文档介绍:十大数据库安全威胁
如何减轻重大数据库漏洞的危害
作者:
Amichai Shulman
创始人之一兼首席技术官
Imperva, Inc.
�企业的数据库体系结构会受到各种各样的威胁。本文档的目的是通过提供由 Imperva 的应用防御中心界定的十大威胁的列表,来帮助各个组织处理最严峻的威胁。并且介绍了每种威胁的背景信息、减轻风险的一般策略以及 Imperva 的 SecureSphere 数据库安全网关保护的概况。
�
简介
企业的数据库体系结构会受到各种各样的威胁。本文档的目的是通过提供由 Imperva 的应用防御中心界定的十大数据库漏洞的列表,来帮助各个组织处理最严峻的威胁。并且介绍了每种威胁的背景信息、减轻风险的一般策略以及 Imperva 的 SecureSphere 数据库安全网关保护。
十大数据库安全威胁
滥用过高权限
滥用合法权限
权限提升
数据库平台漏洞
SQL 注入
审计记录不足
拒绝服务
数据库通信协议漏洞
身份验证不足
备份数据暴露
通过解决这十大威胁,各个组织将可以满足世界上监管最严格的行业的规范要求和减轻风险的要求。
威胁 1 - 滥用过高权限
当用户(或应用程序)被授予超出了其工作职能所需的数据库访问权限时,这些权限可能会被恶意滥用。例如,一个大学管理员在工作中只需要能够更改学生的联系信息,不过他可能会利用过高的数据库更新权限来更改分数。
原因很简单,数据库管理员没有时间为每个用户定义并更新细化的访问权限控制机制,从而使给定的用户拥有了过高的权限。因此,所有用户或多组用户都被授予了远远超出其特定工作需要的通用默认访问权限。
防止滥用过高权限- 查询级别访问控制
应对过高权限的解决方案是查询级别访问控制。查询级别访问控制是这样一种机制,它将数据库权限限制到最低要求的 SQL 操作(SELECT、UPDATE 等)和数据。数据访问控制不只细化到表,而是必须细化到表中特定的行和列。使用这种充分细化的查询级别访问控制机制,上文提到的恶意大学管理员虽然可以更新联系信息,但是如果他试图更改分数则将发出警报。查询级别访问控制不但可以帮助检测恶意员工是否滥用过高权限,还可以防止本文中介绍的其他重大威胁中的大多数。
大部分数据库软件实现时都集成了某种程度的查询级别访问控制(触发器、行级安全性等),但是这些“内置”功能的手动操作本质使其对于几乎所有部署来说是不现实的,除非是功能非常有限的部署。若要针对整个数据库中所有行和列以及操作来为所有用户手动定义查询级别访问控制策略,需要花费相当长的时间。更糟糕的是,由于用户角色随时间而发生变化,必须更新查询策略以反映这些新的角色。对大部分数据库管理员来说,为某一时刻的数个用户定义有用的查询策略已经很困难,更不用说为不同时间的几百名用户定义策略。因此,大部分组织为用户提供了很多用户都可以使用的一组过高的通用访问权限。需要使用自动化的工具来使真正的查询级别访问控制变为现实。
SecureSphere 动态建模–自动化的查询级别访问控制
SecureSphere 数据库安全网关提供了自动化机制来定义和实施查询级别访问控制策略。SecureSphere 的动态建模技术应用了自动化的学习算法,为访问数据库的每个用户和应用程序创建查询级别使用模型。每个模型都从一般使用模式扩展到每个单独的查询和存储过程。SecureSphere 的学习算法可以不断更新该模型,因此当用户角色更改时不需要进行手动优化。
如果任何用户启动了不符合模型的操作,则 SecureSphere 将记录该事件、发出警报,并可以根据严重度阻止该操作。使用“动态建模”,上文提到的更改分数的大学管理员将会很容易被检测到。该管理员的模型将包括一组反映对特定学生联系信息进行正常修改的查询,还可能包括反映对分数的只读访问的查询。但是,如果突然试图更改分数,则将触发警报。
威胁 2 - 滥用合法权限
用户还可能将合法的数据库权限用于未经授权的目的。假设一个恶意的医务人员拥有可以通过自定义 Web 应用程序查看单个患者病历的权限。通常情况下,该 Web 应用程序的结构限制用户只能查看单个患者的病史,即无法同时查看多个患者的病历并且不允许复制电子副本。但是,恶意的医务人员可以通过使用其他客户端(如 MS-Excel)连接到数据库,来规避这些限制。通过使用 MS-Excel 以及合法的登录凭据,该医务人员就可以检索和保存所有患者的病历。
这种私自复制患者病历数据库的副本的做法不可能符合任何医疗组织的患者数据保护策略。要考虑两点风险。第一点是恶意的医务人员会将患者病历用于金钱交易。第二点可能更为常见,即员工由于疏忽将检索到的大量信息存储在自己的客户端计算机上,用于合法工作