某些类型的攻击在内部数据库审计跟踪中没有任何迹象。例如,大多数数据库通信协议攻击显示此行为。在内部审计机制中滥用漏洞后,可以在滥用漏洞后启动其他类型的攻击。在此示例中(http://www.imperva.com/resources/adc/adc_advisories_ms_sql.html)攻击者能够连接到MS SQL Server数据库,而审计机制已注册他的帐户名。
总之,只要审计跟踪基于内部数据库机制,攻击者即将删除任何秘密活动和身份的痕迹是相当简单的。
如何一次停止攻击一步
既然我们了解犯罪者的步骤会让您的数据库成为犯罪的现场,让我们来看看可以采取预防犯罪的步骤。对于五个步骤中的每一个,有缓解技术会干扰犯罪者的攻击。虽然没有单一减缓技术本身是个黑色的,但重要的是在所谓的“分层安全”方法中使用一系列缓解技术。通过以下这些建议,您的数据库环境将变得更加安全。
因为它既不实用也不有效地限制工具的可访问性,我们将跳过步骤1 - 贸易的工具。
2.停止初始访问
可以采取以下步骤来保护您的数据库并防止犯罪者的初始联系。
*将内部网络访问控件应用于数据库服务器。确保工作站无法访问数据库服务器计算机上的非数据库服务。
*不要允许向数据库服务器匿名访问控制。
*删除或阻止默认帐户。
*更改无法删除或阻止的默认帐户的默认密码。
*将正确的密码策略应用于数据库帐户。强制执行“强”密码策略。
*放入适当的机制,该机制将从实时refreeIve搜索凭证中进行检测。通过相对短的时间帧中的大量失败认证尝试,这些攻击很容易识别。放置机制来阻止机器的网络访问,试图执行详尽凭证搜索。
3.停止特权滥用
采取措施来控制访问和用法,以确保在未经授权的情况下不使用合法命令等。
*应用基于上下文的访问控制。这些机制允许您根据以下条件定义访问权限:
- 工作站的网络地址
- 客户软件
- 一天的时间
- OS用户
*应用查询级别访问控制。这些机制允许您定义数据库查询和查询结构中允许的标准,从而避免了某些客户端应用程序逻辑的旁路。
4.防止特权高程
采取措施防止犯罪者成为DB管理员或root - 具有与这些特权帐户关联的所有服务员权限。
o使用以下功能部署数据库IDS / IPS解决方案:
- 基于经常更新的签名组检测和阻止已知的漏洞
- 主动保护:检测和阻止可能代表数据库网络通信协议攻击的异常协议消息。
o应用查询级别访问控制。
5.不要让他们掩盖他们的曲目
最后,如果您的所有其他机制未能防止犯罪,您和当局将希望审计追踪犯罪者。部署独立数据库审核机制。此方法可确保日志记录不会影响数据库性能,并且攻击者无法使用连接到数据库服务器的审核机制来篡改。##
Amichai Shulman.是应用程序数据安全供应商Imperva的联合创始人和CTO。他还展望了Imperva的研究组织专注于应用和数据安全的应用防御中心(ADC)。
这个故事,“数据库犯罪现场预防”最初是发表的CSO 。