近日,由國家互聯網應急中心(CNCERT)編寫的《2019年中國互聯網網絡安全報告》(以下簡稱:《報告》)正式發佈。《報告》依託CNCERT多年來從事網絡安全監測、預警和應急處置等工作的實際情況,對我國互聯網網絡安全狀況進行總體判斷和趨勢分析,具有重要的參考價值。
近年來,伴隨數據價值的不斷提升,數據安全問題日益嚴峻。作為海量數據的“電子化載體”,數據庫所需面對的安全隱患和風險也水漲船高;而在與數據庫有關的安全威脅中,“漏洞”絕對是跳不過的一大難點,它就像數據庫安全“木桶效應”中的那塊短板,如果不能及時發現和封堵,數據庫及其數據安全都將淪為“一紙空談”。
《報告》中專門針對我國境內數據庫隱患排查及處置情況進行了公佈——經CNCERT分析發現,安全漏洞是導致網絡數據庫存在數據洩露隱患的主要因素,涉及的數據庫類型主要包括MongoDB、MySQL、ElasticSearch和Redis等,涉及的漏洞類型主要為未授權訪問和弱口令漏洞等。如上圖統計數據所示,由於數據庫漏洞的存在,安全受其影響的數據表數量(20000+)、數據量(1330+TB)和數據條數(1.78萬億+)十分龐大!
一騎絕塵 · 遙遙領先
《報告》對於“安全漏洞是導致網絡數據庫存在數據洩露隱患的主要因素”這一結論,與安華金和“數據庫安全的主要威脅之一就來自於數據庫漏洞”的觀點高度一致;多年堅持對數據庫漏洞挖掘及安全防護工作的深入研究與沉澱,也為安華金和在該領域積累了豐富的經驗成果、領先的技術產品、完善的團隊體系以及更顯著的優勢地位。
安華金和旗下數據庫攻防實驗室(DBSec Labs)創建於2010年11月,是國內第一批成立的、規模化的數據庫安全研究機構,配備有一支獨立、持久的,針對數據庫安全漏洞、數據庫攻擊技術模擬、數據庫安全防護技術等方向進行科學分析與研究工作的專業團隊。
DBSec Labs是國內具備“國際數據庫漏洞挖掘能力”的專業實驗室,也是國內首個針對數據庫漏洞進行系統分類與定性分析的專業實驗室,它在很長一段時期填補了國內數據庫漏洞研究方面的空白。在數據庫漏洞挖掘方面,DBSec Labs所涵蓋的數據庫範圍之廣、挖掘的數據庫漏洞數量之多,在國內首屈一指;截至目前,DBSec Labs已針對Oracle、DB2、Informix、mongoDB、Gbase、Kingbase、達夢等國內外知名數據庫廠商:
累計挖掘、提交併認證數據庫漏洞 65個
· 超危數據庫漏洞 1個
· 高危數據庫漏洞 35個
· 中危數據庫漏洞 23個
· 低危數據庫漏洞 6個
注:另有10個數據庫漏洞正在認證申請中。
累計復現數據庫漏洞 74個
· 高危數據庫漏洞 23個
· 中危數據庫漏洞 29個
· 低危數據庫漏洞 5個
· 未定級數據庫漏洞 17個
疫情期間,DBSec Labs持續開展數據庫漏洞挖掘及研究工作,成功發現DB2最新版本高危漏洞1個、中危漏洞2個,Informix數據庫堆棧溢出漏洞1個,以及國產數據庫漏洞若干;併成功復現包括2019-2020年較新版本MySQL、PostgreSQL在內的多個數據庫漏洞。
此外,DBSec Labs根據多年以來對數據庫安全風險分析與防護實踐的經驗總結,陸續編寫併發布專門針對Oracle、MySQL、SQL Server、DB2、MongoDB、PostgreSQL六大國際主流數據庫以及GBase、Kingbase、達夢三大國產主流數據庫的《安全配置指導手冊》。
獨家研發 · 驗證工具
DBSec Labs通過整合自身對數據庫漏洞及數據庫攻擊技術的全部研究成果,獨家設計研發出一套專業、高效、可靠的數據庫漏洞驗證工具——支持多種主流數據庫類型、20+數據庫版本以及100+漏洞的驗證;漏洞類型更涵蓋算法破解、監聽劫持、緩衝區溢出、sql注入、靜態注入、符號鏈接、反序列化等;並支持滲透模塊與腳本免殺。此外,該款漏洞驗證工具還具備以下五點優勢:
1、自動快速識別數據庫服務
不同於“遍歷數據庫協議”的傳統數據庫識別方式,安華金和數據庫驗證工具採用更加高效的數據庫服務發現方法,可快速精準地發現網絡內存活的數據庫服務。
2、全面的數據庫脆弱點檢查
一般的數據庫脆弱點檢查是從已有數據庫漏洞或數據庫版本信息上進行的,這種檢查方式並不全面;而安華金和數據庫驗證工具可根據數據庫漏洞的基本成因,設計出全方位的脆弱點檢查方向,覆蓋數據庫所有可能產生漏洞的安全因素,從操作系統、數據庫配置、數據庫使用三方位對數據庫的脆弱點進行全面檢查。
3、多層次、多維度立體攻擊
為達到理想的滲透攻擊效果,安華金和數據庫漏洞驗證工具採用從“多個層次和多個維度”進行滲透攻擊的方式——其中多個層次指的是網絡層、數據庫層、操作系統層;多個維度指的是在不同層面,利用算法破解、監聽劫持、緩衝區溢出、越權訪問、SQL注入、靜態注入、符號鏈提取、越權滲透、越權覆蓋等多種類型的數據庫漏洞進行滲透。
4、自動化、智能化滲透攻擊
滲透攻擊是一個複雜的過程,需要根據目標數據庫和環境的特點,針對性地利用適合的安全漏洞和攻擊腳本進行滲透攻擊。安華金和數據庫漏洞驗證工具能夠自動根據目標數據庫的操作系統類型/版本以及數據庫類型/版本,通過內建的漏洞攻擊策略,智能地選擇相匹配的滲透攻擊腳本對數據庫進行滲透攻擊;同時,攻擊完成後會根據滲透結果自動進行攻擊效果檢測,並根據攻擊效果智能選擇信息收集shell進行信息收集等後攻擊操作,整個過程無需人工干預。
5、提供數據庫專有攻擊方法
安華金和數據庫驗證工具提供的“數據庫專有攻擊方式”有別於傳統的軟件攻擊方式,是隻有在數據庫領域才能達成攻擊效果的攻擊方式;其中包含索引注入攻擊、觸發器注入攻擊、輔助函數注入攻擊、遊標注入攻擊等等。這些專有攻擊方式涉及數據庫對象、數據庫事務類型、數據庫權限、數據格式等數據庫專業領域的相關數據處理能力。
DBSec Labs的研究工作並未止步於向數據庫廠商提交漏洞,而是基於所發現的問題設計出針對數據庫安全設計框架的改進方案——根據對國際主流數據庫廠商相關防護技術的深入研究,通過對各類方案的利弊分析,自主創新並提出具備國際水平、業內獨家的數據庫安全加固解決方案,更好地幫助國內數據庫廠商和廣大數據庫用戶構建有針對性的防護體系,滿足不同的數據庫安全防護需求,為中國數據庫及數據安全建設發展提供有力支撐,讓數據使用自由而安全!
