返回
RSA大会2012安恒信息演讲——业务及数据库安全威胁分析

RSA大会2012安恒信息演讲——业务及数据库安全威胁分析

ID:41893334

大小:4.74 MB

页数:37页

时间:2019-09-04

RSA大会2012安恒信息演讲——业务及数据库安全威胁分析_第1页
RSA大会2012安恒信息演讲——业务及数据库安全威胁分析_第2页
RSA大会2012安恒信息演讲——业务及数据库安全威胁分析_第3页
RSA大会2012安恒信息演讲——业务及数据库安全威胁分析_第4页
RSA大会2012安恒信息演讲——业务及数据库安全威胁分析_第5页
资源描述:

《RSA大会2012安恒信息演讲——业务及数据库安全威胁分析》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、范渊杭州安恒信息技术有限公司业务及数据库安全风险分析——范渊议题背景:敏感数据泄露频繁爆发!数据安全令人担忧!杭州安恒信息技术有限公司1、世界500强泄密事件42、互联网企业泄密事件5企业名称泄露账号数量泄露信息CSDN6,428,632个帐号。帐号、明文密码、电子邮件多玩8,305,005个帐号。帐号、MD5加密密码、部分明文密码、电子邮件、多玩昵称178.COM1,883,487个帐号,仍不断增加。帐号、MD5加密密码、全部明文密码、电子邮件、178昵称(178账户通用NGA)天涯9,695,513个帐号(

2、预计超4千万数据)。帐号、明文密码、电子邮件人人网4,768,600个帐号。明文密码、电子邮件UUU9.COM7,513,773个帐号。帐号、MD5加密密码、部分明文密码、电子邮件、U9昵称网易土木在线约4.3GB,137个文件。帐号、邮箱、MD5密码、其他相关数据梦幻西游约1.4G(木马盗取)。帐号、邮箱、明文密码、角色名称、所在服务器、最后登陆时间、最后登陆IP新浪微博帐号数未知,疑似文件1个。邮箱、明文密码麒麟网9,072,966个帐号。帐户、明文密码某婚恋网站5,261,302个帐号。帐户、明文密码——

3、范渊数据泄密事件有何启发?是文件泄漏?数据库泄漏?显然数据库泄漏已成主因!来自verizon的数据支持!——范渊数据库面临安全风险TOP10TOP1.帐号授权不合理,越权操作严重TOP2.帐号复用与滥用TOP3.脆弱的web应用TOP4.数据库漏洞和配置不合理TOP5.身份验证措施薄弱TOP6.备份管理不足TOP7.审计措施不力TOP8.缺失有效加密措施TOP9.安全域规划不合理TOP10.服务器操作系统漏洞与配置不合理低高威胁1:帐号授权不合理内控规定DBA不允许访问业务数据,但我们没有办法控制业务开发人员不

4、应具备建表、查看业务数据权限;最小权限原则由于其过于复杂无法实施。8Select*fromfin.customersSelect*fromhr.employees威胁1:帐号授权不合理9典型越权操作案例:1、开标前30分钟,越权查看投标商报价;2、通知合作投标商,以低于次低价几十元报价,协助其中标;由于第三方人员权限过大导致的泄密事件数不胜数!威胁2:帐号复用和帐号滥用10数据库管理现状:一个帐号多人使用;多台设备共用密码;应用系统帐号个人使用;威胁2:帐号复用和帐号滥用——改进建议11建立集中运维安全管理平台

5、逻辑上将人与目标设备分离,全局唯一身份标识,隐藏设备管理帐号密码;转变传统IT安全运维的被动响应模式,建立面向用户的集中、主动的安全管控模式;现在过去转变威胁2:帐号复用和帐号滥用——改进建议12数据库访问行为模型报价客户资料金额统计数据参数内容WhoJoJo、jammWhere192.168.1.1192.168.8.8WhatpriceHow工具对象whenselectPL/SQL所有人报价信息2012.5.1814:30持续监控审计构建数据库访问行为模型,梳理帐号权限!威胁3:脆弱的web应用85%以上的

6、黑客攻击入口是脆弱的web系统13威胁3:脆弱的web应用——改进建议14预警防护分析加固短期间检测到大量攻击自动告警安全态势跟踪已知的攻击、已知的漏洞已知的正常访问方式应用程序:错误分析、延时分析、流量分析、用户群分析安全分析:攻击态势、攻击目标分析、攻击源分析安全分析:代码质量问题,编码规范问题已知应用漏洞加固已知访问权限调整建立有效的web防御体系(WAF和网页防篡改)15威胁4:身份验证措施薄弱众多数据库帐号被破解!而且多个帐号使用同样密码!威胁4:身份验证措施薄弱16销售专业统方工具!可实现全国大部分

7、HIS系统统方!方便易用,无需专业IT技能!威胁4:身份验证措施薄弱17这就是为什么医院频繁出现泄密事件的主因之一!威胁4:身份验证措施薄弱——改进建议1、复杂的密码策略182、双因子认证利用扫描软件定期评估数据库密码健壮性!通过审计监督“密码修改”也非常有必要!隐藏设备的密码也很重要!威胁5:数据库漏洞和配置不合理数据库的漏洞并不少见,但了解度比系统漏洞要低很多!当然更重要的是数据库配置不合理!19威胁5:数据库漏洞和配置不合理数据库常见配置不合理性说明:数据库版本信息泄漏;数据库默认帐号密码没有修改;密码规

8、范没有启用(密码生存周期、长度、锁定策略等)无关帐号、过期帐号未锁定、删除;公共权限(public)用户组授权不合理;访问权限绕过漏洞;20威胁6:数据库服务器操作系统漏洞操作系统漏洞大家都最熟悉不过了!但由于数据库的特殊性,其漏洞往往没有进行任何的修补!21进入内网了!窃取数据就容易了!威胁6:数据库服务器操作系统漏洞22内部都是利用操作系统漏洞!威胁6:数据库服务器操作系统漏洞——

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。