互聯網解決方案
互聯網行業數據庫安全解決方案
行業痛點及需求

今年6月AcFun彈幕視(shì)頻網(俗稱:A站(zhàn))發布消息稱網站(zhàn)受到(dào)黑客攻擊,近千萬條用(yòng)戶數據外(wài)洩,包含用(yòng)戶ID、用(yòng)戶昵稱、加密存儲的密碼等信息。根據A站(zhàn)官網發布的《關于AcFun受黑客攻擊緻用(yòng)戶數據外(wài)洩的公告》,A站(zhàn)曾在2017年7月7日升級了(le)用(yòng)戶賬号系統,但(dàn)如果用(yòng)戶在這(zhè)個時(shí)間之後未登錄過網站(zhàn),或者密碼加密強度不夠,則賬号仍然會(huì)存在洩露的風(fēng)險。

近幾年的數據洩露事(shì)件層出不窮,從(cóng)2017年雅虎30億用(yòng)戶信息洩露、Uber 5700萬用(yòng)戶賬号被竊取,到(dào)2018年新年伊始就爆出的美(měi)國國土安全部雇員信息洩密事(shì)件,可謂一波又一波,這(zhè)次連二次元世界也(yě)不能(néng)幸免。縱觀這(zhè)些(xiē)數據洩露事(shì)件,大(dà)部分都指向了(le)信息安全中一個高(gāo)對(duì)抗性的領域:Web應用(yòng)安全以及背後的數據庫安全。

在今年5月份,Verizon公司剛剛發布了(le)《2018 年數據洩露調查報(bào)告》,這(zhè)也(yě)是Verizon連續發布的第11份數據洩露調查報(bào)告。在今年的報(bào)告中,Verizon團隊一共分析了(le)53,000起事(shì)件和(hé)2,216起确認的數據洩露事(shì)件,詳細分析了(le)數據洩露事(shì)件中常用(yòng)的攻擊方式。報(bào)告指出,在這(zhè)些(xiē)洩露事(shì)件中,大(dà)部分的攻擊都指向了(le)Web應用(yòng)程序:比如在信息行業,49起洩露事(shì)件中有45起通過針對(duì)Web應用(yòng)程序的攻擊而達成,占比超過90%。由此可見,Web應用(yòng)安全已經是數據洩露事(shì)件的最前線,大(dà)量的滲透注入、探測、撞庫、信息竊取都發生在Web服務器和(hé)數據庫之間。互金(jīn)類、社交類、遊戲類、娛樂出行類互聯網已經涉足到(dào)了(le)我們日常的生活中每一個角落,對(duì)于這(zhè)些(xiē)企業來(lái)講,注冊用(yòng)戶數據作(zuò)爲網站(zhàn)所有者的核心信息資産,涉及到(dào)網站(zhàn)及關聯信息系統的實質業務,一旦洩露,不僅會(huì)造成經濟利益上(shàng)的損失,還會(huì)産生巨大(dà)的聲讨和(hé)信任危機。

首先數據庫的應用(yòng)相當複雜(zá),掌握起來(lái)非常困難。許多數據庫管理(lǐ)員都忙于管理(lǐ)複雜(zá)的系統,疏忽了(le)安全隐患和(hé)不當配置的檢查,例如數據庫訪問權限的控制,共用(yòng)賬号,使用(yòng)特權賬号sa、system訪問、命令執行的控制。這(zhè)是由于傳統的安全體系在很(hěn)大(dà)程度上(shàng)忽略了(le)數據庫安全這(zhè)一主題,數據庫管理(lǐ)員也(yě)通常沒有把安全問題當作(zuò)他(tā)們的首要任務。

其次,數據的重要性日益劇(jù)增,也(yě)招緻一些(xiē)非法人員對(duì)數據庫的攻擊,攻擊者一般會(huì)通過sql注入、APT等攻擊方法對(duì)其進行攻擊,這(zhè)些(xiē)漏洞往往不存在數據庫層面上(shàng),而在中間件上(shàng),傳統的WAF、數據清洗在應對(duì)這(zhè)類靈活的攻擊手段時(shí),由于其本身的局限性,不能(néng)做到(dào)百分百的安全。


我們的方案


目前世界上(shàng)主流的關系型數據庫,諸如Oracle、Sybase、Microsoft SQL Server、IBM DB2/Informix等數據庫數據庫都具有以下(xià)特征:用(yòng)戶帳号及密碼、校驗系統、優先級模型和(hé)控制數據庫的特别許可、内置命令(存儲過程、觸發器等)、唯一的腳本和(hé)編程語言(例如PL/SQL、Transaction-SQL、OEMC等)、中間件、網絡協議(yì)、強有力的數據庫管理(lǐ)實用(yòng)程序和(hé)開(kāi)發工(gōng)具。 數據庫領域的安全措施通常包括:身份識别和(hé)身份驗證、自(zì)主訪問控制和(hé)強制訪問控制、安全傳輸、系統審計(jì)、數據庫存儲加密等。隻有通過綜合有關安全的各個環節,才能(néng)确保高(gāo)度安全的系統。

帕拉迪下(xià)一代數據庫應用(yòng)安全防禦系統(簡稱NGDAP)是杭州安存網絡科技有限公司自(zì)行研制開(kāi)發的新一代數據防護系統。NGDAP通過對(duì)訪問數據庫的數據流進行采集、分析和(hé)識别。實時(shí)監視(shì)數據庫的運行狀态,記錄多種訪問數據庫行爲,發現(xiàn)對(duì)數據庫的異常訪問,并進行及時(shí)的阻斷。

網絡防火牆

數據庫網絡防火牆主要基于網絡行爲的控制,基于TCP五元組來(lái)實現(xiàn),根據五元組内的源地址,目标地址,源端口,目标端口,傳輸層協議(yì)進行策略控制。

準入防火牆

通過白(bái)名單自(zì)學習進行訪問準入規則的固化(自(zì)動學習到(dào)數據庫訪問行爲的五元素—訪問源地址異常,訪問源主機名稱異常,訪問源用(yòng)戶名稱異常,訪問工(gōng)具名稱異常,登錄帳号名稱異常,固化安全規則),未被匹配到(dào)的數據庫接入行爲都會(huì)進行實時(shí)的預警和(hé)阻斷會(huì)話(huà),在不影響性能(néng)和(hé)修改數據庫的情況下(xià),通過持續跟蹤所有數據庫操作(zuò)來(lái)識别未授權的活動或可疑的活動,并及時(shí)阻斷,避免數據庫遭受網絡攻擊,從(cóng)根本上(shàng)解決數據庫惡意訪問威脅。

行爲防火牆

可以精準的追蹤到(dào)用(yòng)戶的SQL語句命令,可以對(duì)來(lái)源、目标庫、目标表和(hé)指定行爲進行控制,防止高(gāo)危違規操作(zuò)和(hé)誤操作(zuò)。

業務防火牆

學習階段,它會(huì)記錄分析并統計(jì)所有的應用(yòng)程序發來(lái)的查詢請(qǐng)求,将其自(zì)動添加到(dào)白(bái)名單中來(lái),用(yòng)戶可以确認并調整白(bái)名單的内容。切換到(dào)主動防禦模式後,數據庫防火牆首先會(huì)對(duì)發來(lái)的請(qǐng)求數據進行标準化處理(lǐ),然後将處理(lǐ)後的數據送往模式匹配引擎中,跟白(bái)名單中的數據進行比較,如果匹配到(dào)相關規則,則認爲是合法請(qǐng)求,該數據會(huì)被傳遞到(dào)真實的數據庫中進行查詢,并最後返回給應用(yòng)程序;如果不匹配相關規則,則做出告警或者阻斷響應,徹底解決SQL注入、APT等攻擊。


部署方式


客戶收益


1. 在不影響性能(néng)、不修改數據庫的情況下(xià),通過持續跟蹤所有數據庫操作(zuò)來(lái)識别未授權的活動或可疑的活動,并及時(shí)阻斷,避免數據庫遭受網絡攻擊;

2. 增進用(yòng)戶對(duì)數據庫安全管理(lǐ)的便捷性,還能(néng)提升用(yòng)戶的風(fēng)險管控和(hé)法規遵從(cóng)能(néng)力;

3. 保障企業業務系統數據的安全性和(hé)完整性;

4. 在數據庫外(wài)圍搭設一道(dào)防線,從(cóng)而實現(xiàn)“禦敵于國門(mén)之外(wài)”,爲企業業務安全撐起“保護傘”。

經典案例
  • 鬥魚科技
  • 一嗨租車
  • 途家網
  • 連連支付
  • 東方有線
Copyright © 2019 All Rights Reserved Designed
杭州安存網絡科技有限公司