如果说,数字化转型是全球变革的趋势,那么“大数据安全”就是数字化转型的“必答题”。“数据”作为当今信息化时代的重要载体与工具,其安全性是直接决定未来全球数字化转型成功与否的关键命题。
前段时间,据外媒报道:SAP旗下产品ASE数据库服务器被曝存在6个高危漏洞,其中之一的CVE-2020-6248威胁评分竟高达9.1(满分10分)!据悉,攻击者可利用该组漏洞在低权限状态下,在目标系统上执行任意代码,直至完全控制目标数据库甚至底层操作系统。鉴于SAP为全球知名企业软件供应商,且ASE服务范围甚广,故而此次漏洞事件波及范围或许比预想的还要深远。而当我们将此事置于全球数字化转型的背景下重新审视时,发现威胁绝不止于数据库安全,其背后还潜藏着更深层次的数字时代安全形态:“数据”作为当今信息化时代的重要载体与工具,其安全性是直接决定未来全球数字化转型成功与否的关键命题。
SAP(SystemApplications and Products)公司:成立于1972年,是全球知名的企业管理和协同化商务解决方案供应商,在全球190多个国家和地区拥有超过335000个客户。
尤其值得注意的是,该公司旗下的明星产品ASE(Adaptive Server Enterprise)数据服务器享誉全球,世界范围内近90%的银行巨头和安全公司,30000多家企业组织都在使用它。
SAP ASE数据服务器被曝高危漏洞
攻击者可完全控制目标数据库
近日,国外安全研究员发布报告,重磅披露了SAP ASE数据服务器中6个高危漏洞的技术细节,并警告称:攻击者可利用该组漏洞在低权限状态下,在目标系统上执行任意代码,甚至完全控制目标数据库以及底层操作系统。
6个高危漏洞主要信息如下:
CVE-2020-6248:威胁评分高达9.1(满分10),该漏洞源于缺乏安全检查,无法在数据库备份操作期间覆盖关键配置文件。任何可以运行DUMP命令的低权限用户都可以通过发送损坏的配置文件以接管数据库。
CVE-2020-6252:存在ASE服务器的小型辅助数据库(SqlAnywhere)中,任何一个运行Windows系统的攻击者皆可通过此漏洞,登录辅助数据库以“本地系统”权限执行任意代码。
CVE-2020-6241:存在于ASE 16的全局临时表中,是典型的SQL注入漏洞,可被用于提升系统权限。
CVE-2020-6253:存在于ASE的WebServices处理代码中,攻击者可借此进行系统权限提升。
CVE-2020-6243:XP Server漏洞,经过身份验证的Windows攻击者可借此连接到SAP ASE,并以“本地系统”的权限执行任意代码。
CVE-2020-6250:与安全日志中出现明文密码有关,单独使用时仅影响Linux/UNIX系统,但若与其他漏洞组合使用,或可导致SAP ASE服务器完全瘫痪。
从9.1的威胁评级到权限恶意提升再到服务器致瘫,上述漏洞的破坏力不言而喻。而更关键的是,企业通常会将关键信息存储在数据库中,而数据库又常处于不受信任或公开的环境下,这一趋势更是给了漏洞攻击可乘之机。
因此,一旦数据库安全防线失守,不止机密信息会受到影响,正在运行的主机也将面临前所未有的威胁。智库在此提醒相关管理员,务必及时修补系统漏洞,保障系统安全运行。
服务器失守背后暗藏更大隐患
大数据安全危局一触即发
而在SAP ASE存在高危漏洞这一事件中,需要我们关注的不只是漏洞的修补与否,更重要警惕的是其背后潜藏的危机:数据安全一旦失守,数字化转型必将全线溃败。
尤其随着关键基础设施的高度数字化,以工业互联网、5G、人工智能为代表的新技术为大数据提供肥沃发展土壤的同时,也给数据安全带来了前所未有的挑战,其背后面临的网络威胁也日渐凸显。
其一、内部脆弱难以避免,数据库本身的存储存在诸多安全隐患
由上文可知,SAP ASE服务器中存在的这组漏洞极具破坏力,而这还仅仅是数据库服务器漏洞的冰山一角。相关数据显示,截止2019年12月,CVE发布的被确认的国际主流数据库漏洞多计140个!
而近年来,借助数据库服务器漏洞,利用SQL注入、提权、缓冲区溢出登攻击方式,针对数据中心发起的高级别网络入侵时有发生,由此导致的大规模数据泄漏事件更是比比皆是。
根据Risk Based Security发布的数据显示,仅在2020年第一季度,泄露的数据总量猛增至84亿,与2019年第一季度相比增长了273%,创下至少自2005年详细报告开始以来的同期记录。
其二、外部威胁防不胜防,高级别APT、勒索软件等各类攻击层出不穷
在数据内部脆弱性难以避免的背景下,针对性的高级别网络攻击日益猖獗,传统的防御手段已无法有效阻止APT等高级攻击,而数据安全防线一旦被攻破,各类有关国家、社会、企业和个人的海量大数据将被置于前所未有的威胁之下。
以最近发生的数起数据攻击案件为例:
2020年5月,美国德克萨斯州的航空服务供应商圣东安尼奥航空航天公司(VT SAA)遭遇勒索软件攻击,该公司包括财务数据、提案、保密协议在内的1.5TB数据惨遭窃取;
2020年5月,泰国大的蜂窝网络AIS疑似遭黑客攻击,致其数据库脱机,80亿实时互联网记录惨遭泄露;
2020年6月3日,外媒报道称,美国防部承包商遭遇Maze勒索软件攻击,致其参与维护支持的美国洲际弹道导弹“民兵-3“系列军事数据陷入危局;
桩桩件件,皆是面向数据安全振聋发聩的安全警铃。
其三、多域应用场景下,数据安全牵一发而动全身
随着全球数字化战略迎来前所未有之新变局,各产业链中,数据应用场景必将呈现井喷式增长。而在这一趋势下,数据采集、数据整合、数据提炼、数据挖掘、数据发布这一链条中的任何一个环节被攻破,都将导致“牵一发而动全身“的威胁效果。
更为严重的是,若以失真的数据来训练神经网络现象,将导致从决策错误到整个数据中心宕机等一些列重大安全问题。
短评
当前,新基建浪潮之下,大数据不仅是数字化转型的重要驱动力,更是转型之后各行各业数字化发展的重要载体和工具。
与此同时,伴随万物互通互联,“大数据安全”也不再是虚拟世界的威胁,更是现实世界的延展。数据库的暴露可能对国家安全、社会安全、个人安全造成不可逆的影响。
今年两会期间,360董事长兼CEO周鸿祎提出的四点建议中,其中第三条也曾提到要强化大数据平台安全,实现安全的大数据协同计算。足见,在全球数字化转型的当下,“大数据安全”俨然早已成为网络安全的“必答题”,保障“大数据安全”成为我们发展新基建避不开的重要一环。
而在应对之策上,与应对新型网络空间威胁同理,在维护“大数据安全”上,我们同样要改变单一、传统的网络防护思维和手段,尽早构建以数据安全为导向的全新网络防护体系来应对当前的网络威胁。