互聯網解決方案
互聯網行業(yè)數據庫安全解決方案
行業(yè)痛點及需求

今年(nián)6月(yuè)AcFun彈幕視頻網(俗稱:A站)發布消息稱網站受到(dào)黑(hēi)客攻擊,近千萬條用戶數據外洩,包含用戶ID、用戶昵稱、加密存儲的密碼等信息。根據A站官網發布的《關于AcFun受黑(hēi)客攻擊緻用戶數據外洩的公告》,A站曾在2017年(nián)7月(yuè)7日升級了用戶賬号系統,但如果用戶在這個(gè)時間之後未登錄過網站,或者密碼加密強度不夠,則賬号仍然會(huì)存在洩露的風險。

近幾年(nián)的數據洩露事(shì)件(jiàn)層出不窮,從(cóng)2017年(nián)雅虎30億用戶信息洩露、Uber 5700萬用戶賬号被竊取,到(dào)2018年(nián)新年(nián)伊始就(jiù)爆出的美國(guó)國(guó)土(tǔ)安全部雇員(yuán)信息洩密事(shì)件(jiàn),可謂一(yī)波又(yòu)一(yī)波,這次連二次元世界也不能(néng)幸免。縱觀這些數據洩露事(shì)件(jiàn),大部分都指向了信息安全中一(yī)個(gè)高(gāo)對抗性的領域:Web應用安全以及背後的數據庫安全。

在今年(nián)5月(yuè)份,Verizon公司剛剛發布了《2018 年(nián)數據洩露調查報(bào)告》,這也是Verizon連續發布的第11份數據洩露調查報(bào)告。在今年(nián)的報(bào)告中,Verizon團隊一(yī)共分析了53,000起事(shì)件(jiàn)和2,216起确認的數據洩露事(shì)件(jiàn),詳細分析了數據洩露事(shì)件(jiàn)中常用的攻擊方式。報(bào)告指出,在這些洩露事(shì)件(jiàn)中,大部分的攻擊都指向了Web應用程序:比如在信息行業(yè),49起洩露事(shì)件(jiàn)中有45起通(tōng)過針對Web應用程序的攻擊而達成,占比超過90%。由此可見(jiàn),Web應用安全已經是數據洩露事(shì)件(jiàn)的最前線,大量的滲透注入、探測、撞庫、信息竊取都發生(shēng)在Web服務器(qì)和數據庫之間。互金類、社交類、遊戲類、娛樂出行類互聯網已經涉足到(dào)了我們日常的生(shēng)活中每一(yī)個(gè)角落,對于這些企業(yè)來講,注冊用戶數據作為(wèi)網站所有者的核心信息資産,涉及到(dào)網站及關聯信息系統的實質業(yè)務,一(yī)旦洩露,不僅會(huì)造成經濟利益上(shàng)的損失,還(hái)會(huì)産生(shēng)巨大的聲讨和信任危機(jī)。

首先數據庫的應用相(xiàng)當複雜(zá),掌握起來非常困難。許多(duō)數據庫管理員(yuán)都忙于管理複雜(zá)的系統,疏忽了安全隐患和不當配置的檢查,例如數據庫訪問權限的控制,共用賬号,使用特權賬号sa、system訪問、命令執行的控制。這是由于傳統的安全體系在很大程度上(shàng)忽略了數據庫安全這一(yī)主題,數據庫管理員(yuán)也通(tōng)常沒有把安全問題當作他們的首要任務。

其次,數據的重要性日益劇增,也招緻一(yī)些非法人員(yuán)對數據庫的攻擊,攻擊者一(yī)般會(huì)通(tōng)過sql注入、APT等攻擊方法對其進行攻擊,這些漏洞往往不存在數據庫層面上(shàng),而在中間件(jiàn)上(shàng),傳統的WAF、數據清洗在應對這類靈活的攻擊手段時,由于其本身的局限性,不能(néng)做到(dào)百分百的安全。


我們的方案


目前世界上(shàng)主流的關系型數據庫,諸如Oracle、Sybase、Microsoft SQL Server、IBM DB2/Informix等數據庫數據庫都具有以下(xià)特征:用戶帳号及密碼、校驗系統、優先級模型和控制數據庫的特别許可、内置命令(存儲過程、觸發器(qì)等)、唯一(yī)的腳本和編程語言(例如PL/SQL、Transaction-SQL、OEMC等)、中間件(jiàn)、網絡協議、強有力的數據庫管理實用程序和開(kāi)發工(gōng)具。 數據庫領域的安全措施通(tōng)常包括:身份識别和身份驗證、自(zì)主訪問控制和強制訪問控制、安全傳輸、系統審計、數據庫存儲加密等。隻有通(tōng)過綜合有關安全的各個(gè)環節,才能(néng)确保高(gāo)度安全的系統。

帕拉迪下(xià)一(yī)代數據庫應用安全防禦系統(簡稱NGDAP)是杭州樂桦網絡科技有限公司自(zì)行研制開(kāi)發的新一(yī)代數據防護系統。NGDAP通(tōng)過對訪問數據庫的數據流進行采集、分析和識别。實時監視數據庫的運行狀态,記錄多(duō)種訪問數據庫行為(wèi),發現對數據庫的異常訪問,并進行及時的阻斷。

網絡防火牆

數據庫網絡防火牆主要基于網絡行為(wèi)的控制,基于TCP五元組來實現,根據五元組内的源地址,目标地址,源端口,目标端口,傳輸層協議進行策略控制。

準入防火牆

通(tōng)過白(bái)名單自(zì)學習進行訪問準入規則的固化(自(zì)動學習到(dào)數據庫訪問行為(wèi)的五元素—訪問源地址異常,訪問源主機(jī)名稱異常,訪問源用戶名稱異常,訪問工(gōng)具名稱異常,登錄帳号名稱異常,固化安全規則),未被匹配到(dào)的數據庫接入行為(wèi)都會(huì)進行實時的預警和阻斷會(huì)話,在不影響性能(néng)和修改數據庫的情況下(xià),通(tōng)過持續跟蹤所有數據庫操作來識别未授權的活動或可疑的活動,并及時阻斷,避免數據庫遭受網絡攻擊,從(cóng)根本上(shàng)解決數據庫惡意訪問威脅。

行為(wèi)防火牆

可以精準的追蹤到(dào)用戶的SQL語句命令,可以對來源、目标庫、目标表和指定行為(wèi)進行控制,防止高(gāo)危違規操作和誤操作。

業(yè)務防火牆

學習階段,它會(huì)記錄分析并統計所有的應用程序發來的查詢請求,将其自(zì)動添加到(dào)白(bái)名單中來,用戶可以确認并調整白(bái)名單的内容。切換到(dào)主動防禦模式後,數據庫防火牆首先會(huì)對發來的請求數據進行标準化處理,然後将處理後的數據送往模式匹配引擎中,跟白(bái)名單中的數據進行比較,如果匹配到(dào)相(xiàng)關規則,則認為(wèi)是合法請求,該數據會(huì)被傳遞到(dào)真實的數據庫中進行查詢,并最後返回給應用程序;如果不匹配相(xiàng)關規則,則做出告警或者阻斷響應,徹底解決SQL注入、APT等攻擊。


部署方式


客戶收益


1. 在不影響性能(néng)、不修改數據庫的情況下(xià),通(tōng)過持續跟蹤所有數據庫操作來識别未授權的活動或可疑的活動,并及時阻斷,避免數據庫遭受網絡攻擊;

2. 增進用戶對數據庫安全管理的便捷性,還(hái)能(néng)提升用戶的風險管控和法規遵從(cóng)能(néng)力;

3. 保障企業(yè)業(yè)務系統數據的安全性和完整性;

4. 在數據庫外圍搭設一(yī)道防線,從(cóng)而實現“禦敵于國(guó)門(mén)之外”,為(wèi)企業(yè)業(yè)務安全撐起“保護傘”。

經典案例
  • 鬥魚科技(jì)
  • 一(yī)嗨租車
  • 途家網
  • 連連支付
  • 東方有線
Copyright © 2019 All Rights Reserved Designed
杭州樂桦網絡科技有限公司