近年來����,針對企業(yè)和組織機構的撞庫�、拖庫攻擊事件頻發(fā),黑客常通過社會工程學或暴力破解等手段獲取數(shù)據(jù)庫賬號信息���,并借此盜取數(shù)據(jù)庫內存儲的組織及個人隱私信息,繼而達到破壞或牟利等非法企圖����。某上市集團公司(以下簡稱“A集團”)因組織架構與業(yè)務需求,其重要業(yè)務應用服務器及業(yè)務后臺數(shù)據(jù)庫服務器被分別部署在總部大樓和分支機構機房����,且兩個機房間的物理距離較遠����,應用系統(tǒng)服務器與后臺數(shù)據(jù)庫只能通過互聯(lián)網(wǎng)進行通訊���,導致數(shù)據(jù)庫服務器暴露于公網(wǎng)之上��。
圖1:網(wǎng)絡架構示意圖
如圖可知�,A集團原有業(yè)務系統(tǒng)網(wǎng)絡架構雖然能夠保證業(yè)務系統(tǒng)和后臺數(shù)據(jù)庫的正常通訊�����,但也令其業(yè)務系統(tǒng)后臺數(shù)據(jù)庫直接面臨來自互聯(lián)網(wǎng)的攻擊威脅����;其中,針對數(shù)據(jù)庫賬號的暴力破解是最具威脅的攻擊方式之一�。
所謂“暴力破解”,是對用“窮舉法”破解密碼方法的形象稱呼——那是一種針對密碼的破譯方法��,即對數(shù)據(jù)庫密碼進行逐個推算直到找出真正的密碼為止�����。黑客等外部滲透攻擊者可通過外網(wǎng)掃描或指定目標數(shù)據(jù)庫IP地址��、賬戶名和密碼字典以實施密碼爆破,一旦數(shù)據(jù)庫密碼被此種嘗試登錄的方式破解��,隨之而來的將是針對企業(yè)重要敏感數(shù)據(jù)的竊取或破壞行為�,后果難以估量。因此�,A集團必須盡早采取有效的數(shù)據(jù)安全防護措施,以避免重大經濟損失和企業(yè)聲譽損害的發(fā)生��。
威脅分析
A集團通過應用安華金和數(shù)據(jù)庫安全審計產品���,發(fā)現(xiàn)了大量的登錄異常告警�。在對失敗登錄日志進行分析后發(fā)現(xiàn)�����,確認是來自互聯(lián)網(wǎng)的大量未知IP在持續(xù)實施對該業(yè)務系統(tǒng)后臺數(shù)據(jù)庫的海量主動會話發(fā)起�,以及對數(shù)據(jù)庫賬號的嘗試登錄行為。
圖2:失敗登錄行為
經過對業(yè)務系統(tǒng)IP源及數(shù)據(jù)庫運維IP的統(tǒng)計分析���,并結合安全審計系統(tǒng)日志與網(wǎng)絡日志進行比對,確認了部分持續(xù)性的數(shù)據(jù)庫嘗試登錄行為正是來自互聯(lián)網(wǎng)的暴力破解攻擊��。
解決方案
由于A集團的整體網(wǎng)絡架構設計原因�,無法調整服務器的物理部署位置�����。為此����,安華金和專門針對A集團的客觀環(huán)境設計并實施了如下數(shù)據(jù)安全加固方案:
1�、數(shù)據(jù)庫安全審計系統(tǒng)開啟“短時間內多次失敗登錄告警”規(guī)則。當已知或未知的數(shù)據(jù)庫用戶在5分鐘內連續(xù)登錄失敗5次及以上時���,系統(tǒng)將馬上記錄風險�����,并通過郵件實時推送告警信息至數(shù)據(jù)庫管理員郵箱��;數(shù)據(jù)庫管理員在收到郵件告警通知后�,即可于第一時間驗證賬號訪問合法性���,并針對風險訪問的出處進行準確溯源��、追責���;
2����、開啟數(shù)據(jù)庫防暴力破解策略���,當檢測到超過10次錯誤嘗試后�����,對該用戶執(zhí)行鎖定�����;
3�、于數(shù)據(jù)庫服務器所在網(wǎng)絡出口的防火墻上開啟訪問控制規(guī)則��。通過白名單機制���,禁止業(yè)務系統(tǒng)服務器以外的IP訪問數(shù)據(jù)庫服務器����;同時�,修改數(shù)據(jù)庫服務器缺省端口�����,并對外禁用除數(shù)據(jù)庫協(xié)議以外的、所有端口的訪問�;
4、數(shù)據(jù)庫管理員如需對數(shù)據(jù)庫服務器進行運維操作�����,需要通過VPN通道實現(xiàn)訪問��。
防護建議
1�����、梳理數(shù)據(jù)庫賬號及權限分布情況����,加強數(shù)據(jù)庫密碼長度、復雜度����,并定期修改運維賬戶登錄密碼;
2�、對數(shù)據(jù)庫賬號的“錯誤認證”行為進行計數(shù)并給予限制,如:用戶密碼超過5次錯誤嘗試后,該用戶被執(zhí)行鎖定���;
3�、加強對臨時數(shù)據(jù)庫賬號的管理��,同時停用�、注銷過期臨時賬號;
4��、如條件允許����,可通過修改數(shù)據(jù)庫缺省訪問端口,實現(xiàn)隱藏數(shù)據(jù)庫的目的���;
5�、通過網(wǎng)絡防火墻��、交換機配置URL訪問控制策略��,限制除業(yè)務系統(tǒng)主機��、數(shù)據(jù)庫運維主機以外的IP地址訪問數(shù)據(jù)庫服務器����,避免暴露數(shù)據(jù)庫服務器IP地址���;
6�、嚴格限制數(shù)據(jù)庫服務器21、22��、3389等端口的使用�,禁止數(shù)據(jù)庫運維跳板機以外的IP使用遠程連接的方式登錄、管理數(shù)據(jù)庫��;
7��、加強對數(shù)據(jù)庫操作行為的審計����,非特殊情況下禁止數(shù)據(jù)庫服務器本地的SQL操作;
8�����、及時修復數(shù)據(jù)庫漏洞����,防范攻擊者通過數(shù)據(jù)庫認證協(xié)議漏洞實現(xiàn)對數(shù)據(jù)庫的暴力破解。
產品咨詢:4000 258 365 
