讓“資料庫審計”服務保衛你的資料庫

據Verizon 2012年的資料洩露調查分析報告和對發生的資訊安全事件技術分析，總結出資訊洩露呈現兩個趨勢：

（1）黑客通過B/S應用，以Web伺服器為跳闆，竊取資料庫中資料；傳統解決方案對應用通路和資料庫通路協定沒有任何控制能力，比如:SQL注入就是一個典型的資料庫黑客攻擊手段。

（2）資料洩露常常發生在内部，大量的運維人員直接接觸敏感資料，傳統以防外為主的網絡安全解決方案失去了用武之地。

資料庫在這些洩露事件成為了主角，這與我們在傳統的安全建設中忽略了資料庫安全問題有關，在傳統的資訊安全防護體系中資料庫處于被保護的核心位置，不易被外部黑客攻擊，同時資料庫自身已經具備強大安全措施，表面上看足夠安全，但這種傳統安全防禦的思路，存在緻命的缺陷。

常見的資料庫攻擊方法

下面是六大資料庫攻擊：

　　1.強力(或非強力)破解弱密碼或預設的使用者名及密碼

　　2.特權提升

　　3.利用未用的和不需要的資料庫服務和和功能中的漏洞

　　4.針對未打更新檔的資料庫漏洞

　　5.SQL注入

　　6.竊取備份(未加密)的錄音帶

下面分别分析一下：

對弱密碼或預設使用者名/密碼的破解

　　以前的Oracle資料庫有一個預設的使用者名：Scott及預設的密碼：tiger;而微軟的SQL Server的系統管理者賬戶的預設密碼是也是衆所周知。

　　但即使是唯一的、非預設的資料庫密碼也是不安全的。Sentrigo的 Markovich 說，“你總可以在客戶那裡找到弱密碼和易于猜測的密碼。通過強力破解或隻試着用不同的組合就可以輕易地找到這種密碼。”

　　密碼破解工具有很多，并且通過Google搜尋或sectools.org等站點就可以輕易地獲得,這樣就會連接配接到Cain 、 Abel或John theRipper等流行的工具。

特權提升

　　有幾種内部人員攻擊的方法可以導緻惡意的使用者占有超過其應該具有的系統特權。而且外部的攻擊者有時通過破壞作業系統而獲得更進階别的特權。應用安全公司的銷售副總裁Ted Julian說，“這是一種常見的威脅因素。”

　　特權提升通常更多地與錯誤的配置有關：一個使用者被錯誤地授與了超過其實際需要用來完成工作的、對資料庫及其相關應用程式的通路和特權。

　　Sentrigo的Markovich近來能夠通過一個擁有少量特權的使用者賬戶攻入一個客戶的資料庫。Markovich說，“他們要求我攻入其資料庫。我找到了一個少量特權的使用者密碼，然後就進入了系統。然後我檢查了他的特權，他擁有對資料庫的隻讀性通路，是以一個少量特權的使用者可以通路讀取資料庫内的任何表，包括信用卡資訊、個人資訊。是以，我說：‘我不需要攻入資料庫。’”

利用未用的和不需要的資料庫服務和功能中的漏洞

　　當然，一個外部的攻擊者會尋找較弱的資料庫密碼，看其潛在的受害人是否在運作其Oracle資料庫上運作監聽程式(Listener)功能。監聽程式可以搜尋出到達Oracle資料庫的網絡連接配接，并可以轉發此連接配接，這樣一來就會将使用者和資料庫的連結暴露出來。

　　隻需采用一些Google hacking攻擊，一位攻擊者就可以搜尋并找到資料庫服務上暴露的監聽程式。Markovich 說，“許多客戶并沒有在監聽程式上設定密碼，是以，黑客就可以搜尋字元串并找出Web上活動的監聽程式。我剛才搜尋了一下，發現有一些可引起人們注意的東西，如政府站點。這确實是一個大問題。”

　　其它的特性，如作業系統和資料庫之間的鈎子可以将資料庫暴露給攻擊者。這種鈎子可以成為達到資料庫的一個通信連結。Yuhanna說，“在你連結庫和編寫程式時…那将成為與資料庫的界面，”你就是在将資料庫暴露出去，并可能在無認證和無授權的情況下讓黑客進入内部。

針對未打更新檔的資料庫漏洞

　　好消息是Oracle和其它的資料庫廠商确實在為其漏洞打更新檔。壞消息是機關不能跟得上這些更新檔，是以它們總是處于企圖利用某種機會的老謀深算的攻擊者控制之下。

　　資料庫廠商總是小心翼翼地避免披露其更新檔程式所修正的漏洞細節，但機關仍以極大的人力和時間來苦苦掙紮，它會花費人力物力來測試和應用一個資料庫更新檔。例如，給程式打更新檔要求對受更新檔影響的所有應用程式都進行測試，這是項艱巨的任務。

　　而且一些黑客站點将一些已知的資料庫漏洞的利用腳本釋出了出來，他說。即使跟得上更新檔周期有極大困難，機關也應當打更新檔。他說，例如，Oracle4月15日的更新檔包含了資料庫内部的17個問題。這些和其它的更新檔都不應當掉以輕心。每一個問題都能夠破壞你的資料庫。

SQL注入

SQL注入式攻擊并不是什麼新事物了，不過近來在網站上仍十分猖狂。近來這種攻擊又侵入了成千上萬的有着鮮明立場的網站。

雖然受影響的網頁和通路它的使用者在這些攻擊中典型情況下都受到了重視，但這确實是黑客們進入資料庫的一個聰明方法。資料庫安全專家們說，執行一個面向前端資料庫Web應用程式的SQL注入攻擊要比對資料庫自身的攻擊容易得多。直接針對資料庫的SQL注入攻擊很少見。

在字段可用于使用者輸入，通過SQL語句可以實作資料庫的直接查詢時，就會發生SQL攻擊。也就是說攻擊者需要送出一段資料庫查詢代碼，根據程式傳回的結果，獲得某些他想得知的資料。

除用戶端之外，Web應用程式是最脆弱的環節。有些情況下，如果攻擊者得到一個要求輸入使用者名和密碼的應用程式的螢幕，而且應用程式并不檢查登入的内容的話，他所需要做的就是提供一個SQL語句或者資料庫指令，并直接轉向資料庫。

竊取(未加密的)備份錄音帶

　　如果備份錄音帶在運輸或倉儲過程中丢失，而這些錄音帶上的資料庫資料又沒有加密的話，一旦它落于罪惡之手，這時黑客根本不需要接觸網絡就可以實施破壞。

　　但這類攻擊更可能發生在将媒體銷售給攻擊者的一個内部人員身上。隻要被竊取的或沒有加密的錄音帶不是某種Informix或HP-UX 上的DB2等較老的版本，黑客們需要做的隻是安裝好錄音帶，然後他們就會獲得資料庫。

資料庫審計

什麼是資料庫審計

資料庫審計服務是一款專業、主動、實時監控資料庫安全的審計産品。

資料庫審計服務将資料庫監控、審計技術與公共雲環境相結合，支援對阿裡雲平台中的RDS雲資料庫、ECS自建資料庫進行審計，針對資料庫SQL注入、風險操作等資料庫風險行為進行記錄與告警，形成對核心資料的安全防護，為您的雲端資料庫提供完善的安全診斷、維護、管理功能。

資料庫審計服務，可針對資料庫SQL注入、風險操作等資料庫風險操作行為進行記錄與告警。支援RDS雲資料庫、ECS自建資料庫，為雲上資料庫提供安全診斷、維護、管理能力。

RDS資料庫審計

通過在通路資料庫的應用系統伺服器上部署資料庫審計Agent，擷取通路日志資料用于日志審計，實作對RDS雲資料庫的審計。

ECS自建資料庫審計

通過在ECS中安裝資料庫審計Agent，擷取資料庫記錄檔，實作對ECS自建資料庫的審計。支援目前流行的各類資料庫，保證資料審計相容、有效。

資料庫審計功能

1.使用者行為發現審計

• 關聯應用層和資料庫層的通路操作
• 可溯源到應用者的身份和行為

2.多元度線索分析

• 風險和危害線索：高中低的風險等級、SQL注入、黑名單語句、違反授權政策的SQL行為
• 會話線索：根據時間、使用者、IP、應用程式、和用戶端多角度分析
• 詳細語句線索：提供使用者、IP、用戶端工具、通路時間、操作對象、- SQL操作類型、成功與否、通路時長、影響行數等多種檢索條件

3.異常操作、SQL注入、黑白名單實時告警

• 異常操作風險：通過IP、使用者、資料庫用戶端工具、時間、敏感對象、傳回行數、系統對象、高危操作等多種元素細粒度定義要求監控的風險通路行為
• SQL注入：系統提供了系統性的SQL注入庫，以及基于正規表達式或文法抽象的SQL注入描述，發現異常立即告警
• 黑白名單：提供準确而抽象的方式，對系統中的特定通路SQL語句進行描述，使這些SQL語句出現時能夠迅速報警

4.針對各種異常行為的精細化報表

• 會話行為：登入失敗報表、會話分析報表
• SQL行為：新型SQL報表、SQL語句執行曆史報表、失敗SQL報表
• 風險行為：告警報表、通知報表、SQL注入報表、批量資料通路行為報表
• 政策性報表： 塞班斯報表