2017年数据库漏洞安全威胁报告(附完整版下载)

本文涉及的产品
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS PostgreSQL,集群系列 2核4GB
简介:

安华金和长期致力于帮助客户应对数据库安全领域的威胁。为了提高数据库用户的安全意识,快速反馈最新数据库漏洞被利用方向,安华金和数据库攻防实验室(DBSec Labs)最新发布《2017年数据库漏洞安全威胁报告》,该报告用于快速跟踪及反馈数据库安全的发展态势。

(如需获取完整版报告文档,请至文末查看)


2017年数据库安全形势综述


当今,云计算、大数据、AI被认为是有望改变世界的“三剑客”,将深入影响甚至支撑未来人类文明发展的方方面面,而数据是支撑这些前沿技术存在与发展的生产资料,被企业和部门视为资产甚至能源。作为数据存储的主要技术手段,数据库系统在整个IT架构中的重要地位不言而喻。


大数据时代来临,各行业数据量呈TB级别增长。除了数据规模的攀升,数据库系统所处的网络环境也在发生变化。数据库原本被设计在内网中使用,自身安全体系根据内网需求搭建。随着云技术的飞速发展,数据库被广泛使用到私有云、公有云、行业云等开放或半开放环境中。目前,各类云平台上累计部署的数据库服务器已超过70万台,随着《云计算发展三年行动计划(2017-2019年)》的发布,这个数字还将不断攀升。


网络环境日益变化,旧的安全体系已不再适用,高速的场景迁移迫使数据库面临更多安全挑战。目前,无论企业还是客户都必须要考虑数据安全问题。客户需要有安全感,而企业则需要对应用数字技术加速核心业务建立信心,所以解决现实的和潜在的风险就至关重要。


2 数据库自身的安全缺陷

随着大数据库时代的到来,云平台的流行,物联网的兴起,数据库的应用范围越来越广泛,基本上每个领域都能见到数据库的影子。从世界500强到各国政府机关,数据库在其中扮演着非常重要的角色,很多重要和敏感的信息都保存其中,例如个人银行账号密码、政府机密资料、军事核心武器设计图等。因此,数据库成为入侵者越来越有价值的攻击目标,一旦获得数据库权限,入侵者则可以获得非常有价值的数据。因此,确保数据库以及数据库中的数据安全至关重要。


数据库被设计的目的就是以有序和易于检索的方式提供大量数据的服务。其本身是被设计在内网之中的,一个相对安全的环境中。而现在发展的趋势是内外网逐渐融合,数据库将面临大量新型场景。其中很多新型场景面临的安全威胁是数据库现有安全机制无法防护的。数据库的优良性能和落后的安全机制成为鲜明的对比。数据库现在首要需要解决的就是有针对的,加强某些场景下的安全防护能力,否则安全将成为数据库的“阿喀琉斯之踵”。


数据库安全威胁分析

数据库对安全的设计最初是依照美国国防部标准形成,并逐渐发展和强化。但是随着大数据的兴起,数据库开始进入更多领域,开发更多功能,部署在更加危险的网络环境中。大部分商用数据库虽然都通过了安全标准,但那些安全标准和现实安全有很大的区别。今年人为因素,数据库系统安全和第三方恶意组件共同组成直刺数据库的矛。如何帮助数据库抵御这三种威胁的攻击将成为打赢此次攻防大战的关键。

d0e2ae4525f364cd06d2b2239e5177488e2abdf6

上图为安全威胁分析表,很多场景中攻击者采用多种手段(人为因素一般是作为前哨)。第三方恶意组件已经成为数据库安全的最大威胁。数据库系统安全还是数据库威胁中的重要一环,人为因素对数据库的威胁将是最难解决的一环。以上各种数据库安全威胁展开分析见报告详版。


1. 数据库勒索攻击分析

勒索软件一直是数据库安全的最大威胁。数据库勒索和数据库后门就是这方面的代表。不法分子通过钓鱼、网络蠕虫、后门工具等方式,向特定目标的数据库服务器植入后门,长期盗取数据;或加密数据文件,向数据所有者实施勒索。这些后门勒索等手段,随着手段成熟、工具化、傻瓜化正急速扩大其攻击范围,这是数据库的首要安全威胁。


要应对黑客的攻击就必须找准发力点,提高人员素质和管理,构建安全稳定的数据库安全机制,杜绝勒索软件的攻击。我们会在报告详版中涉及三种不同场景下的数据库勒索攻击——针对数据库的比特币勒索攻击、云上数据库的比特币勒索、内网数据库的比特币勒索,并提供相应的应对措施。


应对措施
比特币勒索正在出现向数据库领域深入的趋势。无论是乱枪打鸟的云上比特币勒索,还是定点打击的内网比特币勒索都应该引起各位数据库安全工作者的警惕。除了警告用户注意垃圾邮件、恶意广告和定期备份数据、关注数据库安全配置、使用高强度口令之外可以建立的安全防护机制应当是全面立体的。解决思路:构建预先防护+定期安全探查+数据定期备份的三重安全保障。(具体细节请关注报告详版)

2.数据库系统漏洞的统计分析

目前数据库安全威胁主要来自三个方面,其中数据库漏洞是外部攻击者最常利用的攻击途径,通过漏洞攻击入侵数据库系统,可能造成两方面的严重影响,一是数据泄露或被窃造成的数据资产损失,另一方面,由于数据库系统在IT架构中处于核心位置,入侵者造成数据库功能影响后,还可能以数据库为跳板从而向整个局域网发起更大范围攻击,造成系统性风险。


由于数据库漏洞挖掘的技术门槛极高,2016年之前,能够成功发现并提交数据库漏洞的技术团队全部来自国外,以欧美为主。今年,安华金和攻防实验室国内首次成功提交国际数据库漏洞,并获CVE认证,实现了国内安全团队在此方面的突破;从去年开始,国内权威漏洞平台CNNVD上,也开始出现国产数据库漏洞信息,这表明国产数据库的应用范围正在扩大,受到安全研究团队更多关注,国内数据库漏洞研究能力的大幅提升,有助于提高国内数据库安全建设的整体水平。


数据库漏洞属于软件漏洞中的一种,主要是被用来突破系统的安全策略。数据库漏洞往往会影响很大一个范围,除了影响数据库自身,还包括数据库所在操作系统和数据库所在局域网的整体安全。漏洞的存在和数据库的使用时间有密切关系,随着用户的深入使用,漏洞会不断被暴露出来,然后又会不断被系统补丁修补,或在新版本中修复。随着时间的推移,旧的漏洞会被修复,新的漏洞会不断出现。漏洞不会彻底消失,而会长期存在。数据库漏洞影响广、威胁大,防护者除了积极更新补丁外,还可通过合理配置提高入侵难度的特性。



下面从漏洞时间分布、漏洞威胁分布数据库厂商爆出漏洞比例、受影响组件和漏洞类型分类等5个角度总结和分析全球主流数据库存在的安全漏洞状况,以总结漏洞发展趋势,研究结果有助于形成及时应对方法。漏洞信息取自NVD(美国国家漏洞库)和CNNVD(国家信息安全漏洞库)及CNVD(国家信息安全漏洞共享平台)。

1. 按威胁类型分布情况分析

截止2017年12月,NVD发布的被确认的国际主流数据库漏洞共计124个,其中Oracle 10个、MySQL 91个、Postgresql 9个、Microsoft SQL Server 1个、IBM DB2 10个、Informix3个(其中有2个漏洞来自安华金和攻防实验室)。其中Oracle被发现的10个漏洞中含4个高危漏洞;MySQL数据库的91个漏洞中含有7个高危漏洞;Postgresql数据库的9个漏洞中含7个高危漏洞。截止2017年12月,来自CNNVD和CNVD的国产数据库漏洞一共11个,全部来自安华金和攻防实验室,其中达梦数据库漏洞10个,Gbase1个;达梦数据库漏洞包括1个超高危、3个高危。


f1f9611ede5b7da128fa9ac11fd8bc611e11f57e

 2017年各主流数据库的漏洞分布情况


按照对数据库的机密性、完整性和可用性的影响程度,数据库漏洞可以分成3大类:高危漏洞、中危漏洞和低危漏洞。2017年被确认的135个漏洞中高危漏洞30个,中危漏洞95个,低危漏洞10个。高危漏洞集中分布在Oracle和MySQL中。

e9025b23b10ad1a0794fcd867ae4cea369e5b379


2. 按受影响组件属性分类情况分析


从受影响组件的角度分析:Oracle数据库的 10个漏洞主要集中于java vm和Core RDBMS中(这三个占新漏洞的80%)。这3个组件中Core RDBMS 是Oracle数据库的最核心组件。


MySQL数据库由于代码开源,加之平行版本较多,因此被发现的漏洞较多。由于MySQL衍生版本较多,虽然未标注但很多漏洞也在衍生版本上存在。用户需要同样关注衍生版本的数据库安全。

Postgresql、DB2总漏洞数量不多,但风险等级较高。云环境具备一定的开放程度,数据库暴露性增强,这可能给攻击者提供了利用漏洞的便利性。MySQL和sqlserver在云平台中占据非常多的份额,云平台的用户和云服务商需要将数据库安全的防护重点集中于这两类数据库上。 


3. 按漏洞的攻击途径分类情况分析


通常漏洞按攻击途径划分为两类:远程服务器漏洞和本地漏洞,具体如下图:

df4fddc234e7a40d0893b9a5390aba15f20d6a78

各主流数据库漏洞的攻击途径分布

根据上图按攻击途径的分类可知:远程漏洞占74%,本地漏洞基本只占17%。而在远程漏洞中,需要登入到数据库在SQL层的漏洞远多于协议层的漏洞。除去不确定的漏洞,SQL层占据了全部漏洞类型的81%,协议层漏洞占据了9%。SQL层的漏洞利用需要通过一组弱口令登入到数据库中,通过巧妙的字符串组合导致数据库出现拒绝服务、数据库泄露、权限提升、操作系统被控制等多种问题。针对数据库中的SQL层可以采用对问题函数、存储过程进行权限限制等方式来规避。缓冲区溢出则需要必须进行源码级别的防守或升级官方补丁才行。

数据库系统的安全建议


数据库安全发展到现在,权限的控制和输入的限制是永恒的话题。今年5大主流数据中依然被发现了26个高危漏洞。其中,缓冲区溢出和通讯协议破解的漏洞的总数越来越少,但一旦出现将是数据库的噩梦。数据库引擎中的越权访问、账号提权、敏感信息泄露侵依旧是漏洞中的主流,基本80%以上的漏洞都属于数据库引擎范畴。在数据库引擎层的漏洞中,今年最常见的漏洞是竞态越权。大部分引擎层的漏洞的想要实施是需要一被盗取的数据库账号具备一定的权限。所以用户可以有针对性的对数据库进行加固。针对数据库漏洞攻击的数据库加固方式可以采用购买第三方产品。但更重要的是要遵循以下原则:


1.用户权限最小化原则。90%的漏洞攻击都是需要账号具备一定的权限。所以请用户配置数据库帐号时,给能满足应用系统使用的最小权限的账号。任何额外的权限都可能是潜在的攻击点。


2. 定期安装数据库厂商提供的漏洞补丁。根据多年经验发现95%以上数据库被黑客入侵。黑客使用的漏洞并不是0day,而是数据库厂商早已发布过,已经有补丁可用的漏洞。如果由于应用系统等原因无法及时打补丁,也请通过虚拟补丁等技术暂时或永久加固数据库。


3. 安全配置70%的数据库漏洞能被利用的条件除了一定的权限外,还需要数据库未开启某些安全配置。数据库默认安装下并不会开启所有安全配置。在充分考虑对应用的影响后,尽可能开启数据库自身提供的安全设置将会极大降低被不法分子攻击的成功率。例如注明的TNS投毒漏洞,其实开启TNS密码就可以简单杜绝。


4. 数据库功能最小化原则。数据库本身为了适应足够多的场景,设计了各种各样的功能组件。但对于用户来说,大部分功能组件根本不会使用。建议在综合应用和运维后,划定一个使用组件的最小范围。删除数据库中不用的组件。减少数据库组件可以有效的减少用户面对的风险面。在一定程度可以规避某些特定组件存在的漏洞攻击。


结束语

回顾这几年,虽然每年漏洞出现的数量并非稳定下降,但数据库自身出现漏洞的几率越来越低,漏洞数量不能稳定下降主要和两点紧密相关:

  • 很多数据库为了方便用户扩展了大量接口和功能,新功能在最初的版本总是受到自身漏洞和兼容性漏洞的双重困扰。

  • 黑客利用漏洞的能力越来越强,以前很多被发现的漏洞其实是无法被利用的,黑客逐渐把其中一部分以前无法利用的漏洞变得可以利用。同时黑客也会特别关注与某些行业,数据库漏洞攻击往往也集中在这些行业领域。


最后,也是最重要的,大部分数据库漏洞攻击者依然是以获利为第一目的的。数据库跟随业务逐渐从后台走向前台;从内网走向外网;从实体走向虚拟(云)。数据库处于新的环境之中,给黑客带来了更多入侵的机会。相信本文的这些观点对大家预测未来的数据库攻防的形式,以及进一步完善企业及组织的解决方案是有价值的。今年请特别注意MySQL数据库的安全防护工作。


获取完整版《2017年数据库漏洞安全威胁报告》请关注“安华云安全”微信号,点击菜单“发现-获取PPT”获取

8f444a73ba4e341131bbdb1fa0661b0f2d5346dd



相关实践学习
如何在云端创建MySQL数据库
开始实验后,系统会自动创建一台自建MySQL的 源数据库 ECS 实例和一台 目标数据库 RDS。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助     相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
相关文章
|
5月前
|
存储 监控 安全
360 企业安全浏览器基于阿里云数据库 SelectDB 版内核 Apache Doris 的数据架构升级实践
为了提供更好的日志数据服务,360 企业安全浏览器设计了统一运维管理平台,并引入 Apache Doris 替代了 Elasticsearch,实现日志检索与报表分析架构的统一,同时依赖 Doris 优异性能,聚合分析效率呈数量级提升、存储成本下降 60%....为日志数据的可视化和价值发挥提供了坚实的基础。
360 企业安全浏览器基于阿里云数据库 SelectDB 版内核 Apache Doris 的数据架构升级实践
|
5月前
|
存储 人工智能 Cloud Native
阿里云瑶池数据库训练营权益:《玩转Lindorm》学习资料开放下载!
阿里云瑶池数据库训练营权益:《玩转Lindorm》学习资料开放下载!
|
2月前
|
安全 关系型数据库 数据库
FastAPI数据库操作秘籍:如何通过高效且安全的数据库访问策略,使你的Web应用飞速运转并保持数据完整性?
【8月更文挑战第31天】在构建现代Web应用时,数据库操作至关重要。FastAPI不仅简化了API创建,还提供了高效数据库交互的方法。本文探讨如何在FastAPI中实现快速、安全的数据处理。FastAPI支持多种数据库,如SQLite、PostgreSQL和MySQL;选择合适的数据库可显著提升性能。通过安装相应驱动并配置连接参数,结合ORM库(如Tortoise-ORM或SQLAlchemy),可以简化数据库操作。使用索引、批量操作及异步处理等最佳实践可进一步提高效率。同时,确保使用参数化查询防止SQL注入,并从环境变量中读取敏感信息以增强安全性。
93 1
|
2月前
|
前端开发 数据库 Python
用Python轻松开发数据库取数下载工具
用Python轻松开发数据库取数下载工具
|
2月前
|
关系型数据库 分布式数据库 数据库
安全可靠的国产自研数据库PolarDB V2.0,让数据库开发像“搭积木”一样简单!
安全可靠的国产自研数据库PolarDB V2.0,让数据库开发像“搭积木”一样简单!
|
2月前
|
存储 安全 关系型数据库
"揭秘!如何设计数据库架构,让信息系统心脏强健无比?一场关于数据效率、安全与可扩展性的深度探索"
【8月更文挑战第19天】数据库架构是信息系统的核心,关乎数据存储效率与安全及应用性能和扩展性。优秀设计需综合考量业务需求、数据模型选择、查询优化、事务处理、安全性和扩展性。首先,深刻理解业务需求,如电商系统需高效处理并增长商品、订单等数据。其次,基于需求选择合适的数据模型,如关系型或非关系型数据库。再者,优化查询性能与索引策略以平衡读写负载。同时,考虑事务处理和并发控制以保证数据一致性和完整性。最后,加强安全性措施和备份恢复策略以防数据风险。通过这些步骤,可以构建稳健高效的数据库架构,支持系统的稳定运行。
31 0
|
3月前
|
数据可视化 安全 API
数据库开放权限风险高,API非唯一选择:DataV为您开启安全高效的数据可视化之旅
良好的用户体验:DataV注重用户体验设计,提供了丰富的交互效果和动画效果,使得数据可视化大屏更加生动、吸引人。这有助于提升用户的参与度和满意度,促进数据的广泛应用
|
3月前
|
存储 监控 安全
安全规范问题之跟数据库交互涉及的敏感数据操作需要有哪些措施
安全规范问题之跟数据库交互涉及的敏感数据操作需要有哪些措施
|
4月前
|
SQL 安全 关系型数据库
关系性数据库错误日志安全审计
【6月更文挑战第4天】
57 8
|
4月前
|
存储 安全 关系型数据库
分布式数据库的性能和安全麻烦
【6月更文挑战第6天】该文探讨了分布式系统中节点交互的两种方式,并对比mysql和oracle两个数据库的CAP平衡模式。
57 0
分布式数据库的性能和安全麻烦