有些类型的攻击在内部数据库审计跟踪中不会留下任何痕迹。例如,大多数数据库通信协议攻击都会显示这种行为。在滥用内部审计机制中的漏洞之后,可以发起其他类型的攻击。在这个例子中(http://www.imperva.com/resources/adc/adc_advisories_ms_sql.html),攻击者能够连接到MS SQL Server数据库,而审计机制没有注册他的帐户名。
总之,只要审计跟踪是基于内部数据库机制的,攻击者就可以很容易地删除其秘密活动和身份的任何跟踪。
如何一步一步地阻止攻击
现在我们了解了犯罪者将数据库变成犯罪现场的步骤,让我们看一下预防犯罪可以采取的步骤。对于这五个步骤中的每一个,都有一些缓解技术,可以干扰潜在的攻击者的攻击。虽然没有一种单独的缓解技术本身是万无一失的,但重要的是在所谓的“分层安全”方法中使用一系列缓解技术。通过遵循这些建议,您的数据库环境将变得更加安全。
因为限制工具的可访问性既不实用也不划算,所以我们将跳过第1步——贸易工具。
2.阻止首次访问
可以采取以下步骤来保护您的数据库并防止犯罪者的初次接触。
*对数据库服务器应用内部网络访问控制。确保工作站不能访问数据库服务器机器上的非数据库服务。
*不允许对数据库服务器进行匿名访问控制。
*删除或阻止默认帐户。
*更改无法删除或阻止的默认帐户的默认密码。
应用正确的密码策略到数据库帐户。实施“强”密码策略。
*设立机制,即时侦测彻底的证书搜寻。在相对较短的时间内,通过大量失败的身份验证尝试,很容易识别这些攻击。设置机制来阻止试图执行彻底凭据搜索的机器的网络访问。
3.停止滥用特权
采取措施控制访问和使用,以确保合法命令不会在未经授权的情况下使用等。
应用基于上下文的访问控制。这些机制允许您根据以下标准定义访问特权:
-工作站的网络地址
——客户端软件
-一天中的时间
——操作系统用户
应用查询级访问控制。这些机制允许您定义数据库查询和查询结构中允许的标准,从而避免绕过某些客户端应用程序逻辑。
4.防止特权海拔
采取措施防止行凶者成为数据库管理员或根用户——使用与这些特权帐户相关联的所有附加特权。
o部署具有以下功能的数据库id /IPS解决方案:
-反应保护:检测和阻止已知的漏洞基于一套频繁更新的签名
-主动保护:检测和阻止可能代表数据库网络通信协议攻击的异常协议消息。
o应用查询级访问控制。
5.不要让他们掩盖自己的踪迹
最后,如果你的所有其他机制都不能防止犯罪,你和当局将需要一个审计跟踪来指指行凶者。部署独立的数据库审计机制。这种方法确保了日志记录不会影响数据库性能,并且确保攻击者在连接到数据库服务器后不能篡改审计机制。# #
Amichai Shulman是应用数据安全供应商Imperva的联合创始人和首席技术官。他还领导着应用防御中心(ADC),该中心是Imperva的研究组织,专注于应用和数据安全。
这个故事,“数据库犯罪现场预防”最初是由方案 。