真实案例:数据库审计在入侵行为审计中的作用

做为企业IT应用系统的基础,数据库系统的安全至关重要,它承载了企业运营的关键数据,是企业最核心的IT资产。在数据库安全的日常管理中,内部人员的违规操作和外部黑客对系统的入侵是其所面临的主要安全风险。而数据库审计在数据库安全管理中的重要性不言而喻,下面让我们通过陕西省某大学一则真实的案例来体会数据库审计在入侵行为审计中的作用。

1

事件起因

2015年1月15日16:50,安恒信息的技术工程师接到客户电话:发现业务系统可能被“拖库”,需要协助客户对越权拖库行为进行调查!

17:50,技术工程师到达客户现场的时候,客户自己已经通过“安恒明御数据库审计与风险控制系统”查询出了黑客的IP地址。(虽然1小时就到了现场,但是客户本身对业务、对数据库审计都非常熟悉,效率非常高啊有木有!)

2

事后审计追踪过程

该客户网络中有数千台计算机,客户在查看数据库审计设备时,发现有大批量的返回结果集超过1000行的select数据查询告警,通过查询数据库审计告警日志及原始审计日志,通过会话关联分析,发现大量的非运维网段的IP频繁整表查询行为,最终确定IP为192.168.12.241的客户端使用plsqldev.exe工具在直接拖库!

客户通过安恒数据库审计与风险控制系统定位此次攻击的方式非常简单,如下图:

1) 在告警界面找到对应的返回行数过大的告警行为。

2) 点击查看本次会话的详细信息,如下图所示:

3) 通过交谈了解到,客户方数据库管理员平时都用Toad管理数据库,所以在审计查询里面输入plsqldev.exe、sqlplus.exe等常用客户端工具进行查询(也包括了Toad)

4) 由于数据库管理员都在独立的运维区,实际上输入该区域以外的IP(可以自定义)就极大的缩小了范围,最终直接确定哪些操作是违规行为。

5) 虽然入侵是刚发现的,但为了确定之前是否已经有攻击行为存在,我们将审计追溯的日期选择到2014年10月8日开始。

6) 报文这里,其实意义不太大了,因为将非运维管理区定义好之后,再结合客户端工具,已经可以完整的进行攻击源的锁定。

通过一次“查询”就出来了结果。我们看下图的影响行数、IP、MAC、客户端工具,然后再通过网络认证计费系统查询到该时间段内此IP被分配了哪位用户,一切水落石出!

3

安全策略加固

因此通过本次事件也很好的说明再好的安全设备也需要有效的人机结合,设备需要有正确、有效的策略配置,在这个案例当中,结合客户的业务逻辑,我们重新给客户新增审计告警规则,这样一来,一旦以后再次出现此类问题可以直接发邮件给数据库管理员!

1)、对“非网络运维区”的操作进行告警,也就是只要发生非管理员网段的操作就会告警。客户的业务系统决定了不会有来自非运维区的直接操作数据库的行为,所以一旦出现非管理员网段的操作就是违规行为;

2)、对进行操作之后,影响行数大于1000的行为进行告警。因为在正常的情况下,业务系统不存在如此大批量的数据操作行为;

3)、开启特征检测,针对可能的数据库入侵行为进行检测;

通过上述配置,我们就可以在安恒明御数据库审计与风险控制系统中及时发现入侵行为、以及非合规操作行为,使得DBA能更有效的对数据库安全进行保障。

其实数据库审计能做的事情非常多,未来,安恒信息的安全专家将为您带来更多关于数据库安全方面的文章,感谢您的支持!

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2015-04-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

这款安卓后门GhostCtrl可能是“史上功能最多”的后门

这个世界上从来都不缺Android恶意软件,但我们却很少能够遇到像GhostCtrl后门这种功能如此之多的Android安全威胁。 ? 根据趋势科技的研究人员透...

3447
来自专栏网站设计制作、数字营销

网站突然增加了不相关的链接的可能原因

有时有的公司可能会遇到公司的网站在首页或者内页突然被添加加了不相关的链接,可以肯定不是公司内部人添加的,那么这种无端被添加了不相关的链接的可能原因是什么?下面就...

1343
来自专栏大魏分享(微信公众号:david-share)

深度分析:为啥说API是IT的未来?

本文在第一节,参考引用了 刘国强 CA Technologies中国区技术总监的《到底什么是“API经济学”》文章部分内容。本文其他章节技术部分则参考了社区和红...

2562
来自专栏布尔

关于把本地应用封装成windows app发布审核通不过的问题

把传统的b/s系统,简单改版,做成了一个比较适合于领导查询的系统,并开发了一个app程序封装了webview直接导向该程序,无需登陆直接访问;结果在提交app的...

2128
来自专栏FreeBuf

使用Maltego进行互联网情报收集(入门篇)

Maltego是一款十分适合渗透测试人员和取证分析人员的优秀工具,其主要功能是开源情报收集和取证。 比起其它的情报收集工具,Maltego显得格外不同并且功能强...

6047
来自专栏SAP最佳业务实践

SAP最佳业务实践:SD–售前活动(920)-4数量合同

一、 VA41创建数量合同文档 数量合同是客户在指定期间订购一定数量产品的协议。此合同包括基本数量与价格信息,但不包含具体的交货日期或数量计划。客户通过根据协议...

3086
来自专栏AhDung

【吐槽】gist.github.com疑遭中间人攻击

北京时间201510081004,云南电信用户,现在上https://gist.github.com/,用IE10会提示证书被伪造,用搜狗4.1.3.9668会...

1543
来自专栏纯洁的微笑

历时25天,我的博客(www.ityouknow.com)终于又活了过来

1713
来自专栏张叔叔讲互联网

QQ如何把你消息传递给好友的?(下篇)

话说你已经成功注册了QQ号码,取名叫“村头小伙”。你的同学小芳“村里那个姑娘”也接受了你的好友申请。之后的日子里面,你们经常通过QQ发送文字和语音,偶尔还会视频...

962
来自专栏CSDN技术头条

说实话,分布式系统的复杂度远大于它的好处

最近,有一位酷酷的程序员小哥(由网站头像可得)在Hacker Noon网上发表了一篇名为《全面解析分布式系统》的文章。和以往烂大街的分布式教程不太一样,这位小哥...

1372

扫码关注云+社区

领取腾讯云代金券