墨菲定律視角下的數(shù)據(jù)庫(kù)入侵防御
發(fā)布時(shí)間:
2019.07.12 | 來(lái)源:
帕拉迪
隨著網(wǎng)絡(luò)信息化的發(fā)展���,企業(yè)組織對(duì)網(wǎng)絡(luò)安全的關(guān)注���,由物理安全、邊界安全和系統(tǒng)安全��,已逐漸轉(zhuǎn)移到業(yè)務(wù)安全和數(shù)據(jù)安全��,業(yè)務(wù)數(shù)據(jù)的安全防護(hù)成本已占到企業(yè)組織IT預(yù)算成本的一半以上����。特別在新時(shí)代新形勢(shì)新業(yè)態(tài)的互聯(lián)網(wǎng)安全中,信息安全部門已逐步成為企業(yè)組織的一級(jí)部門�����,企業(yè)數(shù)據(jù)已經(jīng)成為組織核心資產(chǎn)���,針對(duì)數(shù)據(jù)的保護(hù)已寫入企業(yè)的基本戰(zhàn)略��。
企業(yè)對(duì)數(shù)據(jù)資產(chǎn)的安全防護(hù)存在多項(xiàng)工作:數(shù)據(jù)備份安全���、數(shù)據(jù)存儲(chǔ)安全����、數(shù)據(jù)脫敏及加密等����。在以可用性為主的業(yè)務(wù)安全觀點(diǎn)人群中,大多數(shù)還沒有完全理解數(shù)據(jù)庫(kù)安全的重要性����,而據(jù)前瞻性統(tǒng)計(jì)發(fā)現(xiàn),越來(lái)越多的企業(yè)信息安全負(fù)責(zé)人開始將數(shù)據(jù)庫(kù)安全細(xì)分領(lǐng)域列入自己的備忘清單����。業(yè)務(wù)連續(xù)性為企業(yè)組織的根本核心,而業(yè)務(wù)安全和數(shù)據(jù)安全是企業(yè)長(zhǎng)久發(fā)展的安全保障���,在以企業(yè)數(shù)據(jù)資產(chǎn)為核心競(jìng)爭(zhēng)力的當(dāng)下�����,數(shù)據(jù)庫(kù)作為企業(yè)組織“核心競(jìng)爭(zhēng)力”--數(shù)據(jù)資產(chǎn)--的容器���,承載了企業(yè)核心數(shù)據(jù)��,成為業(yè)務(wù)運(yùn)行和數(shù)據(jù)保護(hù)的基礎(chǔ)設(shè)施,解決數(shù)據(jù)庫(kù)的安全防御問(wèn)題已躍至CTO/CIO的工作內(nèi)容象限的榜首��。
一��、數(shù)據(jù)庫(kù)面臨哪些安全威脅
企業(yè)組織的數(shù)據(jù)庫(kù)體系�����,不僅僅是數(shù)據(jù)庫(kù)軟件平臺(tái)本身����,不會(huì)流動(dòng)的數(shù)據(jù)沒有意義,當(dāng)我們考慮數(shù)據(jù)庫(kù)安全的時(shí)候�����,顯然我們需要合理評(píng)估數(shù)據(jù)庫(kù)的受攻擊面大?�?��;數(shù)據(jù)庫(kù)訪問(wèn)涉及的認(rèn)證��、授權(quán)和審計(jì)問(wèn)題�;由于開發(fā)人員疏忽帶來(lái)的軟件漏洞和運(yùn)維人員的管理不善導(dǎo)致的潛在風(fēng)險(xiǎn)等,不難發(fā)現(xiàn)在實(shí)際運(yùn)維中����,各種各樣的風(fēng)險(xiǎn)都可能產(chǎn)生并帶來(lái)可怕的后果。筆者實(shí)驗(yàn)室通過(guò)收集各漏洞平臺(tái)及企業(yè)安全運(yùn)營(yíng)者的反饋數(shù)據(jù)庫(kù)安全信息�����,參考OWASP TOP 10制定了數(shù)據(jù)庫(kù)應(yīng)用防御的十大數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)威脅列表�。
二、數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)是否會(huì)發(fā)生
答案就是墨菲定律��,它闡述了一個(gè)事實(shí):如果事情有變?cè)愀猓òl(fā)生)的可能���,不管這種可能性有多小�����,它總會(huì)發(fā)生�。
墨菲(Edward A. Murphy)是美國(guó)愛德華茲空軍基地的上尉工程師�����。1949年,他和他的上司斯塔普少校��,在一次火箭減速超重試驗(yàn)中��,因儀器失靈發(fā)生了事故���。墨菲發(fā)現(xiàn),測(cè)量?jī)x表被一個(gè)技術(shù)人員裝反了�����。由此�����,他得出的教訓(xùn)是:如果做某項(xiàng)工作有多種方法����,而其中有一種方法將導(dǎo)致事故,那么一定有人會(huì)按這種方法去做����。
在事后的一次記者招待會(huì)上,斯塔普將其稱為“墨菲法則”�����,并以極為簡(jiǎn)潔的方式作了重新表述:凡事可能出岔子,就一定會(huì)出岔子��。墨菲定律的適用范圍非常廣泛�,它揭示了一種獨(dú)特的社會(huì)及自然現(xiàn)象。它的極端表述是:如果壞事有可能發(fā)生����,不管這種可能性有多小,它總會(huì)發(fā)生����,并造成最大可能的破壞。
此定律在技術(shù)界同樣適用��,并不是我要將其強(qiáng)加在數(shù)據(jù)庫(kù)安全領(lǐng)域����,只因?yàn)樗莱隽艘粋€(gè)法則,即安全風(fēng)險(xiǎn)必將由可能性變?yōu)橥话l(fā)性���。
三����、以墨菲定律分析數(shù)據(jù)庫(kù)安全
通過(guò)墨菲定律來(lái)觀察數(shù)據(jù)庫(kù)入侵防御,我們要持以積極的態(tài)度����,既然數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)不可避免,那我們一定要順應(yīng)必然性���,積極應(yīng)對(duì)����,做好事件應(yīng)急和處置��。在數(shù)據(jù)庫(kù)安全防御方面��,要科學(xué)合理規(guī)劃全面積極的應(yīng)對(duì)方案���,必須做到事前主動(dòng)防御、事中及時(shí)阻斷����、事后完整審計(jì)。
根據(jù)墨菲定律可總結(jié)對(duì)數(shù)據(jù)庫(kù)入侵防御的啟示:
一�、不能忽視數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)小概率事件
雖然數(shù)據(jù)庫(kù)安全事件不斷發(fā)生,但仍有一定數(shù)量的安全負(fù)責(zé)人認(rèn)為,企業(yè)安全防護(hù)已經(jīng)從物理層���、網(wǎng)絡(luò)層����、計(jì)算主機(jī)層�、應(yīng)用層等進(jìn)行了多重防御,網(wǎng)絡(luò)邊界嚴(yán)格準(zhǔn)入控制����,外部威脅情報(bào)和內(nèi)部態(tài)勢(shì)感知系統(tǒng)能完美配合,業(yè)務(wù)數(shù)據(jù)早已經(jīng)過(guò)層層保護(hù)��,安全威脅不可能被利用發(fā)生數(shù)據(jù)庫(kù)安全事件�。
而現(xiàn)實(shí)情況是:由于小概率事件在一次實(shí)驗(yàn)或活動(dòng)中發(fā)生的可能性很小,因此��,就給人一種錯(cuò)誤的理解�,即在一次活動(dòng)中不會(huì)發(fā)生。與事實(shí)相反�����,正是由于這種錯(cuò)覺����,加大了事件發(fā)生的可能性����,其結(jié)果是事故可能頻繁發(fā)生�����。雖然事件原因是復(fù)雜的���,但這卻說(shuō)明小概率事件也會(huì)常發(fā)生的客觀事實(shí)�����。
墨菲定律正是從強(qiáng)調(diào)小概率事件的重要性的角度啟示我們:雖然數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)事件發(fā)生的概率很小�����,但在入侵防御體系活動(dòng)中,仍可能發(fā)生且必將發(fā)生����,因此不能忽視。
二��、在數(shù)據(jù)庫(kù)安全中積極應(yīng)用墨菲定律
1、強(qiáng)化數(shù)據(jù)庫(kù)入侵防御的安全認(rèn)知
數(shù)據(jù)庫(kù)已經(jīng)成為企業(yè)安全防護(hù)的核心�����,認(rèn)識(shí)數(shù)據(jù)庫(kù)安全威脅事件可能發(fā)生的必然性�,預(yù)防數(shù)據(jù)庫(kù)不安全狀態(tài)的意外性事件發(fā)生,必須要采取事前預(yù)防措施����,從網(wǎng)絡(luò)層、應(yīng)用層和數(shù)據(jù)庫(kù)層����,涵蓋業(yè)務(wù)系統(tǒng)(中間件)和運(yùn)維DBA,全面管控��,提前謀劃����。既然數(shù)據(jù)庫(kù)入侵事件無(wú)可避免,那一定要保證完整原始的數(shù)據(jù)庫(kù)訪問(wèn)記錄����,以供審計(jì)取證留存證據(jù),做到有據(jù)可查���。
2���、規(guī)范安全管理���,正確認(rèn)識(shí)數(shù)據(jù)庫(kù)安全控制
安全管理的目標(biāo)是杜絕事故的發(fā)生,而事故是一種不經(jīng)常發(fā)生的意外事件����,這些意外事件發(fā)生的概率一般比較小,由于這些小概率事件在大多數(shù)情況下不發(fā)生���,所以�����,往往管理疏忽恰恰是事故發(fā)生的主觀原因���。墨菲定律告誡我們,數(shù)據(jù)庫(kù)及業(yè)務(wù)數(shù)據(jù)的安全控制不能疏忽���。要想保證數(shù)據(jù)庫(kù)安全,必須從基礎(chǔ)做起���,對(duì)數(shù)據(jù)庫(kù)的基本安全配置����,要形成統(tǒng)一的安全基線,對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)行為要做到“白名單化”��,采取積極的預(yù)防方法和措施���,避免意外的事件發(fā)生�。
3��、轉(zhuǎn)變觀念�,數(shù)據(jù)庫(kù)入侵防御變被動(dòng)為主動(dòng)
傳統(tǒng)安全管理是被動(dòng)的安全管理,是在安全管理活動(dòng)中采取安全措施或事故發(fā)生后����,通過(guò)總結(jié)教訓(xùn),進(jìn)行“亡羊補(bǔ)牢”式的管理����。隨著IT網(wǎng)絡(luò)技術(shù)迅速發(fā)展,安全攻擊方式不斷變化�,新的安全威脅不斷涌現(xiàn),發(fā)生數(shù)據(jù)庫(kù)安全事件的誘因增多����,而傳統(tǒng)的網(wǎng)絡(luò)型入侵防御系統(tǒng)模式已難于應(yīng)付當(dāng)前對(duì)數(shù)據(jù)庫(kù)安全防御的需求�。為此���,不僅要重視已有的安全威脅���,還要主動(dòng)地去識(shí)別新的風(fēng)險(xiǎn),主動(dòng)學(xué)習(xí)���,模態(tài)分析���,及時(shí)而準(zhǔn)確的阻斷風(fēng)險(xiǎn)活動(dòng),變被動(dòng)為主動(dòng)�����,牢牢掌握數(shù)據(jù)庫(kù)入侵防御的主動(dòng)權(quán)�。
三、正確認(rèn)識(shí)數(shù)據(jù)庫(kù)入侵防御系統(tǒng)
1����、數(shù)據(jù)庫(kù)入侵防御系統(tǒng)串聯(lián)與并聯(lián)之爭(zhēng)
數(shù)據(jù)庫(kù)入侵防御系統(tǒng),可以通過(guò)串聯(lián)或旁路部署的方式,對(duì)業(yè)務(wù)系統(tǒng)與數(shù)據(jù)庫(kù)之間的訪問(wèn)行為進(jìn)行精確識(shí)別��、精準(zhǔn)阻斷�。不僅如此�����,合理使用還能具有事前主動(dòng)防御和事后審計(jì)追溯的能力�。
不過(guò),部分用戶認(rèn)為旁路的阻斷行為效果不佳��,而串聯(lián)進(jìn)網(wǎng)絡(luò)實(shí)現(xiàn)實(shí)時(shí)阻斷��,又擔(dān)心影響業(yè)務(wù)訪問(wèn)時(shí)���。
串聯(lián)模式部署在業(yè)務(wù)系統(tǒng)與數(shù)據(jù)庫(kù)中間����,通過(guò)流量協(xié)議解碼對(duì)所有SQL語(yǔ)句進(jìn)行語(yǔ)法解析��,審核基于TCP/IP五元組(來(lái)往地址����、端口與協(xié)議)、準(zhǔn)入控制因素和數(shù)據(jù)庫(kù)操作行為的安全策略,結(jié)合自主動(dòng)態(tài)建模學(xué)習(xí)的白名單規(guī)則�,能夠準(zhǔn)確識(shí)別惡意數(shù)據(jù)庫(kù)指令,及時(shí)阻斷會(huì)話或準(zhǔn)確攔截惡意操作語(yǔ)句�。串聯(lián)模式部署最大風(fēng)險(xiǎn)在于不能出現(xiàn)誤判,否則影響正常語(yǔ)句通過(guò)��,此必需要系統(tǒng)的SQL語(yǔ)句解析能力足夠精確����,并且能夠建立非常完善的行為模型,在發(fā)現(xiàn)危險(xiǎn)語(yǔ)句時(shí)���,能夠在不中斷會(huì)話的情況下��,精準(zhǔn)攔截風(fēng)險(xiǎn)語(yǔ)句�����,且不影響正常訪問(wèn)請(qǐng)求�����。因此�,若想數(shù)據(jù)庫(kù)入侵防御系統(tǒng)發(fā)揮最佳效果�,必須串聯(lián)在數(shù)據(jù)庫(kù)的前端,可以物理串聯(lián)(透明橋接)或邏輯串聯(lián)(反向代理)。
旁路部署模式���,目前的常用方式是通過(guò)發(fā)送RESET指令進(jìn)行強(qiáng)行會(huì)話重置�����,此部署方式在較低流量情況下效果最佳。如在業(yè)務(wù)系統(tǒng)大并發(fā)情況下����,每秒鐘SQL交易量萬(wàn)條以上,這種旁路識(shí)別阻斷有可能出現(xiàn)無(wú)法阻斷情況���,且會(huì)出現(xiàn)延遲����。有可能因?yàn)檠舆t��,阻斷請(qǐng)求發(fā)送在SQL語(yǔ)句執(zhí)行之后����,那么反倒影響了正常業(yè)務(wù)請(qǐng)求。所以在高并發(fā)大流量場(chǎng)景下����,如果要實(shí)現(xiàn)實(shí)時(shí)精準(zhǔn)阻斷攔截效果�,就要求數(shù)據(jù)庫(kù)入侵防御系統(tǒng)具有超高端的處理性能��。
至于串聯(lián)部署還是旁路部署更為合適���,需要匹配相應(yīng)的業(yè)務(wù)系統(tǒng)場(chǎng)景��。數(shù)據(jù)庫(kù)入侵防御系統(tǒng)最終奧義是它的防御效果�����,即對(duì)風(fēng)險(xiǎn)語(yǔ)句的精準(zhǔn)阻斷能力����。通過(guò)墨菲定律對(duì)比分析���,旁路部署有阻斷請(qǐng)求的可能性則必然會(huì)發(fā)生�。而串聯(lián)存在影響業(yè)務(wù)訪問(wèn)的擔(dān)憂���,那它始終都會(huì)發(fā)生�,而正視這種風(fēng)險(xiǎn)���,讓我們對(duì)數(shù)據(jù)庫(kù)入侵防御系統(tǒng)的精準(zhǔn)阻斷能力有更高要求���,盡可能將這種風(fēng)險(xiǎn)降到最低���。
2、數(shù)據(jù)庫(kù)入侵防御系統(tǒng)串聯(lián)實(shí)時(shí)同步阻斷與異步阻斷之爭(zhēng)
相對(duì)數(shù)據(jù)庫(kù)入侵防御系統(tǒng)的串并聯(lián)之爭(zhēng)來(lái)講���,串聯(lián)實(shí)現(xiàn)同步阻斷與異步阻斷更為細(xì)分,市面上存在兩類串聯(lián)的數(shù)據(jù)庫(kù)入侵防御系統(tǒng)��;
一類就是以IBM Guardium為代表的本地代理引擎在線監(jiān)聽異步阻斷����,當(dāng)有危險(xiǎn)語(yǔ)句通過(guò)代理到DBMS時(shí),代理會(huì)將內(nèi)容信息副本發(fā)至分析中心��,由中心判斷是否違法或觸犯入侵防御規(guī)則�����,進(jìn)而給代理程序發(fā)出阻斷指令�,很顯然這種部署的好處是不局限與數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)環(huán)境,IP可達(dá)即可���,而壞處就更明顯了����,那就是Agent與Center通信期間,SQL訪問(wèn)是放行的��,也就是如果在前面幾個(gè)包就出現(xiàn)了致命攻擊語(yǔ)句�����,那么這次攻擊就會(huì)被有效執(zhí)行�����,即防御體系被有效繞過(guò)��。
另一類就是以國(guó)內(nèi)廠商帕拉迪為代表的串聯(lián)實(shí)時(shí)同步阻斷�����,當(dāng)有危險(xiǎn)語(yǔ)句通過(guò)串聯(lián)數(shù)據(jù)庫(kù)入侵防御系統(tǒng)時(shí)��,入侵防御系統(tǒng)若監(jiān)測(cè)到風(fēng)險(xiǎn)語(yǔ)句����,立馬阻斷���;無(wú)風(fēng)險(xiǎn)的語(yǔ)句放行,這種模式及立馬分析立馬判斷����。也很顯然,這種部署模式的好處是小概率事件或預(yù)謀已久的直接攻擊語(yǔ)句也會(huì)被實(shí)時(shí)阻斷����;而壞處也非常明顯,那就是處理效率�����,如果數(shù)據(jù)庫(kù)入侵防御系統(tǒng)處理效率不行�,就會(huì)出現(xiàn)排隊(duì)等待的狀態(tài)���,進(jìn)而對(duì)業(yè)務(wù)的連續(xù)性造成影響����。關(guān)鍵就是要把握這個(gè)平衡點(diǎn)����,至少要達(dá)到無(wú)感知����,這個(gè)點(diǎn)的取舍就取決于各個(gè)數(shù)據(jù)庫(kù)安全廠商處理SQL語(yǔ)句的算法能力了�。
四、結(jié)束語(yǔ)
墨菲定律并不復(fù)雜���,將它應(yīng)用到數(shù)據(jù)庫(kù)入侵防御領(lǐng)域���,揭示了在數(shù)據(jù)庫(kù)安全中不能忽視的小概率風(fēng)險(xiǎn)事件,要正視墨菲定律轉(zhuǎn)為積極響應(yīng)�����,應(yīng)充分理解墨菲定律���,抵制“數(shù)據(jù)庫(kù)層層保護(hù)不存在風(fēng)險(xiǎn)”����、“別人都是這樣做”��、“數(shù)據(jù)庫(kù)入侵防御系統(tǒng)并聯(lián)不會(huì)誤阻斷”等錯(cuò)誤認(rèn)識(shí)�����,牢記只要存在風(fēng)險(xiǎn)隱患,就有事件可能�,事件遲早會(huì)發(fā)生,我們應(yīng)當(dāng)杜絕習(xí)慣性認(rèn)知��,積極主動(dòng)應(yīng)對(duì)數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)�����。