互聯網解決方案
互聯網行(xíng)業數據庫安全解決方案
行(xíng)業痛點及需求

今年(nián)6月AcFun彈幕視(shì)頻網(俗稱:A站)發布消息稱網站受到黑客攻擊,近千萬條用戶數據外洩,包含用戶ID、用戶昵稱、加密存儲的(de)密碼等信息。根據A站官網發布的(de)《關于AcFun受黑客攻擊緻用戶數據外洩的(de)公告》,A站曾在2017年(nián)7月7日升級了用戶賬号系統,但如(rú)果用戶在這個時間之後未登錄過網站,或者密碼加密強度不夠,則賬号仍然會存在洩露的(de)風險。

近幾年(nián)的(de)數據洩露事件層出不窮,從2017年(nián)雅虎30億用戶信息洩露、Uber 5700萬用戶賬号被竊取,到2018年(nián)新年(nián)伊始就爆出的(de)美國(guó)國(guó)土安全部雇員信息洩密事件,可(kě)謂一(yī)波又一(yī)波,這次連二次元世界也不能幸免。縱觀這些數據洩露事件,大部分都指向了信息安全中一(yī)個高(gāo)對抗性的(de)領域:Web應用安全以及背後的(de)數據庫安全。

在今年(nián)5月份,Verizon公司剛剛發布了《2018 年(nián)數據洩露調查報告》,這也是Verizon連續發布的(de)第11份數據洩露調查報告。在今年(nián)的(de)報告中,Verizon團隊一(yī)共分析了53,000起事件和(hé)2,216起确認的(de)數據洩露事件,詳細分析了數據洩露事件中常用的(de)攻擊方式。報告指出,在這些洩露事件中,大部分的(de)攻擊都指向了Web應用程序:比如(rú)在信息行(xíng)業,49起洩露事件中有(yǒu)45起通過針對Web應用程序的(de)攻擊而達成,占比超過90%。由此可(kě)見,Web應用安全已經是數據洩露事件的(de)最前線,大量的(de)滲透注入、探測、撞庫、信息竊取都發生在Web服務器和(hé)數據庫之間。互金類、社交類、遊戲類、娛樂(yuè)出行(xíng)類互聯網已經涉足到了我們(men)日常的(de)生活中每一(yī)個角落,對于這些企業來講,注冊用戶數據作為(wèi)網站所有(yǒu)者的(de)核心信息資産,涉及到網站及關聯信息系統的(de)實質業務,一(yī)旦洩露,不僅會造成經濟利益上的(de)損失,還會産生巨大的(de)聲讨和(hé)信任危機(jī)。

首先數據庫的(de)應用相當複雜,掌握起來非常困難。許多數據庫管理(lǐ)員都忙于管理(lǐ)複雜的(de)系統,疏忽了安全隐患和(hé)不當配置的(de)檢查,例如(rú)數據庫訪問權限的(de)控制,共用賬号,使用特權賬号sa、system訪問、命令執行(xíng)的(de)控制。這是由于傳統的(de)安全體系在很大程度上忽略了數據庫安全這一(yī)主題,數據庫管理(lǐ)員也通常沒有(yǒu)把安全問題當作他們(men)的(de)首要任務。

其次,數據的(de)重要性日益劇增,也招緻一(yī)些非法人員對數據庫的(de)攻擊,攻擊者一(yī)般會通過sql注入、APT等攻擊方法對其進行(xíng)攻擊,這些漏洞往往不存在數據庫層面上,而在中間件上,傳統的(de)WAF、數據清洗在應對這類靈活的(de)攻擊手段時,由于其本身的(de)局限性,不能做(zuò)到百分百的(de)安全。


我們(men)的(de)方案


目前世界上主流的(de)關系型數據庫,諸如(rú)Oracle、Sybase、Microsoft SQL Server、IBM DB2/Informix等數據庫數據庫都具有(yǒu)以下特征:用戶帳号及密碼、校驗系統、優先級模型和(hé)控制數據庫的(de)特别許可(kě)、內(nèi)置命令(存儲過程、觸發器等)、唯一(yī)的(de)腳本和(hé)編程語言(例如(rú)PL/SQL、Transaction-SQL、OEMC等)、中間件、網絡協議、強有(yǒu)力的(de)數據庫管理(lǐ)實用程序和(hé)開發工具。 數據庫領域的(de)安全措施通常包括:身份識别和(hé)身份驗證、自(zì)主訪問控制和(hé)強制訪問控制、安全傳輸、系統審計、數據庫存儲加密等。隻有(yǒu)通過綜合有(yǒu)關安全的(de)各個環節,才能确保高(gāo)度安全的(de)系統。

帕拉迪下一(yī)代數據庫應用安全防禦系統(簡稱NGDAP)是杭州帕拉迪網絡科(kē)技有(yǒu)限公司自(zì)行(xíng)研制開發的(de)新一(yī)代數據防護系統。NGDAP通過對訪問數據庫的(de)數據流進行(xíng)采集、分析和(hé)識别。實時監視(shì)數據庫的(de)運行(xíng)狀态,記錄多種訪問數據庫行(xíng)為(wèi),發現對數據庫的(de)異常訪問,并進行(xíng)及時的(de)阻斷。

網絡防火牆

數據庫網絡防火牆主要基于網絡行(xíng)為(wèi)的(de)控制,基于TCP五元組來實現,根據五元組內(nèi)的(de)源地(dì)址,目标地(dì)址,源端口,目标端口,傳輸層協議進行(xíng)策略控制。

準入防火牆

通過白名單自(zì)學(xué)習進行(xíng)訪問準入規則的(de)固化(自(zì)動學(xué)習到數據庫訪問行(xíng)為(wèi)的(de)五元素—訪問源地(dì)址異常,訪問源主機(jī)名稱異常,訪問源用戶名稱異常,訪問工具名稱異常,登錄帳号名稱異常,固化安全規則),未被匹配到的(de)數據庫接入行(xíng)為(wèi)都會進行(xíng)實時的(de)預警和(hé)阻斷會話,在不影響性能和(hé)修改數據庫的(de)情況下,通過持續跟蹤所有(yǒu)數據庫操作來識别未授權的(de)活動或可(kě)疑的(de)活動,并及時阻斷,避免數據庫遭受網絡攻擊,從根本上解決數據庫惡意訪問威脅。

行(xíng)為(wèi)防火牆

可(kě)以精準的(de)追蹤到用戶的(de)SQL語句命令,可(kě)以對來源、目标庫、目标表和(hé)指定行(xíng)為(wèi)進行(xíng)控制,防止高(gāo)危違規操作和(hé)誤操作。

業務防火牆

學(xué)習階段,它會記錄分析并統計所有(yǒu)的(de)應用程序發來的(de)查詢請求,将其自(zì)動添加到白名單中來,用戶可(kě)以确認并調整白名單的(de)內(nèi)容。切換到主動防禦模式後,數據庫防火牆首先會對發來的(de)請求數據進行(xíng)标準化處理(lǐ),然後将處理(lǐ)後的(de)數據送往模式匹配引擎中,跟白名單中的(de)數據進行(xíng)比較,如(rú)果匹配到相關規則,則認為(wèi)是合法請求,該數據會被傳遞到真實的(de)數據庫中進行(xíng)查詢,并最後返回給應用程序;如(rú)果不匹配相關規則,則做(zuò)出告警或者阻斷響應,徹底解決SQL注入、APT等攻擊。


部署方式


客戶收益


1. 在不影響性能、不修改數據庫的(de)情況下,通過持續跟蹤所有(yǒu)數據庫操作來識别未授權的(de)活動或可(kě)疑的(de)活動,并及時阻斷,避免數據庫遭受網絡攻擊;

2. 增進用戶對數據庫安全管理(lǐ)的(de)便捷性,還能提升用戶的(de)風險管控和(hé)法規遵從能力;

3. 保障企業業務系統數據的(de)安全性和(hé)完整性;

4. 在數據庫外圍搭設一(yī)道(dào)防線,從而實現“禦敵于國(guó)門之外”,為(wèi)企業業務安全撐起“保護傘”。

經典案例
  • 鬥魚科(kē)技
  • 一(yī)嗨租車
  • 途家網
  • 連連支付
  • 東方有(yǒu)線
Copyright © 2019 All Rights Reserved Designed
杭州帕拉迪網絡科(kē)技有(yǒu)限公司