从“万豪泄露事件”看数据安全整个大环境

发布时间:2019-06-17 14:20:23 阅读:3709

根据万豪国际的公告,此次攻击至少从2014年开始。而2015年喜达屋被POS恶意软件入侵的调查报告中,指出POS恶意软件入侵也是在2014年开始。所以有理由相信2014年喜达屋遭到了有组织的黑客入侵,入侵规模和范围都比喜达屋2015年发现的更严重。同时此次事件爆发后万豪国际首席执行官Arne Sorenson表示万豪目前正在逐渐淘汰喜达屋的系统。这也从侧面印证了,或许直到现在喜达屋系统中的后门和木马也并未被全部发现并清理,为了防止再次发生类似事件,万豪决定彻底弃用喜达屋整套IT系统。

万豪是在9月8号发现的未授权访问数据问题。9月10日就成功阻断了入侵攻击。安全专家花了2个多月时间完成对被盗取的加密数据进行溯源工作,并恢复了一部分找到的数据,尝试给出了可能被盗取数据的范围。 

万豪国际的公告中明确指出黑客在喜达屋的预订数据库中进行了数据的复制和加密工作。2014年黑客很可能已经在数据库中留有后门。后门可能是一组触发器和存储过程构成。


亿林安全解决方法

针对此次万豪安全事件,亿林数据认为归根结底可能是2015年喜达屋未完全清理IT系统木马后门导致。安全不是简单的边界和外网安全,内网安全尤其是数据库安全更加关键。

如果使用亿林的安全工具对数据库定期扫描。应该早就能发现黑客在预订数据库中残留的木马、后门,也就不会发生现在的5亿数据泄露事件。

亿林安全认为首先万豪应该部署具有检测数据库中异常包、存储过程、触发器、各项参数以及后门的数据库扫描类工具。亿林的这些检测语句可以帮助用户早发现早铲除潜在的数据库木马和后门。

亿林发现只依赖于数据库扫描类工具的定期巡检是远远不够的。扫描类产品能发现的基本属于已经出现的安全威胁,对未知的安全威胁的探查能力可能不足。想要对未知的安全威胁做防护则需要亿林的具备能读懂SQL语义的数据库防火墙。如果2014年喜达屋就部署了能读懂SQL语义的数据库防火墙,相信就不会被黑客植入木马或后门。

能读懂SQL的意思是,基于SQL语法解析,联系上下文理解存储过程或包中是否存在恶意行为。亿林的数据库防火墙能识别所有去向数据库触发器、储过程中的SQL。通过亿林SQL语法分析器,识别是否存在恶意行为。亿林数据库防火墙在SQL语法分析器后不是单纯的就单句SQL进行行为分析。而是对整个SQL语句包根据上下文环境的SQL行为进行分析。当整个SQL语句包中存在命中安全规则的多个必要点时,则可以判断该语句包存在恶意行为,会主动阻断该语句包,并向相关人员进行危险告警。

数据库防火墙、数据库漏扫,从不同层面和角度防护数据库被植入木马或后门。亿林数据库防火墙利用SQL分析技术,依托上下文SQL语境,动态抓出存在恶意行为的语句包进行实施拦截。亿林数据库漏扫依托授权检测中针对数据库中异常包、存储过程、触发器、各项参数以及后门的检测语句,进行对已知威胁的检查,防止数据库中存在隐患。

  • QQ
    客服:李杉

    电话:81320066转995

  • QQ
    客服:赵丹

    电话:81320066转996

  • QQ
    客服:金忠杰

    电话:81320066转931

  • QQ
    客服:李璐昆

    电话:81320066转888

返回顶部