Verizon曾經(jīng)就“核心數(shù)據(jù)是如何丟失的”做過一次全面的市場(chǎng)調(diào)查,結(jié)果發(fā)現(xiàn),75%的數(shù)據(jù)丟失情況是由于數(shù)據(jù)庫漏洞造成。CVE數(shù)據(jù)安全漏洞統(tǒng)計(jì)顯示,Oracle、SQL Server、MySQL等主流數(shù)據(jù)庫的漏洞逐年上升。Skybox Security最新發(fā)布的2020年漏洞和威脅趨勢(shì)報(bào)告則指出,2020年漏洞數(shù)量有可能突破新的記錄——超過20000個(gè)。

軟件系統(tǒng)因技術(shù)性缺陷,總是不可避免的存在各種漏洞,而根據(jù)Gartner的數(shù)據(jù), 其中99%的漏洞均為已知的漏洞,系統(tǒng)持續(xù)“裸奔”,這無疑給攻擊者大開方便之門。尤其是數(shù)據(jù)庫,這一信息系統(tǒng)的核心,一旦漏洞被利用,將造成巨大隱患。

通過獲取軟件開發(fā)商所提供的補(bǔ)丁程序,完成系統(tǒng)升級(jí),這是普遍的漏洞修復(fù)方式,這種補(bǔ)丁修復(fù)流程會(huì)歷經(jīng)多個(gè)階段,如下圖所示:

普遍的漏洞修復(fù)方式

但是,這種直接打補(bǔ)丁的方案卻存在風(fēng)險(xiǎn)、成本、時(shí)效、老舊系統(tǒng)等諸多問題:

補(bǔ)丁修復(fù)操作繁瑣,修復(fù)過程存在兼容性隱患;

漏洞問題層出不窮,頻繁打補(bǔ)丁工作成本加大;

零日漏洞加速出現(xiàn),廠商提供補(bǔ)丁更新包卻滯后;

老舊系統(tǒng)無補(bǔ)丁更新,即便有用戶也不敢去升級(jí)。

在漏洞爆發(fā)式增長的今天,“打補(bǔ)丁”已經(jīng)越來越不能應(yīng)對(duì)新的安全態(tài)勢(shì),漏洞之困,何以解憂?這需要一種既可以快速解決系統(tǒng)漏洞風(fēng)險(xiǎn),又具有可操作性的漏洞修補(bǔ)方案。虛擬補(bǔ)丁作為一種輕量級(jí)且無損現(xiàn)有生產(chǎn)環(huán)境,同時(shí)又是非常行之有效的漏洞修補(bǔ)方案應(yīng)運(yùn)而生。

☆虛擬補(bǔ)丁

虛擬補(bǔ)丁概念最早由安全廠商McAfee提出。虛擬補(bǔ)丁方案假設(shè):

漏洞不可能避免,永遠(yuǎn)都有漏洞。

漏洞修復(fù)總是需要一定的時(shí)間作為代價(jià)。

新形勢(shì)下,對(duì)于漏洞的“修復(fù)”有著更高的要求。避免觸碰業(yè)務(wù)系統(tǒng),盡可能短的時(shí)間內(nèi)進(jìn)行修復(fù)。

如果一個(gè)系統(tǒng)有很多漏洞,只要不去引爆,那么這些漏洞的存在也將沒有意義。也就達(dá)到了“漏洞修復(fù)”的目的。

對(duì)此,虛擬補(bǔ)丁承認(rèn)系統(tǒng)漏洞存在,在受保護(hù)的資源外部建立一個(gè)策略實(shí)施點(diǎn),以便在漏洞到達(dá)目標(biāo)之前識(shí)別和攔截利用這些漏洞的行為。這樣就不需要直接修改被保護(hù)的資源,從而讓漏洞在非法攻擊中隱形。如下圖所示:

虛擬補(bǔ)丁

目前市面上,虛擬補(bǔ)丁方案在形式上基本一致,但實(shí)現(xiàn)邏輯卻有所差異,各廠商都有各自的方案特點(diǎn),如:

完全基于對(duì)網(wǎng)絡(luò)流量的分析并提供系統(tǒng)使用簽名、正則表達(dá)式和模式匹配來識(shí)別惡意活動(dòng)并阻止相應(yīng)的請(qǐng)求;

基于相同的原理,但提供一種使用規(guī)則語言和狀態(tài)管理等更為健壯的方式來阻止指定請(qǐng)求。

在數(shù)據(jù)庫安全領(lǐng)域歷經(jīng)十余年的研究和實(shí)踐,美創(chuàng)科技提出更輕量級(jí)、更加健壯的數(shù)據(jù)庫虛擬補(bǔ)丁方案,可以快速響應(yīng)漏洞、智能修復(fù),在此,我們深入了解該方案如何實(shí)現(xiàn)有效保護(hù)。

虛擬補(bǔ)丁架構(gòu)

美創(chuàng)科技虛擬補(bǔ)丁架構(gòu)主要由虛擬補(bǔ)丁策略、策略決策點(diǎn)(PDP)和策略執(zhí)行點(diǎn)(PEP)構(gòu)成。實(shí)現(xiàn)的邏輯架構(gòu)如下圖所示:

美創(chuàng)科技虛擬補(bǔ)丁架構(gòu)

策略執(zhí)行點(diǎn)(PEP)

數(shù)據(jù)平面攔截?cái)?shù)據(jù)流,通過數(shù)據(jù)流的協(xié)議解析獲取請(qǐng)求/響應(yīng)的應(yīng)用層內(nèi)容。把內(nèi)容送往PDP(策略決策點(diǎn))進(jìn)行策略評(píng)估。根據(jù)PDP的返回做出響應(yīng),阻斷或者放行等。

流量可通過旁路模式實(shí)現(xiàn)。旁路模式實(shí)時(shí)阻斷較弱,但可實(shí)現(xiàn)告警,追溯等能力。流量串接模式則能夠進(jìn)行實(shí)時(shí)阻斷,甚至是內(nèi)容級(jí)別的阻斷。

策略決策點(diǎn)(PDP)

根據(jù)策略對(duì)PEP送過來的請(qǐng)求進(jìn)行評(píng)估,識(shí)別請(qǐng)求是否合法。策略可以采取多種形式:

正則匹配:觸發(fā)漏洞的語句往往具有一定的特征,可以根據(jù)這些特征編寫正則表達(dá)式。

語義解析:通過語義解析判斷當(dāng)前請(qǐng)求是否是攻擊行為。

白名單形式:通過建立起正常的行為模式基線識(shí)別攻擊。偏離固有的行為模式,判定存在風(fēng)險(xiǎn)。

訪問上下文:通過檢測(cè)訪問上下文的各種屬性,判斷當(dāng)前請(qǐng)求是否合法。

策略決策點(diǎn)的關(guān)鍵在于持續(xù)的評(píng)估請(qǐng)求合法性。根據(jù)靈活的策略庫、風(fēng)險(xiǎn)庫識(shí)別當(dāng)前請(qǐng)求是否合法,對(duì)不合法的請(qǐng)求阻斷,將攻擊扼殺在路上,從而避免被保護(hù)的資源受到攻擊,受保護(hù)資源本身的漏洞也就不存在威脅。

流程

實(shí)施虛擬補(bǔ)丁,關(guān)鍵點(diǎn)在于請(qǐng)求的路徑上設(shè)置檢測(cè)點(diǎn),阻斷非法請(qǐng)求。讓受保護(hù)資源本身的漏洞隱形,不會(huì)發(fā)作,從而達(dá)到“漏洞修復(fù)”的目的。

☆虛擬補(bǔ)丁的優(yōu)點(diǎn)

美創(chuàng)科技數(shù)據(jù)庫虛擬補(bǔ)丁作為一種輕量級(jí)的漏洞修復(fù)方案,有諸多優(yōu)點(diǎn):

快速響應(yīng)漏洞:無需等待開發(fā)廠商的補(bǔ)丁包,只需及時(shí)調(diào)整策略即可。

快速修復(fù):無需重啟系統(tǒng),無須停機(jī)窗口,策略一旦調(diào)整完畢實(shí)時(shí)起效。

非侵入式:通過虛擬補(bǔ)丁方式修復(fù)數(shù)據(jù)庫漏洞,無需更改數(shù)據(jù)庫環(huán)境,無額外成本,大大減輕測(cè)試和部署補(bǔ)丁的工作。

智能修復(fù):可根據(jù)虛擬補(bǔ)丁策略的優(yōu)先級(jí)、等級(jí)、嚴(yán)重性等進(jìn)行智能編排,快速選擇啟停策略,響應(yīng)方式等,自由靈活。

更具合規(guī)性:幫助用戶,用最少的成本保持?jǐn)?shù)據(jù)庫始終符合合規(guī)要求。

更多可能性:可以在訪問控制的基礎(chǔ)上,實(shí)現(xiàn)授權(quán)操作等功能。根據(jù)不同身份執(zhí)行不同策略。根據(jù)身份、行為、資產(chǎn)的屬性做出不同的評(píng)估。最大程度達(dá)成業(yè)務(wù)和安全的平衡:

① 減少對(duì)“緊急”補(bǔ)丁或者解決方案的依賴;

② 在網(wǎng)絡(luò)中的選定點(diǎn),而不是在每個(gè)系統(tǒng)上應(yīng)用補(bǔ)丁;

③ 使企業(yè)能夠靈活地按計(jì)劃時(shí)間表進(jìn)行修補(bǔ);

④ 有助于減少關(guān)鍵系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序的計(jì)劃外停機(jī)帶來的高機(jī)會(huì)成本;

⑤ 擴(kuò)展的策略授權(quán)執(zhí)行。

美創(chuàng)科技虛擬補(bǔ)丁解決方案更加適合針對(duì)數(shù)據(jù)庫等復(fù)雜系統(tǒng)的保護(hù),輕量級(jí)的保護(hù)手段讓“漏洞修復(fù)”更加安全、快速、靈活。此虛擬補(bǔ)丁方案已集成到美創(chuàng)數(shù)據(jù)庫防火墻內(nèi),作為內(nèi)嵌功能,以非侵入式幫助用戶實(shí)現(xiàn)保護(hù)數(shù)據(jù)庫安全的目的。

美創(chuàng)數(shù)據(jù)防火墻虛擬補(bǔ)丁功能基于上述架構(gòu)通過控制對(duì)數(shù)據(jù)庫的輸入和輸出,檢測(cè)其會(huì)話信息和語句信息對(duì)漏洞的嘗試?yán)��?阻止或消除漏洞攻擊行為。

數(shù)據(jù)防火墻虛擬補(bǔ)丁功能

截止目前,數(shù)據(jù)庫防火墻的漏洞規(guī)則庫已識(shí)別并內(nèi)置20多類數(shù)據(jù)庫漏洞類型虛擬補(bǔ)丁,實(shí)現(xiàn)對(duì)1600+多個(gè)漏洞防御保護(hù),同時(shí)也仍在持續(xù)不斷地更新。

美創(chuàng)數(shù)據(jù)庫防火墻的虛擬補(bǔ)丁功能完全避免進(jìn)行代碼級(jí)的改造,加長數(shù)據(jù)庫系統(tǒng)被保護(hù)的時(shí)間,避免數(shù)據(jù)庫長時(shí)間處在高風(fēng)險(xiǎn)的陰影下。

案例

SQL SERVER 2008提權(quán)漏洞

當(dāng)使用SQL SERVER數(shù)據(jù)庫的業(yè)務(wù)系統(tǒng)存在SQL注入,或者SQL SERVER數(shù)據(jù)庫存在弱口令的情況下,攻擊者獲得SQL SERVER數(shù)據(jù)庫管理員權(quán)限后,即可以利用SQL SERVER數(shù)據(jù)庫的存儲(chǔ)過程執(zhí)行命令進(jìn)行提權(quán),從而獲得SQL SERVER數(shù)據(jù)庫所在系統(tǒng)的控制權(quán)限。

開啟之后就可以執(zhí)行,獲得一些信息后,然后進(jìn)一步破壞。

針對(duì)這個(gè)漏洞,美創(chuàng)數(shù)據(jù)防火墻虛擬補(bǔ)丁可以通過多種方式進(jìn)行攔截:

根據(jù)語句特征,編寫正則表達(dá)式,放入策略庫,進(jìn)行阻斷;

根據(jù)強(qiáng)制白名單阻斷;

根據(jù)語義解析,分析行為;

如果一些情況需要執(zhí)行這些語句,可進(jìn)行授權(quán)操作;

整個(gè)過程快速實(shí)施,輕量級(jí)處理風(fēng)險(xiǎn)。強(qiáng)制白名單機(jī)制可防御0-day漏洞。即便需要更新策略庫,過程也比傳統(tǒng)打補(bǔ)丁修復(fù)方式更加快速。

ORACLE TNS Listener遠(yuǎn)程注冊(cè)投毒漏洞

ORACLE TNS Listener遠(yuǎn)程注冊(cè)投毒漏洞(CVE-2012-1675)是Oracle 2012年發(fā)布的告警,CVE-2012-1675漏洞是Oracle允許攻擊者在不提供用戶名/密碼的情況下,向遠(yuǎn)程“TNS Listener”組件處理的數(shù)據(jù)投毒的漏洞。如:攻擊者可以在不需要用戶名密碼的情況下利用網(wǎng)絡(luò)中傳送的數(shù)據(jù)消息(包括加密或者非加密的數(shù)據(jù)),如果結(jié)合(CVE-2012-3137漏洞進(jìn)行密碼破解)從而進(jìn)一步影響甚至控制局域網(wǎng)內(nèi)的任何一臺(tái)數(shù)據(jù)庫。

攻擊者利用該漏洞時(shí),首先會(huì)利用攻擊載荷攻擊TNS網(wǎng)絡(luò)組件,使其返回錯(cuò)誤信息,錯(cuò)誤信息中包含攻擊者所需的信息,如下:

攻擊者利用漏洞

可以看到,返回的信息是有其固定的格式的。美創(chuàng)數(shù)據(jù)防火墻虛擬補(bǔ)丁通過精準(zhǔn)匹配數(shù)據(jù)庫漏洞發(fā)生時(shí)輸出的信息,對(duì)返回的數(shù)據(jù)庫信息進(jìn)行混淆處理或者攔截,使攻擊者無法得到有效信息,有效抵御入侵攻擊行為。