《從某教育平臺百萬級數(shù)據(jù)泄露看數(shù)據(jù)庫安全》要點：
本文介紹了從某教育平臺百萬級數(shù)據(jù)泄露看數(shù)據(jù)庫安全，希望對您有用。如果有疑問，可以聯(lián)系我們。

近日,有媒體報道某學生注冊信息平臺遭受黑客攻擊,大量學生及家庭登記信息遭泄露.據(jù)統(tǒng)計,本次泄漏事件涉及百萬條學生注冊信息,一旦流入暗盤,被不法分子獲得,輕則用于各類教育產(chǎn)品的推銷,重則進行詐騙、誘拐等犯罪行為,無論是哪一種可能,都將給這些孩子和家庭帶來不小的麻煩.

相比過去,家長的平安意識和對孩子的平安教育已經(jīng)有了明顯的提升,但我們發(fā)現(xiàn)犯罪分子的作案手段更加高明,他們能夠掌握孩子的個人資料、教育經(jīng)歷、家庭成員等一系列詳細信息,對目標足夠了解是他們作案成功的關鍵.如此詳實的資料是如何落入不法分子的手中?各類教育平臺的數(shù)據(jù)泄露事件或許是重要來源.

對于此次教育平臺的數(shù)據(jù)泄露事件,安華金和平安攻防實驗室對于泄露事件的來源及傳統(tǒng)防護手段進行分析,平安專家認為,本次攻擊可能來自以下兩種情況：

1. 注冊平臺自己代碼存在注入點

代碼自身嚴格的輸入校驗是保障注冊平臺自身平安性的關鍵,然而由于編程人員水平等諸多因素,多半注冊平臺存在注入點.

傳統(tǒng)防護思路：部署WAF進行防護.

通過部署WAF對特征字符串進行過濾,通過WAF來強化對惡意特征字符串的過濾才能.

2. 注冊平臺使用的架構存在漏洞

存在漏洞是注冊平臺網(wǎng)站難以避免的問題.主要是由于注冊平臺使用的Java Web Server自身存在平安漏洞導致網(wǎng)站后臺數(shù)據(jù)庫數(shù)據(jù)泄露.隨著Java Web Server的平安性逐漸提高,或許該種漏洞的數(shù)量會逐漸減少,但我們無法避免短期內(nèi)不出現(xiàn)類似的漏洞.

傳統(tǒng)防護思路：對框架進行升級安裝補丁.

這種情況就比擬麻煩了,發(fā)現(xiàn)漏洞后我們只能冒著一定風險對框架進行升級安裝最新補丁.從此網(wǎng)站管理員就開始了“擔驚受怕的日子”,每天過著“修修修補補的人生”：發(fā)現(xiàn)漏洞→設置更加嚴格的waf過濾→升級補丁→數(shù)據(jù)被盜取→嚴格waf規(guī)則……往復循環(huán).這個循環(huán)好似一個泥潭,數(shù)據(jù)泄露發(fā)生后的亡羊補牢不能從根本上切斷風險源,另一方面,愈加繁重的工作量卻讓管理人員越掙扎陷得越深.

跳出“泥潭”,從數(shù)據(jù)庫端進行直接有效的平安防護

更嚴格的waf策略,及時的補丁升級……這些傳統(tǒng)手段往往比擬滯后且無法應對攻擊手段快速迭代的現(xiàn)狀.哪里被攻擊,就在哪里進行防守的思路遇到瓶頸.如何“跳出泥潭,解放雙手”,我們不妨換個角度思考：無論攻擊方式如何演變,攻擊者的最終目的總是獲取數(shù)據(jù)庫中存儲的敏感數(shù)據(jù).那么,在黑客入侵的目的地進行防護,更加直接有效.

任攻擊千變?nèi)f化,惡意語句“我”自知

好比抓賊一定要抓現(xiàn)行,數(shù)據(jù)庫端的平安防護,重點在于對數(shù)據(jù)庫惡意語句的識別,而傳統(tǒng)防護手段由于不具備數(shù)據(jù)庫通訊協(xié)議的解析能力,面對攻擊,短板明顯：

1. 無法懂得黑客使用的惡意語句,只能通過過濾特征字符串被動防護

2. 無法鑒別合法或非法用戶行為區(qū)別,缺乏對數(shù)據(jù)進行細粒度控制

3. 無法通過學習用戶習慣建立風險語句模型,對未知威脅進行威脅感知,自動辨認惡意語句.

因此,我們需要一款數(shù)據(jù)庫平安產(chǎn)品,它足夠理解數(shù)據(jù)庫語言,能夠精準識別惡意語句, 從而準確識別平安風險,及時阻斷和告警.安華金和平安專家給出答案：數(shù)據(jù)庫防火墻正是以此需求而生.

摒棄被動過濾,采納主動分析語句方式

黑客想要獲取數(shù)據(jù)庫中存儲的大量敏感信息,采取XSS、sql注入、跨站劫持或語句篡改等,無論哪種手段最終都是向數(shù)據(jù)中發(fā)送sql語句.數(shù)據(jù)庫防火墻基于對數(shù)據(jù)庫通信協(xié)議的理解,可以對每條sql語句進行精準解析,判斷sql語句的真實意圖,好比這句語到底是針對哪個表的哪個字段進行哪種操作.一旦發(fā)違規(guī)操作,立即對該操作進行攔截并向管理員發(fā)出告警.

相比WAF通過正則表達式匹配關鍵字的手法,基于對SQL語句的理解進行防護的數(shù)據(jù)庫防火墻顯然更加準確,有效,同時辦理了黑客繞過WAF進行的數(shù)據(jù)庫攻擊行為.

對成果集進行細粒度控制,防止黑客模擬用戶獲得數(shù)據(jù)

手段高明的黑客可以通過巧妙的模擬用戶語句,騙過WAF等防護工具對數(shù)據(jù)庫進行訪問哀求,但最終還是會被數(shù)據(jù)庫防火墻識破,通過對結果集的特征進行分析,一旦出現(xiàn)異常,數(shù)據(jù)庫防火墻過端進行攔截,防止結果集被返回到非法用戶手中.就用本次事件中的學生信息注冊系統(tǒng)舉例,一般的學生用戶只能查詢自己的信息.假設一個學生的信息是一條結果集,如果發(fā)現(xiàn)查詢語句返回的結果集多于一條,那么這條查詢可能存在非法操作,數(shù)據(jù)庫防火墻不僅會把結果集攔截下來,發(fā)出告警,并通過三層應用關聯(lián)定位到后臺服務器端,判斷接受的是哪個用戶的哪條語句哀求,幫助管理員進行分析排查,同時設置WAF規(guī)則.

構建平安模型,感知風險,自動攔截

數(shù)據(jù)庫防火墻可以自動根據(jù)應用和數(shù)據(jù)庫之間采用的語句構建平安模型.根據(jù)SQL語法結構形成的平安模型,可以有效防護用戶后臺的數(shù)據(jù)庫被不可信sql語句所訪問：比如由黑客發(fā)送的以獲取敏感信息為目的的惡意語句.平安模型的建立不僅可以有效的應對已知平安威脅,更可以對未知的平安威脅進行主動防御.

讓數(shù)據(jù)庫具備了感知風險的才能,從而徹底脫離填補漏洞的被動循環(huán)模式.

傳統(tǒng)的防護思路就像西醫(yī),頭疼醫(yī)頭,腳疼醫(yī)腳,往往治標不治本.雖然在一定時間內(nèi)限制了惡意攻擊,卻無法長久的解決數(shù)據(jù)平安問題.我們說,保護數(shù)據(jù)的關鍵應當是保護數(shù)據(jù)庫和數(shù)據(jù)庫與應用之間的會話平安.而事實上,大部分平安產(chǎn)品只是針對網(wǎng)絡層面的防護.只有真正的數(shù)據(jù)庫平安產(chǎn)品,能夠從數(shù)據(jù)庫角度進行直接有效的防護,杜絕此類數(shù)據(jù)泄露事件的發(fā)生.

作為數(shù)字時代的負面產(chǎn)物,數(shù)據(jù)泄露威脅已逐漸蔓延至所有行業(yè).我們都同意孩子是國家的未來,是家庭的核心,看得到的危險,家長們?nèi)ψ柚?但看不到的危險,誰來防范?在一起起泄漏事件之后,數(shù)據(jù)的保護與孩子的平安,在無形中已開始漸漸畫上等號.

－－－

微信最新版,長按"大眾號,可“置頂”

歡迎參與《從某教育平臺百萬級數(shù)據(jù)泄露看數(shù)據(jù)庫安全》討論，分享您的想法，維易PHP學院為您提供專業(yè)教程。

轉載請注明本頁網(wǎng)址：
http://www.fzlkiss.com/jiaocheng/13740.html