大部分敏感資料皆儲存於數據庫,數據庫自然成為黑客的最終攻擊目標。攻擊數據庫手法層出不窮,可以盗取登入身份,冒充正常用戶登入,也可以利用SQL Ingestion,毋須登入數據庫,運用SQL語言的邏輯漏洞,發動攻擊。
去年,盗取數據庫資料SQL Injection以倍數增加。去年的六月,專業社交網站就LinkedIn被SQL Injection攻陷,數以萬計名戶名稱和密碼被公諸網上,甚至招致訴訟,不少金融機構也成為攻擊對象。
為了保護客戶私隱,各地金融業紛紛立法,不同行業亦設定愈來愈多法規遵從,以保障客戶私隱,其中包括美國SOX法案、支付卡行業的PCI-DSS標準、金融業現代化法案(GLBA),本港金融管理局及隱私專員公署,均要求金融機構適當保護個人數據。不同行業和地區,紛紛均訂立相關法例,不少專門保護數據庫方案,亦應運而生。
資料遭盗竊案例,從網上洩露敏感資料佔去了93%,可見情況有多嚴重。但是,入侵數據庫的手法,除了直接網上入侵,也可透過惡意程式進入,甚至內部人員,從網絡的內部私自竊取,可說防不勝防。以往靠傳統防火牆,守著網絡門戶,或者各主機上安裝防毒和惡意程式,已不能確保數據庫的安全。
應用防火牆應運而生
數年以來,多家廠商先後推出防禦數據庫活動監控(Database Activity Monitoring)或簡稱「DAM」工具,最著名的廠商包括了Imperva和Guardium等,前者也簡稱為Application Firewall,可檢視SQL語法及可疑行為,偵察從應用層面攻擊。而FortiNet、Riverbed,甚至F5也推出了類似的方案。
2009年,IBM收購了Guardium,並成為InfoSphere保安方案一部分。Guardium其中一位創辦人Ron Ben Natan博士,亦獲頒IBM的「傑出工程師」資格,並且擔任數據保安、法規遵從及優化首席技術官。
Ron曾經為美國不少跨國集團,包括向美國HP和本港匯豐銀行,提供保護數據和系統安全的諮詢。他表示,實施保護措施之前,企業必先確定敏感資料的位置和權限。但這些資料的位置和權限,往往又非恆常固定,經常因新應用出現和修改,不斷轉變,結果暴露漏洞,予黑客可乘之機。
Natan博士指出,黑客攻擊數據庫一直予取予攜,一方面固然是由於系統本身弱點;另外也是熟悉SQL語言的漏洞,可以正常SQL語法作出攻擊,甚至毋須用戶名稱和密碼,直接查詢SQL數據庫的資料,Guardium判斷那些SQL語法,不是正常SQL存取行為,並馬上進行攔截。
不少應用防火牆,皆聲稱可攔截不正常的SQL語法攻擊,不過原來防守數據庫,除了應用層辨識不正常的指令以外,還要靠嚴謹管理程序,再加上系統之間互相配合。
管理程序相輔相承
確保數據庫不容易遭受攻擊,必須遵守嚴謹的管理程序。首先,從確認以至分類機密數據,這是第一步;然後才評估受攻擊的風險,包括弱點和弱點的全面評估,找出不同用戶行為和配置方式,可能帶來風險。通常來說,執行弱點評估之後,就可刪除不必要的功能選項,以縮小受攻擊範圍,再集中資源保護。系統一旦發生異常變更,亦即發出警告。
即使所有靜態評估過關,也不擔保數據庫安全。攻擊者經常以取得特權使用者密碼,以正常身份盗取資料,故此入侵偵察非常重要,一旦發現使用權或者登入權限,出現異常變更,系統就發出警告,防範於未然。
他指出, DAM可隨時發現入侵及濫用;例如發現資料隱碼攻擊,帳戶權限被異常提昇,甚至透過SQL指令執行配置變更。Guardium也提供應用層監察,例如通過PeopleSoft、 SAP、Oracle Financial等應用層發動的入侵。
Natan強調,儘管單靠DAM工具,並不一定可杜絕入侵,但輔以適當管理程序及步驟,則可大大減低被攻入的機會。去年,IBM收購了Q1 Lab後,成立了新保安部門;包括了專門研究網上威脅的X-Force團隊,以及技術服務隊伍。Natan表示,Guardium具備不同的Plug-in,可接入其他IBM保安產品,協調保安事故,並通知其他系統作出回應;除了遵從法例要求,亦可確保最佳執行方式,保護企業敏感數據。
去年,盗取數據庫資料SQL Injection以倍數增加。去年的六月,專業社交網站就LinkedIn被SQL Injection攻陷,數以萬計名戶名稱和密碼被公諸網上,甚至招致訴訟,不少金融機構也成為攻擊對象。
為了保護客戶私隱,各地金融業紛紛立法,不同行業亦設定愈來愈多法規遵從,以保障客戶私隱,其中包括美國SOX法案、支付卡行業的PCI-DSS標準、金融業現代化法案(GLBA),本港金融管理局及隱私專員公署,均要求金融機構適當保護個人數據。不同行業和地區,紛紛均訂立相關法例,不少專門保護數據庫方案,亦應運而生。
資料遭盗竊案例,從網上洩露敏感資料佔去了93%,可見情況有多嚴重。但是,入侵數據庫的手法,除了直接網上入侵,也可透過惡意程式進入,甚至內部人員,從網絡的內部私自竊取,可說防不勝防。以往靠傳統防火牆,守著網絡門戶,或者各主機上安裝防毒和惡意程式,已不能確保數據庫的安全。
應用防火牆應運而生
數年以來,多家廠商先後推出防禦數據庫活動監控(Database Activity Monitoring)或簡稱「DAM」工具,最著名的廠商包括了Imperva和Guardium等,前者也簡稱為Application Firewall,可檢視SQL語法及可疑行為,偵察從應用層面攻擊。而FortiNet、Riverbed,甚至F5也推出了類似的方案。
2009年,IBM收購了Guardium,並成為InfoSphere保安方案一部分。Guardium其中一位創辦人Ron Ben Natan博士,亦獲頒IBM的「傑出工程師」資格,並且擔任數據保安、法規遵從及優化首席技術官。
Ron曾經為美國不少跨國集團,包括向美國HP和本港匯豐銀行,提供保護數據和系統安全的諮詢。他表示,實施保護措施之前,企業必先確定敏感資料的位置和權限。但這些資料的位置和權限,往往又非恆常固定,經常因新應用出現和修改,不斷轉變,結果暴露漏洞,予黑客可乘之機。
Natan博士指出,黑客攻擊數據庫一直予取予攜,一方面固然是由於系統本身弱點;另外也是熟悉SQL語言的漏洞,可以正常SQL語法作出攻擊,甚至毋須用戶名稱和密碼,直接查詢SQL數據庫的資料,Guardium判斷那些SQL語法,不是正常SQL存取行為,並馬上進行攔截。
不少應用防火牆,皆聲稱可攔截不正常的SQL語法攻擊,不過原來防守數據庫,除了應用層辨識不正常的指令以外,還要靠嚴謹管理程序,再加上系統之間互相配合。
管理程序相輔相承
確保數據庫不容易遭受攻擊,必須遵守嚴謹的管理程序。首先,從確認以至分類機密數據,這是第一步;然後才評估受攻擊的風險,包括弱點和弱點的全面評估,找出不同用戶行為和配置方式,可能帶來風險。通常來說,執行弱點評估之後,就可刪除不必要的功能選項,以縮小受攻擊範圍,再集中資源保護。系統一旦發生異常變更,亦即發出警告。
即使所有靜態評估過關,也不擔保數據庫安全。攻擊者經常以取得特權使用者密碼,以正常身份盗取資料,故此入侵偵察非常重要,一旦發現使用權或者登入權限,出現異常變更,系統就發出警告,防範於未然。
他指出, DAM可隨時發現入侵及濫用;例如發現資料隱碼攻擊,帳戶權限被異常提昇,甚至透過SQL指令執行配置變更。Guardium也提供應用層監察,例如通過PeopleSoft、 SAP、Oracle Financial等應用層發動的入侵。
Natan強調,儘管單靠DAM工具,並不一定可杜絕入侵,但輔以適當管理程序及步驟,則可大大減低被攻入的機會。去年,IBM收購了Q1 Lab後,成立了新保安部門;包括了專門研究網上威脅的X-Force團隊,以及技術服務隊伍。Natan表示,Guardium具備不同的Plug-in,可接入其他IBM保安產品,協調保安事故,並通知其他系統作出回應;除了遵從法例要求,亦可確保最佳執行方式,保護企業敏感數據。
沒有留言:
發佈留言