2015年8月数据安全漏洞分析报告
安华金和数据库攻防实验室(DBSec Labs)以月为单位,将高危漏洞汇总,形成分析报告,分享广大用户及合作伙伴。
8月报告核心观点
1.Web是数据泄露的主要渠道
2.互联网成为数据泄漏频发地
3.8月常见数据泄漏原因
4.针对数据泄漏的防范手段
报告正文
2015年8月,我们总结发布了102个数据泄密高危漏洞,这些漏洞分别来自漏洞盒子、乌云、补天等平台,涉及11个行业,企业机构、互联网、交通运输、教育、金融保险、旅游、能源、社保公积金、医疗卫生、运营商、政府。102个漏洞中,其中绝大多数泄露威胁是由SQL注入和弱口令引起的。
Web是数据泄漏的主要渠道
自互联网普及之日起,Web由于它在网络中的位置和广泛的用途、不兼容的协议等多种原因,长期处于黑客视野之中。在《2015年全球数据泄露调查报告》中明确指出由技术原因导致的数据泄漏,第一名就是Web端的SQL注入。相信在长时间内这一情况不会有太大好转。
互联网成为数据泄漏频发地
从8月102个数据泄露威胁的行业来看,互联网行业成为重灾区。其中39个数据泄漏威胁直指互联网,占全部数据泄露威胁的38%。金融、政府、企业机构紧随其后,漏洞比例分别占10%以上。
8月安全漏洞行业分布
互联网行业,不但数据泄露安全威胁多而且可能泄露的数据量也非常巨大,基本都在200W条以上。最主要原因是由于互联网公司的业务发展速度较快,但是长期以来互联网公司大多只把关注点放在业务上,先让业务系统运转,把业务支撑起来,至于这里面的信息安不安全往往是第二步;同时还有一个很重要的原因由于成本等因素升级任务往往进行外包,以至于大量网站的代码有明显的缺陷。这些缺陷最终很可能给网站带来数据泄漏威胁。
在企业机构和金融行业中,上述问题也是数据泄密的重要原因之一,同时还因大量人为因素存在。例如泛华保险某核心系统、甘肃省某政府系统、湖北政府某平台等存在不同程度的弱口令。
8月常见数据泄露原因
Web开发中出现的代码缺陷,很可能最终转化成数据泄漏的漏洞。这种漏洞往往会被SQL注入利用;弱口令更多是人为因素导致,企事业单位应该在管理机制上尽量避免弱口令的出现。
8月份数据泄漏威胁主要原因
SQL注入是当前针对数据库安全进行外部攻击的一种常见手段。当前应用大多基于B/S模式开发,因此通过SQL注入等方式对数据库进行攻击的案例逐渐增多,其所带来的危害性比例也逐步升高。
弱口令完全可以通过定期更换密码和利用一些小型安全检查软件来避免。弱口令虽然技术难度不高,但大量的存在于互联网行业当中。笔者在分析这部分内容时用一款自动化扫Web软件,对某网段中的网页进行扫描发现大量弱口令:
通过对30个网站样本进行扫描,发现3个弱口令。其中第一个是admin|f297a57a5a743894a0e4。7a57a5a743894a0e,百度一下就知道是admin的CMD5值。也就是说第一个网站他的管理员账号密码和用户名是一致的。密码的设置一定要避免和一些可能无需登录就能暴露出来的信息有关。笔者建议密码千万不要和用户名、网站名或域名有任何关系,这些都是极容易被别人猜出来的。
针对数据泄露的防御方案
想要针对SQL注入和弱口令进行防护,主要从三个时间点来进行全面防护:1.入侵事前检查防护。2.入侵事中阻断防御。3.入侵事后追踪审计,减小损失。
1.入侵事前检查防护
事前的重点是检查。在遭遇外部入侵前,我们需要定期对整个网络环境进行弱点扫描。网络中任何一点的漏洞都可能导致最后的数据泄露。可以定期请专人对整个网络做渗透测试,同时可以通过Web安全扫描器、数据库漏洞扫描器等相关产品对整个环境进行安全检查。
2.入侵事中阻断防御
过程中防御的重点是准确的判断出哪些语句属于入侵语句。推荐在Web前端部署WAF来解决大部分针对Web的入侵行为。仅以SQL注入为例,某些类型的SQL注入WAF难以准确识别。会把部分入侵语句放过去,导致数据被泄露。所以同时推荐您在数据库前部署专业的数据库防火墙。
因为WAF的局限性在于无法对WEB发给数据库的SQL语句进行协议分析、无法进行语句还原,只能通过正则匹配来遍历每种情况。而数据库防火墙则恰好弥补了WAF的技术路线缺陷。数据库防火墙的防护策略、手段都是基于SQL协议解析而来。数据库防火墙在防止SQL注入上彻底的解决了WAF以牺牲性能为代价的方式。相信如何数据库防火墙和WAF配合使用会使您的数据更加安全。
对数据密级要求比较高的企业,可以通过数据加密软件对数据库中最重要的数据进行加密。这样即使黑客拿走了数据库中的部分数据,也只是拿到了密文。数据库加密技术利用复杂的算法可以保证在一定时间内黑客是无法破译出明文内容。
3.入侵事后减小损失防御
通过对用户访问数据库行为的记录、审计分析,帮助用户事后进行数据泄密行为的追根溯源,提高数据资产安全。
关于弱口令更多在于管理者的安全意识和责任心。相信广大管理员只要保持定期更换复杂的密码就可以从根本上断绝弱口令的存在。
结束语
为了实现让数据使用更安全的使命,安华金和数据库攻防实验室有义务和责任为客户提供创新前沿与稳定的数据防泄漏产品与解决方案。
最后,也是最重要的,用户还是要从主观因素上提高安全意识加强内部安全管理防范。安全就是这样一种形态,平时不出状况看不到安全的效果,一旦企业出现了数据泄露事件,其经济损失、名誉损失将不可估量,更甚者企业形象会一落千丈,从此难以翻身。
8月份数据安全漏洞列表