《(精品)RSA大会2012安恒信息演讲——业务及数据库安全威胁分析.ppt》由会员分享,可在线阅读,更多相关《(精品)RSA大会2012安恒信息演讲——业务及数据库安全威胁分析.ppt(37页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、安恒信息专题会议主题:业务及数据库安全风险分析专题会议分类:安全业务中级安恒信息专题会议主题:业务及数据库安全风险分析专题会议分类:安全业务中级范渊杭州安恒信息技术有限公司业务及数据库安全风险分析安恒信息专题会议主题:业务及数据库安全风险分析专题会议分类:安全业务中级范渊议题背景:敏感数据泄露频繁爆发!数据安全令人担忧!杭州安恒信息技术有限公司安恒信息1、世界500强泄密事件4安恒信息2、互联网企业泄密事件5企业名称企业名称泄露账号数量泄露账号数量泄露信息泄露信息CSDN6,428,632个帐号。帐号、明文密码、电子邮件多玩8,305,005个帐号。帐号、MD5加密密码、部分明文密码、电子邮件
2、、多玩昵称178.COM1,883,487个帐号,仍不断增加。帐号、MD5加密密码、全部明文密码、电子邮件、178昵称(178账户通用NGA)天涯9,695,513个帐号(预计超4千万数据)。帐号、明文密码、电子邮件人人网4,768,600个帐号。明文密码、电子邮件UUU9.COM7,513,773个帐号。帐号、MD5加密密码、部分明文密码、电子邮件、U9昵称网易土木在线约4.3GB,137个文件。帐号、邮箱、MD5密码、其他相关数据梦幻西游约1.4G(木马盗取)。帐号、邮箱、明文密码、角色名称、所在服务器、最后登陆时间、最后登陆IP新浪微博帐号数未知,疑似文件1个。邮箱、明文密码麒麟网9,0
3、72,966个帐号。帐户、明文密码某婚恋网站5,261,302个帐号。帐户、明文密码安恒信息专题会议主题:业务及数据库安全风险分析专题会议分类:安全业务中级范渊数据泄密事件有何启发?是文件泄漏?数据库泄漏?显然数据库泄漏已成主因!来自来自verizon的数据支持!的数据支持!安恒信息专题会议主题:业务及数据库安全风险分析专题会议分类:安全业务中级范渊数据库面临安全风险TOP10TOP 1.帐号授权不合理,越权操作严重TOP 2.帐号复用与滥用TOP 3.脆弱的web应用TOP 4.数据库漏洞和配置不合理TOP 5.身份验证措施薄弱TOP 6.备份管理不足TOP 7.审计措施不力TOP 8.缺失
4、有效加密措施TOP 9.安全域规划不合理TOP 10.服务器操作系统漏洞与配置不合理低高安恒信息威胁1:帐号授权不合理内控规定DBA不允许访问业务数据,但我们没有办法控制业务开发人员不应具备建表、查看业务数据权限;最小权限原则由于其过于复杂无法实施。8Select*from fin.customersSelect*from hr.employees安恒信息威胁1:帐号授权不合理9典型越权操作案例:1、开标前30分钟,越权查看投标商报价;2、通知合作投标商,以低于次低价几十元报价,协助其中标;由于第三方人员权限过大导致的泄密事件数不胜数!安恒信息威胁2:帐号复用和帐号滥用10数据库管理现状:一个
5、帐号多人使用;多台设备共用密码;应用系统帐号个人使用;安恒信息威胁2:帐号复用和帐号滥用改进建议11建立集中运维安全管理平台逻辑上将人与目标设备分离,全局唯一身份标识,隐藏设备管理帐号密码;转变传统IT安全运维的被动响应模式,建立面向用户的集中、主动的安全管控模式;现在在过去去转变安恒信息威胁2:帐号复用和帐号滥用改进建议12数据库访问行为模型报价客户资料金额统计数据参数参数内容内容WhoJoJo、jammWhere192.168.1.1192.168.8.8WhatpriceHow工具工具对象象whenselectPL/SQL所有人报价信息2012.5.18 14:30持续监控审计构建数据库
6、访问行为模型,梳理帐号权限!安恒信息威胁3:脆弱的web应用85%以上的黑客攻击入口是脆弱的web系统13安恒信息威胁3:脆弱的web应用改进建议14预警防护分析加固短期间检测到大量攻击自动告警安全态势跟踪已知的攻击、已知的漏洞已知的正常访问方式应用程序:错误分析、延时分析、流量分析、用户群分析安全分析:攻击态势、攻击目标分析、攻击源分析安全分析:代码质量问题,编码规范问题已知应用漏洞加固已知访问权限调整建立有效的web防御体系(WAF和网页防篡改)安恒信息15威胁4:身份验证措施薄弱众多数据库帐号被破解!而且多个帐号使用同样密码!安恒信息威胁4:身份验证措施薄弱161.销售售专业统方工具!方
7、工具!2.可可实现全国大部分全国大部分HIS系系统统方!方!3.方便易用,无需方便易用,无需专业IT技能!技能!安恒信息威胁4:身份验证措施薄弱17这就是为什么医院频繁出现泄密事件的主因之一!安恒信息威胁4:身份验证措施薄弱改进建议1、复、复杂的密的密码策略策略182、双因子认证利用扫描软件定期评估数据库密码健壮性!通过审计监督“密码修改”也非常有必要!隐藏设备的密码也很重要!安恒信息威胁5:数据库漏洞和配置不合理数据库的漏洞并不少见,但了解度比系统漏洞要低很多!当然更重要的是数据库配置不合理!19安恒信息威胁5:数据库漏洞和配置不合理数据库常见配置不合理性说明:数据库版本信息泄漏;数据库默认
8、帐号密码没有修改;密码规范没有启用(密码生存周期、长度、锁定策略等)无关帐号、过期帐号未锁定、删除;公共权限(public)用户组授权不合理;访问权限绕过漏洞;20安恒信息威胁6:数据库服务器操作系统漏洞操作系统漏洞大家都最熟悉不过了!但由于数据库的特殊性,其漏洞往往没有进行任何的修补!21进入内网了!进入内网了!窃取数据就容易了!窃取数据就容易了!安恒信息威胁6:数据库服务器操作系统漏洞22内部都是利用操作系统漏洞!安恒信息威胁6:数据库服务器操作系统漏洞 改进建议1、定期开展操作系统漏洞和数据库漏洞扫描232、开展专业安全评估和风险加固服务安恒信息威胁7:备份管理不足24备份措施不足备份措
9、施不足备份措施不足备份措施不足备份管理不善备份管理不善备份管理不善备份管理不善1、缺少安全有效的备份措施:、缺少安全有效的备份措施:还有大部分企业采用简单复制文件进行备份2、备份数据未进行加密:、备份数据未进行加密:对于包含用户资料等敏感信息的数据未加密1、备备份数据存放位置不对:份数据存放位置不对:比如备份文件存放在本机或者web服务器,备份介质丢失2、备份系统管理不善:、备份系统管理不善:备份任务计划是否执行成功?非法备份经常发生?3、备份数据的有效性未经检验:、备份数据的有效性未经检验:从未进行备份数据恢复演练安恒信息威胁7:备份管理不足25雅虎回雅虎回应“备份是企份是企业自己自己问题”
10、安恒信息威胁7:备份管理不足改进建议26 体系管理体系管理体系管理体系管理应应急演练急演练数据备份管理体系针对性强的备份措施和制度1.备备份体系份体系持续监控备份行为和异常备份2.持持续监控续监控根据系统重要性制定恢复预案3.恢复预案恢复预案定期演练和改进预案4.定定期演练期演练安恒信息威胁8:审计措施不力27大部分企业都还没有任何审计措施,特别是核心数据库系统.部分企业开启了数据库自身审计,但是其详细度、可信度不足.审计设备成为摆设也是很普遍的问题,有不重视、也有审计设备分析不足等原因.无审计无审计无审计无审计审计有缺陷审计有缺陷审计有缺陷审计有缺陷缺乏审计分析缺乏审计分析缺乏审计分析缺乏审
11、计分析安恒信息威胁8:审计措施不力改进建议首先需要有审计,包括数据库审计、web审计、运维审计,综合日志审计等;审计设备的选择尤为重要厂家实力:能否提供整体审计解决方案关联分析能力:不同日志、不同设备是否能够关联规则分析能力:是否支持细粒度分析?是否有默认规则库?性能:数据库、web日志量非常大,性能要求高分析报表:报表是否有价值,是否丰富多样28安恒信息威胁8:审计措施不力改进建议智能学习建模,自动形成规则29安恒信息威胁8:审计措施不力改进建议30蜜罐表一个非常有意思的一个非常有意思的敏感数据保护案例敏感数据保护案例!安恒信息威胁9:安全域规划不合理DB服务器直接暴露在internetDB
12、服务器没有单独的安全域很多单位都配置了服务器区防火墙,但是数据库服务器和web、ftp等服务器都在一个区域,区域内部并没有任何访问控制手段,一旦其他服务器被入侵当作跳板机,入侵数据库就非常容易了。31安恒信息威胁9:安全域规划不合理改进建议32将数据库服务器建立专用防火墙,严格控制访问源以及可访问端口。(交换机ACL控制也可)安恒信息威胁10:缺失有效加密措施33企业名称企业名称泄露账号数量泄露账号数量泄露信息泄露信息CSDN6,428,632个帐号。帐号、明文密码、电子邮件多玩8,305,005个帐号。帐号、MD5加密密码、部分明文密码、电子邮件、多玩昵称178.COM1,883,487个帐
13、号,仍不断增加。帐号、MD5加密密码、全部明文密码、电子邮件、178昵称(178账户通用NGA)天涯9,695,513个帐号(预计超4千万数据)。帐号、明文密码、电子邮件人人网4,768,600个帐号。明文密码、电子邮件UUU9.COM7,513,773个帐号。帐号、MD5加密密码、部分明文密码、电子邮件、U9昵称网易土木在线约4.3GB,137个文件。帐号、邮箱、MD5密码、其他相关数据梦幻西游约1.4G(木马盗取)。帐号、邮箱、明文密码、角色名称、所在服务器、最后登陆时间、最后登陆IP新浪微博帐号数未知,疑似文件1个。邮箱、明文密码麒麟网9,072,966个帐号。帐户、明文密码某婚恋网站5
14、,261,302个帐号。帐户、明文密码关键字段都是明文信息!关键字段都是明文信息!造造成重大损失的主因!成重大损失的主因!安恒信息威胁10:缺失有效加密措施库外加密:对数据库文件进行加密,它把数据库作为一个文件,把每一个数据块当作文件的一个记录进行加密,文件系统与数据库管理系统交换的就是块号。库内加密:对数据库中的数据进行加密,库内加密按加密的方式,可以进行记录加密,也可以进行字段加密,还可以对数据元素进行加密。34安恒信息TOP10安全风险分类TOP 1.帐号授权不合理,越权操作严重TOP 2.帐号复用与滥用TOP 4.数据库漏洞和配置不合理TOP 5.身份验证措施薄弱TOP 3.脆弱的web应用TOP 6.备份管理不足TOP 7.审计措施不力TOP 8.缺失有效加密措施TOP 9.安全域规划不合理TOP 10.服务器操作系统漏洞与配置不合理35数据库自身管理配置问题周边环境与其他保障措施安恒信息建议总结构建纵深防御体系36安恒信息谢谢