4000-110-253
變革之下,“大(dà)數(shù)據安全”成數(shù)字化轉型“必答(dá)題”. 2020-09-01
如果說,數(shù)字化轉型是全球變革的趨勢,那(nà)麽“大(dà)數(shù)據安全”就是數(shù)字化轉型的“必答(dá)題”。“數(shù)據”作(zuò)為(wèi)當今信息化時(shí)代的重要載體(tǐ)與工具,其安全性是直接決定未來(lái)全球數(shù)字化轉型成功與否的關鍵命題。
前段時(shí)間(jiān),據外媒報道(dào):SAP旗下産品ASE數(shù)據庫服務器(qì)被曝存在6個(gè)高(gāo)危漏洞,其中之一的CVE-2020-6248威脅評分竟高(gāo)達9.1(滿分10分)!據悉,攻擊者可(kě)利用該組漏洞在低(dī)權限狀态下,在目标系統上(shàng)執行(xíng)任意代碼,直至完全控制(zhì)目标數(shù)據庫甚至底層操作(zuò)系統。鑒于SAP為(wèi)全球知名企業軟件供應商,且ASE服務範圍甚廣,故而此次漏洞事件波及範圍或許比預想的還(hái)要深遠。而當我們将此事置于全球數(shù)字化轉型的背景下重新審視(shì)時(shí),發現威脅絕不止于數(shù)據庫安全,其背後還(hái)潛藏着更深層次的數(shù)字時(shí)代安全形态:“數(shù)據”作(zuò)為(wèi)當今信息化時(shí)代的重要載體(tǐ)與工具,其安全性是直接決定未來(lái)全球數(shù)字化轉型成功與否的關鍵命題。
SAP(SystemApplications and Products)公司:成立于1972年,是全球知名的企業管理(lǐ)和(hé)協同化商務解決方案供應商,在全球190多(duō)個(gè)國家(jiā)和(hé)地區(qū)擁有(yǒu)超過335000個(gè)客戶。
尤其值得(de)注意的是,該公司旗下的明(míng)星産品ASE(Adaptive Server Enterprise)數(shù)據服務器(qì)享譽全球,世界範圍內(nèi)近90%的銀行(xíng)巨頭和(hé)安全公司,30000多(duō)家(jiā)企業組織都在使用它。
SAP ASE數(shù)據服務器(qì)被曝高(gāo)危漏洞
攻擊者可(kě)完全控制(zhì)目标數(shù)據庫
近日,國外安全研究員發布報告,重磅披露了SAP ASE數(shù)據服務器(qì)中6個(gè)高(gāo)危漏洞的技(jì)術(shù)細節,并警告稱:攻擊者可(kě)利用該組漏洞在低(dī)權限狀态下,在目标系統上(shàng)執行(xíng)任意代碼,甚至完全控制(zhì)目标數(shù)據庫以及底層操作(zuò)系統。
6個(gè)高(gāo)危漏洞主要信息如下:
CVE-2020-6248:威脅評分高(gāo)達9.1(滿分10),該漏洞源于缺乏安全檢查,無法在數(shù)據庫備份操作(zuò)期間(jiān)覆蓋關鍵配置文件。任何可(kě)以運行(xíng)DUMP命令的低(dī)權限用戶都可(kě)以通(tōng)過發送損壞的配置文件以接管數(shù)據庫。
CVE-2020-6252:存在ASE服務器(qì)的小(xiǎo)型輔助數(shù)據庫(SqlAnywhere)中,任何一個(gè)運行(xíng)Windows系統的攻擊者皆可(kě)通(tōng)過此漏洞,登錄輔助數(shù)據庫以“本地系統”權限執行(xíng)任意代碼。
CVE-2020-6241:存在于ASE 16的全局臨時(shí)表中,是典型的SQL注入漏洞,可(kě)被用于提升系統權限。
CVE-2020-6253:存在于ASE的WebServices處理(lǐ)代碼中,攻擊者可(kě)借此進行(xíng)系統權限提升。
CVE-2020-6243:XP Server漏洞,經過身份驗證的Windows攻擊者可(kě)借此連接到SAP ASE,并以“本地系統”的權限執行(xíng)任意代碼。
CVE-2020-6250:與安全日志(zhì)中出現明(míng)文密碼有(yǒu)關,單獨使用時(shí)僅影(yǐng)響Linux/UNIX系統,但(dàn)若與其他漏洞組合使用,或可(kě)導緻SAP ASE服務器(qì)完全癱瘓。
從9.1的威脅評級到權限惡意提升再到服務器(qì)緻癱,上(shàng)述漏洞的破壞力不言而喻。而更關鍵的是,企業通(tōng)常會(huì)将關鍵信息存儲在數(shù)據庫中,而數(shù)據庫又常處于不受信任或公開(kāi)的環境下,這一趨勢更是給了漏洞攻擊可(kě)乘之機。
因此,一旦數(shù)據庫安全防線失守,不止機密信息會(huì)受到影(yǐng)響,正在運行(xíng)的主機也将面臨前所未有(yǒu)的威脅。智庫在此提醒相關管理(lǐ)員,務必及時(shí)修補系統漏洞,保障系統安全運行(xíng)。
服務器(qì)失守背後暗藏更大(dà)隐患
大(dà)數(shù)據安全危局一觸即發
而在SAP ASE存在高(gāo)危漏洞這一事件中,需要我們關注的不隻是漏洞的修補與否,更重要警惕的是其背後潛藏的危機:數(shù)據安全一旦失守,數(shù)字化轉型必将全線潰敗。
尤其随着關鍵基礎設施的高(gāo)度數(shù)字化,以工業互聯網、5G、人(rén)工智能為(wèi)代表的新技(jì)術(shù)為(wèi)大(dà)數(shù)據提供肥沃發展土壤的同時(shí),也給數(shù)據安全帶來(lái)了前所未有(yǒu)的挑戰,其背後面臨的網絡威脅也日漸凸顯。
其一、內(nèi)部脆弱難以避免,數(shù)據庫本身的存儲存在諸多(duō)安全隐患
由上(shàng)文可(kě)知,SAP ASE服務器(qì)中存在的這組漏洞極具破壞力,而這還(hái)僅僅是數(shù)據庫服務器(qì)漏洞的冰山(shān)一角。相關數(shù)據顯示,截止2019年12月,CVE發布的被确認的國際主流數(shù)據庫漏洞多(duō)計(jì)140個(gè)!
而近年來(lái),借助數(shù)據庫服務器(qì)漏洞,利用SQL注入、提權、緩沖區(qū)溢出登攻擊方式,針對數(shù)據中心發起的高(gāo)級别網絡入侵時(shí)有(yǒu)發生(shēng),由此導緻的大(dà)規模數(shù)據洩漏事件更是比比皆是。
根據Risk Based Security發布的數(shù)據顯示,僅在2020年第一季度,洩露的數(shù)據總量猛增至84億,與2019年第一季度相比增長了273%,創下至少(shǎo)自2005年詳細報告開(kāi)始以來(lái)的同期記錄。
其二、外部威脅防不勝防,高(gāo)級别APT、勒索軟件等各類攻擊層出不窮
在數(shù)據內(nèi)部脆弱性難以避免的背景下,針對性的高(gāo)級别網絡攻擊日益猖獗,傳統的防禦手段已無法有(yǒu)效阻止APT等高(gāo)級攻擊,而數(shù)據安全防線一旦被攻破,各類有(yǒu)關國家(jiā)、社會(huì)、企業和(hé)個(gè)人(rén)的海量大(dà)數(shù)據将被置于前所未有(yǒu)的威脅之下。
以最近發生(shēng)的數(shù)起數(shù)據攻擊案件為(wèi)例:
2020年5月,美國德克薩斯州的航空(kōng)服務供應商聖東安尼奧航空(kōng)航天公司(VT SAA)遭遇勒索軟件攻擊,該公司包括财務數(shù)據、提案、保密協議在內(nèi)的1.5TB數(shù)據慘遭竊取;
2020年5月,泰國最大(dà)的蜂窩網絡AIS疑似遭黑(hēi)客攻擊,緻其數(shù)據庫脫機,80億實時(shí)互聯網記錄慘遭洩露;
2020年6月3日,外媒報道(dào)稱,美國防部承包商遭遇Maze勒索軟件攻擊,緻其參與維護支持的美國洲際彈道(dào)導彈“民兵-3“系列軍事數(shù)據陷入危局;
樁樁件件,皆是面向數(shù)據安全振聾發聩的安全警鈴。
其三、多(duō)域應用場(chǎng)景下,數(shù)據安全牽一發而動全身
随着全球數(shù)字化戰略迎來(lái)前所未有(yǒu)之新變局,各産業鏈中,數(shù)據應用場(chǎng)景必将呈現井噴式增長。而在這一趨勢下,數(shù)據采集、數(shù)據整合、數(shù)據提煉、數(shù)據挖掘、數(shù)據發布這一鏈條中的任何一個(gè)環節被攻破,都将導緻“牽一發而動全身“的威脅效果。
更為(wèi)嚴重的是,若以失真的數(shù)據來(lái)訓練神經網絡現象,将導緻從決策錯誤到整個(gè)數(shù)據中心宕機等一些(xiē)列重大(dà)安全問題。
短(duǎn)評
當前,新基建浪潮之下,大(dà)數(shù)據不僅是數(shù)字化轉型的重要驅動力,更是轉型之後各行(xíng)各業數(shù)字化發展的重要載體(tǐ)和(hé)工具。
與此同時(shí),伴随萬物互通(tōng)互聯,“大(dà)數(shù)據安全”也不再是虛拟世界的威脅,更是現實世界的延展。數(shù)據庫的暴露可(kě)能對國家(jiā)安全、社會(huì)安全、個(gè)人(rén)安全造成不可(kě)逆的影(yǐng)響。
今年兩會(huì)期間(jiān),360董事長兼CEO周鴻祎提出的四點建議中,其中第三條也曾提到要強化大(dà)數(shù)據平台安全,實現安全的大(dà)數(shù)據協同計(jì)算(suàn)。足見,在全球數(shù)字化轉型的當下,“大(dà)數(shù)據安全”俨然早已成為(wèi)網絡安全的“必答(dá)題”,保障“大(dà)數(shù)據安全”成為(wèi)我們發展新基建避不開(kāi)的重要一環。
而在應對之策上(shàng),與應對新型網絡空(kōng)間(jiān)威脅同理(lǐ),在維護“大(dà)數(shù)據安全”上(shàng),我們同樣要改變單一、傳統的網絡防護思維和(hé)手段,盡早構建以數(shù)據安全為(wèi)導向的全新網絡防護體(tǐ)系來(lái)應對當前的網絡威脅。
轉自網易科技(jì)
