近日�����,由國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)編寫的《2019年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》(以下簡稱:《報告》)正式發(fā)布?���!秷蟾妗芬劳蠧NCERT多年來從事網(wǎng)絡(luò)安全監(jiān)測、預(yù)警和應(yīng)急處置等工作的實際情況�,對我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全狀況進行總體判斷和趨勢分析,具有重要的參考價值�����。
近年來�����,伴隨數(shù)據(jù)價值的不斷提升����,數(shù)據(jù)安全問題日益嚴(yán)峻。作為海量數(shù)據(jù)的“電子化載體”,數(shù)據(jù)庫所需面對的安全隱患和風(fēng)險也水漲船高;而在與數(shù)據(jù)庫有關(guān)的安全威脅中����,“漏洞”絕對是跳不過的一大難點�,它就像數(shù)據(jù)庫安全“木桶效應(yīng)”中的那塊短板,如果不能及時發(fā)現(xiàn)和封堵����,數(shù)據(jù)庫及其數(shù)據(jù)安全都將淪為“一紙空談”。
《報告》中專門針對我國境內(nèi)數(shù)據(jù)庫隱患排查及處置情況進行了公布——經(jīng)CNCERT分析發(fā)現(xiàn)�,安全漏洞是導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)庫存在數(shù)據(jù)泄露隱患的主要因素,涉及的數(shù)據(jù)庫類型主要包括MongoDB�����、MySQL�、ElasticSearch和Redis等,涉及的漏洞類型主要為未授權(quán)訪問和弱口令漏洞等��。如上圖統(tǒng)計數(shù)據(jù)所示��,由于數(shù)據(jù)庫漏洞的存在����,安全受其影響的數(shù)據(jù)表數(shù)量(20000+)��、數(shù)據(jù)量(1330+TB)和數(shù)據(jù)條數(shù)(1.78萬億+)十分龐大��!
一騎絕塵 · 遙遙領(lǐng)先
《報告》對于“安全漏洞是導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)庫存在數(shù)據(jù)泄露隱患的主要因素”這一結(jié)論����,與安華金和“數(shù)據(jù)庫安全的主要威脅之一就來自于數(shù)據(jù)庫漏洞”的觀點高度一致�;多年堅持對數(shù)據(jù)庫漏洞挖掘及安全防護工作的深入研究與沉淀�����,也為安華金和在該領(lǐng)域積累了豐富的經(jīng)驗成果���、領(lǐng)先的技術(shù)產(chǎn)品����、完善的團隊體系以及更顯著的優(yōu)勢地位����。
安華金和旗下數(shù)據(jù)庫攻防實驗室(DBSec Labs)創(chuàng)建于2010年11月,是國內(nèi)第一批成立的��、規(guī)?��;臄?shù)據(jù)庫安全研究機構(gòu)��,配備有一支獨立�����、持久的�����,針對數(shù)據(jù)庫安全漏洞���、數(shù)據(jù)庫攻擊技術(shù)模擬����、數(shù)據(jù)庫安全防護技術(shù)等方向進行科學(xué)分析與研究工作的專業(yè)團隊���。
DBSec Labs是國內(nèi)具備“國際數(shù)據(jù)庫漏洞挖掘能力”的專業(yè)實驗室��,也是國內(nèi)首個針對數(shù)據(jù)庫漏洞進行系統(tǒng)分類與定性分析的專業(yè)實驗室�,它在很長一段時期填補了國內(nèi)數(shù)據(jù)庫漏洞研究方面的空白���。在數(shù)據(jù)庫漏洞挖掘方面�,DBSec Labs所涵蓋的數(shù)據(jù)庫范圍之廣����、挖掘的數(shù)據(jù)庫漏洞數(shù)量之多����,在國內(nèi)首屈一指�;截至目前�,DBSec Labs已針對Oracle、DB2�����、Informix����、mongoDB、Gbase��、Kingbase�、達夢等國內(nèi)外知名數(shù)據(jù)庫廠商:
累計挖掘、提交并認證數(shù)據(jù)庫漏洞 65個
· 超危數(shù)據(jù)庫漏洞 1個
· 高危數(shù)據(jù)庫漏洞 35個
· 中危數(shù)據(jù)庫漏洞 23個
· 低危數(shù)據(jù)庫漏洞 6個
注:另有10個數(shù)據(jù)庫漏洞正在認證申請中�。
累計復(fù)現(xiàn)數(shù)據(jù)庫漏洞 74個
· 高危數(shù)據(jù)庫漏洞 23個
· 中危數(shù)據(jù)庫漏洞 29個
· 低危數(shù)據(jù)庫漏洞 5個
· 未定級數(shù)據(jù)庫漏洞 17個
疫情期間,DBSec Labs持續(xù)開展數(shù)據(jù)庫漏洞挖掘及研究工作���,成功發(fā)現(xiàn)DB2最新版本高危漏洞1個��、中危漏洞2個���,Informix數(shù)據(jù)庫堆棧溢出漏洞1個�����,以及國產(chǎn)數(shù)據(jù)庫漏洞若干���;并成功復(fù)現(xiàn)包括2019-2020年較新版本MySQL、PostgreSQL在內(nèi)的多個數(shù)據(jù)庫漏洞����。
此外,DBSec Labs根據(jù)多年以來對數(shù)據(jù)庫安全風(fēng)險分析與防護實踐的經(jīng)驗總結(jié)��,陸續(xù)編寫并發(fā)布專門針對Oracle���、MySQL�、SQL Server����、DB2、MongoDB�����、PostgreSQL六大國際主流數(shù)據(jù)庫以及GBase、Kingbase����、達夢三大國產(chǎn)主流數(shù)據(jù)庫的《安全配置指導(dǎo)手冊》�����。
獨家研發(fā) · 驗證工具
DBSec Labs通過整合自身對數(shù)據(jù)庫漏洞及數(shù)據(jù)庫攻擊技術(shù)的全部研究成果��,獨家設(shè)計研發(fā)出一套專業(yè)��、高效�、可靠的數(shù)據(jù)庫漏洞驗證工具——支持多種主流數(shù)據(jù)庫類型、20+數(shù)據(jù)庫版本以及100+漏洞的驗證���;漏洞類型更涵蓋算法破解����、監(jiān)聽劫持�����、緩沖區(qū)溢出�、sql注入、靜態(tài)注入、符號鏈接���、反序列化等�;并支持滲透模塊與腳本免殺��。此外���,該款漏洞驗證工具還具備以下五點優(yōu)勢:
1���、自動快速識別數(shù)據(jù)庫服務(wù)
不同于“遍歷數(shù)據(jù)庫協(xié)議”的傳統(tǒng)數(shù)據(jù)庫識別方式,安華金和數(shù)據(jù)庫驗證工具采用更加高效的數(shù)據(jù)庫服務(wù)發(fā)現(xiàn)方法����,可快速精準(zhǔn)地發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)存活的數(shù)據(jù)庫服務(wù)。
2���、全面的數(shù)據(jù)庫脆弱點檢查
一般的數(shù)據(jù)庫脆弱點檢查是從已有數(shù)據(jù)庫漏洞或數(shù)據(jù)庫版本信息上進行的����,這種檢查方式并不全面����;而安華金和數(shù)據(jù)庫驗證工具可根據(jù)數(shù)據(jù)庫漏洞的基本成因,設(shè)計出全方位的脆弱點檢查方向,覆蓋數(shù)據(jù)庫所有可能產(chǎn)生漏洞的安全因素����,從操作系統(tǒng)、數(shù)據(jù)庫配置�、數(shù)據(jù)庫使用三方位對數(shù)據(jù)庫的脆弱點進行全面檢查����。
3、多層次����、多維度立體攻擊
為達到理想的滲透攻擊效果,安華金和數(shù)據(jù)庫漏洞驗證工具采用從“多個層次和多個維度”進行滲透攻擊的方式——其中多個層次指的是網(wǎng)絡(luò)層����、數(shù)據(jù)庫層、操作系統(tǒng)層��;多個維度指的是在不同層面��,利用算法破解��、監(jiān)聽劫持��、緩沖區(qū)溢出、越權(quán)訪問�����、SQL注入�����、靜態(tài)注入��、符號鏈提取��、越權(quán)滲透�����、越權(quán)覆蓋等多種類型的數(shù)據(jù)庫漏洞進行滲透����。
4、自動化���、智能化滲透攻擊
滲透攻擊是一個復(fù)雜的過程����,需要根據(jù)目標(biāo)數(shù)據(jù)庫和環(huán)境的特點,針對性地利用適合的安全漏洞和攻擊腳本進行滲透攻擊����。安華金和數(shù)據(jù)庫漏洞驗證工具能夠自動根據(jù)目標(biāo)數(shù)據(jù)庫的操作系統(tǒng)類型/版本以及數(shù)據(jù)庫類型/版本,通過內(nèi)建的漏洞攻擊策略����,智能地選擇相匹配的滲透攻擊腳本對數(shù)據(jù)庫進行滲透攻擊;同時��,攻擊完成后會根據(jù)滲透結(jié)果自動進行攻擊效果檢測����,并根據(jù)攻擊效果智能選擇信息收集shell進行信息收集等后攻擊操作�����,整個過程無需人工干預(yù)���。
5���、提供數(shù)據(jù)庫專有攻擊方法
安華金和數(shù)據(jù)庫驗證工具提供的“數(shù)據(jù)庫專有攻擊方式”有別于傳統(tǒng)的軟件攻擊方式,是只有在數(shù)據(jù)庫領(lǐng)域才能達成攻擊效果的攻擊方式�;其中包含索引注入攻擊��、觸發(fā)器注入攻擊���、輔助函數(shù)注入攻擊、游標(biāo)注入攻擊等等���。這些專有攻擊方式涉及數(shù)據(jù)庫對象��、數(shù)據(jù)庫事務(wù)類型�、數(shù)據(jù)庫權(quán)限��、數(shù)據(jù)格式等數(shù)據(jù)庫專業(yè)領(lǐng)域的相關(guān)數(shù)據(jù)處理能力����。
DBSec Labs的研究工作并未止步于向數(shù)據(jù)庫廠商提交漏洞,而是基于所發(fā)現(xiàn)的問題設(shè)計出針對數(shù)據(jù)庫安全設(shè)計框架的改進方案——根據(jù)對國際主流數(shù)據(jù)庫廠商相關(guān)防護技術(shù)的深入研究���,通過對各類方案的利弊分析����,自主創(chuàng)新并提出具備國際水平�、業(yè)內(nèi)獨家的數(shù)據(jù)庫安全加固解決方案,更好地幫助國內(nèi)數(shù)據(jù)庫廠商和廣大數(shù)據(jù)庫用戶構(gòu)建有針對性的防護體系�����,滿足不同的數(shù)據(jù)庫安全防護需求,為中國數(shù)據(jù)庫及數(shù)據(jù)安全建設(shè)發(fā)展提供有力支撐��,讓數(shù)據(jù)使用自由而安全�����!
產(chǎn)品咨詢:4000 258 365 
