近日,由国家互联网应急中心(CNCERT)编写的《2019年中国互联网网络安全报告》(以下简称:《报告》)正式发布。《报告》依托CNCERT多年来从事网络安全监测、预警和应急处置等工作的实际情况,对我国互联网网络安全状况进行总体判断和趋势分析,具有重要的参考价值。
近年来,伴随数据价值的不断提升,数据安全问题日益严峻。作为海量数据的“电子化载体”,数据库所需面对的安全隐患和风险也水涨船高;而在与数据库有关的安全威胁中,“漏洞”绝对是跳不过的一大难点,它就像数据库安全“木桶效应”中的那块短板,如果不能及时发现和封堵,数据库及其数据安全都将沦为“一纸空谈”。
《报告》中专门针对我国境内数据库隐患排查及处置情况进行了公布——经CNCERT分析发现,安全漏洞是导致网络数据库存在数据泄露隐患的主要因素,涉及的数据库类型主要包括MongoDB、MySQL、ElasticSearch和Redis等,涉及的漏洞类型主要为未授权访问和弱口令漏洞等。如上图统计数据所示,由于数据库漏洞的存在,安全受其影响的数据表数量(20000+)、数据量(1330+TB)和数据条数(1.78万亿+)十分庞大!
一骑绝尘 · 遥遥领先
《报告》对于“安全漏洞是导致网络数据库存在数据泄露隐患的主要因素”这一结论,与安华金和“数据库安全的主要威胁之一就来自于数据库漏洞”的观点高度一致;多年坚持对数据库漏洞挖掘及安全防护工作的深入研究与沉淀,也为安华金和在该领域积累了丰富的经验成果、领先的技术产品、完善的团队体系以及更显著的优势地位。
安华金和旗下数据库攻防实验室(DBSec Labs)创建于2010年11月,是国内第一批成立的、规模化的数据库安全研究机构,配备有一支独立、持久的,针对数据库安全漏洞、数据库攻击技术模拟、数据库安全防护技术等方向进行科学分析与研究工作的专业团队。
DBSec Labs是国内具备“国际数据库漏洞挖掘能力”的专业实验室,也是国内首个针对数据库漏洞进行系统分类与定性分析的专业实验室,它在很长一段时期填补了国内数据库漏洞研究方面的空白。在数据库漏洞挖掘方面,DBSec Labs所涵盖的数据库范围之广、挖掘的数据库漏洞数量之多,在国内首屈一指;截至目前,DBSec Labs已针对Oracle、DB2、Informix、mongoDB、Gbase、Kingbase、达梦等国内外知名数据库厂商:
累计挖掘、提交并认证数据库漏洞 65个
· 超危数据库漏洞 1个
· 高危数据库漏洞 35个
· 中危数据库漏洞 23个
· 低危数据库漏洞 6个
注:另有10个数据库漏洞正在认证申请中。
累计复现数据库漏洞 74个
· 高危数据库漏洞 23个
· 中危数据库漏洞 29个
· 低危数据库漏洞 5个
· 未定级数据库漏洞 17个
疫情期间,DBSec Labs持续开展数据库漏洞挖掘及研究工作,成功发现DB2最新版本高危漏洞1个、中危漏洞2个,Informix数据库堆栈溢出漏洞1个,以及国产数据库漏洞若干;并成功复现包括2019-2020年较新版本MySQL、PostgreSQL在内的多个数据库漏洞。
此外,DBSec Labs根据多年以来对数据库安全风险分析与防护实践的经验总结,陆续编写并发布专门针对Oracle、MySQL、SQL Server、DB2、MongoDB、PostgreSQL六大国际主流数据库以及GBase、Kingbase、达梦三大国产主流数据库的《安全配置指导手册》。
独家研发 · 验证工具
DBSec Labs通过整合自身对数据库漏洞及数据库攻击技术的全部研究成果,独家设计研发出一套专业、高效、可靠的数据库漏洞验证工具——支持多种主流数据库类型、20+数据库版本以及100+漏洞的验证;漏洞类型更涵盖算法破解、监听劫持、缓冲区溢出、sql注入、静态注入、符号链接、反序列化等;并支持渗透模块与脚本免杀。此外,该款漏洞验证工具还具备以下五点优势:
1、自动快速识别数据库服务
不同于“遍历数据库协议”的传统数据库识别方式,安华金和数据库验证工具采用更加高效的数据库服务发现方法,可快速精准地发现网络内存活的数据库服务。
2、全面的数据库脆弱点检查
一般的数据库脆弱点检查是从已有数据库漏洞或数据库版本信息上进行的,这种检查方式并不全面;而安华金和数据库验证工具可根据数据库漏洞的基本成因,设计出全方位的脆弱点检查方向,覆盖数据库所有可能产生漏洞的安全因素,从操作系统、数据库配置、数据库使用三方位对数据库的脆弱点进行全面检查。
3、多层次、多维度立体攻击
为达到理想的渗透攻击效果,安华金和数据库漏洞验证工具采用从“多个层次和多个维度”进行渗透攻击的方式——其中多个层次指的是网络层、数据库层、操作系统层;多个维度指的是在不同层面,利用算法破解、监听劫持、缓冲区溢出、越权访问、SQL注入、静态注入、符号链提取、越权渗透、越权覆盖等多种类型的数据库漏洞进行渗透。
4、自动化、智能化渗透攻击
渗透攻击是一个复杂的过程,需要根据目标数据库和环境的特点,针对性地利用适合的安全漏洞和攻击脚本进行渗透攻击。安华金和数据库漏洞验证工具能够自动根据目标数据库的操作系统类型/版本以及数据库类型/版本,通过内建的漏洞攻击策略,智能地选择相匹配的渗透攻击脚本对数据库进行渗透攻击;同时,攻击完成后会根据渗透结果自动进行攻击效果检测,并根据攻击效果智能选择信息收集shell进行信息收集等后攻击操作,整个过程无需人工干预。
5、提供数据库专有攻击方法
安华金和数据库验证工具提供的“数据库专有攻击方式”有别于传统的软件攻击方式,是只有在数据库领域才能达成攻击效果的攻击方式;其中包含索引注入攻击、触发器注入攻击、辅助函数注入攻击、游标注入攻击等等。这些专有攻击方式涉及数据库对象、数据库事务类型、数据库权限、数据格式等数据库专业领域的相关数据处理能力。
DBSec Labs的研究工作并未止步于向数据库厂商提交漏洞,而是基于所发现的问题设计出针对数据库安全设计框架的改进方案——根据对国际主流数据库厂商相关防护技术的深入研究,通过对各类方案的利弊分析,自主创新并提出具备国际水平、业内独家的数据库安全加固解决方案,更好地帮助国内数据库厂商和广大数据库用户构建有针对性的防护体系,满足不同的数据库安全防护需求,为中国数据库及数据安全建设发展提供有力支撑,让数据使用自由而安全!
来源:freebuf.com 2020-08-21 11:26:47 by: 安华金和
请登录后发表评论
注册