墨菲定律視(shì)角下(xià)的數據庫入侵防禦
發布時(shí)間:
2019.07.12 | 來(lái)源:
帕拉迪
随着網絡信息化的發展,企業組織對(duì)網絡安全的關注,由物理(lǐ)安全、邊界安全和(hé)系統安全,已逐漸轉移到(dào)業務安全和(hé)數據安全,業務數據的安全防護成本已占到(dào)企業組織IT預算(suàn)成本的一半以上(shàng)。特别在新時(shí)代新形勢新業态的互聯網安全中,信息安全部門(mén)已逐步成爲企業組織的一級部門(mén),企業數據已經成爲組織核心資産,針對(duì)數據的保護已寫入企業的基本戰略。
企業對(duì)數據資産的安全防護存在多項工(gōng)作(zuò):數據備份安全、數據存儲安全、數據脫敏及加密等。在以可用(yòng)性爲主的業務安全觀點人群中,大(dà)多數還沒有完全理(lǐ)解數據庫安全的重要性,而據前瞻性統計(jì)發現(xiàn),越來(lái)越多的企業信息安全負責人開(kāi)始将數據庫安全細分領域列入自(zì)己的備忘清單。業務連續性爲企業組織的根本核心,而業務安全和(hé)數據安全是企業長久發展的安全保障,在以企業數據資産爲核心競争力的當下(xià),數據庫作(zuò)爲企業組織“核心競争力”--數據資産--的容器,承載了(le)企業核心數據,成爲業務運行和(hé)數據保護的基礎設施,解決數據庫的安全防禦問題已躍至CTO/CIO的工(gōng)作(zuò)内容象限的榜首。
企業組織的數據庫體系,不僅僅是數據庫軟件平台本身,不會(huì)流動的數據沒有意義,當我們考慮數據庫安全的時(shí)候,顯然我們需要合理(lǐ)評估數據庫的受攻擊面大(dà)小(xiǎo);數據庫訪問涉及的認證、授權和(hé)審計(jì)問題;由于開(kāi)發人員疏忽帶來(lái)的軟件漏洞和(hé)運維人員的管理(lǐ)不善導緻的潛在風(fēng)險等,不難發現(xiàn)在實際運維中,各種各樣的風(fēng)險都可能(néng)産生并帶來(lái)可怕的後果。筆(bǐ)者實驗室通過收集各漏洞平台及企業安全運營者的反饋數據庫安全信息,參考OWASP TOP 10制定了(le)數據庫應用(yòng)防禦的十大(dà)數據庫風(fēng)險威脅列表。
二、數據庫安全風(fēng)險是否會(huì)發生
答(dá)案就是墨菲定律,它闡述了(le)一個事(shì)實:如果事(shì)情有變糟糕(發生)的可能(néng),不管這(zhè)種可能(néng)性有多小(xiǎo),它總會(huì)發生。
墨菲(Edward A. Murphy)是美(měi)國愛德華茲空(kōng)軍基地的上(shàng)尉工(gōng)程師。1949年,他(tā)和(hé)他(tā)的上(shàng)司斯塔普少校,在一次火箭減速超重試驗中,因儀器失靈發生了(le)事(shì)故。墨菲發現(xiàn),測量儀表被一個技術人員裝反了(le)。由此,他(tā)得出的教訓是:如果做某項工(gōng)作(zuò)有多種方法,而其中有一種方法将導緻事(shì)故,那麽一定有人會(huì)按這(zhè)種方法去做。
在事(shì)後的一次記者招待會(huì)上(shàng),斯塔普将其稱爲“墨菲法則”,并以極爲簡潔的方式作(zuò)了(le)重新表述:凡事(shì)可能(néng)出岔子,就一定會(huì)出岔子。墨菲定律的适用(yòng)範圍非常廣泛,它揭示了(le)一種獨特的社會(huì)及自(zì)然現(xiàn)象。它的極端表述是:如果壞事(shì)有可能(néng)發生,不管這(zhè)種可能(néng)性有多小(xiǎo),它總會(huì)發生,并造成最大(dà)可能(néng)的破壞。
此定律在技術界同樣适用(yòng),并不是我要将其強加在數據庫安全領域,隻因爲它道(dào)出了(le)一個法則,即安全風(fēng)險必将由可能(néng)性變爲突發性。
通過墨菲定律來(lái)觀察數據庫入侵防禦,我們要持以積極的态度,既然數據庫安全風(fēng)險不可避免,那我們一定要順應必然性,積極應對(duì),做好(hǎo)事(shì)件應急和(hé)處置。在數據庫安全防禦方面,要科學合理(lǐ)規劃全面積極的應對(duì)方案,必須做到(dào)事(shì)前主動防禦、事(shì)中及時(shí)阻斷、事(shì)後完整審計(jì)。
根據墨菲定律可總結對(duì)數據庫入侵防禦的啓示:
一、不能(néng)忽視(shì)數據庫風(fēng)險小(xiǎo)概率事(shì)件
雖然數據庫安全事(shì)件不斷發生,但(dàn)仍有一定數量的安全負責人認爲,企業安全防護已經從(cóng)物理(lǐ)層、網絡層、計(jì)算(suàn)主機層、應用(yòng)層等進行了(le)多重防禦,網絡邊界嚴格準入控制,外(wài)部威脅情報(bào)和(hé)内部态勢感知(zhī)系統能(néng)完美(měi)配合,業務數據早已經過層層保護,安全威脅不可能(néng)被利用(yòng)發生數據庫安全事(shì)件。
而現(xiàn)實情況是:由于小(xiǎo)概率事(shì)件在一次實驗或活動中發生的可能(néng)性很(hěn)小(xiǎo),因此,就給人一種錯誤的理(lǐ)解,即在一次活動中不會(huì)發生。與事(shì)實相反,正是由于這(zhè)種錯覺,加大(dà)了(le)事(shì)件發生的可能(néng)性,其結果是事(shì)故可能(néng)頻繁發生。雖然事(shì)件原因是複雜(zá)的,但(dàn)這(zhè)卻說明(míng)小(xiǎo)概率事(shì)件也(yě)會(huì)常發生的客觀事(shì)實。
墨菲定律正是從(cóng)強調小(xiǎo)概率事(shì)件的重要性的角度啓示我們:雖然數據庫安全風(fēng)險事(shì)件發生的概率很(hěn)小(xiǎo),但(dàn)在入侵防禦體系活動中,仍可能(néng)發生且必将發生,因此不能(néng)忽視(shì)。
二、在數據庫安全中積極應用(yòng)墨菲定律
1、強化數據庫入侵防禦的安全認知(zhī)
數據庫已經成爲企業安全防護的核心,認識數據庫安全威脅事(shì)件可能(néng)發生的必然性,預防數據庫不安全狀态的意外(wài)性事(shì)件發生,必須要采取事(shì)前預防措施,從(cóng)網絡層、應用(yòng)層和(hé)數據庫層,涵蓋業務系統(中間件)和(hé)運維DBA,全面管控,提前謀劃。既然數據庫入侵事(shì)件無可避免,那一定要保證完整原始的數據庫訪問記錄,以供審計(jì)取證留存證據,做到(dào)有據可查。
2、規範安全管理(lǐ),正确認識數據庫安全控制
安全管理(lǐ)的目标是杜絕事(shì)故的發生,而事(shì)故是一種不經常發生的意外(wài)事(shì)件,這(zhè)些(xiē)意外(wài)事(shì)件發生的概率一般比較小(xiǎo),由于這(zhè)些(xiē)小(xiǎo)概率事(shì)件在大(dà)多數情況下(xià)不發生,所以,往往管理(lǐ)疏忽恰恰是事(shì)故發生的主觀原因。墨菲定律告誡我們,數據庫及業務數據的安全控制不能(néng)疏忽。要想保證數據庫安全,必須從(cóng)基礎做起,對(duì)數據庫的基本安全配置,要形成統一的安全基線,對(duì)數據庫的訪問行爲要做到(dào)“白(bái)名單化”,采取積極的預防方法和(hé)措施,避免意外(wài)的事(shì)件發生。
3、轉變觀念,數據庫入侵防禦變被動爲主動
傳統安全管理(lǐ)是被動的安全管理(lǐ),是在安全管理(lǐ)活動中采取安全措施或事(shì)故發生後,通過總結教訓,進行“亡羊補牢”式的管理(lǐ)。随着IT網絡技術迅速發展,安全攻擊方式不斷變化,新的安全威脅不斷湧現(xiàn),發生數據庫安全事(shì)件的誘因增多,而傳統的網絡型入侵防禦系統模式已難于應付當前對(duì)數據庫安全防禦的需求。爲此,不僅要重視(shì)已有的安全威脅,還要主動地去識别新的風(fēng)險,主動學習,模态分析,及時(shí)而準确的阻斷風(fēng)險活動,變被動爲主動,牢牢掌握數據庫入侵防禦的主動權。
三、正确認識數據庫入侵防禦系統
1、數據庫入侵防禦系統串聯與并聯之争
數據庫入侵防禦系統,可以通過串聯或旁路部署的方式,對(duì)業務系統與數據庫之間的訪問行爲進行精确識别、精準阻斷。不僅如此,合理(lǐ)使用(yòng)還能(néng)具有事(shì)前主動防禦和(hé)事(shì)後審計(jì)追溯的能(néng)力。
不過,部分用(yòng)戶認爲旁路的阻斷行爲效果不佳,而串聯進網絡實現(xiàn)實時(shí)阻斷,又擔心影響業務訪問時(shí)。
串聯模式部署在業務系統與數據庫中間,通過流量協議(yì)解碼對(duì)所有SQL語句進行語法解析,審核基于TCP/IP五元組(來(lái)往地址、端口與協議(yì))、準入控制因素和(hé)數據庫操作(zuò)行爲的安全策略,結合自(zì)主動态建模學習的白(bái)名單規則,能(néng)夠準确識别惡意數據庫指令,及時(shí)阻斷會(huì)話(huà)或準确攔截惡意操作(zuò)語句。串聯模式部署最大(dà)風(fēng)險在于不能(néng)出現(xiàn)誤判,否則影響正常語句通過,此必需要系統的SQL語句解析能(néng)力足夠精确,并且能(néng)夠建立非常完善的行爲模型,在發現(xiàn)危險語句時(shí),能(néng)夠在不中斷會(huì)話(huà)的情況下(xià),精準攔截風(fēng)險語句,且不影響正常訪問請(qǐng)求。因此,若想數據庫入侵防禦系統發揮最佳效果,必須串聯在數據庫的前端,可以物理(lǐ)串聯(透明(míng)橋接)或邏輯串聯(反向代理(lǐ))。
旁路部署模式,目前的常用(yòng)方式是通過發送RESET指令進行強行會(huì)話(huà)重置,此部署方式在較低(dī)流量情況下(xià)效果最佳。如在業務系統大(dà)并發情況下(xià),每秒鐘(zhōng)SQL交易量萬條以上(shàng),這(zhè)種旁路識别阻斷有可能(néng)出現(xiàn)無法阻斷情況,且會(huì)出現(xiàn)延遲。有可能(néng)因爲延遲,阻斷請(qǐng)求發送在SQL語句執行之後,那麽反倒影響了(le)正常業務請(qǐng)求。所以在高(gāo)并發大(dà)流量場景下(xià),如果要實現(xiàn)實時(shí)精準阻斷攔截效果,就要求數據庫入侵防禦系統具有超高(gāo)端的處理(lǐ)性能(néng)。
至于串聯部署還是旁路部署更爲合适,需要匹配相應的業務系統場景。數據庫入侵防禦系統最終奧義是它的防禦效果,即對(duì)風(fēng)險語句的精準阻斷能(néng)力。通過墨菲定律對(duì)比分析,旁路部署有阻斷請(qǐng)求的可能(néng)性則必然會(huì)發生。而串聯存在影響業務訪問的擔憂,那它始終都會(huì)發生,而正視(shì)這(zhè)種風(fēng)險,讓我們對(duì)數據庫入侵防禦系統的精準阻斷能(néng)力有更高(gāo)要求,盡可能(néng)将這(zhè)種風(fēng)險降到(dào)最低(dī)。
2、數據庫入侵防禦系統串聯實時(shí)同步阻斷與異步阻斷之争
相對(duì)數據庫入侵防禦系統的串并聯之争來(lái)講,串聯實現(xiàn)同步阻斷與異步阻斷更爲細分,市面上(shàng)存在兩類串聯的數據庫入侵防禦系統;
一類就是以IBM Guardium爲代表的本地代理(lǐ)引擎在線監聽異步阻斷,當有危險語句通過代理(lǐ)到(dào)DBMS時(shí),代理(lǐ)會(huì)将内容信息副本發至分析中心,由中心判斷是否違法或觸犯入侵防禦規則,進而給代理(lǐ)程序發出阻斷指令,很(hěn)顯然這(zhè)種部署的好(hǎo)處是不局限與數據庫的網絡環境,IP可達即可,而壞處就更明(míng)顯了(le),那就是Agent與Center通信期間,SQL訪問是放(fàng)行的,也(yě)就是如果在前面幾個包就出現(xiàn)了(le)緻命攻擊語句,那麽這(zhè)次攻擊就會(huì)被有效執行,即防禦體系被有效繞過。
另一類就是以國内廠(chǎng)商帕拉迪爲代表的串聯實時(shí)同步阻斷,當有危險語句通過串聯數據庫入侵防禦系統時(shí),入侵防禦系統若監測到(dào)風(fēng)險語句,立馬阻斷;無風(fēng)險的語句放(fàng)行,這(zhè)種模式及立馬分析立馬判斷。也(yě)很(hěn)顯然,這(zhè)種部署模式的好(hǎo)處是小(xiǎo)概率事(shì)件或預謀已久的直接攻擊語句也(yě)會(huì)被實時(shí)阻斷;而壞處也(yě)非常明(míng)顯,那就是處理(lǐ)效率,如果數據庫入侵防禦系統處理(lǐ)效率不行,就會(huì)出現(xiàn)排隊等待的狀态,進而對(duì)業務的連續性造成影響。關鍵就是要把握這(zhè)個平衡點,至少要達到(dào)無感知(zhī),這(zhè)個點的取舍就取決于各個數據庫安全廠(chǎng)商處理(lǐ)SQL語句的算(suàn)法能(néng)力了(le)。
四、結束語
墨菲定律并不複雜(zá),将它應用(yòng)到(dào)數據庫入侵防禦領域,揭示了(le)在數據庫安全中不能(néng)忽視(shì)的小(xiǎo)概率風(fēng)險事(shì)件,要正視(shì)墨菲定律轉爲積極響應,應充分理(lǐ)解墨菲定律,抵制“數據庫層層保護不存在風(fēng)險”、“别人都是這(zhè)樣做”、“數據庫入侵防禦系統并聯不會(huì)誤阻斷”等錯誤認識,牢記隻要存在風(fēng)險隐患,就有事(shì)件可能(néng),事(shì)件遲早會(huì)發生,我們應當杜絕習慣性認知(zhī),積極主動應對(duì)數據庫安全風(fēng)險。