墨菲定律視角下(xià)的數據庫入侵防禦
發布時間:
2019.07.12 | 來源:
帕拉迪
随著(zhe)網絡信息化的發展,企業(yè)組織對網絡安全的關注,由物(wù)理安全、邊界安全和系統安全,已逐漸轉移到(dào)業(yè)務安全和數據安全,業(yè)務數據的安全防護成本已占到(dào)企業(yè)組織IT預算(suàn)成本的一(yī)半以上(shàng)。特别在新時代新形勢新業(yè)态的互聯網安全中,信息安全部門(mén)已逐步成為(wèi)企業(yè)組織的一(yī)級部門(mén),企業(yè)數據已經成為(wèi)組織核心資産,針對數據的保護已寫入企業(yè)的基本戰略。
企業(yè)對數據資産的安全防護存在多(duō)項工(gōng)作:數據備份安全、數據存儲安全、數據脫敏及加密等。在以可用性為(wèi)主的業(yè)務安全觀點人群中,大多(duō)數還(hái)沒有完全理解數據庫安全的重要性,而據前瞻性統計發現,越來越多(duō)的企業(yè)信息安全負責人開(kāi)始将數據庫安全細分領域列入自(zì)己的備忘清單。業(yè)務連續性為(wèi)企業(yè)組織的根本核心,而業(yè)務安全和數據安全是企業(yè)長(cháng)久發展的安全保障,在以企業(yè)數據資産為(wèi)核心競争力的當下(xià),數據庫作為(wèi)企業(yè)組織“核心競争力”--數據資産--的容器(qì),承載了企業(yè)核心數據,成為(wèi)業(yè)務運行和數據保護的基礎設施,解決數據庫的安全防禦問題已躍至CTO/CIO的工(gōng)作内容象限的榜首。
企業(yè)組織的數據庫體系,不僅僅是數據庫軟件(jiàn)平台本身,不會(huì)流動的數據沒有意義,當我們考慮數據庫安全的時候,顯然我們需要合理評估數據庫的受攻擊面大小(xiǎo);數據庫訪問涉及的認證、授權和審計問題;由于開(kāi)發人員(yuán)疏忽帶來的軟件(jiàn)漏洞和運維人員(yuán)的管理不善導緻的潛在風險等,不難發現在實際運維中,各種各樣的風險都可能(néng)産生(shēng)并帶來可怕的後果。筆者實驗室通(tōng)過收集各漏洞平台及企業(yè)安全運營者的反饋數據庫安全信息,參考OWASP TOP 10制定了數據庫應用防禦的十大數據庫風險威脅列表。
二、數據庫安全風險是否會(huì)發生(shēng)
答案就(jiù)是墨菲定律,它闡述了一(yī)個(gè)事(shì)實:如果事(shì)情有變糟糕(發生(shēng))的可能(néng),不管這種可能(néng)性有多(duō)小(xiǎo),它總會(huì)發生(shēng)。
墨菲(Edward A. Murphy)是美國(guó)愛德華茲空軍基地的上(shàng)尉工(gōng)程師(shī)。1949年(nián),他和他的上(shàng)司斯塔普少校,在一(yī)次火箭減速超重試驗中,因儀器(qì)失靈發生(shēng)了事(shì)故。墨菲發現,測量儀表被一(yī)個(gè)技(jì)術(shù)人員(yuán)裝反了。由此,他得出的教訓是:如果做某項工(gōng)作有多(duō)種方法,而其中有一(yī)種方法将導緻事(shì)故,那麽一(yī)定有人會(huì)按這種方法去做。
在事(shì)後的一(yī)次記者招待會(huì)上(shàng),斯塔普将其稱為(wèi)“墨菲法則”,并以極為(wèi)簡潔的方式作了重新表述:凡事(shì)可能(néng)出岔子,就(jiù)一(yī)定會(huì)出岔子。墨菲定律的适用範圍非常廣泛,它揭示了一(yī)種獨特的社會(huì)及自(zì)然現象。它的極端表述是:如果壞事(shì)有可能(néng)發生(shēng),不管這種可能(néng)性有多(duō)小(xiǎo),它總會(huì)發生(shēng),并造成最大可能(néng)的破壞。
此定律在技(jì)術(shù)界同樣适用,并不是我要将其強加在數據庫安全領域,隻因為(wèi)它道出了一(yī)個(gè)法則,即安全風險必将由可能(néng)性變為(wèi)突發性。
通(tōng)過墨菲定律來觀察數據庫入侵防禦,我們要持以積極的态度,既然數據庫安全風險不可避免,那我們一(yī)定要順應必然性,積極應對,做好事(shì)件(jiàn)應急和處置。在數據庫安全防禦方面,要科學合理規劃全面積極的應對方案,必須做到(dào)事(shì)前主動防禦、事(shì)中及時阻斷、事(shì)後完整審計。
根據墨菲定律可總結對數據庫入侵防禦的啓示:
一(yī)、不能(néng)忽視數據庫風險小(xiǎo)概率事(shì)件(jiàn)
雖然數據庫安全事(shì)件(jiàn)不斷發生(shēng),但仍有一(yī)定數量的安全負責人認為(wèi),企業(yè)安全防護已經從(cóng)物(wù)理層、網絡層、計算(suàn)主機(jī)層、應用層等進行了多(duō)重防禦,網絡邊界嚴格準入控制,外部威脅情報(bào)和内部态勢感知系統能(néng)完美配合,業(yè)務數據早已經過層層保護,安全威脅不可能(néng)被利用發生(shēng)數據庫安全事(shì)件(jiàn)。
而現實情況是:由于小(xiǎo)概率事(shì)件(jiàn)在一(yī)次實驗或活動中發生(shēng)的可能(néng)性很小(xiǎo),因此,就(jiù)給人一(yī)種錯(cuò)誤的理解,即在一(yī)次活動中不會(huì)發生(shēng)。與事(shì)實相(xiàng)反,正是由于這種錯(cuò)覺,加大了事(shì)件(jiàn)發生(shēng)的可能(néng)性,其結果是事(shì)故可能(néng)頻繁發生(shēng)。雖然事(shì)件(jiàn)原因是複雜(zá)的,但這卻說明小(xiǎo)概率事(shì)件(jiàn)也會(huì)常發生(shēng)的客觀事(shì)實。
墨菲定律正是從(cóng)強調小(xiǎo)概率事(shì)件(jiàn)的重要性的角度啓示我們:雖然數據庫安全風險事(shì)件(jiàn)發生(shēng)的概率很小(xiǎo),但在入侵防禦體系活動中,仍可能(néng)發生(shēng)且必将發生(shēng),因此不能(néng)忽視。
二、在數據庫安全中積極應用墨菲定律
1、強化數據庫入侵防禦的安全認知
數據庫已經成為(wèi)企業(yè)安全防護的核心,認識數據庫安全威脅事(shì)件(jiàn)可能(néng)發生(shēng)的必然性,預防數據庫不安全狀态的意外性事(shì)件(jiàn)發生(shēng),必須要采取事(shì)前預防措施,從(cóng)網絡層、應用層和數據庫層,涵蓋業(yè)務系統(中間件(jiàn))和運維DBA,全面管控,提前謀劃。既然數據庫入侵事(shì)件(jiàn)無可避免,那一(yī)定要保證完整原始的數據庫訪問記錄,以供審計取證留存證據,做到(dào)有據可查。
2、規範安全管理,正确認識數據庫安全控制
安全管理的目标是杜絕事(shì)故的發生(shēng),而事(shì)故是一(yī)種不經常發生(shēng)的意外事(shì)件(jiàn),這些意外事(shì)件(jiàn)發生(shēng)的概率一(yī)般比較小(xiǎo),由于這些小(xiǎo)概率事(shì)件(jiàn)在大多(duō)數情況下(xià)不發生(shēng),所以,往往管理疏忽恰恰是事(shì)故發生(shēng)的主觀原因。墨菲定律告誡我們,數據庫及業(yè)務數據的安全控制不能(néng)疏忽。要想保證數據庫安全,必須從(cóng)基礎做起,對數據庫的基本安全配置,要形成統一(yī)的安全基線,對數據庫的訪問行為(wèi)要做到(dào)“白(bái)名單化”,采取積極的預防方法和措施,避免意外的事(shì)件(jiàn)發生(shēng)。
3、轉變觀念,數據庫入侵防禦變被動為(wèi)主動
傳統安全管理是被動的安全管理,是在安全管理活動中采取安全措施或事(shì)故發生(shēng)後,通(tōng)過總結教訓,進行“亡羊補牢”式的管理。随著(zhe)IT網絡技(jì)術(shù)迅速發展,安全攻擊方式不斷變化,新的安全威脅不斷湧現,發生(shēng)數據庫安全事(shì)件(jiàn)的誘因增多(duō),而傳統的網絡型入侵防禦系統模式已難于應付當前對數據庫安全防禦的需求。為(wèi)此,不僅要重視已有的安全威脅,還(hái)要主動地去識别新的風險,主動學習,模态分析,及時而準确的阻斷風險活動,變被動為(wèi)主動,牢牢掌握數據庫入侵防禦的主動權。
三、正确認識數據庫入侵防禦系統
1、數據庫入侵防禦系統串聯與并聯之争
數據庫入侵防禦系統,可以通(tōng)過串聯或旁路(lù)部署的方式,對業(yè)務系統與數據庫之間的訪問行為(wèi)進行精确識别、精準阻斷。不僅如此,合理使用還(hái)能(néng)具有事(shì)前主動防禦和事(shì)後審計追溯的能(néng)力。
不過,部分用戶認為(wèi)旁路(lù)的阻斷行為(wèi)效果不佳,而串聯進網絡實現實時阻斷,又(yòu)擔心影響業(yè)務訪問時。
串聯模式部署在業(yè)務系統與數據庫中間,通(tōng)過流量協議解碼對所有SQL語句進行語法解析,審核基于TCP/IP五元組(來往地址、端口與協議)、準入控制因素和數據庫操作行為(wèi)的安全策略,結合自(zì)主動态建模學習的白(bái)名單規則,能(néng)夠準确識别惡意數據庫指令,及時阻斷會(huì)話或準确攔截惡意操作語句。串聯模式部署最大風險在于不能(néng)出現誤判,否則影響正常語句通(tōng)過,此必需要系統的SQL語句解析能(néng)力足夠精确,并且能(néng)夠建立非常完善的行為(wèi)模型,在發現危險語句時,能(néng)夠在不中斷會(huì)話的情況下(xià),精準攔截風險語句,且不影響正常訪問請求。因此,若想數據庫入侵防禦系統發揮最佳效果,必須串聯在數據庫的前端,可以物(wù)理串聯(透明橋接)或邏輯串聯(反向代理)。
旁路(lù)部署模式,目前的常用方式是通(tōng)過發送RESET指令進行強行會(huì)話重置,此部署方式在較低(dī)流量情況下(xià)效果最佳。如在業(yè)務系統大并發情況下(xià),每秒(miǎo)鍾SQL交易量萬條以上(shàng),這種旁路(lù)識别阻斷有可能(néng)出現無法阻斷情況,且會(huì)出現延遲。有可能(néng)因為(wèi)延遲,阻斷請求發送在SQL語句執行之後,那麽反倒影響了正常業(yè)務請求。所以在高(gāo)并發大流量場景下(xià),如果要實現實時精準阻斷攔截效果,就(jiù)要求數據庫入侵防禦系統具有超高(gāo)端的處理性能(néng)。
至于串聯部署還(hái)是旁路(lù)部署更為(wèi)合适,需要匹配相(xiàng)應的業(yè)務系統場景。數據庫入侵防禦系統最終奧義是它的防禦效果,即對風險語句的精準阻斷能(néng)力。通(tōng)過墨菲定律對比分析,旁路(lù)部署有阻斷請求的可能(néng)性則必然會(huì)發生(shēng)。而串聯存在影響業(yè)務訪問的擔憂,那它始終都會(huì)發生(shēng),而正視這種風險,讓我們對數據庫入侵防禦系統的精準阻斷能(néng)力有更高(gāo)要求,盡可能(néng)将這種風險降到(dào)最低(dī)。
2、數據庫入侵防禦系統串聯實時同步阻斷與異步阻斷之争
相(xiàng)對數據庫入侵防禦系統的串并聯之争來講,串聯實現同步阻斷與異步阻斷更為(wèi)細分,市(shì)面上(shàng)存在兩類串聯的數據庫入侵防禦系統;
一(yī)類就(jiù)是以IBM Guardium為(wèi)代表的本地代理引擎在線監聽異步阻斷,當有危險語句通(tōng)過代理到(dào)DBMS時,代理會(huì)将内容信息副本發至分析中心,由中心判斷是否違法或觸犯入侵防禦規則,進而給代理程序發出阻斷指令,很顯然這種部署的好處是不局限與數據庫的網絡環境,IP可達即可,而壞處就(jiù)更明顯了,那就(jiù)是Agent與Center通(tōng)信期間,SQL訪問是放(fàng)行的,也就(jiù)是如果在前面幾個(gè)包就(jiù)出現了緻命攻擊語句,那麽這次攻擊就(jiù)會(huì)被有效執行,即防禦體系被有效繞過。
另一(yī)類就(jiù)是以國(guó)内廠商帕拉迪為(wèi)代表的串聯實時同步阻斷,當有危險語句通(tōng)過串聯數據庫入侵防禦系統時,入侵防禦系統若監測到(dào)風險語句,立馬阻斷;無風險的語句放(fàng)行,這種模式及立馬分析立馬判斷。也很顯然,這種部署模式的好處是小(xiǎo)概率事(shì)件(jiàn)或預謀已久的直接攻擊語句也會(huì)被實時阻斷;而壞處也非常明顯,那就(jiù)是處理效率,如果數據庫入侵防禦系統處理效率不行,就(jiù)會(huì)出現排隊等待的狀态,進而對業(yè)務的連續性造成影響。關鍵就(jiù)是要把握這個(gè)平衡點,至少要達到(dào)無感知,這個(gè)點的取舍就(jiù)取決于各個(gè)數據庫安全廠商處理SQL語句的算(suàn)法能(néng)力了。
四、結束語
墨菲定律并不複雜(zá),将它應用到(dào)數據庫入侵防禦領域,揭示了在數據庫安全中不能(néng)忽視的小(xiǎo)概率風險事(shì)件(jiàn),要正視墨菲定律轉為(wèi)積極響應,應充分理解墨菲定律,抵制“數據庫層層保護不存在風險”、“别人都是這樣做”、“數據庫入侵防禦系統并聯不會(huì)誤阻斷”等錯(cuò)誤認識,牢記隻要存在風險隐患,就(jiù)有事(shì)件(jiàn)可能(néng),事(shì)件(jiàn)遲早會(huì)發生(shēng),我們應當杜絕習慣性認知,積極主動應對數據庫安全風險。