Prevención de intrusiones en bases de datos desde la perspectiva de la Ley de Murphy
Las empresas tienen muchas tareas para proteger la seguridad de los activos de datos, como la seguridad de la copia de seguridad de los datos, la seguridad del almacenamiento de datos, la desensibilización y el cifrado de datos... La mayoría del personal de seguridad empresarial se centra en la disponibilidad. La importancia de la seguridad de las bases de datos aún no se comprende completamente, pero según las estadísticas prospectivas, cada vez más líderes en seguridad de la información empresarial han comenzado a incluir el subcampo de la seguridad de las bases de datos en sus listas de trucos. La continuidad del negocio es el núcleo fundamental de las organizaciones empresariales, y la seguridad empresarial y la seguridad de los datos son la garantía de seguridad para el desarrollo a largo plazo de las empresas. Con los activos de datos empresariales como competitividad central, la base de datos sirve como "competitividad central" de la organización empresarial: el contenedor de activos de datos, que transporta los datos centrales de la empresa y se convierte en la infraestructura para las operaciones comerciales y la protección de datos. La defensa de la seguridad de las bases de datos ha saltado a la cima del cuadrante de contenido de trabajo del CTO/CIO.
El sistema de base de datos de una organización empresarial no es solo la plataforma de software de base de datos en sí, sino que los datos que no fluyen no tienen sentido. Cuando consideramos la seguridad de la base de datos, obviamente necesitamos evaluar razonablemente el tamaño de la superficie de ataque de la base de datos, los problemas de autenticación, autorización y auditoría involucrados en el acceso a la base de datos, las vulnerabilidades del software causadas por la negligencia del desarrollador y la mala gestión del personal de operación y mantenimiento. Pueden surgir varios riesgos que tendrán consecuencias nefastas. El laboratorio del autor recopiló información de seguridad de bases de datos alimentada por varias plataformas de vulnerabilidades y operadores de seguridad empresarial, e hizo una lista de los diez principales riesgos y amenazas de bases de datos para la defensa de aplicaciones de bases de datos con referencia al TOP 10 de OWASP.
Diez principales amenazas a la seguridad de las bases de datos (vulnerabilidades de las bases de datos 10)
1. Abuso de poder
2. Elevación de privilegios de la base de datos. Vulnerabilidades de software
4. Inyección de SQL
5. Falta de registros de auditoría
6. Denegación de servicio
7.
8. Autenticación insuficiente
9. Fuga de datos confidenciales
10. Configuración de seguridad irregular.
La respuesta es la Ley de Murphy, que establece el hecho de que si algo empeora (sucede), por improbable que sea, sucederá.
Se ha extendido como la pólvora en el campo técnico desde entonces, no es que quiera imponerlo en el campo de la seguridad de las bases de datos, porque establece una regla que indica que los riesgos de seguridad inevitablemente cambiarán de una posibilidad a un hecho inesperado.
Al observar la prevención de intrusiones en bases de datos desde la perspectiva de la Ley de Murphy, debemos adoptar una actitud positiva. Dado que es probable que se produzcan riesgos de seguridad de las bases de datos, debemos adaptarnos a la inevitabilidad, responder activamente y hacer un buen trabajo en la respuesta y eliminación de emergencias. En términos de defensa de la seguridad de las bases de datos, para planificar de manera científica y racional un plan de respuesta integral y proactivo, es necesario defender proactivamente de antemano, bloquear en el tiempo y realizar auditorías integrales posteriormente.
De acuerdo con la Ley de Murphy, podemos resumir las implicaciones para la prevención de intrusiones en la base de datos:
1. Los pequeños eventos de probabilidad de riesgos en la base de datos no pueden ignorarse.
Aunque continúan ocurriendo incidentes de seguridad de bases de datos, un cierto número de líderes de seguridad todavía creen que la protección de la seguridad empresarial se ha llevado a cabo desde múltiples defensas, como la capa física, la capa de red, la capa de host informático y la capa de aplicación. , y el límite de la red ha sido Con un control estricto, la inteligencia de amenazas externas y los sistemas internos de conciencia situacional pueden cooperar perfectamente, los datos comerciales están protegidos en todos los niveles y las amenazas de seguridad no pueden explotarse para causar incidentes de seguridad de la base de datos.
Debido a que la probabilidad de que ocurra un evento de baja probabilidad en un experimento o actividad es muy pequeña, da a las personas una falsa sensación de que no ocurrirá en una actividad. Contrariamente a la realidad, precisamente a causa de esta ilusión aumenta la probabilidad de que se produzca un accidente y, en consecuencia, los accidentes pueden producirse con mayor frecuencia. Aunque las razones del incidente son complicadas, ilustra el hecho objetivo de que a menudo ocurren eventos de baja probabilidad.
La Ley de Murphy nos ilumina al enfatizar la importancia de los eventos de pequeña probabilidad. Aunque la probabilidad de que se produzcan eventos de riesgo para la seguridad de la base de datos es muy pequeña, aún pueden ocurrir y ocurrirán durante las actividades del sistema de prevención de intrusiones, por lo que no se pueden ignorar.
2. Aplicar activamente la Ley de Murphy en la seguridad de bases de datos.
1) Fortalecer la conciencia de seguridad de la prevención de intrusiones en bases de datos.
La base de datos se ha convertido en el núcleo de la protección de seguridad empresarial. Para evitar la aparición de emergencias cuando la base de datos se encuentra en un estado inseguro y comprender la inevitabilidad de posibles amenazas a la seguridad de la base de datos, se deben tomar medidas preventivas con anticipación para cubrir el sistema comercial (middleware) y la operación y mantenimiento del DBA desde la capa de red. , capa de aplicación y capa de base de datos, control integral, planificación anticipada. Dado que la intrusión en la base de datos es inevitable, la recopilación y retención de evidencia de auditoría debe garantizar registros de acceso a la base de datos completos y originales, de modo que estén bien documentados.
2) Estandarizar la gestión de seguridad y comprender correctamente el control de seguridad de las bases de datos.
El objetivo de la gestión de la seguridad es prevenir la ocurrencia de accidentes, y los accidentes son accidentes poco frecuentes y la probabilidad de que ocurran es generalmente muy pequeña. Debido a que estos eventos de baja probabilidad no ocurrirán en la mayoría de los casos, la negligencia gerencial es a menudo la causa subjetiva de los accidentes. La Ley de Murphy nos advierte que no se puede ignorar el control de seguridad de las bases de datos y de los datos empresariales. Para garantizar la seguridad de la base de datos, debemos comenzar desde lo básico, formar una línea de base de seguridad unificada para la configuración de seguridad básica de la base de datos, incluir en la lista blanca el comportamiento de acceso a la base de datos y adoptar métodos y medidas de prevención activa para evitar que ocurran emergencias.
3) Cambiar el concepto de prevención pasiva de intrusiones en bases de datos a uno activo.
La gestión de seguridad tradicional es una gestión de seguridad pasiva, es decir, tomar medidas de seguridad en las actividades de gestión de seguridad o "hacer las cosas bien" resumiendo las lecciones después de que ocurre un accidente. Con el rápido desarrollo de la tecnología de redes de TI, los métodos de ataque a la seguridad cambian constantemente, siguen surgiendo nuevas amenazas a la seguridad y los incentivos para los incidentes de seguridad de las bases de datos siguen aumentando. Sin embargo, el modelo tradicional de sistema de prevención de intrusiones basado en red no ha podido satisfacer las necesidades actuales de defensa de la seguridad de las bases de datos. Por lo tanto, no solo debemos prestar atención a las amenazas de seguridad existentes, sino también identificar proactivamente nuevos riesgos, aprender y realizar análisis modales de manera proactiva, bloquear de manera rápida y precisa las actividades de riesgo, convertir la pasividad en iniciativa y tomar firmemente la iniciativa en la prevención de intrusiones en bases de datos.
1. El debate entre sistemas de prevención de intrusiones en bases de datos en serie y paralelos
Los sistemas de prevención de intrusiones en bases de datos se pueden implementar mediante implementación en serie o en derivación para identificar y bloquear con precisión la conexión entre los sistemas comerciales y las bases de datos. comportamiento de acceso. No solo eso, el uso razonable también puede brindar la capacidad de defender proactivamente de antemano y auditar y rastrear después.
Sin embargo, algunos usuarios piensan que el comportamiento de bloqueo de derivación no es efectivo, pero se conectan en serie a la red para lograr el bloqueo en tiempo real, por temor a que afecte el acceso comercial.
Implemente el modo tándem entre el sistema empresarial y la base de datos, analice todas las declaraciones SQL a través de la decodificación del protocolo de tráfico y revise en función de cinco tuplas TCP/IP (dirección, puerto y protocolo), factores de control de acceso y base de datos. comportamiento de operación Las políticas de seguridad, combinadas con reglas de lista blanca aprendidas a través de modelado dinámico independiente, pueden identificar con precisión instrucciones de bases de datos maliciosas, bloquear sesiones de manera oportuna o interceptar con precisión declaraciones de operaciones maliciosas. El mayor riesgo en la implementación del modo serie es que no debe haber errores de juicio, de lo contrario afectará la aprobación de declaraciones normales. Esto requiere que las capacidades de análisis de declaraciones SQL del sistema sean lo suficientemente precisas como para establecer un modelo de comportamiento muy completo. Cuando se encuentran declaraciones peligrosas, pueden interceptarlas con precisión sin interrumpir la sesión ni afectar las solicitudes de acceso normales. Por lo tanto, si el sistema de prevención de intrusiones de la base de datos quiere desempeñar su mejor papel, debe estar conectado en serie con el front-end de la base de datos, ya sea físicamente (puente transparente) o lógicamente (proxy inverso).
En el modo de implementación de omisión, el método común actual es forzar el restablecimiento de la sesión enviando un comando RESET, que funciona mejor en condiciones de poco tráfico. Si el número de transacciones SQL por segundo es superior a 10 000 en un sistema empresarial con gran concurrencia, es posible que este bloqueo de indicador de omisión no se pueda evitar y se producirán retrasos. Es posible que debido al retraso, la solicitud de bloqueo se envíe después de que se ejecute la instrucción SQL, lo que afectará las solicitudes comerciales normales. Por lo tanto, en escenarios de alta concurrencia y mucho tráfico, para lograr efectos de bloqueo e interceptación precisos y en tiempo real, el sistema de prevención de intrusiones de la base de datos debe tener un rendimiento de procesamiento de muy alto nivel.
En cuanto a si la implementación en serie o la implementación en derivación es más apropiada, debe coincidir con el escenario del sistema empresarial correspondiente. La importancia fundamental del sistema de prevención de intrusiones en la base de datos reside en su efecto de defensa, es decir, su capacidad para interceptar con precisión declaraciones riesgosas. Del análisis comparativo de la Ley de Murphy, es inevitable que eludir el despliegue bloquee las solicitudes. Pero algunas personas están preocupadas por el impacto de la conexión del puerto serie en el acceso empresarial, por lo que siempre sucederá. Ante este riesgo, tenemos mayores requisitos para las capacidades de bloqueo precisas del sistema de prevención de intrusiones en la base de datos y tratamos de minimizar este riesgo.
2. El debate entre el bloqueo síncrono en serie en tiempo real y el bloqueo asíncrono de los sistemas de prevención de intrusiones en bases de datos.
En comparación con el debate entre la conexión en serie y en paralelo de los sistemas de prevención de intrusiones de bases de datos, las series de bloqueo sincrónico y de bloqueo asíncrono están más subdivididas. Hay dos sistemas de prevención de intrusiones de bases de datos conectados en serie en el mercado;
Uno es el bloqueo asincrónico de la supervisión en línea mediante motores proxy locales representados por IBM Guardium. Cuando se envía una declaración peligrosa al DBMS a través del agente, el agente enviará una copia de la información del contenido al centro de análisis. El centro de análisis determinará si es ilegal o viola las reglas de prevención de intrusiones y luego enviará instrucciones de bloqueo al DBMS. programa de agente. Obviamente, las ventajas de este tipo de implementación no se limitan al entorno de red de la base de datos. Puede alcanzar IP, y las desventajas son más obvias. Es decir, durante el proceso de comunicación entre el agente y el centro, se libera el acceso SQL, es decir, si aparecen declaraciones de ataque fatales en los primeros paquetes, entonces el ataque se ejecutará efectivamente, es decir, el sistema de defensa será efectivo. omitido.
El otro es el bloqueo de sincronización serial en tiempo real representado por la información del fabricante chino. Cuando una frase peligrosa pasa por el sistema de prevención de intrusiones de la base de datos en serie, el sistema de prevención de intrusiones la bloqueará inmediatamente si detecta la frase peligrosa. Declaración libre de riesgos emitida, este modelo y análisis instantáneo juzgan de inmediato. Obviamente, la ventaja de este modelo de implementación es que los eventos de baja probabilidad o las declaraciones de ataque directo planificadas desde hace mucho tiempo también se bloquearán en tiempo real. La desventaja también es obvia: la eficiencia del procesamiento; Si la eficiencia de procesamiento del sistema de prevención de intrusiones de la base de datos no es buena, habrá un estado de cola de espera que afectará la continuidad del negocio. La clave es captar este punto de equilibrio, al menos inconscientemente. La elección de este punto depende de las capacidades algorítmicas de cada proveedor de seguridad de bases de datos para procesar sentencias SQL.
La Ley de Murphy no es complicada. Su aplicación al campo de la prevención de intrusiones en bases de datos revela eventos de riesgo de baja probabilidad que no pueden ignorarse en la seguridad de las bases de datos. Para enfrentar la Ley de Murphy y convertirla en una respuesta positiva, debemos comprender completamente la Ley de Murphy y resistirnos a "no hay riesgo en proteger las bases de datos en todos los niveles", "todos los demás lo hacen" y "los sistemas de prevención de intrusiones a las bases de datos no pueden ser utilizado erróneamente en paralelo". "Bloquear" y otros conceptos erróneos, tenga en cuenta que mientras existan riesgos potenciales, los incidentes ocurrirán, tarde o temprano. Deberíamos acabar con este hábito.