數據安全防"脫庫"解決方案之追溯信息泄密根源
1.前言
近日不斷有黑客陸續在互聯網上公開提供國內多家知名網站部分用戶數據庫下載,國內外媒體頻繁報道,影響惡劣,引起社會廣泛關注。其中涉及到游戲類、社區類、交友類等網站用戶數據正逐步公開,各報道中也針對系列事件向用戶提出密碼設置策略等安全建議。
注冊用戶數據作為網站所有者的核心信息資產,涉及到網站及關聯信息系統的實質業務,對其保密性的要求強度不言而喻。隨著網站及微博實名制規定的陸續出臺,如果在實名制的網站出現用戶數據泄露事件,將會產生更惡劣的影響。針對此類大規模數據泄密事件,安恒信息專家團隊特別制作相關解決方案,敬請大家關注。
針對近期部分互聯網站信息泄露事件,工信部于2011年12月28日發布通告要求:各互聯網站要高度重視用戶信息安全工作,把用戶信息保護作為關系行業健康發展和企業誠信建設的重要工作抓好抓實。發生用戶信息泄露的網站,要妥善做好善后工作,盡快通過網站公告、電子郵件、電話、短信等方式向用戶發出警示,提醒用戶修改在本網站或其他網站使用的相同用戶名和密碼。未發生用戶信息泄露的網站,要加強安全監測,必要時提醒用戶修改密碼。
各互聯網站要引以為戒,開展全面的安全自查,及時發現和修復安全漏洞。要加強系統安全防護,落實相關網絡安全防護標準,提高系統防入侵、防竊取、防攻擊能力。要采用加密方式存儲用戶信息,保障用戶信息安全。一旦發生網絡安全事件,要在開展應急處置的同時,按照規定向互聯網行業主管部門及時報告。
工信部同時提醒廣大互聯網用戶提高信息安全意識,密切關注相關網站發布的公告,并根據網站安全提示修改密碼。提高密碼的安全強度并定期修改。
信息泄密的根源
2.1.透過現象看本質
2.1.1.攻擊者因為利益鋌而走險
攻擊者為什么會冒著巨大的法律風險去獲取用戶信息?
2001年隨著網絡游戲的興起,虛擬物品和虛擬貨幣的價值逐步被人們認可,網絡上出現了多種途徑可以將虛擬財產轉化成現實貨幣,針對游戲賬號攻擊的逐步興起,并發展成龐大的虛擬資產交易市場;
2004年-2007年,相對于通過木馬傳播方式獲得的用戶數據,攻擊者采用入侵目標信息系統獲得數據庫信息,其針對性與攻擊效率都有顯著提高。在巨額利益驅動下,網絡游戲服務端成為黑客"拖庫"的主要目標。
2008年-2009年,國內信息安全立法和追蹤手段的得到完善,攻擊者針對中國境內網絡游戲的攻擊日趨收斂。與此同時殘余攻擊者的操作手法愈加精細和隱蔽,攻擊目標也隨著電子交易系統的發展擴散至的電子商務、彩票、境外賭博等主題網站,并通過黑色產業鏈將權限或數據轉換成為現實貨幣。招商加盟類網站也由于其本身數據的商業業務價值,成為攻擊者的"拖庫"的目標。
2010年,攻防雙方經歷了多年的博弈,國內網站安全運維水平不斷提升,信息安全防御產品的成熟度加強,單純從技術角度對目標系統進行滲透攻擊的難度加大,而通過收集分析管理員、用戶信息等一系列被稱作"社會工程學"的手段的攻擊效果被廣大攻擊者認可。獲得更多的用戶信息數據有利于提高攻擊的實際效率,攻擊者將目標指向了擁有大量注冊用戶真實詳細信息的社區及社交網站,并在地下建立起"人肉搜索庫",預期實現:獲知某用戶常用ID或EMAIL,可以直接搜索出其常用密碼或常用密碼密文。
2011年12月21日,僅僅是在這一天,攻擊者曾經獲取到的部分數據庫信息內容被陸續地公開了。
2.1.2.應用層防護百密而一疏
在當今信息安全意識、信息安全產品都日益成熟的年代,為何入侵者獲取數據依然如入無人之境?很多人認為,在網絡中不斷部署防火墻、IDS、IPS等設備,可以提高網絡的安全性。但是為何基于應用的攻擊事件以及相應的"泄庫事件"仍然不斷發生?其根本的原因在于傳統的網絡安全設備對于應用層的攻擊防范,作用十分有限。
我們可以通過下面例子來舉例黑客是如何常規獲取信息系統的數據庫信息的:攻防回合的延續包括傳統安全設備使黑客入侵服務端主機系統難度加大,而WEB應用的登錄入口表明了WEB應用程序與用戶數據表之間存在關聯,通過入侵WEB網站獲得數據庫信息成為針對網站數據庫攻擊的主要入手點,常見的攻擊步驟如下:
一、尋找目標網站(或同臺服務器的其他網站)程序中存在的SQL注入、非法上傳、后臺管理權限等漏洞;
二、通過上述漏洞添加一個以網頁腳本方式控制網站服務器的后門,即:WEBSHELL;
三、通過已獲得的WEBSHELL提升權限,獲得對WEB應用服務器主機操作系統的控制權,并通過查看網站數據庫鏈接文件,獲得數據庫的鏈接密碼;
四、通過在WEB應用服務器上鏡像數據庫連接,將目標數據庫中所需要的信息導入至攻擊者本地數據庫(或直接下載服務器上可能存在的數據庫備份文件);
五、清理服務器日志,設置長期后門。
目前攻擊者以團隊為單位,無論從工具的制造、攻擊實施的具體手法都已經形成了體系化、趨利化的作業流程。
此例中我們發現,黑客針對應用系統的攻擊已經完全無視傳統的網絡安全,而應用安全的建設恰好能夠彌補網絡安全的不足,提升了整個信息系統安全強度,能夠有效地阻止黑客針對性的應用層攻擊,降低數據信息被泄露的風險
2.2.防泄密防好應用安全這塊板
隨著互聯網技術的迅猛發展,許多政府和企業的關鍵業務活動越來越多地依賴于WEB應用,在向客戶提供通過瀏覽器訪問企業信息功能的同時,企業所面臨的風險在不斷增加。主要表現在兩個層面:一是隨著Web應用程序的增多,這些Web應用程序所帶來的安全漏洞越來越多;二是隨著互聯網技術的發展,被用來進行攻擊的黑客工具越來越多、黑客活動越來越猖獗,組織性和經濟利益驅動非常明顯。
然而與之形成鮮明對比的卻是:現階段的安全解決方案無一例外的把重點放在網絡安全層面,致使面臨應用層攻擊(如:針對WEB應用的SQL注入攻擊、跨站腳本攻擊等)發生時,傳統的網絡防火墻、IDS/IPS等安全產品對網站攻擊幾乎不起作用,許多政府和企業門戶網站成為黑客組織成批傳播木馬的最有效途徑,也將可能成為下一個被攻擊者所公開的潛在網站數據。
據Gartner權威統計,目前75%的黑客攻擊發生在WEB應用層,近期層出不窮的安全事件均源于WEB應用層防護不到位所致,應用系統漏洞的根源還是來自程序開發者對網頁程序編制和檢測。未經過安全訓練的程序員缺乏相關的網頁安全知識;應用部門缺乏良好的編程規范和代碼檢測機制等等。解決此類問題必須在WEB應用軟件開發程序上整治,僅僅靠打補丁和安裝防火墻是遠遠不夠的。
隨著攻擊向應用層發展,傳統網絡安全設備不能有效的解決目前的安全威脅,企業如何有效地防止企業信息泄密,重點在于如何做好應用安全。#p#
防信息泄密的建設思路
信息安全是一項系統工程,包括物理層、網絡層、系統層、應用層、數據層以及管理方面的內容。信息系統的某一層面安全了不能代表信息系統就安全了,需要各方面嚴格把控和完善結合,對于企業防信息泄密工程來講,目前企業信息系統的物理層、網絡層等已經具備了一定的安全性,在本方案中重點關注系統安全、應用安全以及安全管理水平等方面的內容。
1.1.系統安全的重要性
企業的信息系統是多種信息資產的龐大組合,包括防火墻、路由交換設備、主機等;其所面臨的威脅也就是對系統能夠造成不利影響的一些潛在的事件或者行為,威脅包括自然的、故意的以及偶然的情況。
系統安全重點解決操作系統、數據庫和服務器等系統安全級安全問題,以建立一個安全的系統運行平臺,建立有效的網絡檢測與監控機制,以保護主機資源,防止非法訪問和惡意攻擊,及時發現系統和數據庫的安全漏洞,有效抵抗黑客利用系統的安全缺陷對系統進行攻擊,做到防患于未然。
1.2.應用安全的必要性
只有系統安全的建議得到保障,再建設應用安全才能更加有效地降低信息泄露的風險。基于B/S架構對外提供服務的信息系統面臨較大風險也是的應用層的攻擊風險。
一方面由于WEB應用的開放性,隨著Web應用程序的增多,這些Web應用程序所帶來的安全漏洞越來越多,而且這些漏洞均是應用層或者說是代理層面的安全問題,通過傳統的網絡安全設備無法識別,這也是導致大量網站用戶信息泄露的最主要原因之一。
另一方面受利益的驅使,被用來進行攻擊的黑客工具越來越多、黑客活動越來越猖獗,而且這種攻擊已經由簡單的黑盒掃描滲透轉向模塊代碼分析,源代碼白盒分析等層面進行挖掘漏洞,若應用層面得不到有效的安全控制將導致非常嚴重的后果。
1.2.1.應用安全的范疇
以B/S常見的對外提供服務的網站、論壇、業務系統等所涉及到的應用安全主要由以下幾個方面構成。
一、訪問控制:針對用戶及惡意攻擊者訪問信息時進行有效地控制,對于正常請求允許訪問,對于惡意請求應及時進行阻止;
二、信息保護:針對于惡意攻擊者進行敏感信息訪問時應及時保護;
三、安全審計:對業務系統的運行應具備安全審計功能;
四、數據庫應用安全:應針對數據庫系統進行安全檢查,對數據庫的操作行為應進行安全監控。
五、軟件容錯:應用系統及數據庫在上線前后及更新時應做好安全性測試,減少系統存在漏洞的可能性,避免有漏洞的系統對外發布。
以上幾方面的內容都應具有相應的技術手段和管理制度來實現信息系統的應用安全。
1.2.2.應用安全的時效性
應用安全從整個信息安全的生命周期中是一個動態的、長期的過程,是從建設開始,風險評估、安全加固、安全防護、安全審計、再評估、再加固的過程。而從實際應用考慮,應用安全至少應滿足以下要求:
一、事前預警:通過應用系統及數據庫的風險評估,發現可能存在的信息泄密點,并進行安全加固隨著應用系統及數據庫的不斷升級,企業能夠及時了解并掌握應用系統及數據庫自身是否存在著安全隱患,盡可能地避免漏洞對外發布,降低信息受泄密的危害;
二、事中防護:惡意攻擊者對應用系統及數據庫進行攻擊或惡意操作時,管理人員及系統能夠具有有效地手段阻止惡意行為的發生,減少信息泄密的發生次數,避免對企業和信息造成影響;
三、事后追溯:對于何人何地何時訪問企業信息時能夠具有追溯手段,對發生的信息泄密事件提供查詢工具,方便維護人員及管理員進行事件跟蹤和定位,并為事件的還原提供有力依據。
1.2.3.應用安全的防護方法
傳統網絡層安全防護措施和防御體系在安全管理中相當重要,但在面臨數據被泄露的安全問題中,應用安全的防護能力更加重要。使用安恒信息技術有限公司所提倡的一種基于風險評估模型及"事前+事中+事后"的安全理念的結合傳統網絡層防護措施的新型應用安全解決方案,將有效降低應用安全風險和出現被泄露信息的風險。
風險評估與加固層面
威脅一個信息系統的風險可能來自不同的層面,從網絡層、系統層到應用層,都有可能形成對信息系統直接或間接的威脅。通過風險評估對整個信息系統進行有效地安全評估,發現信息系統技術與管理方面存在的威脅。通過專業安全團隊的加固,減少或降低威脅對系統造成的影響,避免因存在的威脅造成的信息泄密影響。
事前安全防范層面
當前絕大多數企業缺少必備的WEB安全和數據庫安全的評估工具,使事前的風險評估難以實施。專業的安全產品需要有效的安全策略才能發揮應有的功能,而事前的安全評估則顯得尤為重要。企業業務系統最重要的資產集中在WEB應用層和數據庫系統,因此長期有效的保障企業業務系統的安全,安全運維人員應有必備的安全評估工具及技術實力。
事中安全防護層面
安全的信息系統需要涉及物理層、網絡層、主機層、應用層方方面面的安全防御措施。目前絕大多數的企業基本上把信息系統的相關主機托管至IDC機房,根據IDC的不同等級分別具備了物理層安全和網絡層安全。但企業尚缺少有力的安全防御措施如專業的遠程安全接入主機的VPN,網絡防火墻,WEB應用防火墻等安全設施,應切實建設相應的安全防御措施,提高系統的抗風險能力。
事后安全審計層面
企業核心數據庫存貯有大量的用戶信息,以及大量的有價值的其它信息資產。如果處理不當敏感的數據庫信息被竊取將會導致極大的信譽危機,對企業造成重大影響。本項目中應部署專業的數據庫審計系統實現對數據庫訪問的詳細記錄、監測訪問行為的合規性,針對違規操作、異常訪問等及時發出告警,同時可通過與應用層關聯審計發現前端的請求與后端的數據庫操作關聯性,爭取將安全風險控制在最小的范圍之內。 #p#
構建防信息泄露的城墻
安全服務與安全產品是相輔相成的,兩者如磚頭和水泥的關系,一方面,脫離服務的安全產品無法發揮其固有的能力,另一方面,脫離產品的服務效率低下、成本過高。因此,安恒提出"產品服務化、服務產品化"的理念,以優秀的產品、滿意的服務為客戶網絡安全提供保證。
防泄密涉及網絡安全、主機安全、運維安全等方方面面,建設應用安全體系是解決防泄密問題的核心所在。本方案中通過WEB應用層面、數據庫層面、運維操作層面進行技術防范,降低泄密事件的風險。并針對現有系統提出了"事前+事中+事后"的安全防護方法。安恒公司依據多年的應用與數據庫安全經驗,擁有自己獨到的針對信息與網絡安全和信息與網絡安全服務的方法論,來建設應用安全體系:
一、加強系統安全體系建設,減少從系統層發生信息泄密的發生:
"通過對系統層的安全風險評估,發現系統安全層面存在的安全隱患及問題,并進行安全加固;
"通過部署相應的網絡防火墻進行合理的訪問控制及安全域劃分;
"建立運維審計系統將遠程運維進行安全審計,通過三個方面的建設加強系統安全體系建設。
二、建設應用安全體系,提高應用層抗攻擊能力,降低信息泄密造成影響:
"通過對應用層的安全風險評估,發現應用安全層面存在的安全隱患及問題,并進行安全加固;
"建立事前預警機制,建設WEB應用安全檢測系統和數據庫安全檢測系統,對已有業務系統及數據庫進行安全檢查,減少信息泄密的發生;
"建立事中防護體系,建設WEB應用防火墻,提高WEB應用系統的抗風險能力;
"建立事后追溯手段,建設應用與數據庫安全審計系統,提高系統運行的透明度,對用戶訪問及數據庫操作行為進行安全審計。
三、提升信息安全管理水平,加強管理制度建,輔以安全培訓及應急響應:
"建立應急響應機制,通過安恒專業的安全服務團隊對發生的安全事件進行專業分析與服務,幫助用戶快速地對安全事件進行響應;
"建立安全培訓體系,通過定期專業安全培訓提升企業的技術人員安全管理實力。
"通過管理制度建設,嚴格的安全管理制度、明確的部門安全職責劃分、合理的人員角色配置都可以在很大程度上降低其它層次的安全漏洞。
加強系統安全體系
上文提到了信息系統系統安全的重要性,據安恒公司的實際調研,大部分的企業都把業務系統及服務器托管至IDC機房,應用服務器和數據庫服務器在網絡層面和應用層面均沒有采取任何的防護措施,所有服務器的安全防護方面屬于在"裸奔"狀態下運行,應通過建立風險評估機制,充分考慮網絡訪問控制、安全域劃分及運維審計體系等安全管理措施。
一、針對系統層安全進行信息系統風險評估與安全加固,并結合已有網絡訪問控制手段加固訪問控制策略;
二、建立建全網絡訪問控制機制及安全域劃分,對托管在IDC機房的所有設備進行安全域劃分,管理與業務分離、應用與數據分離;
三、運維審計,通過對遠程運維進行合理有效地監控,提升安全運維的透明度,對運維的操作進行監控審計;
當前系統層安全管理和網絡安全技術已經非常成熟并得到廣大安全運維人員的高度認可,因此本文中不再講述這二個部份的建設內容。系統安全,特別信息安全泄密事件中,有70%以上來自內部,其中包括內部人員的越權訪問、濫用、誤操作等,以及訪問控制不嚴格、設備自身日志簡單、日趨復雜的系統、難以定位實際責任人、用戶操作難以審計等因素都可能造成風險。因此,完善的運維審計系統是整個安全體系中不可缺少的組成部分,目前大多數企業對遠程操作仍沒有特別有效的審計手段,通過運維審計能夠有效地監控遠程操作協議,如RDP、SSH、TELNET、FTP等,以減少因遠程運維而發生的信息泄密的事件。
運維審計是一種符合4A(認證Authentication、賬號Account、授權Authorization、審計Audit)統一安全管理平臺方案并且被加固的高性能抗網絡攻擊設備,具備很強安全防范能力,作為進入內部網絡的一個檢查點,能夠攔截非法訪問和惡意攻擊,對不合法命令進行阻斷,過濾掉所有對目標設備的非法訪問行為。
運維審計應能支持Telnet、SSH、FTP、SFTP、RDP、VNC、X11等協議,支持單點登錄、統一賬戶管理、自定義策略、日志回放、報表等功能,保證內部用戶的操作和行為可控、可視、可管理、可跟蹤、可審計。系統具備強大的輸入輸出審計功能,為企事業內部提供完全的審計信息,通過賬號管理、身份認證、資源授權、實時監控、操作還原、自定義策略、日志服務等操作增強審計信息的安全性。
1.2建立事前預警機制
針對現有的業務系統和數據庫進行風險評估與安全加固,應用安全評估主要是通過安全漏洞掃描、人工安全檢查、滲透測試等方式對業務系統的數據庫系統、應用系統、WEB系統的安全性進行評估。
隨著企業應用系統及數據庫的不斷更新升級,原有漏洞的加固或業務系統新功能的增加,或多或少都可能產生新的漏洞,企業應具備有效地檢測預警手段,能夠及時了解并掌握應用系統及數據庫自身是否存在著安全隱患,盡可能地避免漏洞對外發布。通過建立WEB應用安全檢測系統和數據庫安全檢測系統,發現業務系統及數據庫的漏洞情況,并對其進行安全加固和升級。
1.2.1WEB應用系統檢測機制
企業通過建立WEB應用安全檢測系統,對更新升級的業務系統進行上線前的檢測,及時發現WEB應用的常見技術弱點,攔截因業務系統的更新將漏洞暴露。檢測系統本質是一種模擬常見WEB攻擊的非破壞性的工具,在WEB應用的開發、測試、運維階段,經常作為一種事前的安全檢查用具,來快速高效地,發現系統可能存在的弱點,系統支持OWASPTOP10檢測,可以幫助用戶充分了解WEB應用存在的安全隱患,建立安全可靠的WEB應用服務,改善并提升應用系統抗各類WEB應用攻擊的能力(如:注入攻擊、跨站腳本、釣魚攻擊、信息泄漏、惡意編碼、表單繞過、緩沖區溢出等),協助用戶滿足等級保護、PCI、內控審計等規范要求。功能如下圖所示:
1.2.2數據庫檢測機制
企業通過建立數據庫安全檢測系統,發現業務系統所依靠的核心數據庫是否存在安全漏洞,如默認密碼、弱口令、不安全的配置等。數據庫安全檢測系統是專門針對于數據庫管理系統的脆弱性檢測而開發的一種安全工具,主要包含前端程序和掃描引擎兩部分。引擎的功能是訪問要掃描的數據庫,執行前端提交的掃描請求,并將掃描結果返回前端。前端功能是與用戶交互,主要功能模塊包含:項目管理、掃描管理、報表管理、用戶權限管理、策略管理、日志管理。引擎和前端程序可以分開運行,它們之間一般采用自定義的網絡協議通信。功能如下圖所示:
1.3建立事中防護體系
安全的信息系統需要涉及物理層、網絡層、應用層、主機層方方面面的安全防御措施,目前企業的尚缺少有力的應用層安全防御措施,應切實建設相應的安全防御措施,提高系統的抗風險能力。當前最為高效的解決方法是在WEB應用前端部署WEB應用防火墻,實現對WEB應用安全防御。本項目中主要的應用系統為WEB應用尚未部署WEB應用防火墻。
安恒信息Web應用防火墻(WebApplicationFirewall,簡稱:WAF)是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。主要功能是:檢測、防御并記錄的WEB攻擊、應用加速、抗應用層DDOS、防篡改等。它是攻擊發生時,提升系統防御能力的主要手段,能夠阻擋攻擊者對WEB應用程序漏洞的利用,為修復程序漏洞爭取時間。在WAF的保護下,也能夠提升新業務系統上線的速度。甚至于,保護哪些歷史上遺留下來,已經找不到開發者修復漏洞的歷史遺留WEB應用系統。它的一個常見部署方式如下:
透明直連模式不需要給WAF配置IP地址,只要將WAF接入業務鏈路,配置好保護的WEB應用服務器的IP地址及端口,就可以實現對WEB應用業務的安全檢測。而部署WAF,不但不會影響業務系統的性能,同時還能夠提升應用交付。
1.4建立事后追溯手段
企業核心數據庫存貯有大量的用戶信息,以及大量的有價值的其它信息資產。如果處理不當敏感的數據庫信息被竊取將會導致極大的信譽危機,對企業造成重大影響。本項目中應部署專業的數據庫審計系統實現對數據庫訪問的詳細記錄、監測訪問行為的合規性,針對違規操作、異常訪問等及時發出告警,同時可通過與應用層關聯審計發現前端的請求與后端的數據庫操作關聯性,爭取將安全風險控制在最小的范圍之內。
安恒信息數據庫審計系統是一種檢測、響應、記錄并分析對數據庫操作的安全管理設備。通過部署數據庫審計能夠實現:
"對數據庫的對象(包括用戶(數據庫)、表、字段、視圖、索引、存儲過程、包等)進行審計規則定制,
"制定細粒度的審計規則,如精細到表、字段、具體報文內容的細粒度審計規則,實現對敏感信息的精細監控;
"基于IP地址、MAC地址和端口號審計;
"根據SQL執行時間長短、根據SQL執行回應以及具體報文內容等設定規則等。
數據庫審計系統不僅能夠檢測、記錄與回放攻擊者的在任何時間的操作行為,也應當能夠展現其已經獲取到的信息,讓運維和安全人員了解到當前造成的損失。如圖所示:
對于B/S架構的應用系統而言,用戶通過WEB應用服務器實現對數據庫的訪問,傳統的數據庫審計系統只能審計到WEB應用服務器的相關信息,無法識別是哪個原始訪問者發出的請求。而通過關聯應用層的訪問和數據庫層的訪問操作請求,可以追溯到應用層的原始訪問者及請求信息(如:操作發生的URL、客戶端的IP等信息),產品主要根據時間片、關鍵字等要素進行信息篩選,以確定符合數據庫操作請求的WEB訪問,通過三層審計更精確地定位事件發生前后所有層面的訪問及操作請求。如圖所示:
1.5提升信息安全管理水平
企業的信息安全管理體系不僅僅做了風險評估、部署了安全產品,就認為信息系統安全了,管理與技術任何一方面存在隱患或漏洞,都可能對企業的業務系統及信息數據造成影響,甚至破壞。我們在防信息泄密的過程中不僅需要加強企業的信息系統安全技術水平,還應在信息安全管理上面進行提升。我們輔以應急響應機制、安全培訓體系以及管理制度的建設,以幫助企業在信息系統安全管理方面達到一定的高度,盡可能地避免安全事件的發生,減少對企業形象的影響。
【編輯推薦】
