數(shù)據(jù)安全防"脫庫"解決方案之追溯信息泄密根源

1.前言

近日不斷有黑客陸續(xù)在互聯(lián)網(wǎng)上公開提供國內(nèi)多家知名網(wǎng)站部分用戶數(shù)據(jù)庫下載，國內(nèi)外媒體頻繁報道，影響惡劣，引起社會廣泛關(guān)注。其中涉及到游戲類、社區(qū)類、交友類等網(wǎng)站用戶數(shù)據(jù)正逐步公開，各報道中也針對系列事件向用戶提出密碼設置策略等安全建議。

注冊用戶數(shù)據(jù)作為網(wǎng)站所有者的核心信息資產(chǎn)，涉及到網(wǎng)站及關(guān)聯(lián)信息系統(tǒng)的實質(zhì)業(yè)務，對其保密性的要求強度不言而喻。隨著網(wǎng)站及微博實名制規(guī)定的陸續(xù)出臺，如果在實名制的網(wǎng)站出現(xiàn)用戶數(shù)據(jù)泄露事件，將會產(chǎn)生更惡劣的影響。針對此類大規(guī)模數(shù)據(jù)泄密事件，安恒信息專家團隊特別制作相關(guān)解決方案，敬請大家關(guān)注。

針對近期部分互聯(lián)網(wǎng)站信息泄露事件，工信部于2011年12月28日發(fā)布通告要求：各互聯(lián)網(wǎng)站要高度重視用戶信息安全工作，把用戶信息保護作為關(guān)系行業(yè)健康發(fā)展和企業(yè)誠信建設的重要工作抓好抓實。發(fā)生用戶信息泄露的網(wǎng)站，要妥善做好善后工作，盡快通過網(wǎng)站公告、電子郵件、電話、短信等方式向用戶發(fā)出警示，提醒用戶修改在本網(wǎng)站或其他網(wǎng)站使用的相同用戶名和密碼。未發(fā)生用戶信息泄露的網(wǎng)站，要加強安全監(jiān)測，必要時提醒用戶修改密碼。

各互聯(lián)網(wǎng)站要引以為戒，開展全面的安全自查，及時發(fā)現(xiàn)和修復安全漏洞。要加強系統(tǒng)安全防護，落實相關(guān)網(wǎng)絡安全防護標準，提高系統(tǒng)防入侵、防竊取、防攻擊能力。要采用加密方式存儲用戶信息，保障用戶信息安全。一旦發(fā)生網(wǎng)絡安全事件，要在開展應急處置的同時，按照規(guī)定向互聯(lián)網(wǎng)行業(yè)主管部門及時報告。

工信部同時提醒廣大互聯(lián)網(wǎng)用戶提高信息安全意識，密切關(guān)注相關(guān)網(wǎng)站發(fā)布的公告，并根據(jù)網(wǎng)站安全提示修改密碼。提高密碼的安全強度并定期修改。

信息泄密的根源

2.1.透過現(xiàn)象看本質(zhì)

2.1.1.攻擊者因為利益鋌而走險

攻擊者為什么會冒著巨大的法律風險去獲取用戶信息？

2001年隨著網(wǎng)絡游戲的興起，虛擬物品和虛擬貨幣的價值逐步被人們認可，網(wǎng)絡上出現(xiàn)了多種途徑可以將虛擬財產(chǎn)轉(zhuǎn)化成現(xiàn)實貨幣，針對游戲賬號攻擊的逐步興起，并發(fā)展成龐大的虛擬資產(chǎn)交易市場；

2004年-2007年，相對于通過木馬傳播方式獲得的用戶數(shù)據(jù)，攻擊者采用入侵目標信息系統(tǒng)獲得數(shù)據(jù)庫信息，其針對性與攻擊效率都有顯著提高。在巨額利益驅(qū)動下，網(wǎng)絡游戲服務端成為黑客"拖庫"的主要目標。

2008年-2009年，國內(nèi)信息安全立法和追蹤手段的得到完善，攻擊者針對中國境內(nèi)網(wǎng)絡游戲的攻擊日趨收斂。與此同時殘余攻擊者的操作手法愈加精細和隱蔽，攻擊目標也隨著電子交易系統(tǒng)的發(fā)展擴散至的電子商務、彩票、境外賭博等主題網(wǎng)站，并通過黑色產(chǎn)業(yè)鏈將權(quán)限或數(shù)據(jù)轉(zhuǎn)換成為現(xiàn)實貨幣。招商加盟類網(wǎng)站也由于其本身數(shù)據(jù)的商業(yè)業(yè)務價值，成為攻擊者的"拖庫"的目標。

2010年，攻防雙方經(jīng)歷了多年的博弈，國內(nèi)網(wǎng)站安全運維水平不斷提升，信息安全防御產(chǎn)品的成熟度加強，單純從技術(shù)角度對目標系統(tǒng)進行滲透攻擊的難度加大，而通過收集分析管理員、用戶信息等一系列被稱作"社會工程學"的手段的攻擊效果被廣大攻擊者認可。獲得更多的用戶信息數(shù)據(jù)有利于提高攻擊的實際效率，攻擊者將目標指向了擁有大量注冊用戶真實詳細信息的社區(qū)及社交網(wǎng)站，并在地下建立起"人肉搜索庫"，預期實現(xiàn)：獲知某用戶常用ID或EMAIL，可以直接搜索出其常用密碼或常用密碼密文。

2011年12月21日，僅僅是在這一天，攻擊者曾經(jīng)獲取到的部分數(shù)據(jù)庫信息內(nèi)容被陸續(xù)地公開了。

2.1.2.應用層防護百密而一疏

在當今信息安全意識、信息安全產(chǎn)品都日益成熟的年代，為何入侵者獲取數(shù)據(jù)依然如入無人之境?很多人認為，在網(wǎng)絡中不斷部署防火墻、IDS、IPS等設備，可以提高網(wǎng)絡的安全性。但是為何基于應用的攻擊事件以及相應的"泄庫事件"仍然不斷發(fā)生?其根本的原因在于傳統(tǒng)的網(wǎng)絡安全設備對于應用層的攻擊防范，作用十分有限。

我們可以通過下面例子來舉例黑客是如何常規(guī)獲取信息系統(tǒng)的數(shù)據(jù)庫信息的：攻防回合的延續(xù)包括傳統(tǒng)安全設備使黑客入侵服務端主機系統(tǒng)難度加大，而WEB應用的登錄入口表明了WEB應用程序與用戶數(shù)據(jù)表之間存在關(guān)聯(lián)，通過入侵WEB網(wǎng)站獲得數(shù)據(jù)庫信息成為針對網(wǎng)站數(shù)據(jù)庫攻擊的主要入手點，常見的攻擊步驟如下：

一、尋找目標網(wǎng)站（或同臺服務器的其他網(wǎng)站）程序中存在的SQL注入、非法上傳、后臺管理權(quán)限等漏洞；

二、通過上述漏洞添加一個以網(wǎng)頁腳本方式控制網(wǎng)站服務器的后門，即：WEBSHELL；

三、通過已獲得的WEBSHELL提升權(quán)限，獲得對WEB應用服務器主機操作系統(tǒng)的控制權(quán)，并通過查看網(wǎng)站數(shù)據(jù)庫鏈接文件，獲得數(shù)據(jù)庫的鏈接密碼；

四、通過在WEB應用服務器上鏡像數(shù)據(jù)庫連接，將目標數(shù)據(jù)庫中所需要的信息導入至攻擊者本地數(shù)據(jù)庫（或直接下載服務器上可能存在的數(shù)據(jù)庫備份文件）；

五、清理服務器日志，設置長期后門。

目前攻擊者以團隊為單位，無論從工具的制造、攻擊實施的具體手法都已經(jīng)形成了體系化、趨利化的作業(yè)流程。

此例中我們發(fā)現(xiàn)，黑客針對應用系統(tǒng)的攻擊已經(jīng)完全無視傳統(tǒng)的網(wǎng)絡安全，而應用安全的建設恰好能夠彌補網(wǎng)絡安全的不足，提升了整個信息系統(tǒng)安全強度，能夠有效地阻止黑客針對性的應用層攻擊，降低數(shù)據(jù)信息被泄露的風險

2.2.防泄密防好應用安全這塊板

隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，許多政府和企業(yè)的關(guān)鍵業(yè)務活動越來越多地依賴于WEB應用，在向客戶提供通過瀏覽器訪問企業(yè)信息功能的同時，企業(yè)所面臨的風險在不斷增加。主要表現(xiàn)在兩個層面：一是隨著Web應用程序的增多，這些Web應用程序所帶來的安全漏洞越來越多；二是隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，被用來進行攻擊的黑客工具越來越多、黑客活動越來越猖獗,組織性和經(jīng)濟利益驅(qū)動非常明顯。

然而與之形成鮮明對比的卻是：現(xiàn)階段的安全解決方案無一例外的把重點放在網(wǎng)絡安全層面，致使面臨應用層攻擊（如：針對WEB應用的SQL注入攻擊、跨站腳本攻擊等）發(fā)生時，傳統(tǒng)的網(wǎng)絡防火墻、IDS/IPS等安全產(chǎn)品對網(wǎng)站攻擊幾乎不起作用，許多政府和企業(yè)門戶網(wǎng)站成為黑客組織成批傳播木馬的最有效途徑，也將可能成為下一個被攻擊者所公開的潛在網(wǎng)站數(shù)據(jù)。

據(jù)Gartner權(quán)威統(tǒng)計，目前75%的黑客攻擊發(fā)生在WEB應用層，近期層出不窮的安全事件均源于WEB應用層防護不到位所致，應用系統(tǒng)漏洞的根源還是來自程序開發(fā)者對網(wǎng)頁程序編制和檢測。未經(jīng)過安全訓練的程序員缺乏相關(guān)的網(wǎng)頁安全知識；應用部門缺乏良好的編程規(guī)范和代碼檢測機制等等。解決此類問題必須在WEB應用軟件開發(fā)程序上整治，僅僅靠打補丁和安裝防火墻是遠遠不夠的。

隨著攻擊向應用層發(fā)展，傳統(tǒng)網(wǎng)絡安全設備不能有效的解決目前的安全威脅，企業(yè)如何有效地防止企業(yè)信息泄密，重點在于如何做好應用安全。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]