(huì)工程學”的手段的攻擊效果被廣大(dà)攻擊者認可(kě)。獲得(de)更多(duō)的用戶信息數(shù)據有(yǒu)利于提高(gāo)攻擊的實際效率,攻擊者将目标指向了擁有(yǒu)大(dà)量注冊用戶真實詳細信息的社區(qū)及社交網站(zhàn),并在地下建立起“人(rén)肉搜索庫”,預期實現:獲知某用戶常用ID或Email,可(kě)以直接搜索出其常用密碼或常用密碼密文。
四、 數(shù)據庫是如何被獲取的
攻防回合的延續使入侵網遊服務端主機系統難度加大(dà),而Web應用的登錄入口表明(míng)了Web應用程序與用戶數(shù)據表之間(jiān)存在關聯,通(tōng)過入侵Web網站(zhàn)獲得(de)數(shù)據庫信息成為(wèi)針對網站(zhàn)數(shù)據庫攻擊的主要入手點,常見的攻擊步驟如下:
1.尋找目标網站(zhàn)(或同台服務器(qì)的其他網站(zhàn))程序中存在的SQL注入、非法上(shàng)傳或者後台管理(lǐ)權限等漏洞;
2.通(tōng)過上(shàng)述漏洞添加一個(gè)以網頁腳本方式控制(zhì)網站(zhàn)服務器(qì)的後門(mén),即:WebShell;
3.通(tōng)過已獲得(de)的WebShell提升權限,獲得(de)對Web應用服務器(qì)主機操作(zuò)系統的控制(zhì)權,并通(tōng)過查看網站(zhàn)數(shù)據庫鏈接文件,或得(de)數(shù)據庫的鏈接密碼;
4.通(tōng)過在Web應用服務器(qì)上(shàng)鏡像數(shù)據庫連接,将目标數(shù)據庫中所需要的信息導入至攻擊者本地數(shù)據庫(或直接下載服務器(qì)上(shàng)可(kě)能存在的數(shù)據庫備份文件);
5.清理(lǐ)服務器(qì)日志(zhì),設置長期後門(mén)。
目前攻擊者以團隊為(wèi)單位,無論從工具的制(zhì)造、攻擊實施的具體(tǐ)手法都已經形成了體(tǐ)系化的作(zuò)業流程。從全國網站(zhàn)安全大(dà)檢查數(shù)據分析中,可(kě)以知道(dào)全國70%的網站(zhàn)存在安全問題,這些(xiē)網站(zhàn)也将均有(yǒu)可(kě)能成為(wèi)下一個(gè)數(shù)據信息洩露的潛在安全隐患群體(tǐ)。
五、 對策建議
1. 技(jì)術(shù)方面,根據具體(tǐ)信息系統的實際情況适當采用對應的安全工具或設備,如Web應用弱點掃描器(qì)、數(shù)據庫弱點掃描器(qì)、Web應用防火(huǒ)牆、數(shù)據庫審計(jì)系統等;并通(tōng)過人(rén)工手段,對系統進行(xíng)多(duō)種方式的脆弱性評估和(hé)加固工作(zuò),如:滲透測試、代碼審計(jì)等。
2. 管理(lǐ)方面,加強對Web應用和(hé)數(shù)據庫對應的組織人(rén)員、開(kāi)發規範、運維策略和(hé)安全培訓等的建設,在單業務系統的範圍內(nèi),達到體(tǐ)系完善。如對數(shù)據庫用戶權限和(hé)備份文件加強管理(lǐ)。
3. 制(zhì)定符合企業長遠發展的安全策略,面對不法分子日益猖獗的複合攻擊,從縱深防禦的角度來(lái)看,不能試圖通(tōng)過單點産品的簡單堆砌來(lái)加以應對,而更應該考慮産品之間(jiān)的協調工作(zuò)。另外,作(zuò)為(wèi)産品的補充,也要适當考慮采用人(rén)工操作(zuò)的方式對Web應用和(hé)數(shù)據庫的安全防禦能力進行(xíng)加強。攻防是一種動态博弈,安全産品的部署和(hé)相關的安全管理(lǐ)策略采用在技(jì)術(shù)層面并不存在硬性要求,在實際的工作(zuò)中,應針對具體(tǐ)情況采用更加靈活的安全措施。因此确立專業支持團隊的外援保障也是必不可(kě)少(shǎo)的。
