日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
聊聊不大靠譜的數(shù)據(jù)庫(kù)安全掃描

前陣子就有朋友留言說(shuō)讓我吐槽吐槽數(shù)據(jù)庫(kù)安全掃描,此言正合我意。這些年,企業(yè)安全事故頻發(fā),勒索病毒事故多出,再加上安全對(duì)抗演練的進(jìn)行,讓數(shù)據(jù)庫(kù)安全在企業(yè)里的地位與日俱增,安全掃描也變成了頭等大事。也經(jīng)常有客戶發(fā)安全掃描結(jié)果過(guò)來(lái),讓我們幫助分析如何優(yōu)化,其中大多數(shù)是Oracle數(shù)據(jù)庫(kù)的。

吉木薩爾網(wǎng)站制作公司哪家好,找創(chuàng)新互聯(lián)公司!從網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、APP開(kāi)發(fā)、響應(yīng)式網(wǎng)站設(shè)計(jì)等網(wǎng)站項(xiàng)目制作,到程序開(kāi)發(fā),運(yùn)營(yíng)維護(hù)。創(chuàng)新互聯(lián)公司成立與2013年到現(xiàn)在10年的時(shí)間,我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn),來(lái)保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)公司

有時(shí)候我們分析了安全漏洞,給客戶建議了一個(gè)數(shù)據(jù)庫(kù)升級(jí)的方案??蛻舭凑瘴覀兊姆桨干?jí)后,掃描結(jié)果并沒(méi)有什么變化,安全漏洞告警并未消失。以我們的經(jīng)驗(yàn)來(lái)看,這些漏洞肯定是在PSU中已經(jīng)解決了,不過(guò)安全掃描工具就是不認(rèn)。

為什么會(huì)出現(xiàn)這種情況呢?經(jīng)過(guò)一番分析,我們發(fā)現(xiàn)出現(xiàn)這種情況是因?yàn)镺racle的安全補(bǔ)丁體系太復(fù)雜了,而漏掃工具無(wú)論是登錄掃描還是非登錄掃描,都僅僅是根據(jù)特征去發(fā)現(xiàn)漏洞,而做漏掃的特征庫(kù)的人員在數(shù)據(jù)庫(kù)補(bǔ)丁方面的專業(yè)性不夠。

MySQL、PostgreSQL還好,比較少發(fā)布單獨(dú)的安全補(bǔ)丁,或者說(shuō)補(bǔ)丁體系比較簡(jiǎn)單。MySQL每三個(gè)月出一個(gè)補(bǔ)丁版,直接更新就行了。但是Oracle數(shù)據(jù)庫(kù)太復(fù)雜了,一些安全補(bǔ)丁與功能性補(bǔ)丁之間存在十分復(fù)雜的關(guān)系,為了避免沖突,需要通過(guò)MLR等方式發(fā)行補(bǔ)丁集來(lái)解決問(wèn)題,甚至有時(shí)候需要通過(guò)發(fā)布一個(gè)CPU來(lái)解決問(wèn)題。Oracle的補(bǔ)丁是十分復(fù)雜的體系,有PSE、MLR、bundle、CPU、SPU、PSU等多種補(bǔ)丁。各種補(bǔ)丁包之間可能還有沖突,有些PSE和MLR補(bǔ)丁之間存在沖突,還必須卸載了通過(guò)打特殊的bundle來(lái)解決問(wèn)題。還有一些補(bǔ)丁有可能過(guò)了幾年就被廢掉了,用了一個(gè)新的補(bǔ)丁來(lái)替代了。

因此要想把Oracle的補(bǔ)丁分析清楚還是相當(dāng)困難的。十多年前,我們甚至給部分大客戶提供了補(bǔ)丁分析服務(wù)(Oracle官方也有補(bǔ)丁分析服務(wù),不過(guò)包含在一些收費(fèi)昂貴的服務(wù)里,用戶一般用不起),利用我們和Oracle官方良好的合作關(guān)系,幫助用戶選擇最佳的補(bǔ)丁策略。不過(guò)做這種事情還是相當(dāng)費(fèi)勁的,我們需要利用Oracle內(nèi)部的網(wǎng)站輔助,并花上很多時(shí)間去分析資料才能完成。

不同客戶的數(shù)據(jù)庫(kù)運(yùn)維人員,數(shù)據(jù)庫(kù)升級(jí)策略差別很大,因?yàn)橐粋€(gè)安全漏洞可能有數(shù)十種方法可以解決,而做漏掃的公司的特征庫(kù)很可能無(wú)法覆蓋這些方面,哪怕就是漏了你解決問(wèn)題的那一條,你的系統(tǒng)漏掃就過(guò)不去。

遇到這種情況,有些客戶比較好說(shuō)話,只要把問(wèn)題講清楚就行了,比如說(shuō)Oracle的某個(gè)PSU已經(jīng)解決了這個(gè)問(wèn)題,官方文檔里有明確的說(shuō)法,只要寫(xiě)個(gè)報(bào)告就可以了。不過(guò)有些領(lǐng)導(dǎo)就是公事公辦,非要以漏掃的結(jié)果為準(zhǔn)。我遇到過(guò)一個(gè)十分奇葩的領(lǐng)導(dǎo),要求必須在漏掃時(shí)0缺陷,其他材料一概不認(rèn)。最終的解決方案是把已經(jīng)安裝的PSU先卸載了,然后打上安全掃描軟件認(rèn)可的獨(dú)立補(bǔ)丁,才搞定這個(gè)事情。

也有一些漏掃廠商認(rèn)為掃描結(jié)果不準(zhǔn)的主要原因是采用了盲掃的方式,沒(méi)有采用登錄掃描的方式。如果采用登錄掃描模式,結(jié)果會(huì)很準(zhǔn)確,實(shí)際上我遇到的案例也有很多是登錄掃描的案例。登錄掃描也是一種特征掃描的方式,而不是功能掃描,通過(guò)一個(gè)Oracle權(quán)限賬號(hào)取補(bǔ)丁信息或者通過(guò)OPatch命令抓取補(bǔ)丁信息。不過(guò)根據(jù)風(fēng)險(xiǎn)庫(kù)采用特征比對(duì)的方式來(lái)進(jìn)行分析對(duì)于Oracle來(lái)說(shuō)十分困難。因?yàn)橐粋€(gè)漏洞可能有數(shù)種甚至數(shù)十種補(bǔ)丁可以解決,而漏掃工具的規(guī)則庫(kù)里可能不會(huì)很完整。這種情況下出現(xiàn)掃描結(jié)果不準(zhǔn)確就很正常了。只有采用功能掃描或者滲透掃描的方法替代特征掃描,模擬出某個(gè)安全風(fēng)險(xiǎn),以抓取到漏洞特征為準(zhǔn),這種方式可能會(huì)比較靠譜。不過(guò)有些漏洞滲透是有風(fēng)險(xiǎn)的操作,也有些漏洞是在某些特殊的復(fù)雜場(chǎng)景下才可能觸發(fā)的,漏掃工具很難實(shí)現(xiàn)模擬。

這個(gè)問(wèn)題雖然無(wú)法徹底解決,但是還是可以改進(jìn)的。Oracle每個(gè)季度會(huì)出PSU,大部分的已知安全漏洞都會(huì)在下次PSU上解決,每個(gè)漏洞被解決的PSU也大多數(shù)被Oracle公布了(記住是大多數(shù),不是全部)。另外一個(gè)方面,大部分用戶解決Oracle安全漏洞的最常用方式就是打PSU。因此數(shù)據(jù)庫(kù)漏掃廠家可以通過(guò)加強(qiáng)PSU補(bǔ)丁解決安全問(wèn)題的采集來(lái)優(yōu)化特征庫(kù),就可以很大程度上避免用戶打了很新的PSU還報(bào)較早的漏洞的問(wèn)題。另外漏掃工具也可以明確的指出解決該問(wèn)題的最低PSU號(hào),從而讓運(yùn)維人員不需要像猜盲盒一樣面對(duì)漏掃報(bào)告(Oracle的PSU包含從上一個(gè)升級(jí)包到目前為止的所有補(bǔ)丁的全集,因此PSU不會(huì)漏掉任何之前發(fā)布的安全漏洞補(bǔ)丁)。

因?yàn)檫@些年用戶在這方面遇到了麻煩,我們也想寫(xiě)個(gè)小工具來(lái)幫助用戶解決一些問(wèn)題,因此在D-SMART里我們也增加了一個(gè)小工具,這個(gè)工具在免費(fèi)的D-SMART社區(qū)版里面也是免費(fèi)提供的。

有些用戶剛剛看到這個(gè)功能的時(shí)候覺(jué)得相當(dāng)高興,這可是個(gè)好工具啊,是不是我可以用它來(lái)輔助漏掃后的補(bǔ)丁更新?不過(guò)我馬上就會(huì)給他潑一盆涼水,這個(gè)工具也僅僅是通過(guò)我們預(yù)先定義好的漏洞規(guī)則庫(kù),通過(guò)OPatch工具抓取的一些數(shù)據(jù)庫(kù)配置信息進(jìn)行簡(jiǎn)單的掃描和分析,列出一個(gè)大體需要打補(bǔ)丁的清單而已。要想維護(hù)這個(gè)庫(kù)工作量也很大,因此我們定期更新特征庫(kù)的頻率也不高,大概三個(gè)月更新一次。

對(duì)于Oracle來(lái)說(shuō),這個(gè)表格里給出的升級(jí)補(bǔ)丁建議也只是一個(gè)十分簡(jiǎn)單的根據(jù)規(guī)則的建議,并不能自動(dòng)分析針對(duì)你的系統(tǒng)該如何打補(bǔ)丁。這個(gè)工具最重要的功能是可以方便地導(dǎo)出一個(gè)表格,給領(lǐng)導(dǎo)交差而已。表格中的升級(jí)補(bǔ)丁列會(huì)列出一大堆我們已知的可能可以解決此問(wèn)題的補(bǔ)丁號(hào),但并不全,因此不一定能夠在你的運(yùn)維環(huán)境中幫到你。

不過(guò)如果你如果能把Excel生成出來(lái)交給領(lǐng)導(dǎo),可以讓領(lǐng)導(dǎo)感到你的工作很用心,僅此而已。如果真的要打補(bǔ)丁,還是需要通過(guò)人工分析,大部分情況,我們就直接建議用戶打一個(gè)比較新的PSU就可以了。如果領(lǐng)導(dǎo)再不認(rèn),那也沒(méi)辦法了,只好說(shuō),數(shù)據(jù)庫(kù)廠商提供的最新補(bǔ)丁集都打了,還能掃出漏洞,那么也沒(méi)辦法了。


本文名稱:聊聊不大靠譜的數(shù)據(jù)庫(kù)安全掃描
分享URL:http://www.dlmjj.cn/article/codcjos.html