数 据 库 防 御 技 术 全 揭 秘 Database firewall TDE Database vault 以 及 开 源 防 御 软 件 全 揭 秘
数 据 库 安 全 简 介 数 据 库 安 全 商 业 解 决 方 案 数 据 库 安 全 开 源 解 决 方 案 大 数 据 安 全 应 用 在 电 商
安 全 现 状 虽 然 各 大 公 司 已 经 招 收 了 各 种 安 全 顶 尖 人 才, 但 是 仍 然 漏 洞 频 发 归 其 原 因 安 全 是 一 个 动 态 过 程, 另 外 一 个 就 是 攻 防 的 严 重 不 对 称 性
安 全 现 状
安 全 现 状 DEMO ONE: MySQL 提 权 漏 洞 漏 洞 信 息 :http://cve.mitre.org/cgibin/cvename.cgi?name=cve-2012-5613 此 漏 洞 影 响 MariaDB DEMO TWO: Hive 命 令 执 行 漏 洞 DEMO THREE: MySQL 认 证 绕 过 漏 洞 漏 洞 信 息 :http://www.securityfocus.com/bid/53911/discuss DEMO FOUR: Mongodb 命 令 执 行 漏 洞 漏 洞 信 息 :http://www.securityfocus.com/bid/58695/ DEMO FIVE: Hadoop 命 令 执 行 漏 洞 漏 洞 信 息 :http://www.wooyun.org/bugs/wooyun-2010-020282
数 据 库 安 全 的 业 务 驱 动 内 部 威 胁 大 部 分 信 息 泄 漏 源 自 内 部 很 大 比 例 的 内 部 威 胁 没 有 被 察 觉 对 内 部 人 员 /DBA 没 有 监 控 手 段 IT 服 务 外 包 日 益 增 多 外 部 威 胁 黑 客 为 了 获 利 发 起 的 攻 击 恶 意 的 终 端 用 户 竞 争 对 手 的 破 坏 法 规 遵 循 萨 班 斯 法 案 (SOX), 企 业 内 部 控 制 基 础 规 范 ( 中 国 版 SOX) 支 付 卡 行 业 规 范 (PCI) 个 人 信 息 保 护 法 即 将 发 布 IT 治 理, COBIT, ITIL 职 责 分 离, 风 险 评 估 和 监 控 6
轻 而 易 举 地 利 用 数 据 库 访 问 66% 易 受 SQL 注 入 攻 击 或 无 仸 何 防 范 意 识 50% 76% 28% 72% 75% 70% 48% 监 视 失 败 的 数 据 库 登 录 ;41% 登 录 / 注 销 无 法 阻 止 DBA 访 问 应 用 程 序 数 据 或 篡 改 数 据 库 中 的 应 用 程 序 存 储 过 程 监 视 敏 感 数 据 的 读 取 ;37% 监 视 敏 感 数 据 的 写 入 系 统 用 户 可 以 读 取 / 篡 改 存 储 在 数 据 库 文 件 或 存 储 中 的 数 据 无 法 阻 止 应 用 程 序 绕 行 ( 直 接 访 问 数 据 库 ) 几 乎 无 法 检 测 未 授 权 的 数 据 库 更 改 允 许 开 发 人 员 测 试 人 员 等 在 非 生 产 环 境 中 访 问 敏 感 的 生 产 数 据 6
黑 客 到 底 关 注 哪 些 数 据 今 天 你 被 骚 扰 了 吗?
2013 安 全 漏 洞 TOP10 OWASP TOP 10 2013 新 增 了 1. 访 问 控 制 安 全 问 题 2. 使 用 已 知 的 安 全 组 件 漏 洞 3. 敏 感 数 据 泄 露 跟 数 据 库 安 全 相 关 的 1. A1 各 种 注 入 漏 洞 2. 敏 感 数 据 泄 露 3. 使 用 已 知 的 安 全 组 件 漏 洞
DEMO 黑 客 如 何 进 行 拖 库
数 据 库 安 全 简 介 数 据 库 安 全 商 业 解 决 方 案 数 据 库 安 全 开 源 解 决 方 案 大 数 据 安 全 应 用 在 电 商
ORACLE database 安 全 生 命 周 期
为 什 么 需 要 数 据 库 防 火 墙 优 点 : 客 户 需 要 第 一 层 保 护, 用 来 监 测 和 保 护 数 据 库, 使 其 免 于 受 到 现 有 和 将 来 威 胁 的 影 响 通 过 Web, 黑 客 们 从 应 用 中 寻 找 突 破 口, 侵 入 数 据 库 窃 取 盗 用 身 份 信 息 缺 点 : 性 能 应 用 数 据 库 防 火 墙 数 据 库
数 据 库 防 火 墙 架 构 Out of Band 部 署 模 式 监 测 (Monitor Only) 模 式 不 阻 止 也 被 称 为 SPAN Span port Mirrored 或 者 Tap 只 进 行 SQL 记 录 和 报 告 易 于 演 示 / POC, 或 者 测 试 易 于 部 署, 对 数 据 库 和 应 用 没 有 影 响 优 点 : 对 数 据 库 的 性 能 没 有 影 响 缺 点 : 不 能 第 一 时 间 锁 住 攻 击, 对 安 全 人 员 的 实 时 响 应 能 力 比 较 高
数 据 库 防 火 墙 架 构 In-Line 部 署 模 式 阻 止 和 监 测 密 切 监 测 SQL 通 信, 并 对 照 安 全 策 略 进 行 检 验 也 被 称 为 Bridge 或 者 Transparent Bridge 有 时, 只 有 在 没 有 Out of Band 端 口 时 使 用 优 点 : 第 一 时 间 防 御 已 知 或 者 未 知 攻 击 缺 点 : 对 性 能 影 响 比 较 大
数 据 库 防 火 墙 架 构 HA 模 式 ORACLE database 支 持 高 可 用 HA 同 时 可 以 很 好 的 跟 audit server 进 行 结 合
数 据 库 防 火 墙 架 构 本 地 监 视 器 将 其 他 表 安 装 到 被 监 视 数 据 库 中, 以 捕 获 来 自 可 直 接 访 问 数 据 库 的 源 ( 例 如 在 数 据 库 服 务 器 上 运 行 的 控 制 台 用 户 或 批 处 理 作 业 ) 的 SQL 流 量 Oracle Database Firewall 通 过 定 期 查 询 数 据 库 收 集 数 据, 然 后 按 照 与 来 自 数 据 库 客 户 端 的 语 句 相 同 的 方 式 使 用 该 数 据 根 据 所 设 计 的 策 略, 语 句 可 以 被 记 录 和 / 或 生 成 警 报
数 据 库 防 火 墙 架 构 远 程 监 视 器 软 件 监 视 器 ( 代 理 ) 安 装 在 主 机 操 作 系 统 上 代 理 监 视 前 往 一 个 或 多 个 数 据 库 模 式 或 目 录 的 特 定 网 络 流 量 捕 获 SQL 事 务 并 将 流 量 发 送 回 Oracle Database Firewall 以 实 现 实 时 警 告 事 件 后 合 规 性 和 监 视 报 告 当 无 法 在 数 据 库 主 机 前 面 部 署 Oracle Database Firewall 以 捕 获 传 入 的 SQL 时, 则 使 用 远 程 监 视
数 据 库 防 火 墙 主 动 防 御 模 式 可 以 为 任 何 用 户 或 应 用 程 序 定 义 允 许 的 行 为 白 名 单 可 以 包 括 诸 如 时 间 日 期 网 络 应 用 程 序 等 内 置 因 素 为 任 何 应 用 程 序 自 动 生 成 白 名 单 立 即 拒 绝 不 符 合 策 略 的 事 务 数 据 库 将 只 按 照 您 的 要 求 和 愿 望 来 处 理 数 据
数 据 库 防 火 墙 被 动 防 御 模 式 停 止 不 接 受 的 特 定 SQL 事 务 用 户 或 模 式 的 访 问 防 止 权 限 或 角 色 提 升 以 及 对 敏 感 数 据 的 未 授 权 访 问 黑 名 单 中 可 以 包 括 诸 如 时 间 日 期 网 络 应 用 程 序 等 内 置 因 素 根 据 您 的 业 务 和 安 全 目 标 有 选 择 地 阻 止 事 务 的 任 何 部 分
数 据 库 防 火 墙 支 持 数 据 库 最 新 版 本 已 经 支 持 Mysql
数 据 库 防 火 墙 DEMO DEMO ONE: 如 何 防 御 SQL 注 入 攻 击 和 未 知 攻 击 DEMO TWO: 如 何 审 计 异 常 登 陆
数 据 库 防 御 之 TDE 请 参 考 2012 年 数 据 库 大 会 的 相 关 内 容
数 据 库 防 御 之 database vault 简 介 对 授 权 用 户 的 控 制 1. 限 制 数 据 库 管 理 员 访 问 应 用 程 序 的 数 据 2. 提 供 职 责 分 离 的 功 能 3. 保 证 数 据 库 和 信 息 整 合 的 安 全 性 执 行 数 据 访 问 的 安 全 策 略 1. 控 制 何 人 何 时 何 地 以 及 如 何 访 问 数 据 2. 可 根 据 IP 地 址 时 间 或 授 权 等 情 况 作 出 访 问 决 定
数 据 集 中 式 挑 战 很 多 企 业 中, 各 种 数 据 库 都 保 存 在 不 同 的 服 务 器 和 不 同 的 数 据 库 中 缺 点 : 1. 维 护 不 同 数 据 库 的 开 销 巨 大 2. 软 件 授 权 开 销 巨 大 3. 硬 件 开 销 巨 大
数 据 集 中 式 挑 战 通 过 企 业 内 部 的 合 并, 可 以 再 一 个 共 享 的 服 务 器 平 台 上 托 管 多 个 数 据 库, 从 而 减 少 管 理 人 员 的 数 量, 降 低 成 本 同 时 挑 战 产 生 了 : 1. 如 何 限 制 DBA 访 问 销 售 HR 订 单 的 数 据 2. 限 制 内 部 外 部 的 攻 击 造 成 的 损 失
职 责 分 离 成 功 进 行 职 责 分 离 的 重 要 前 提 是 了 解 环 境 中 谁 执 行 基 本 管 理 任 务 以 及 这 些 管 理 任 务 的 具 体 内 容 即 使 一 个 DBA 既 负 责 管 理 新 数 据 库 账 号 又 负 责 应 用 程 序 修 补, 对 这 些 任 务 分 别 进 行 记 录 和 规 划 非 常 重 要 对 各 种 类 型 的 任 务 使 用 单 独 的 管 理 账 号 可 以 加 强 责 任 制 并 降 低 相 关 风 险
Database vault 基 础 - 领 域 数 据 库 管 理 员 查 看 HR 的 数 据, 针 对 内 部 人 员 的 法 规 遵 循 和 保 护 HR DBA 查 看 FIN. 的 数 据, 排 除 服 务 器 整 合 带 来 的 安 全 风 险 领 域 优 点 : 1. 透 明 整 合 现 有 应 用 程 序 2. 对 性 能 影 响 极 小
领 域 DEMO 1. 领 域 命 名 dbvowner@aos> BEGIN dbms_macadm.create_realm( realm_name => 'Sales History', description => 'Annual, quarterly, monthly, and weekly sales figures by product', enabled => dbms_macutl.g_yes, audit_options => dbms_macutl.g_realm_audit_fail ); END; / PL/SQL procedure successfully completed. 2. 保 护 该 领 域 dbvowner@aos> BEGIN dbms_macadm.add_object_to_realm ( realm_name => 'Sales History',object_owner => 'SH',object_name => '%',object_type => '%' ); END; / PL/SQL procedure successfully completed.
Database vault 规 则 和 多 因 子 授 权 数 据 库 DBA 企 图 远 程 执 行 alert system 命 令, 但 是 被 基 于 IP 地 址 限 制 的 规 则 阻 止 DBA 在 生 产 期 执 行 非 授 权 命 令, 被 基 于 日 期 和 时 间 的 规 则 阻 止
Database Vault 存 在 的 弱 点 DEMO 如 何 利 用 漏 洞 关 闭 database vault 审 计
数 据 库 安 全 简 介 数 据 库 安 全 商 业 解 决 方 案 数 据 库 安 全 开 源 解 决 方 案 大 数 据 安 全 应 用 在 电 商
数 据 库 安 全 开 源 工 具 开 源 软 件 名 称 工 具 类 型 下 载 地 址 说 明 OAT 数 据 库 审 计 http://www.cqure.net/wp/tools/database/test/ 密 码 猜 测 工 具 命 令 行 查 询 工 具 查 询 ORACLE 安 全 配 置 OScanner 数 据 库 评 估 框 架 http://www.cqure.net/wp/tools/database/oscanner/ SID 枚 举 ORACLE 版 本, 权 限 以 及 账 号 HASH 枚 举 GreenSQL 数 据 库 防 火 墙 www.greensql.net 数 据 库 防 火 墙 解 决 方 案 SQLMAP 数 据 库 注 入 工 具 www.sqlmap.org 开 源 数 据 库 注 入 工 具 Scuba 数 据 库 扫 描 www.imperva.com 开 源 数 据 库 扫 描 工 具 Mcafee MySQL audit MySQL 数 据 库 审 计 https://github.com/mcafee/mysql-audit/ 开 源 数 据 库 审 计 工 具
GreenSQL 简 介 GreenSQL 是 一 个 开 源 的 数 据 库 防 火 墙 解 决 方 案 支 持 以 下 数 据 库 1. Mysql 2. SQLServer 3. postgreql
GreenSQL 架 构 反 向 代 理 模 式 1. greensql 和 数 据 库 安 装 在 一 起 2. Greensql 单 独 安 装 一 台 服 务 器 锁 定 策 略 1. 产 生 空 结 果 2. 不 会 阻 断 TCP RESET 3. 不 会 产 生 任 何 错 误 信 息 支 持 平 台 1. Linux based: CentOS / OpenSUSE / Fedora / Mandrake Debian / Ubuntu 2. BSD based FreeBSD 3. Windows
Mcafee MySQL audit 场 景 : 1. 库 升 级 时, 监 测 最 近 有 哪 些 活 跃 用 户 访 问 此 库 2. 某 些 场 合 下 需 要 记 录 用 户 的 对 库 表 的 修 改 3. 需 要 对 用 户 的 特 殊 行 为 事 后 监 控, 出 问 题 可 查 4. 对 需 求 3 的 实 行 监 测 控 制, 杜 绝 非 规 则 之 内 SQL 行 为 审 计 格 式 { msg-type : activity, date : 1342770988114, threadid : 10, queryid : 21, user : root, priv_user : root, ip : 1 92.168.1.61, cmd : select, objects :[{"db":"uc","name" :"rc_zone","obj_type":"table"}], query : SELECT * FROM `rc_zone` LIMIT 0, 1000 } 包 括 时 间 用 户 权 限 IP 查 询 语 句 等 二 次 开 发 可 以 根 据 json 的 日 志 格 式 进 行 二 次 开 发, 开 发 出 适 合 自 己 的 日 志 审 计 系 统
数 据 库 安 全 简 介 数 据 库 安 全 商 业 解 决 方 案 数 据 库 安 全 开 源 解 决 方 案 大 数 据 安 全 应 用 在 电 商
电 商 大 数 据 安 全 的 应 用 日 志 分 析 1. 实 时 日 志 分 析 使 用 storm 来 进 行 实 时 的 攻 击 日 志 分 析, 第 一 时 间 进 行 响 应 同 时 第 一 时 间 把 攻 击 日 志 发 送 到 我 们 的 安 全 扫 描 中 心 对 攻 击 的 URL 进 行 实 质 性 测 试, 确 定 漏 洞 是 否 可 以 利 用 2. 事 后 日 志 分 析 使 用 Hadoop 离 线 分 析 日 志, 主 要 输 出 攻 击 趋 势 图, 方 便 查 看 漏 洞 趋 势 漏 洞 类 型 等 我 们 可 以 很 针 对 性 的 根 据 攻 击 日 志 来 分 析 出 攻 击 来 源 等 信 息 账 号 安 全 1. 计 算 出 账 号 是 否 安 全, 主 要 检 测 异 常 账 号 登 陆 2. 用 户 行 为 分 析, 包 括 恶 意 行 为 等 3. 喜 好 分 析, 分 析 你 是 屌 丝 还 是 高 富 帅 支 付 安 全 1. 欺 诈 2. 资 金 流
有 趣 的 发 现 ( 来 源 一 号 店 ) 盗 号 者 有 明 显 的 地 域 特 征, 这 说 明 什 么? 笑 而 不 语!
谢 谢 大 家!