2016年数据库漏洞安全威4.docxVIP

2016年数据库漏洞安全威胁报告■文档编号RP-2016-01■密级完全公开■版本编号V1.0■日期2016.12.11?2016安华金和■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属安华金和所有，受到有关产权及版权法保护。任何个人、机构未经安华金和的书面授权许可，不得以任何方式复制或引用本文的任何片断。报告摘要北京安华金和科技有限公司（简称安华金和）长期致力于帮助客户应对数据库安全领域的威胁。为了提高数据库用户的安全意识，快速反馈最新数据库漏洞被利用方向，安华金和数据库攻防实验室（以下简称：DBSec Labs）最新发布《2016年数据库漏洞安全威胁报告》。该报告用于快速跟踪及反馈数据库安全的发展态势。报告正文2016年数据库安全形式综述《2016年度数据泄露调查报告》回顾了2016年全球超过10万起安全事件和2260起已经确认的数据泄漏事件。根据verizon统计报告，全球数据库泄露事件呈现缓步提高趋势、手段和方式呈现多种变化。分析已确认的2260起数据泄露事件，泄露源7成以上和数据库相关。数据库信息泄露主要是由人为因素、数据库自身安全漏洞和第三方恶意组件造成。人为因素主要指人为对数据库的错误配置或使用弱口令和默认口令。错误配置和弱口令往往成为不法分子窥探数据库的入口。利用这个入口不法分子结合数据库漏洞或第三方恶意组件对数据库实施入侵。在1600多起数据库泄露事件中，有63%和弱口令和错误配置相关。数据库漏洞是数据库被入侵最常见的方式，但利用漏洞的方式发生了变化。零日漏洞和已知漏洞使用比例几乎持平，很多攻击利用的是已知漏洞。前10位常用漏洞中已知漏洞占据了55%的比例。其中很多漏洞已经被公开很多年，相关补丁也早已推出数年。数据库由于各种考虑不及时打补丁，给不法分子极大的可操作空间。第三方恶意组件成为数据库安全的新威胁。今年年底闹得沸沸扬扬的Oracle数据库比特币勒索事件就是这方面的代表。不法分子通过散播存在恶意SQL语句的数据库工具，向误用该工具的企业勒索赎金。这种绑架数据勒索用户的方式，正急速扩大其攻击范围。很可能在明年将成为数据库安全的首要威胁。人为因素、数据库漏洞、第三方恶意组件共同成为现今威胁数据库安全的“三驾马车”。本文通过梳理这三种方式的原理，以及主流数据库的高危漏洞分布情况，力求使客户明确明年数据库安全防护的侧重点。数据库自身的安全缺憾数据库随着大数据库时代的到来，云平台的流行，物联网的兴起，数据库的应用范围越来越广泛，基本上每个领域都能见到数据库的身影。从世界500强公司到各国政府机关，数据库在其中扮演着非常重要的角色，很多重要和敏感的信息都保存在数据库中，例如个人银行账号密码、政府机密资料、军事核心武器设计图等。因此，数据库成为入侵者越来越有价值的攻击目标，一旦获得数据库权限，入侵者则可以获得非常有价值的数据。因此，确保数据库以及数据库中的数据安全至关重要。数据库被设计的目的就是以有序和易于检索的方式提供大量数据的服务。大数据时代的来临，使得各个行业数据量成BT级别增长。数据库被广泛使用在各种新的场景中。数据库本身是被设计在内网之中的，一个相对安全的环境中。而现在发展的趋势是内外网逐渐融合，数据库将面临大量新型场景。其中很多新型场景面临的安全威胁是数据库现有安全机制无法防护的。数据库的优良性能和落后的安全机制成为鲜明的对比。数据库现在首要需要解决的就是有针对的加强某些场景下的安全防护能力。否则安全将成为数据库的“阿喀琉斯之踵”。数据库安全威胁分析数据库对安全的设计最初是依照美国国防部标准形成，并逐渐发展和强化。但是随着大数据的兴起，数据库开始进入更多领域，开发更多功能，部署在更加危险的网络环境中。大部分商用数据库虽然都通过了安全标准，但这些安全标准和现实安全需求之间存在很大区别。人为因素，数据库漏洞和第三方恶意组件共同组成的矛，直刺数据库的盾。如何帮助数据库抵御这三种威胁的攻击，将成为打赢此次攻防大战的关键。上图为安全威胁分析表，很多场景中攻击者采用和多种手段。数据库漏洞仍是数据库威胁最大的一环，而第三方恶意组件正以迅猛的态势快速的发酵，明年很有可能成为数据库安全的第二大威胁。人为因素一般是作为前哨，对数据库的威胁还是长期且稳定的存在。人为因素本文中的人为因素主要分为弱口令配置和错误的配置。错误配置部分主要由于数据库管理人员安全意识不足、或经验方面的欠缺导致。但也有个别是官方或第三方文档误导所致。例如CVE-2016-6662漏洞的利用的先决条件就是，用户错误的按照文档给mysql用户配置f写权限。弱口令的问题看似简单，其实这是一个方便和安全的博弈问题。纯粹用人工定期维护大量的数据库密码和账号，难免为了防止意外而采用相对可以从用户名中看出提示的密码。