近年來(lái),針對(duì)企業(yè)和組織機(jī)構(gòu)的撞庫(kù)��、拖庫(kù)攻擊事件頻發(fā)�,黑客常通過(guò)社會(huì)工程學(xué)或暴力破解等手段獲取數(shù)據(jù)庫(kù)賬號(hào)信息,并借此盜取數(shù)據(jù)庫(kù)內(nèi)存儲(chǔ)的組織及個(gè)人隱私信息��,繼而達(dá)到破壞或牟利等非法企圖����。某上市集團(tuán)公司(以下簡(jiǎn)稱“A集團(tuán)”)因組織架構(gòu)與業(yè)務(wù)需求�����,其重要業(yè)務(wù)應(yīng)用服務(wù)器及業(yè)務(wù)后臺(tái)數(shù)據(jù)庫(kù)服務(wù)器被分別部署在總部大樓和分支機(jī)構(gòu)機(jī)房�����,且兩個(gè)機(jī)房間的物理距離較遠(yuǎn)�����,應(yīng)用系統(tǒng)服務(wù)器與后臺(tái)數(shù)據(jù)庫(kù)只能通過(guò)互聯(lián)網(wǎng)進(jìn)行通訊�,導(dǎo)致數(shù)據(jù)庫(kù)服務(wù)器暴露于公網(wǎng)之上���。
圖1:網(wǎng)絡(luò)架構(gòu)示意圖
如圖可知,A集團(tuán)原有業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)架構(gòu)雖然能夠保證業(yè)務(wù)系統(tǒng)和后臺(tái)數(shù)據(jù)庫(kù)的正常通訊��,但也令其業(yè)務(wù)系統(tǒng)后臺(tái)數(shù)據(jù)庫(kù)直接面臨來(lái)自互聯(lián)網(wǎng)的攻擊威脅�;其中���,針對(duì)數(shù)據(jù)庫(kù)賬號(hào)的暴力破解是最具威脅的攻擊方式之一���。
所謂“暴力破解”�����,是對(duì)用“窮舉法”破解密碼方法的形象稱呼——那是一種針對(duì)密碼的破譯方法���,即對(duì)數(shù)據(jù)庫(kù)密碼進(jìn)行逐個(gè)推算直到找出真正的密碼為止。黑客等外部滲透攻擊者可通過(guò)外網(wǎng)掃描或指定目標(biāo)數(shù)據(jù)庫(kù)IP地址����、賬戶名和密碼字典以實(shí)施密碼爆破,一旦數(shù)據(jù)庫(kù)密碼被此種嘗試登錄的方式破解�,隨之而來(lái)的將是針對(duì)企業(yè)重要敏感數(shù)據(jù)的竊取或破壞行為,后果難以估量����。因此,A集團(tuán)必須盡早采取有效的數(shù)據(jù)安全防護(hù)措施���,以避免重大經(jīng)濟(jì)損失和企業(yè)聲譽(yù)損害的發(fā)生���。
威脅分析
A集團(tuán)通過(guò)應(yīng)用安華金和數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品,發(fā)現(xiàn)了大量的登錄異常告警����。在對(duì)失敗登錄日志進(jìn)行分析后發(fā)現(xiàn)���,確認(rèn)是來(lái)自互聯(lián)網(wǎng)的大量未知IP在持續(xù)實(shí)施對(duì)該業(yè)務(wù)系統(tǒng)后臺(tái)數(shù)據(jù)庫(kù)的海量主動(dòng)會(huì)話發(fā)起,以及對(duì)數(shù)據(jù)庫(kù)賬號(hào)的嘗試登錄行為�。
圖2:失敗登錄行為
經(jīng)過(guò)對(duì)業(yè)務(wù)系統(tǒng)IP源及數(shù)據(jù)庫(kù)運(yùn)維IP的統(tǒng)計(jì)分析,并結(jié)合安全審計(jì)系統(tǒng)日志與網(wǎng)絡(luò)日志進(jìn)行比對(duì)�,確認(rèn)了部分持續(xù)性的數(shù)據(jù)庫(kù)嘗試登錄行為正是來(lái)自互聯(lián)網(wǎng)的暴力破解攻擊。
解決方案
由于A集團(tuán)的整體網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)原因�����,無(wú)法調(diào)整服務(wù)器的物理部署位置����。為此,安華金和專門針對(duì)A集團(tuán)的客觀環(huán)境設(shè)計(jì)并實(shí)施了如下數(shù)據(jù)安全加固方案:
1����、數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)開(kāi)啟“短時(shí)間內(nèi)多次失敗登錄告警”規(guī)則���。當(dāng)已知或未知的數(shù)據(jù)庫(kù)用戶在5分鐘內(nèi)連續(xù)登錄失敗5次及以上時(shí)���,系統(tǒng)將馬上記錄風(fēng)險(xiǎn),并通過(guò)郵件實(shí)時(shí)推送告警信息至數(shù)據(jù)庫(kù)管理員郵箱;數(shù)據(jù)庫(kù)管理員在收到郵件告警通知后��,即可于第一時(shí)間驗(yàn)證賬號(hào)訪問(wèn)合法性���,并針對(duì)風(fēng)險(xiǎn)訪問(wèn)的出處進(jìn)行準(zhǔn)確溯源���、追責(zé);
2���、開(kāi)啟數(shù)據(jù)庫(kù)防暴力破解策略����,當(dāng)檢測(cè)到超過(guò)10次錯(cuò)誤嘗試后��,對(duì)該用戶執(zhí)行鎖定��;
3���、于數(shù)據(jù)庫(kù)服務(wù)器所在網(wǎng)絡(luò)出口的防火墻上開(kāi)啟訪問(wèn)控制規(guī)則�。通過(guò)白名單機(jī)制,禁止業(yè)務(wù)系統(tǒng)服務(wù)器以外的IP訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器�;同時(shí),修改數(shù)據(jù)庫(kù)服務(wù)器缺省端口���,并對(duì)外禁用除數(shù)據(jù)庫(kù)協(xié)議以外的����、所有端口的訪問(wèn)����;
4、數(shù)據(jù)庫(kù)管理員如需對(duì)數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行運(yùn)維操作�,需要通過(guò)VPN通道實(shí)現(xiàn)訪問(wèn)。
防護(hù)建議
1��、梳理數(shù)據(jù)庫(kù)賬號(hào)及權(quán)限分布情況��,加強(qiáng)數(shù)據(jù)庫(kù)密碼長(zhǎng)度���、復(fù)雜度���,并定期修改運(yùn)維賬戶登錄密碼�;
2��、對(duì)數(shù)據(jù)庫(kù)賬號(hào)的“錯(cuò)誤認(rèn)證”行為進(jìn)行計(jì)數(shù)并給予限制���,如:用戶密碼超過(guò)5次錯(cuò)誤嘗試后�����,該用戶被執(zhí)行鎖定����;
3��、加強(qiáng)對(duì)臨時(shí)數(shù)據(jù)庫(kù)賬號(hào)的管理�,同時(shí)停用���、注銷過(guò)期臨時(shí)賬號(hào)��;
4�、如條件允許,可通過(guò)修改數(shù)據(jù)庫(kù)缺省訪問(wèn)端口���,實(shí)現(xiàn)隱藏?cái)?shù)據(jù)庫(kù)的目的����;
5���、通過(guò)網(wǎng)絡(luò)防火墻����、交換機(jī)配置URL訪問(wèn)控制策略���,限制除業(yè)務(wù)系統(tǒng)主機(jī)�����、數(shù)據(jù)庫(kù)運(yùn)維主機(jī)以外的IP地址訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器�,避免暴露數(shù)據(jù)庫(kù)服務(wù)器IP地址�����;
6、嚴(yán)格限制數(shù)據(jù)庫(kù)服務(wù)器21����、22��、3389等端口的使用�,禁止數(shù)據(jù)庫(kù)運(yùn)維跳板機(jī)以外的IP使用遠(yuǎn)程連接的方式登錄、管理數(shù)據(jù)庫(kù)�����;
7�、加強(qiáng)對(duì)數(shù)據(jù)庫(kù)操作行為的審計(jì),非特殊情況下禁止數(shù)據(jù)庫(kù)服務(wù)器本地的SQL操作��;
8��、及時(shí)修復(fù)數(shù)據(jù)庫(kù)漏洞����,防范攻擊者通過(guò)數(shù)據(jù)庫(kù)認(rèn)證協(xié)議漏洞實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的暴力破解。
產(chǎn)品咨詢:4000 258 365 
