從刪庫(kù)到跑路,教訓(xùn)很多,但類(lèi)似事件近年來(lái)總在重復(fù)上演,有運(yùn)維部為此連夜鏖戰(zhàn)恢復(fù),更有企業(yè)陷入“至暗時(shí)刻”,經(jīng)濟(jì)受損、名譽(yù)蒙塵。
組織單位應(yīng)該采取怎樣的策略和積極主動(dòng)的方法,避免釀成嚴(yán)重的后果?
美創(chuàng)防刪庫(kù)解決方案以“刪庫(kù)”路徑為著眼點(diǎn),充分踐行以人為中心的安全理念,并結(jié)合底線防御的核心思想,為您加持三重安全保障:
在數(shù)據(jù)存儲(chǔ)域:通過(guò)諾亞防勒索,實(shí)時(shí)監(jiān)控各類(lèi)進(jìn)程讀寫(xiě)操作,防止數(shù)據(jù)庫(kù)、數(shù)據(jù)庫(kù)文件被刪除,保證數(shù)據(jù)的基礎(chǔ)可信環(huán)境安全;
在數(shù)據(jù)訪問(wèn)域:通過(guò)數(shù)據(jù)庫(kù)防水壩、數(shù)據(jù)庫(kù)防火墻,進(jìn)行細(xì)粒度的數(shù)據(jù)庫(kù)準(zhǔn)入控制、訪問(wèn)控制,防止數(shù)據(jù)被非法操作;
底線防御、極限生存:通過(guò)新一代災(zāi)備一體化平臺(tái),最大程度實(shí)現(xiàn)業(yè)務(wù)連續(xù)性和數(shù)據(jù)完整性保障。
第一重保障:存儲(chǔ)域 防止數(shù)據(jù)文件被刪除
問(wèn)題分析
上述案件的刪庫(kù)和勒索手段,均發(fā)生在存儲(chǔ)域(物理域)。主要場(chǎng)景如:在操作系統(tǒng)運(yùn)維過(guò)程中,運(yùn)維人員通過(guò)format、rm等系統(tǒng)級(jí)操作直接對(duì)操作系統(tǒng)中的數(shù)據(jù)庫(kù)文件進(jìn)行刪除(典型微盟、鏈家事件)。此外,黑客入侵某數(shù)據(jù)庫(kù)服務(wù)器后,通過(guò)惡意程序和惡意代碼等手段,控制未知進(jìn)程對(duì)操作系統(tǒng)中存儲(chǔ)的數(shù)據(jù)文件進(jìn)行加密、修改或破壞,進(jìn)而要挾勒索。
常見(jiàn)場(chǎng)景
具體手段
操作系統(tǒng)運(yùn)維
進(jìn)行數(shù)據(jù)庫(kù)、數(shù)據(jù)文件刪除、數(shù)據(jù)庫(kù)所處目錄刪除、所屬邏輯卷刪除、所屬磁盤(pán)格式化,操作系統(tǒng)格式化。如微盟事件、鏈家事件。
外部威脅
通過(guò)惡意程序和惡意代碼等手段,控制未知進(jìn)程對(duì)操作系統(tǒng)中存儲(chǔ)的數(shù)據(jù)文件進(jìn)行加密、修改或破壞。
存儲(chǔ)域(物理域)安全是數(shù)據(jù)安全的基礎(chǔ),構(gòu)建存儲(chǔ)域的基線防線,保障存儲(chǔ)的數(shù)據(jù)不被破壞、篡改,是系統(tǒng)穩(wěn)定運(yùn)行的根本前提條件。因此,監(jiān)視操作系統(tǒng)中進(jìn)程的變化,確保進(jìn)程的可信性,防止數(shù)據(jù)庫(kù)、數(shù)據(jù)庫(kù)文件被破壞至關(guān)重要。
解決對(duì)策
美創(chuàng)諾亞防勒索系統(tǒng)可實(shí)時(shí)監(jiān)控各類(lèi)進(jìn)程和用戶對(duì)數(shù)據(jù)文件的讀寫(xiě)操作,快速識(shí)別、阻斷已知、未知勒索病毒的寫(xiě)操作以及 “rm -rf /”之類(lèi)的刪除命令行為,確保只有被允許的合法操作才能被執(zhí)行,有效避免微盟事件中自行停止數(shù)據(jù)庫(kù)進(jìn)程后刪除數(shù)據(jù)庫(kù)文件等數(shù)據(jù)破壞場(chǎng)景。
第二重保障:訪問(wèn)域 防止數(shù)據(jù)被非法操作
典型舉例
2020年,百度網(wǎng)訊金某某在負(fù)責(zé)測(cè)試開(kāi)發(fā)工作期間,因?qū)υ摪才鸥械讲粷M,在家中使用手機(jī)登錄隧道進(jìn)入公司內(nèi)網(wǎng)服務(wù)器,分次對(duì)可視化項(xiàng)目程序數(shù)據(jù)庫(kù)內(nèi)的項(xiàng)目表進(jìn)行了刪除、鎖定、修改,當(dāng)事人構(gòu)成破壞計(jì)算機(jī)信息系統(tǒng)罪,被判處有期徒刑9個(gè)月,緩刑1年。
2018年,順豐高級(jí)運(yùn)維工程師鄧某錯(cuò)選RUSS數(shù)據(jù)庫(kù),打算刪除執(zhí)行的SQL。在選定刪除時(shí),因其操作不嚴(yán)謹(jǐn),光標(biāo)回跳到RUSS庫(kù)的實(shí)例,在未看清所選內(nèi)容的情況下,便通過(guò)delete執(zhí)行刪除,同時(shí)鄧某忽略了彈窗提醒,直接回車(chē),導(dǎo)致RUSS生產(chǎn)數(shù)據(jù)庫(kù)被刪掉,導(dǎo)致系統(tǒng)中斷590分鐘。
問(wèn)題分析
在美創(chuàng)實(shí)際案例中,同樣發(fā)生類(lèi)似事件,某單位用戶運(yùn)維人員通過(guò)運(yùn)維工具訪問(wèn)數(shù)據(jù)庫(kù),在刪除表A的某行錯(cuò)誤數(shù)據(jù)時(shí),因?yàn)槭韬觯瑘?zhí)行了刪除整表的操作,導(dǎo)致業(yè)務(wù)停機(jī)。
對(duì)于絕大多數(shù)單位組織而言,往往對(duì)數(shù)據(jù)庫(kù)運(yùn)維缺少細(xì)粒度管控,而面臨數(shù)據(jù)庫(kù)誤操作、高危操作等,堡壘機(jī)作為“系統(tǒng)”層的門(mén)禁,僅能對(duì)運(yùn)維人員操作行為以錄屏的方式進(jìn)行安全監(jiān)控,并不能對(duì)高危風(fēng)險(xiǎn)行為進(jìn)行識(shí)別和阻斷處理。
常見(jiàn)場(chǎng)景
具體手段
數(shù)據(jù)庫(kù)運(yùn)維
數(shù)據(jù)庫(kù)運(yùn)維工程師誤操作導(dǎo)致的數(shù)據(jù)刪除或丟失,包括刪除測(cè)試環(huán)境因地址錯(cuò)誤或數(shù)據(jù)庫(kù)名稱(chēng)等錯(cuò)誤導(dǎo)致刪除、歷史表遷移工作誤刪除;數(shù)據(jù)庫(kù)運(yùn)維工程師的惡意操作導(dǎo)致的數(shù)據(jù)丟失,包括刪除數(shù)據(jù)庫(kù)部分或全部數(shù)據(jù)、刪除數(shù)據(jù)庫(kù)、刪除數(shù)據(jù)庫(kù)實(shí)例。如百度網(wǎng)訊事件。
應(yīng)用系統(tǒng)運(yùn)維
delete不增加where從句的方式對(duì)表格進(jìn)行刪除、drop table方式進(jìn)行數(shù)據(jù)刪除、truncate table方式進(jìn)行數(shù)據(jù)刪除、drop user方式進(jìn)行某用戶數(shù)據(jù)刪除、刪除所有用戶數(shù)據(jù)。如順豐事件。
解決對(duì)策
美創(chuàng)數(shù)據(jù)庫(kù)防水壩(數(shù)據(jù)庫(kù)運(yùn)維安全管控)和數(shù)據(jù)庫(kù)防火墻,以資產(chǎn)和身份安全(以人、終端、應(yīng)用、賬戶構(gòu)成身份四要素)為中心,增強(qiáng)準(zhǔn)入控制,聚焦訪問(wèn)權(quán)限,重點(diǎn)管控刪庫(kù)等高危操作行為,有效實(shí)現(xiàn)對(duì)“DROP DATABASE”等刪除數(shù)據(jù)庫(kù)或其他高危SOL操作語(yǔ)句的精細(xì)化控制。同時(shí)數(shù)據(jù)庫(kù)防水壩誤操作恢復(fù)功能,支持對(duì)合法誤刪除的表格數(shù)據(jù)進(jìn)行恢復(fù),用戶一旦發(fā)生誤操作行為,安全管理員可在管理端頁(yè)面進(jìn)行語(yǔ)句追蹤,快速找回誤刪除數(shù)據(jù)。
數(shù)據(jù)庫(kù)防水壩產(chǎn)品架構(gòu)
數(shù)據(jù)庫(kù)防火墻產(chǎn)品架構(gòu)
第三重保障:容災(zāi)備份 底線思維,極限生存
回溯這兩年刪庫(kù)事件,為何業(yè)務(wù)恢復(fù)和數(shù)據(jù)恢復(fù)難的狀況屢見(jiàn)不鮮?究其原因,一方面完備的災(zāi)備建設(shè),未獲得組織單位應(yīng)有的重視。另一方面,多云、混合云時(shí)代帶來(lái)的資產(chǎn)復(fù)雜性和災(zāi)備技術(shù)多態(tài)性,給災(zāi)備能力建設(shè)、災(zāi)備資源高效利用和日常災(zāi)備運(yùn)營(yíng)提出挑戰(zhàn)。
這需要企業(yè)的災(zāi)備建設(shè)更加科學(xué)合理、災(zāi)備管控更加精準(zhǔn)高效、災(zāi)備運(yùn)營(yíng)更加彈性和數(shù)字化。
美創(chuàng)新一代災(zāi)備一體化平臺(tái)(DRCC v3.0),基于云端架構(gòu),提供 “1 個(gè)災(zāi)備管控中心 + 多個(gè)災(zāi)備能力”,實(shí)現(xiàn)災(zāi)備狀態(tài)可感知、災(zāi)備能力可訂閱、災(zāi)備演練可掌控、災(zāi)難切換可指揮,充分保證業(yè)務(wù)連續(xù)性和數(shù)據(jù)完整性。
新一代災(zāi)備一體化平臺(tái)架構(gòu)
三重安全BUFF疊滿,杜絕“刪庫(kù)跑路”
無(wú)論運(yùn)維工程師的誤操作,還是黑客或內(nèi)部人員的惡意刪除,“刪庫(kù)”事件的發(fā)生不是單一的問(wèn)題或漏洞導(dǎo)致,人作為安全中最不可控以及最為復(fù)雜的因素,導(dǎo)致了問(wèn)題的復(fù)雜。例如,“刪庫(kù)”當(dāng)事人常常會(huì)利用多種手段進(jìn)行刪除破壞,先通過(guò)SQL語(yǔ)句對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)批量刪除后,再通過(guò)操作系統(tǒng)層刪掉數(shù)據(jù)庫(kù)備份文件,造成數(shù)據(jù)無(wú)法及時(shí)修復(fù)。因此,只有深入理解人的安全以及各種場(chǎng)景,通過(guò)全方位的管理、制度、技術(shù)保障,才能更游刃有余地應(yīng)對(duì)刪庫(kù)事件。
美創(chuàng)防刪庫(kù)方案以“刪庫(kù)”的路徑為著眼點(diǎn),充分踐行以人為中心的安全理念,并結(jié)合底線防御的核心思想,采用數(shù)據(jù)庫(kù)防水壩、數(shù)據(jù)庫(kù)防火墻、諾亞防勒索、災(zāi)備一體化平臺(tái)等產(chǎn)品工具,形成防刪庫(kù)三重保障體系,有效防止數(shù)據(jù)庫(kù)被刪庫(kù)或規(guī)避刪庫(kù)后所造成的后果和影響,為用戶構(gòu)筑全面的“防御工事”和“應(yīng)急救援”的韌性能力!
