近年來(lái)��,針對(duì)企業(yè)和組織機(jī)構(gòu)的撞庫(kù)�����、拖庫(kù)攻擊事件頻發(fā),黑客常通過(guò)社會(huì)工程學(xué)或暴力破解等手段獲取數(shù)據(jù)庫(kù)賬號(hào)信息����,并借此盜取數(shù)據(jù)庫(kù)內(nèi)存儲(chǔ)的組織及個(gè)人隱私信息,繼而達(dá)到破壞或牟利等非法企圖���。某上市集團(tuán)公司(以下簡(jiǎn)稱(chēng)“A集團(tuán)”)因組織架構(gòu)與業(yè)務(wù)需求�,其重要業(yè)務(wù)應(yīng)用服務(wù)器及業(yè)務(wù)后臺(tái)數(shù)據(jù)庫(kù)服務(wù)器被分別部署在總部大樓和分支機(jī)構(gòu)機(jī)房���,且兩個(gè)機(jī)房間的物理距離較遠(yuǎn)�����,應(yīng)用系統(tǒng)服務(wù)器與后臺(tái)數(shù)據(jù)庫(kù)只能通過(guò)互聯(lián)網(wǎng)進(jìn)行通訊�����,導(dǎo)致數(shù)據(jù)庫(kù)服務(wù)器暴露于公網(wǎng)之上。
圖1:網(wǎng)絡(luò)架構(gòu)示意圖
如圖可知��,A集團(tuán)原有業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)架構(gòu)雖然能夠保證業(yè)務(wù)系統(tǒng)和后臺(tái)數(shù)據(jù)庫(kù)的正常通訊,但也令其業(yè)務(wù)系統(tǒng)后臺(tái)數(shù)據(jù)庫(kù)直接面臨來(lái)自互聯(lián)網(wǎng)的攻擊威脅;其中�����,針對(duì)數(shù)據(jù)庫(kù)賬號(hào)的暴力破解是最具威脅的攻擊方式之一�����。
所謂“暴力破解”����,是對(duì)用“窮舉法”破解密碼方法的形象稱(chēng)呼——那是一種針對(duì)密碼的破譯方法,即對(duì)數(shù)據(jù)庫(kù)密碼進(jìn)行逐個(gè)推算直到找出真正的密碼為止���。黑客等外部滲透攻擊者可通過(guò)外網(wǎng)掃描或指定目標(biāo)數(shù)據(jù)庫(kù)IP地址����、賬戶(hù)名和密碼字典以實(shí)施密碼爆破�����,一旦數(shù)據(jù)庫(kù)密碼被此種嘗試登錄的方式破解�����,隨之而來(lái)的將是針對(duì)企業(yè)重要敏感數(shù)據(jù)的竊取或破壞行為��,后果難以估量�����。因此�,A集團(tuán)必須盡早采取有效的數(shù)據(jù)安全防護(hù)措施����,以避免重大經(jīng)濟(jì)損失和企業(yè)聲譽(yù)損害的發(fā)生�。
威脅分析
A集團(tuán)通過(guò)應(yīng)用918搏天堂數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品����,發(fā)現(xiàn)了大量的登錄異常告警。在對(duì)失敗登錄日志進(jìn)行分析后發(fā)現(xiàn),確認(rèn)是來(lái)自互聯(lián)網(wǎng)的大量未知IP在持續(xù)實(shí)施對(duì)該業(yè)務(wù)系統(tǒng)后臺(tái)數(shù)據(jù)庫(kù)的海量主動(dòng)會(huì)話(huà)發(fā)起,以及對(duì)數(shù)據(jù)庫(kù)賬號(hào)的嘗試登錄行為。
圖2:失敗登錄行為
經(jīng)過(guò)對(duì)業(yè)務(wù)系統(tǒng)IP源及數(shù)據(jù)庫(kù)運(yùn)維IP的統(tǒng)計(jì)分析��,并結(jié)合安全審計(jì)系統(tǒng)日志與網(wǎng)絡(luò)日志進(jìn)行比對(duì)�����,確認(rèn)了部分持續(xù)性的數(shù)據(jù)庫(kù)嘗試登錄行為正是來(lái)自互聯(lián)網(wǎng)的暴力破解攻擊�����。
解決方案
由于A集團(tuán)的整體網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)原因�����,無(wú)法調(diào)整服務(wù)器的物理部署位置。為此,918搏天堂專(zhuān)門(mén)針對(duì)A集團(tuán)的客觀環(huán)境設(shè)計(jì)并實(shí)施了如下數(shù)據(jù)安全加固方案:
1、數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)開(kāi)啟“短時(shí)間內(nèi)多次失敗登錄告警”規(guī)則��。當(dāng)已知或未知的數(shù)據(jù)庫(kù)用戶(hù)在5分鐘內(nèi)連續(xù)登錄失敗5次及以上時(shí)���,系統(tǒng)將馬上記錄風(fēng)險(xiǎn),并通過(guò)郵件實(shí)時(shí)推送告警信息至數(shù)據(jù)庫(kù)管理員郵箱�����;數(shù)據(jù)庫(kù)管理員在收到郵件告警通知后���,即可于第一時(shí)間驗(yàn)證賬號(hào)訪(fǎng)問(wèn)合法性���,并針對(duì)風(fēng)險(xiǎn)訪(fǎng)問(wèn)的出處進(jìn)行準(zhǔn)確溯源、追責(zé)�����;
2�、開(kāi)啟數(shù)據(jù)庫(kù)防暴力破解策略�����,當(dāng)檢測(cè)到超過(guò)10次錯(cuò)誤嘗試后�����,對(duì)該用戶(hù)執(zhí)行鎖定;
3����、于數(shù)據(jù)庫(kù)服務(wù)器所在網(wǎng)絡(luò)出口的防火墻上開(kāi)啟訪(fǎng)問(wèn)控制規(guī)則。通過(guò)白名單機(jī)制,禁止業(yè)務(wù)系統(tǒng)服務(wù)器以外的IP訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)服務(wù)器;同時(shí)���,修改數(shù)據(jù)庫(kù)服務(wù)器缺省端口,并對(duì)外禁用除數(shù)據(jù)庫(kù)協(xié)議以外的、所有端口的訪(fǎng)問(wèn)�;
4、數(shù)據(jù)庫(kù)管理員如需對(duì)數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行運(yùn)維操作,需要通過(guò)VPN通道實(shí)現(xiàn)訪(fǎng)問(wèn)�����。
防護(hù)建議
1�����、梳理數(shù)據(jù)庫(kù)賬號(hào)及權(quán)限分布情況,加強(qiáng)數(shù)據(jù)庫(kù)密碼長(zhǎng)度���、復(fù)雜度�����,并定期修改運(yùn)維賬戶(hù)登錄密碼�����;
2��、對(duì)數(shù)據(jù)庫(kù)賬號(hào)的“錯(cuò)誤認(rèn)證”行為進(jìn)行計(jì)數(shù)并給予限制�,如:用戶(hù)密碼超過(guò)5次錯(cuò)誤嘗試后���,該用戶(hù)被執(zhí)行鎖定��;
3�����、加強(qiáng)對(duì)臨時(shí)數(shù)據(jù)庫(kù)賬號(hào)的管理�����,同時(shí)停用�、注銷(xiāo)過(guò)期臨時(shí)賬號(hào)����;
4����、如條件允許�,可通過(guò)修改數(shù)據(jù)庫(kù)缺省訪(fǎng)問(wèn)端口,實(shí)現(xiàn)隱藏?cái)?shù)據(jù)庫(kù)的目的���;
5��、通過(guò)網(wǎng)絡(luò)防火墻�����、交換機(jī)配置URL訪(fǎng)問(wèn)控制策略����,限制除業(yè)務(wù)系統(tǒng)主機(jī)���、數(shù)據(jù)庫(kù)運(yùn)維主機(jī)以外的IP地址訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)服務(wù)器���,避免暴露數(shù)據(jù)庫(kù)服務(wù)器IP地址;
6、嚴(yán)格限制數(shù)據(jù)庫(kù)服務(wù)器21���、22����、3389等端口的使用���,禁止數(shù)據(jù)庫(kù)運(yùn)維跳板機(jī)以外的IP使用遠(yuǎn)程連接的方式登錄�、管理數(shù)據(jù)庫(kù)�����;
7�、加強(qiáng)對(duì)數(shù)據(jù)庫(kù)操作行為的審計(jì)��,非特殊情況下禁止數(shù)據(jù)庫(kù)服務(wù)器本地的SQL操作���;
8����、及時(shí)修復(fù)數(shù)據(jù)庫(kù)漏洞�,防范攻擊者通過(guò)數(shù)據(jù)庫(kù)認(rèn)證協(xié)議漏洞實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的暴力破解。
產(chǎn)品咨詢(xún):4000 258 365 
