数据库安全能力-安全威胁TOP5 (数据库安全能力)

在数据库的安全问题已跃至CSO的工作内容象限榜首的今天，对数据库安全的防御是艰苦的旅程，如何让针对业务安全和数据安全的攻击成为一场废鞋底的马拉松，防止恶意行为者利用漏洞威胁这个“线头”并最终扯下数据这条“线裤”的全部，让我们一起来关注在数据库安全能力建设中识别数据库的安全威胁。

安全威胁简介

数据泄露对每个企业都构成威胁，其损失不仅超出了敏感数据、机密数据和品牌损害带来的实际损失或披露范围，公司还承担了与补救和多年法律责任索赔相关的重大财务成本。风险敏感的企业组织必须在数据库安全性方面保持领先地位，以保护和防御其数据免受各种外部和内部威胁。

是什么使您的数据成为主要目标?

根据Verizon2019DBIR报告，黑客的动机可能是受到经济利益、间谍活动、意识形态或怨恨甚至娱乐的鼓动，71%的泄露事件是出于经济动机发生的，大多数掠食者通过阻力最小的路径攻击最弱的猎物。好消息是，这意味着您的安全性虽然并不一定是完美的，但它已经足以阻止恶意攻击者–让他们去其他地方寻找更容易的猎物。

坏消息是许多公司都难以实现一种多重安全防御方法，该方法可以检测、监视、预防和缓解威胁。在本文中，我们将讨论关系型数据库面临的五大数据库安全威胁。我们还将探讨确保大数据安全的需求，大数据通常是依赖敏感数据的业务分析和客户体验应用程序的首选存储库。

什么是5大数据库安全威胁?

前两大威胁可以直接归因于内部威胁的增加。通常，企业网络被认为受到可保护边界的下一代防火墙的保护。但是，一旦恶意行为者越过防火墙，大多数企业中就没有可以检测到横向移动并防止重大数据泄露的保护机制，这对数据构成了重大威胁。此外，外部威胁是持续不断的，内部流程不足会留下管理漏洞，因此，当今的安全最佳实践要求组织必须采取多层次、多方面的方法来有效保护数据并防止数据泄露。

让我们一起来详细探讨这五种数据库安全威胁。

1. 过多的、不适当的和未使用的特权

当您授予某人超出其工作职能的数据库特权时，这些特权可能会被滥用。例如，其工作能力是需要更新员工休假信息的HR，可能会利用过多的数据库特权，对同事或高管的薪资数据进行未经授权的查询。此外，当某人在组织内的角色更改时，通常不会更新他对敏感数据的访问权限，以删除其新角色不再需要的权限。

应用程序的复杂性和使用的相应数据结构意味着，管理员倾向于默认情况下授予过多的特权，只是为了避免由于缺少访问特权而导致应用程序失败的风险。因此，用户可能被授予远远超出其特定工作要求的通用或默认访问特权，或者他们可能随时间推移累积这些特权。通常，企业可以保护或“强化”处于高级职位(例如CEO、CFO等)的员工的设备免受外部(和内部)攻击者的侵害，以保护对这些用户所需敏感数据的广泛访问，这种加强有助于发现威胁情况，终止访问以及本地存储数据的潜在破坏。但是，BYOD情况下这不是可行的解决方案。当普通用户的设备受到攻击时，很可能更难以检测到，如果该用户拥有过多特权，则可能会造成破坏，从而导致大规模数据丢失事件。

2. 权限滥用

在一项来自多个企业数据的长达两年的研究中表明，在每个企业中人们都使用数据库服务帐户来访问数据库，并且这些用户滥用这些特权服务帐户来直接访问敏感数据，从而绕过了应用程序界面。

此外，某些“特权用户”可能会出于未经授权的目的滥用合法的数据库特权。组织中的某些用户组由于其职业和活动而有权访问整个数据库。特权用户的两个主要类别是数据库系统管理员和开发人员：

什么是内部威胁?

内部威胁可以分为三类：恶意、疏忽和受到威胁：

3. Web应用程序安全性不足

大多数企业组织严重依赖应用程序与客户进行交互，对可公开访问的应用程序的攻击有很多类型，可以暴露数据。针对数据库的两种常见的Web应用程序攻击是SQL注入和WebShell。

多年来，SQL注入(SQLi)攻击一直是Verizon DBIR报告中的头号威胁。SQLi攻击是输入验证不完整或不充分的结果，它使不良行为者以从未曾预料到的方式通过Web应用程序将SQL命令传递给数据库。

Web Shell攻击是一种隐蔽方法，用于获得对 服务器 的未经授权的远程访问。Web Shell是利用Web服务器核心功能(为远程客户端提供服务)获得持久远程访问并通过与服务器Shell的接口获得对服务器的完全或有限控制的后门程序。根据Verizon DBIR由Web Shell后门造成的Web应用程序攻击破坏数量仅次于凭据被盗。

WebShell可以使用Shell的功能来破坏企业组织数据库并泄露数据而不被检测到。攻击者使用Shell程序的文件浏览功能从应用程序的配置文件中查找和窃取合法应用程序使用的数据库凭据。Shell固有地拥有服务器应用程序/守护进程本身的OS特权，从而使之成为可能。此外，在某些应用程序中，数据库凭证(用户名和密码)以明文形式存储在配置文件中。

4. 审计线索不足

接下来，我们将讨论由内部流程不足或漏洞引起的威胁。监控整个企业中的数据访问应该是任何生产数据库的一部分。无法同时监视安全性和合规性异常以及无法收集数据库活动的适当审计详细信息，这在许多层面上都构成了严重的组织风险。

此外，具有薄弱的(或有时不存在)数据库审计机制的组织还发现，它们与行业和政府法规要求不符。旨在防止会计错误和欺诈行为的萨班斯-奥克斯利法案(SOX)，以及医疗保健领域的《医疗保健信息携带和责任法案》(HIPAA)，都是具有明确数据库审计要求的法规示例。欧盟新颁布的通用数据保护条例(GDPR)是第一个对未能满足严格的数据保护措施(包括足以满足所有个人数据的审计和违规通知要求的数据库监控功能)的企业处以令人沮丧的罚款数额的条例。

(1) 为何审计跟踪具有挑战性

第一个原因是，许多企业转向其数据库供应商提供的数据库本地审计功能，或者依赖临时和手动解决方法，并认为这些方法已足够。本地审计不会记录支持安全性和合规性审计或检测攻击所需的上下文详细信息，也不提供事件取证。此外，本地数据库审计机制由于数据库服务器的CPU和磁盘资源的不稳定和过度消耗而臭名昭著，这迫使许多企业缩减或完全取消本机审计。最后，大多数本地审计机制是此类数据库服务器平台所独有的。例如，Oracle日志与MSSQL不同，并且MSSQL日志与DB2不同。对于具有异构数据库环境的企业，这对实施统一、可扩展的审计流程和报告构成了重大障碍。

报告称只有19%的公司监控数据库的活动。

具有对数据库(合法或恶意获得)的管理访问权的用户可以关闭本机数据库审计以隐藏欺诈性活动。审计功能和职责应与数据库管理员和数据库服务器平台分开，以确保职责之间的强烈隔离。

(2) 第二个挑战：审计处理

拥有正确的审计记录只是保护数据的第一步。第二步是了解数据活动和访问尝试记录，以处理该数据并确定可信威胁。如果您没有为该任务构建工具，则很难识别访问数据库的实体并区分DBA、应用程序、用户和作业进程。您需要了解对数据库的哪些访问是可疑的，例如，登录失败尝试是数据库访问中的常见现象。用户由于忘记或键入错误的凭据或更改密码而无法登录数据库。但是，当用户多次未能成功登录数据库而从未尝试过再次登录时，或者当用户试图成功访问企业中的多个数据库而未成功时，则是可疑的，可能表明用户没有获得访问应用程序的授权。

在一些帐户安全研究中，发现确定了一个用户，该用户尝试访问一个他从未访问过的数据库，然后在不到一个小时的时间内使用四个不同的帐户而没有成功，他使用第五个帐户成功登录了数据库，但是该帐户没有足够的特权来对该数据库执行任何操作。

此活动有多个危险信号：

曾数据泄露报告称超过3500万条记录丢失或被盗，其中44%与医疗或医疗保健相关。

此事件中将该活动标记为高风险，并提供了一项分析，指出此事件是由受威胁的内部人员实施的。为了识别此类事件，您需要了解哪些用户是人类用户(而不是作业进程和应用程序)。

不幸的是，当今使用的许多安全系统工具无法识别数据泄露，因为它们无法区分对数据库的可疑访问和正常访问。这些工具产生了太多模糊的告警，这些告警需要进行大量调查分析才能具有可视化，从而造成了过度消耗。通用告警的这种过载是为什么只研究了不到百分之一的关键安全警告的原因。

对等组异常的一个例子是，一个开发人员在其开发工作中访问一个应用程序表，而另一名开发人员访问该表以查看同事的个人数据。确定风险级别的关键是上下文，特别是要了解用户和对等用户的正常表访问权限。由于恶意内部人员会利用其特权从企业组织中窃取数据，因此无法区分上下文非常危险(请参阅“特权滥用”部分)。

本地审计工具无法区分不正常的用户访问和正常的内容，并经常导致过多的告警，所有这些都必须由专业安全人员进行筛选。SIEM工具可以减小此范围并使其更易于可视化，但是它们缺乏此领域专业知识，并且仅是从源数据中提取出来，并且只为直接调查提供了有限的可操作选项。需要具有反入侵行为分析以及自动化的数据库监视和检测功能系统，可以提供关注实际威胁所需的情报，以一种上下文关联和可操作的方式关注真正的威胁。

5. 不安全的存储介质

您上次关注存储介质备份的威胁是什么时候?通常，它是完全不受保护的。许多管理漏洞涉及数据库备份磁盘和磁带的被盗或意外暴露。采取适当措施保护敏感数据的备份副本不仅是数据安全的最佳实践，而且是许多法规的强制性要求。

此外，特权较高的用户通常将具有直接访问数据库服务器的权限。这种物理上的接触意味着他们可以插入类似拇指大小的USB驱动器，并直接对数据库执行SQL命令，这可以关闭本地审计功能并绕过除数据库服务器内核级别部署的保护机制之外的所有保护机制。我们需要健壮的数据库监控和防御工具，不允许这些类型的违规行为的工具。

(1) 威胁组合

到目前为止，讨论的每种数据库威胁肯定足以造成数据泄露，但是侥幸的恶意攻击者会寻找阻力最小的途径。许多时候，我们看到了多种威胁的组合使用，这些威胁会加快攻击者对数据的访问，并简化其在未被发现的情况下泄漏数据的能力。这里有一些例子：

57%的公司认为数据库是内部攻击最脆弱的资产。

(2) 大数据应用程序的安全威胁不可忽略

大数据应用程序仍处于起步阶段，在不根据每个公司的特定需求进行自定义的情况下进行部署，几乎没有成熟的商业解决方案。在市场发展的现阶段，仍然缺少了解大数据技术并能跟上其快速发展的专家。

在大多数情况下，内部开发人员设计、编写代码、测试和部署大数据应用程序和硬件时，却没有得到足够的培训、需求定义、时间或资源。

人们可能误认为，大数据“开源”软件包是一种快速成功的安装方式，实际上这些系统要复杂得多。构建软件时的第二个问题是缺乏可行的本机安全性或审计框架，该框架不会妨碍定制解决方法。缺少本地模型使安全性实现变得不容易，并且需要深入的设计和持续不断的维护。因此，需要考虑的安全和审计功能会被反复推迟，从而使您的数据容易受到攻击。

(3) 大数据—安全不是重点

大数据领域的某些人认识到对原生安全性和治理能力的需求，有早期的Apache项目正在寻求解决这些需求。不幸的是，这些项目经常有自己的安全问题，这些问题可能直接影响到它们试图保护的大数据系统的安全性。这些问题包括：

向应用程序添加身份验证过程。这需要更多的安全考虑，会使应用程序更加复杂。例如，应用程序需要定义用户和角色。基于此类数据，应用程序可以决定是否授予用户访问系统的权限。

(4) 重复数据

NoSQL的强大功能也是它的安全性致命弱点。在这些系统中，数据并非严格保存在唯一表中。而是，将数据复制到许多表以优化查询处理。因此，不可能根据特定的敏感表对***进行分类。相反，可以在不同位置找到此类数据：交易日志、个人帐户详细信息、代表所有***的特定表以及甚至可能没有考虑到的其他位置。

(5) 隐私问题

尽管我们专注于安全性，但是隐私问题也不容忽视。以医疗大数据平台为例，提供商可以共享患者数据。患者可以访问系统获取遗传信息，然后再访问有关药物信息的系统。分析此数据的应用程序可以将信息关联起来，以找到与遗传和健康有关的购买趋势。问题在于，最初插入数据时未考虑这种类型的相关性。因此，数据未被匿名化脱敏，从而可以从更大的趋势图中查明特定的个人。这将违反包括HIPAA和GDPR在内的多项法规。

如何创建全面的数据安全解决方案

数据安全性需要对数据和用户活动进行统计。此过程从指纹识别，发现数据库服务器，然后分域管理进行准入访问/活动监控，还需要连续的用户权限管理来阻止特权滥用。最佳实践的解决方法会考虑到数据访问的每个实例(包括特权用户的实例)，敏感数据的匿名化脱敏，为用户和应用程序构建完整的安全配置策略。在异构环境下的数据库审计日志方面，及日常行为中关注上下文使用机器自学习，可以准确地识别内部威胁并防止数据泄露。

而加强访问数据库的应用程序安全也很重要。SQLi和Web Shell只是Web应用程序面临的两种威胁，同时也需要能够阻止SQLi、Web Shell事件并防止复杂的业务逻辑攻击的类似高级Web应用防火墙的数据库业务防火墙，为防止未经授权的数据访问提供重要的保护。

如您所见对数据库的此五种威胁需要多重安全防御机制，仅仅依靠本机工具或忽略外部和内部攻击者能够利用并且将会利用的安全漏洞已不再足够。保护数据库中的数据对于保护客户、声誉和企业业务生存能力至关重要。

QQ音速 怎么不能换种子了？老是没兑换积分的大区~！！

答：音乐种子是通过进行游戏获得积分后登陆兑换得到的。获得音速种子的具体规则有以下几点：1、当日积分达到分即可获得1颗音乐种子，当日积分达到会再获得一颗音乐种子，当日积分达到获得第三颗音乐种子，当日积分达到分即可获得6颗音乐种子，当日积分达到分即可获得10颗音乐种子，每日最大上限为6颗音乐种子；2、双休日则可获得双倍种子；3、每个游戏大区积分单独结算；4、玩家每天只可以选择一个大区兑换一次；5、游戏积分领取种子：当日9：00～24：00之间可领取前一日0：00—当日0：00时之间的游戏积分；6、每日领取前一日的游戏积分，如未领取，积分不做保留

皮肤相当的干燥，什么样的润体乳好用？

这说明您的皮肤缺少大量的水分导致的。 建议您去美容美体商店或在淘宝网上买瓶玫瑰精油和薰衣草精油，在洗澡的时候在洗澡水中各滴入2-3滴，然后将身体全部浸泡在水中15-20分钟，洗完澡后在香体露中将两种精油个滴入1-2滴，然后均匀的涂抹在身体上，然后轻轻的按摩片刻，一个月后您身体上的皮肤就会变得嫩嫩的水水的了。 （皮肤也是有新陈代谢的一般是28天）

贵宾犬吃什么牌子的狗粮好？

以下资料请你耐心、仔细阅读！！都是关于你所提出问题的详细答案以及我个人的一些经验！！希望对你多少应该会有一些帮助的吧！！。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 本 年 度 十 大 WDJ 推 荐 天 然 狗 粮 排 行 榜 ：TOP1：牛油果狗粮 —— 适口性好，美毛效果极好。 TOP2：卡比狗粮 —— WDJ多年推荐产品，质量可靠，性价比极高的天然粮。 TOP3：营关狗粮 —— 对狗狗骨骼生长有极大的帮助，有点像人用的“巨能钙“功能。 TOP4：健怡狗粮 —— 性价比极高，价格不高的一款既养毛又健壮骨骼的全犬期狗粮。 TOP5：顶尖狗粮 —— 荣获多项荣誉，独有的鸭肉/鳟鱼配方更是对狗狗的作用犹如人类“何首乌”。 TOP6：爱慕斯狗粮 —— 国内有两个版本，一个是美国版，一个是阿根廷版，阿根廷版的要好一些。 TOP7：渴望狗粮 —— 被美国GRI机构评为全世界最好的狗粮，不过价格不菲。 TOP8：凌采狗粮 —— 进入中国市场时间相对较长，产品供应稳定，算得上一款不错的狗粮。 TOP9：希尔斯狗粮 —— 是一款很好的处方粮，对协助治疗某些狗狗病症帮助很大。 TOP10：雪山狗粮 —— 配方材料选料都很不错，全面营养，价位较高。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 本 年 度 国 内 狗 粮 销 售 排 行 榜 ：Top1:皇家狗粮：上榜原因：皇家狗粮源于法国，欧洲销量第一，价格也不菲。 最大的优点是口感好！老品牌，因制作工艺为喷油，食用的狗狗毛色比较有光泽。 此外皇家狗粮产品线极其丰富，定位高低各有不同。 既有适合各种犬种的专门狗粮，又有具有减肥等处方功能的狗粮，还有大众的普及型狗粮如A3等。 总之皇家狗粮用它的品牌和影响力占据了狗粮市场的头把交椅，尤其是在江浙沪地区经常会卖到脱销状态。 Top2：希尔斯狗粮：上榜原因：希尔思狗粮，同样来自美国的品牌，较昂贵的狗粮之一。 从成分上看希尔斯和爱慕斯差别不大，但口感优于爱慕斯。 广大饲主对希尔斯 羊肉米饭的评价很高。 此外希尔斯更是以处方粮、保健粮出名的，对有身体特殊需求的狗狗可以选购希尔斯的处方粮。 Top3：爱慕斯狗粮：上榜原因：爱慕斯狗粮，源自美国。 全面均衡营养，没有明显优缺点，各方面指数都比较平均吧。 价格高。 有洁牙微晶颗粒。 对于想省事的宠物主来说，可以一辈子给狗狗吃爱慕斯，从幼犬粮到成犬粮。 Top4：普卡狗粮：上榜原因：普卡狗粮Pro Pac普卡犬粮通过AAFCO美国官方认证，为成犬提供完全及均衡的营养。 60多年来对宠物食品的生产经验和潜心研发，以及对生产工艺的不断改进，以其对品质的一贯坚持，无可比拟的美味和适口性，和众多专业及非专业爱宠人士对其的喜爱及信赖，成为无可争议的全球高档宠物食品的品牌。 Top5：麦顿狗粮：上榜原因：麦顿（medon）是专业致力于宠物食品研发与生产制造的综合性国际品牌，产品涉及宠物干粮、湿粮、零食三大系列。 旗下包括美思犬粮、黄金营养犬粮、赛级犬粮、爱妙猫粮、饽罗湿粮以及麦顿零食系列等20多个子品牌，麦顿宠物食品系列是精选澳洲天然原料，采用国际先进工艺结合亚洲宠物生理特征研制而成。 全面提高宠物膳食营养，缔造宠物食品金牌品质。 其产品以绿色天然、配方天然、超强的适口性和营养价值而成为了宠物行业一颗崛起的新星，而倍受关注和好评。 也因此而有了宠物绿色食品的称号，成为了宠物食品中绿色的代名词！Top6：冠能狗粮：上榜原因：冠能狗粮在美国育犬界享负盛名，深得饲主和兽医的推荐。 美国AKC冠军犬前10名中的8名都采用冠能饲养。 冠能源于普瑞纳，其以全面均衡的营养制胜，特别为工作犬和赛季犬量身定做制，满足它们不同的营养及能量需求。 Top7：贵族狗粮：上榜原因：贵族狗粮澳洲第一品牌，适口性很好,容易被宠物接受。 贵族狗粮蛋白30高于冠能比赛级狗粮植物蛋白,而且此狗粮是采用动物蛋白制造。 贵族还有抗皮肤病配方,吃了毛色很好很亮,北京很多顶级犬舍打比赛的狗,都改用贵族了。 Top8：比瑞吉狗粮：上榜原因：比瑞吉犬粮采用国际最先进的犬粮生产技术，选用最优质的天然原料精制而成。 比瑞吉犬粮特别添加的深海鱼油有增强免疫、促进发育、泽亮毛发等功效。 更有充足的助长钙奶，给宠物细致全面的呵护。 100%全面均衡营养，充分满足犬只每天营养所需。 Top9：诺瑞狗粮：上榜原因：诺瑞狗粮，选用最优质的天然原料，产品质优而且价格实惠，是各狗场、专业繁殖场的最佳选择。 精选优质的鸡肉、鱼肉为主要的蛋白质来源，均衡的氨基酸含量，极易消化吸收，确保狗狗健康活泼。 Top10：宝路狗粮：上榜原因：宝路狗粮，国内大规模生产，价格便宜，购买方便。 产品线比较丰富，有多种不同口味的犬粮。 宝路进入中国市场早，品牌形象影响力大，占据了线下狗粮市场的半壁江山，特别是打入了中年狗主人的市场。