Verizon曾經就“核心數據是如何丟失的”做過一次全面的市場調查,結果發現,75%的數據丟失情況是由于數據庫漏洞造成。CVE數據安全漏洞統計顯示,Oracle、SQL Server、MySQL等主流數據庫的漏洞逐年上升。Skybox Security最新發布的2020年漏洞和威脅趨勢報告則指出,2020年漏洞數量有可能突破新的記錄——超過20000個。

軟件系統因技術性缺陷,總是不可避免的存在各種漏洞,而根據Gartner的數據, 其中99%的漏洞均為已知的漏洞,系統持續“裸奔”,這無疑給攻擊者大開方便之門。尤其是數據庫,這一信息系統的核心,一旦漏洞被利用,將造成巨大隱患。

通過獲取軟件開發商所提供的補丁程序,完成系統升級,這是普遍的漏洞修復方式,這種補丁修復流程會歷經多個階段,如下圖所示:

普遍的漏洞修復方式

但是,這種直接打補丁的方案卻存在風險、成本、時效、老舊系統等諸多問題:

補丁修復操作繁瑣,修復過程存在兼容性隱患;

漏洞問題層出不窮,頻繁打補丁工作成本加大;

零日漏洞加速出現,廠商提供補丁更新包卻滯后;

老舊系統無補丁更新,即便有用戶也不敢去升級。

在漏洞爆發式增長的今天,“打補丁”已經越來越不能應對新的安全態勢,漏洞之困,何以解憂?這需要一種既可以快速解決系統漏洞風險,又具有可操作性的漏洞修補方案。虛擬補丁作為一種輕量級且無損現有生產環境,同時又是非常行之有效的漏洞修補方案應運而生。

☆虛擬補丁

虛擬補丁概念最早由安全廠商McAfee提出。虛擬補丁方案假設:

漏洞不可能避免,永遠都有漏洞。

漏洞修復總是需要一定的時間作為代價。

新形勢下,對于漏洞的“修復”有著更高的要求。避免觸碰業務系統,盡可能短的時間內進行修復。

如果一個系統有很多漏洞,只要不去引爆,那么這些漏洞的存在也將沒有意義。也就達到了“漏洞修復”的目的。

對此,虛擬補丁承認系統漏洞存在,在受保護的資源外部建立一個策略實施點,以便在漏洞到達目標之前識別和攔截利用這些漏洞的行為。這樣就不需要直接修改被保護的資源,從而讓漏洞在非法攻擊中隱形。如下圖所示:

虛擬補丁

目前市面上,虛擬補丁方案在形式上基本一致,但實現邏輯卻有所差異,各廠商都有各自的方案特點,如:

完全基于對網絡流量的分析并提供系統使用簽名、正則表達式和模式匹配來識別惡意活動并阻止相應的請求;

基于相同的原理,但提供一種使用規則語言和狀態管理等更為健壯的方式來阻止指定請求。

在數據庫安全領域歷經十余年的研究和實踐,美創科技提出更輕量級、更加健壯的數據庫虛擬補丁方案,可以快速響應漏洞、智能修復,在此,我們深入了解該方案如何實現有效保護。

虛擬補丁架構

美創科技虛擬補丁架構主要由虛擬補丁策略、策略決策點(PDP)和策略執行點(PEP)構成。實現的邏輯架構如下圖所示:

美創科技虛擬補丁架構

策略執行點(PEP)

數據平面攔截數據流,通過數據流的協議解析獲取請求/響應的應用層內容。把內容送往PDP(策略決策點)進行策略評估。根據PDP的返回做出響應,阻斷或者放行等。

流量可通過旁路模式實現。旁路模式實時阻斷較弱,但可實現告警,追溯等能力。流量串接模式則能夠進行實時阻斷,甚至是內容級別的阻斷。

策略決策點(PDP)

根據策略對PEP送過來的請求進行評估,識別請求是否合法。策略可以采取多種形式:

正則匹配:觸發漏洞的語句往往具有一定的特征,可以根據這些特征編寫正則表達式。

語義解析:通過語義解析判斷當前請求是否是攻擊行為。

白名單形式:通過建立起正常的行為模式基線識別攻擊。偏離固有的行為模式,判定存在風險。

訪問上下文:通過檢測訪問上下文的各種屬性,判斷當前請求是否合法。

策略決策點的關鍵在于持續的評估請求合法性。根據靈活的策略庫、風險庫識別當前請求是否合法,對不合法的請求阻斷,將攻擊扼殺在路上,從而避免被保護的資源受到攻擊,受保護資源本身的漏洞也就不存在威脅。

流程

實施虛擬補丁,關鍵點在于請求的路徑上設置檢測點,阻斷非法請求。讓受保護資源本身的漏洞隱形,不會發作,從而達到“漏洞修復”的目的。

☆虛擬補丁的優點

美創科技數據庫虛擬補丁作為一種輕量級的漏洞修復方案,有諸多優點:

快速響應漏洞:無需等待開發廠商的補丁包,只需及時調整策略即可。

快速修復:無需重啟系統,無須停機窗口,策略一旦調整完畢實時起效。

非侵入式:通過虛擬補丁方式修復數據庫漏洞,無需更改數據庫環境,無額外成本,大大減輕測試和部署補丁的工作。

智能修復:可根據虛擬補丁策略的優先級、等級、嚴重性等進行智能編排,快速選擇啟停策略,響應方式等,自由靈活。

更具合規性:幫助用戶,用最少的成本保持數據庫始終符合合規要求。

更多可能性:可以在訪問控制的基礎上,實現授權操作等功能。根據不同身份執行不同策略。根據身份、行為、資產的屬性做出不同的評估。最大程度達成業務和安全的平衡:

① 減少對“緊急”補丁或者解決方案的依賴;

② 在網絡中的選定點,而不是在每個系統上應用補丁;

③ 使企業能夠靈活地按計劃時間表進行修補;

④ 有助于減少關鍵系統、數據庫和應用程序的計劃外停機帶來的高機會成本;

⑤ 擴展的策略授權執行。

美創科技虛擬補丁解決方案更加適合針對數據庫等復雜系統的保護,輕量級的保護手段讓“漏洞修復”更加安全、快速、靈活。此虛擬補丁方案已集成到美創數據庫防火墻內,作為內嵌功能,以非侵入式幫助用戶實現保護數據庫安全的目的。

美創數據防火墻虛擬補丁功能基于上述架構通過控制對數據庫的輸入和輸出,檢測其會話信息和語句信息對漏洞的嘗試利用,阻止或消除漏洞攻擊行為。

數據防火墻虛擬補丁功能

截止目前,數據庫防火墻的漏洞規則庫已識別并內置20多類數據庫漏洞類型虛擬補丁,實現對1600+多個漏洞防御保護,同時也仍在持續不斷地更新。

美創數據庫防火墻的虛擬補丁功能完全避免進行代碼級的改造,加長數據庫系統被保護的時間,避免數據庫長時間處在高風險的陰影下。

案例

SQL SERVER 2008提權漏洞

當使用SQL SERVER數據庫的業務系統存在SQL注入,或者SQL SERVER數據庫存在弱口令的情況下,攻擊者獲得SQL SERVER數據庫管理員權限后,即可以利用SQL SERVER數據庫的存儲過程執行命令進行提權,從而獲得SQL SERVER數據庫所在系統的控制權限。

開啟之后就可以執行,獲得一些信息后,然后進一步破壞。

針對這個漏洞,美創數據防火墻虛擬補丁可以通過多種方式進行攔截:

根據語句特征,編寫正則表達式,放入策略庫,進行阻斷;

根據強制白名單阻斷;

根據語義解析,分析行為;

如果一些情況需要執行這些語句,可進行授權操作;

整個過程快速實施,輕量級處理風險。強制白名單機制可防御0-day漏洞。即便需要更新策略庫,過程也比傳統打補丁修復方式更加快速。

ORACLE TNS Listener遠程注冊投毒漏洞

ORACLE TNS Listener遠程注冊投毒漏洞(CVE-2012-1675)是Oracle 2012年發布的告警,CVE-2012-1675漏洞是Oracle允許攻擊者在不提供用戶名/密碼的情況下,向遠程“TNS Listener”組件處理的數據投毒的漏洞。如:攻擊者可以在不需要用戶名密碼的情況下利用網絡中傳送的數據消息(包括加密或者非加密的數據),如果結合(CVE-2012-3137漏洞進行密碼破解)從而進一步影響甚至控制局域網內的任何一臺數據庫。

攻擊者利用該漏洞時,首先會利用攻擊載荷攻擊TNS網絡組件,使其返回錯誤信息,錯誤信息中包含攻擊者所需的信息,如下:

攻擊者利用漏洞

可以看到,返回的信息是有其固定的格式的。美創數據防火墻虛擬補丁通過精準匹配數據庫漏洞發生時輸出的信息,對返回的數據庫信息進行混淆處理或者攔截,使攻擊者無法得到有效信息,有效抵御入侵攻擊行為。