注册
登录
| 关键词: 数据库 黑客 数据 日志 权限 管理员 工具 监控 用户 行为 |
谨防黑客踏雪无痕 数据库已经成为黑客攻击的目标,而让问题更复杂的是,黑客还通过访问记录清除工具设法清除入侵痕迹,大玩隐身术。幸运的是,DAM(数据库活动监控,Database Activity Monitoring)工具可以帮助数据库管理员及时发现玩隐身术的这些黑客。 ■ 乐天 编译 数据库是存储数据的工具, 如今已经成为黑客们最感兴趣的地方。巨大的利益诱惑使得越来越多的黑客把目标转向数据库,而另一方面,由于一些非常专业的用于清除访问痕迹的黑客工具的出现,使得数据库管理员和系统管理员越来越难以发现黑客的行踪,这一切都使得人们开始担心起数据库的安全来。 通常,数据库或多或少会保存有一些企业的敏感信息,而企业由于资金不足或者对安全性认识不够,常常没有对这些数据采取一定的保护手段。根据有关机构的调查,在过去的一年里60%的企业发生过数据泄露,80%的企业认为针对数据库的攻击在增加,40%的企业没有进行过安全审计。 有鉴于此,作为数据库的管理者和信息系统的维护者,不仅要了解数据库中有哪些办法可以对数据访问行为进行记录和审计,更需要了解黑客如何隐藏自己的行踪以及如何清除其访问记录,这对于保护企业数据的安全是非常必要的。 而实际上,市场上已有很多工具可以防止黑客入侵数据库,如对漏洞进行评估和对用户行为进行监控的漏洞管理工具,但是,大部分工具只有部分安全功能,无法全面预防黑客的攻击行为,也无法让我们清楚地了解黑客是如何清除他们的访问痕迹的。 常用的 访问记录清除方法 一般情况下,数据库管理系统对所有的数据库操作都会有记录,比如,数据库的日志会把数据库的备份、数据的查找和数据的处理等操作记录下来,如果预先进行过设置,操作系统的日志也能记录所有对数据库的操作。有些高级的黑客能通过获得数据库的管理员权限或者操作系统的根用户权限来修改日志,从而隐藏自己的入侵行为。 黑客获得管理员权限最常用的办法有: ●利用数据库系统的漏洞; ●设法取得一个有效的账户和密码(如通过计算机帮助猜测或者通过木马窃取); ●利用访问控制上的漏洞或者弱点; ●利用应用系统或者操作系统的漏洞。 一旦黑客成功地进入了系统,他就可以设法修改日志。常用的修改日志的方法有: 1.暂停日志的记录功能。只需要管理员在数据库服务器上输入一条命令,有些日志功能就可以被停用,这是黑客隐身最简单的方法。 2.截取并修改日志。大多数数据库都支持对库进行扩展,这些库中常常有程序代码可以在数据库服务器的进程中执行。数据库对这些代码的访问权限没有限制,它们可以访问数据库进程中的任何内存和组件。这就给黑客们提供了可乘之机,他们可以根据自己的需要对日志进行修改。比如,他们可以修改数据库服务器的内存来干扰和避免一些操作被日志记录下来,或者开启后门、截获用户和数据库服务器的会话等。 3.假冒其他数据库用户。一些数据库允许部分特权用户使用其他用户的账号执行某些操作,因此,黑客可以利用这一功能假冒其他用户的身份访问数据库。以后如果出现问题,管理员审查日志时,他看到的也只是一个被他人假冒的用户执行了这些操作,如果诉诸法律部门也只能是冤枉了这些无辜的用户,白白浪费时间和精力。 4.滥用日志的删除和覆盖机制。大多数数据库提供对日志的删除和覆盖功能。比如,出于节省存储空间的目的,有些数据库的日志允许在一定条件下,重复利用日志的空间,包括删除日志或者直接对日志进行覆盖,还可以通过命令缩减日志空间、强制删除一些旧日志或者覆盖它们。对这些数据库非常熟悉的黑客可以利用这一点,人为地创造出这些条件,把他们不想让别人看到的日志条目删除或者覆盖。 把漏洞管理 集成到数据库中 随着黑客对数据库的攻击日渐频繁,对数据库的管理员提出了更高的要求。幸运的是,现在已经有很多解决方案可以帮助他们对付黑客的攻击。不过,这些解决方案大都很复杂,特别是综合性的漏洞管理解决方案更是如此,因此,在选择之前有必要对这种解决方案进行全面的了解,看它是否能满足自己所需,而更重要的要正确地进行部署。 由于攻击者的目的主要是牟利,他们更关注那些机密的、有价值的信息,因此,管理员的工作重点自然首先是这部分数据,为此,管理员必须对数据库中的数据资产进行一次评估。实际上,制定一个数据库级别的、综合性的安全和法规遵从战略的第一步就是对数据库中的资产进行一次全面的评估,找出其中有价值的数据。除此之外,还需要知道你有多少个数据库实例,它们都部署在哪里?一旦真的发生了数据库被攻击的事件,如果你对这一点都不清楚的话,就很难做出有针对性的补救措施。 另外,找出全部数据库资产不仅能帮助数据库管理员了解有多少数据需要保护、它们都在哪里,还有助于数据库管理员对这些有价值的数据进行保护级别排序,明确哪些是最需要保护的、哪些次之。值得注意的是,有些攻击者会利用低保护级别的系统保护措施比较弱因而容易进入的特点,先入侵这些系统,然后以此为跳板,进入更高保护级别的系统。因此,有必要对进入数据库的所有网络链接进行保护。 限制角色和权限 对企业敏感信息进行保护的一个关键手段是对数据库的数据进行分区和隔离,只让那些拥有该数据访问权限的人访问该数据。实际上,大多数组织并没有对什么人可以访问什么数据做出明确的规定,而这恰恰就给了内部的一些怀有恶意的人以可乘之机。同时,这也意味着,本来应该对他们的这些行为进行审计的,由于职权不清晰,实际上处于失去监控的状态。 因此,有必要对企业内部的所有用户、角色和权限进行一次全面的评估,让内部的审计人员和IT组织联合来定义每个具体的角色应该具有什么的权限,同时明确由于设立了这个角色可能带来什么样的安全隐患。 例如,虽然人力资源部门的某位员工已经离职,但为这名员工创建的具有访问某个数据库权限的角色可能没有删除。因此,有必要检查这个角色的访问级别、他所访问信息的机密程度,以及研究如何确保这个员工离职后他的访问权限被取消等。 另外,权限管理不仅在对信息的全生命周期进行漏洞管理时非常重要,而且也是很多法规的要求,包括萨班斯-奥克斯利法(SOX)和HIPAA等。 实际上,为了防止黑客假冒他人,对用户权限进行全面的评估非常必要,这种用户权限评估可以确保访问控制到位、各种安全防范措施都在发挥作用、各种安全补丁也都没有遗漏,同时,密码设置都足够复杂。更重要的是,通过这种全面的评估,保证你的数据库的“门锁”都已经“锁”上,从而能在一定程度上阻止黑客入侵你的数据库,或者企业内部拥有合法访问权限的人滥用它的权限做出一些不恰当的操作来。 知道黑客 在做什么 制定一个综合的漏洞管理战略还有一个不可缺乏的组成部分是部署数据库活动监控工具,对用户的数据库操作进行监控,特别是对各种可能危及敏感信息安全的可疑的访问操作。这个工具的一个重要作用是在黑客进入系统之前,保留黑客对受保护的数据库进行攻击的证据,这一点非常重要,这有助于及时预警,也有助于及时对黑客的行为进行阻止,防止黑客入侵系统后通过各种痕迹清除工具进行“毁尸灭迹”。 享有超级权限的数据库用户可以通过DAM(数据库活动监控,Database Activity Monitoring)监控数据库的性能以及数据库是否运行正常,还可以根据需要暂停监控行为。这些指定的拥有超级权限的用户还可以访问数据库的最核心区域。鉴于DAM的强大功能以及在法律举证方面的需求,现在在很多需要保证高度安全的场合也得到了应用。 有些第三方工具提供DAM的功能,它们根据预先定义的策略对所有数据库的操作进行跟踪。一旦这些工具侦测到可疑的行为,如操作记录被清除,它们可以及时发出警报、阻止当前行为的执行并记录下当前所有的会话过程等。如果这些工具不是数据库系统自带的,它们还可以对数据库管理员的操作行为进行监控,从而进一步提高整个数据库系统的安全性。 基于网络的监控能同时监控大量的数据库,但是,它们对加密的数据流无能为力,也不能监控本地的会话(如数据库管理员通过SSH协议远程登录数据库服务器,从而在本地与数据库服务器进行连接和访问)。另外,目前,市场上也有一些托管的DAM工具,它们可以对本地会话和远程会话进行监控,但是它们只能监控运行在同一个服务器上的数据库。 随着数据库被“黑”事件频繁发生,特别是越来越多的数据访问痕迹清除工具的应用越来越普及,数据库管理员和系统管理员的黑客防范工具也需要升级,需要同样专业甚至更专业的工具。同时,管理员还需要了解记录数据访问行为、保留证据的一些基本知识,以及黑客通常采用的防止自己行为被记录下来的方法。 只有这些专业人员充分了解这些知识,才有可能在企业内部组建一个能确保企业信息安全的团队。然后在这个团队的带领下在整个企业(不仅仅是数据库级别)实施数据的隔离、数据的访问控制以及权限划分,同时部署合适的覆盖数据库安全、网络安全、风险和法规遵从等多个方面的综合性信息安全解决方案,最终保证企业数据的全面安全。 小知识 计算机取证(Computer Forensics)是计算机领域和法学领域的一门交叉科学,其目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。计算机取证的信息源主要是各种日志,包括操作系统日志、数据库访问日志、防火墙与入侵检测系统的工作记录、反病毒软件日志、系统审计记录、网络监控流量、电子邮件、Web浏览器数据缓冲、历史记录或会话日志、实时聊天记录等。 计算机反取证(Computer Anti-Forensic)是与计算机取证相对应的一个概念,指攻击者采用的用来防止取证的一些方法和技巧,也就是信息系统中删除或者隐藏入侵证据,使取证工作无效。反取证技术主要有数据擦除、数据隐藏等,其中数据擦除是最有效的反取证方法。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
