Verizon曾經(jīng)就“核心數(shù)據(jù)是如何丟失的”做過一次全面的市場調(diào)查,結(jié)果發(fā)現(xiàn),75%的數(shù)據(jù)丟失情況是由于數(shù)據(jù)庫漏洞造成。CVE數(shù)據(jù)安全漏洞統(tǒng)計顯示,Oracle、SQL Server、MySQL等主流數(shù)據(jù)庫的漏洞逐年上升。Skybox Security最新發(fā)布的2020年漏洞和威脅趨勢報告則指出,2020年漏洞數(shù)量有可能突破新的記錄——超過20000個。

軟件系統(tǒng)因技術(shù)性缺陷,總是不可避免的存在各種漏洞,而根據(jù)Gartner的數(shù)據(jù), 其中99%的漏洞均為已知的漏洞,系統(tǒng)持續(xù)“裸奔”,這無疑給攻擊者大開方便之門。尤其是數(shù)據(jù)庫,這一信息系統(tǒng)的核心,一旦漏洞被利用,將造成巨大隱患。

通過獲取軟件開發(fā)商所提供的補丁程序,完成系統(tǒng)升級,這是普遍的漏洞修復方式,這種補丁修復流程會歷經(jīng)多個階段,如下圖所示:

普遍的漏洞修復方式

但是,這種直接打補丁的方案卻存在風險、成本、時效、老舊系統(tǒng)等諸多問題:

補丁修復操作繁瑣,修復過程存在兼容性隱患;

漏洞問題層出不窮,頻繁打補丁工作成本加大;

零日漏洞加速出現(xiàn),廠商提供補丁更新包卻滯后;

老舊系統(tǒng)無補丁更新,即便有用戶也不敢去升級。

在漏洞爆發(fā)式增長的今天,“打補丁”已經(jīng)越來越不能應對新的安全態(tài)勢,漏洞之困,何以解憂?這需要一種既可以快速解決系統(tǒng)漏洞風險,又具有可操作性的漏洞修補方案。虛擬補丁作為一種輕量級且無損現(xiàn)有生產(chǎn)環(huán)境,同時又是非常行之有效的漏洞修補方案應運而生。

☆虛擬補丁

虛擬補丁概念最早由安全廠商McAfee提出。虛擬補丁方案假設:

漏洞不可能避免,永遠都有漏洞。

漏洞修復總是需要一定的時間作為代價。

新形勢下,對于漏洞的“修復”有著更高的要求。避免觸碰業(yè)務系統(tǒng),盡可能短的時間內(nèi)進行修復。

如果一個系統(tǒng)有很多漏洞,只要不去引爆,那么這些漏洞的存在也將沒有意義。也就達到了“漏洞修復”的目的。

對此,虛擬補丁承認系統(tǒng)漏洞存在,在受保護的資源外部建立一個策略實施點,以便在漏洞到達目標之前識別和攔截利用這些漏洞的行為。這樣就不需要直接修改被保護的資源,從而讓漏洞在非法攻擊中隱形。如下圖所示:

虛擬補丁

目前市面上,虛擬補丁方案在形式上基本一致,但實現(xiàn)邏輯卻有所差異,各廠商都有各自的方案特點,如:

完全基于對網(wǎng)絡流量的分析并提供系統(tǒng)使用簽名、正則表達式和模式匹配來識別惡意活動并阻止相應的請求;

基于相同的原理,但提供一種使用規(guī)則語言和狀態(tài)管理等更為健壯的方式來阻止指定請求。

在數(shù)據(jù)庫安全領域歷經(jīng)十余年的研究和實踐,美創(chuàng)科技提出更輕量級、更加健壯的數(shù)據(jù)庫虛擬補丁方案,可以快速響應漏洞、智能修復,在此,我們深入了解該方案如何實現(xiàn)有效保護。

虛擬補丁架構(gòu)

美創(chuàng)科技虛擬補丁架構(gòu)主要由虛擬補丁策略、策略決策點(PDP)和策略執(zhí)行點(PEP)構(gòu)成。實現(xiàn)的邏輯架構(gòu)如下圖所示:

美創(chuàng)科技虛擬補丁架構(gòu)

策略執(zhí)行點(PEP)

數(shù)據(jù)平面攔截數(shù)據(jù)流,通過數(shù)據(jù)流的協(xié)議解析獲取請求/響應的應用層內(nèi)容。把內(nèi)容送往PDP(策略決策點)進行策略評估。根據(jù)PDP的返回做出響應,阻斷或者放行等。

流量可通過旁路模式實現(xiàn)。旁路模式實時阻斷較弱,但可實現(xiàn)告警,追溯等能力。流量串接模式則能夠進行實時阻斷,甚至是內(nèi)容級別的阻斷。

策略決策點(PDP)

根據(jù)策略對PEP送過來的請求進行評估,識別請求是否合法。策略可以采取多種形式:

正則匹配:觸發(fā)漏洞的語句往往具有一定的特征,可以根據(jù)這些特征編寫正則表達式。

語義解析:通過語義解析判斷當前請求是否是攻擊行為。

白名單形式:通過建立起正常的行為模式基線識別攻擊。偏離固有的行為模式,判定存在風險。

訪問上下文:通過檢測訪問上下文的各種屬性,判斷當前請求是否合法。

策略決策點的關(guān)鍵在于持續(xù)的評估請求合法性。根據(jù)靈活的策略庫、風險庫識別當前請求是否合法,對不合法的請求阻斷,將攻擊扼殺在路上,從而避免被保護的資源受到攻擊,受保護資源本身的漏洞也就不存在威脅。

流程

實施虛擬補丁,關(guān)鍵點在于請求的路徑上設置檢測點,阻斷非法請求。讓受保護資源本身的漏洞隱形,不會發(fā)作,從而達到“漏洞修復”的目的。

☆虛擬補丁的優(yōu)點

美創(chuàng)科技數(shù)據(jù)庫虛擬補丁作為一種輕量級的漏洞修復方案,有諸多優(yōu)點:

快速響應漏洞:無需等待開發(fā)廠商的補丁包,只需及時調(diào)整策略即可。

快速修復:無需重啟系統(tǒng),無須停機窗口,策略一旦調(diào)整完畢實時起效。

非侵入式:通過虛擬補丁方式修復數(shù)據(jù)庫漏洞,無需更改數(shù)據(jù)庫環(huán)境,無額外成本,大大減輕測試和部署補丁的工作。

智能修復:可根據(jù)虛擬補丁策略的優(yōu)先級、等級、嚴重性等進行智能編排,快速選擇啟停策略,響應方式等,自由靈活。

更具合規(guī)性:幫助用戶,用最少的成本保持數(shù)據(jù)庫始終符合合規(guī)要求。

更多可能性:可以在訪問控制的基礎上,實現(xiàn)授權(quán)操作等功能。根據(jù)不同身份執(zhí)行不同策略。根據(jù)身份、行為、資產(chǎn)的屬性做出不同的評估。最大程度達成業(yè)務和安全的平衡:

① 減少對“緊急”補丁或者解決方案的依賴;

② 在網(wǎng)絡中的選定點,而不是在每個系統(tǒng)上應用補丁;

③ 使企業(yè)能夠靈活地按計劃時間表進行修補;

④ 有助于減少關(guān)鍵系統(tǒng)、數(shù)據(jù)庫和應用程序的計劃外停機帶來的高機會成本;

⑤ 擴展的策略授權(quán)執(zhí)行。

美創(chuàng)科技虛擬補丁解決方案更加適合針對數(shù)據(jù)庫等復雜系統(tǒng)的保護,輕量級的保護手段讓“漏洞修復”更加安全、快速、靈活。此虛擬補丁方案已集成到美創(chuàng)數(shù)據(jù)庫防火墻內(nèi),作為內(nèi)嵌功能,以非侵入式幫助用戶實現(xiàn)保護數(shù)據(jù)庫安全的目的。

美創(chuàng)數(shù)據(jù)防火墻虛擬補丁功能基于上述架構(gòu)通過控制對數(shù)據(jù)庫的輸入和輸出,檢測其會話信息和語句信息對漏洞的嘗試利用,阻止或消除漏洞攻擊行為。

數(shù)據(jù)防火墻虛擬補丁功能

截止目前,數(shù)據(jù)庫防火墻的漏洞規(guī)則庫已識別并內(nèi)置20多類數(shù)據(jù)庫漏洞類型虛擬補丁,實現(xiàn)對1600+多個漏洞防御保護,同時也仍在持續(xù)不斷地更新。

美創(chuàng)數(shù)據(jù)庫防火墻的虛擬補丁功能完全避免進行代碼級的改造,加長數(shù)據(jù)庫系統(tǒng)被保護的時間,避免數(shù)據(jù)庫長時間處在高風險的陰影下。

案例

SQL SERVER 2008提權(quán)漏洞

當使用SQL SERVER數(shù)據(jù)庫的業(yè)務系統(tǒng)存在SQL注入,或者SQL SERVER數(shù)據(jù)庫存在弱口令的情況下,攻擊者獲得SQL SERVER數(shù)據(jù)庫管理員權(quán)限后,即可以利用SQL SERVER數(shù)據(jù)庫的存儲過程執(zhí)行命令進行提權(quán),從而獲得SQL SERVER數(shù)據(jù)庫所在系統(tǒng)的控制權(quán)限。

開啟之后就可以執(zhí)行,獲得一些信息后,然后進一步破壞。

針對這個漏洞,美創(chuàng)數(shù)據(jù)防火墻虛擬補丁可以通過多種方式進行攔截:

根據(jù)語句特征,編寫正則表達式,放入策略庫,進行阻斷;

根據(jù)強制白名單阻斷;

根據(jù)語義解析,分析行為;

如果一些情況需要執(zhí)行這些語句,可進行授權(quán)操作;

整個過程快速實施,輕量級處理風險。強制白名單機制可防御0-day漏洞。即便需要更新策略庫,過程也比傳統(tǒng)打補丁修復方式更加快速。

ORACLE TNS Listener遠程注冊投毒漏洞

ORACLE TNS Listener遠程注冊投毒漏洞(CVE-2012-1675)是Oracle 2012年發(fā)布的告警,CVE-2012-1675漏洞是Oracle允許攻擊者在不提供用戶名/密碼的情況下,向遠程“TNS Listener”組件處理的數(shù)據(jù)投毒的漏洞。如:攻擊者可以在不需要用戶名密碼的情況下利用網(wǎng)絡中傳送的數(shù)據(jù)消息(包括加密或者非加密的數(shù)據(jù)),如果結(jié)合(CVE-2012-3137漏洞進行密碼破解)從而進一步影響甚至控制局域網(wǎng)內(nèi)的任何一臺數(shù)據(jù)庫。

攻擊者利用該漏洞時,首先會利用攻擊載荷攻擊TNS網(wǎng)絡組件,使其返回錯誤信息,錯誤信息中包含攻擊者所需的信息,如下:

攻擊者利用漏洞

可以看到,返回的信息是有其固定的格式的。美創(chuàng)數(shù)據(jù)防火墻虛擬補丁通過精準匹配數(shù)據(jù)庫漏洞發(fā)生時輸出的信息,對返回的數(shù)據(jù)庫信息進行混淆處理或者攔截,使攻擊者無法得到有效信息,有效抵御入侵攻擊行為。