提交需求
*
*

*
*
*
立即提交
點(diǎn)擊”立即提交”,表明我理解并同意 《美創(chuàng)科技隱私條款》

logo

    產(chǎn)品與服務(wù)
    解決方案
    技術(shù)支持
    合作發(fā)展
    關(guān)于美創(chuàng)
    申請?jiān)囉?/ul>
      從這三方面入手,杜絕“刪庫跑”!
      發(fā)布時(shí)間:2024-08-22 閱讀次數(shù): 1401 次

      昨天下午,網(wǎng)易云音樂遭遇了一次大規(guī)模的服務(wù)故障,“網(wǎng)易云音樂崩了”隨即登上微博熱搜第一。


      圖片


      一款國民級應(yīng)用突然罷工崩潰,影響可想而知。討論和猜測一時(shí)間鋪天蓋地,各種聲音此起彼伏。


      其中,關(guān)于“網(wǎng)易云音樂全線癱瘓系裁員裁到了大動(dòng)脈,開發(fā)者刪庫跑路導(dǎo)致,屬于P0事故” 的傳聞,更是引起了大范圍關(guān)注。


      圖片


      對此,網(wǎng)易云在官微中專門對刪庫跑路的說法進(jìn)行澄清,強(qiáng)調(diào)沒有刪庫,沒有跑路。


      雖官方已辟謠,網(wǎng)傳內(nèi)容失實(shí),詳細(xì)原因還未公布。但在“降本增效”風(fēng)潮下,現(xiàn)實(shí)世界中頻頻發(fā)生的“刪庫跑路”事件,依然值得企業(yè)警惕和認(rèn)真面對。




      今年3月,最高檢依法懲治網(wǎng)絡(luò)犯罪典型案例中曾公布了一起某知名科創(chuàng)企業(yè)“刪庫跑路”案件,刪庫的原因則是被公司辭退而心生怨恨。


      無獨(dú)有偶,今年6月,新加坡國家計(jì)算機(jī)系統(tǒng)公司同樣遭遇類似事件,多達(dá)180臺虛擬服務(wù)器被離職工程師刪除。2021年1月,鏈家網(wǎng)一名員工對工作調(diào)整有意見,遂登錄公司財(cái)務(wù)系統(tǒng)服務(wù)器刪除了財(cái)務(wù)數(shù)據(jù)及相關(guān)應(yīng)用程序,致使公司財(cái)務(wù)系統(tǒng)無法登錄。2021年2月,中國國際圖書貿(mào)易集團(tuán)一名工程師因不滿被解除勞動(dòng)合同,在離職后將原公司服務(wù)器的系統(tǒng)數(shù)據(jù)刪除,造成網(wǎng)站崩潰。

      除了泄憤刪庫此類極端案例,來自于是高壓高強(qiáng)度工作下導(dǎo)致的誤操作,以及愈演愈烈的勒索刪庫威脅,更是多發(fā)。

      而無論是有意無意,在業(yè)務(wù)高度依賴數(shù)字化基礎(chǔ)設(shè)施的今天,刪庫給企業(yè)帶來的損失和后果都是真真切切。

      對此,我們結(jié)合典型事件,總結(jié)手段場景,形成針對性方案,建議企業(yè)從以下三個(gè)方面入手,加強(qiáng)保障,杜絕刪庫!




      圖片





      加強(qiáng)第一重保障:訪問域

      收縮數(shù)據(jù)暴露面,防止非法操作



       典型事件



      • 2020年,百度網(wǎng)訊金某某在負(fù)責(zé)測試開發(fā)工作期間,因?qū)υ摪才鸥械讲粷M,在家中使用手機(jī)登錄隧道進(jìn)入公司內(nèi)網(wǎng)服務(wù)器,分次對可視化項(xiàng)目程序數(shù)據(jù)庫內(nèi)的項(xiàng)目表進(jìn)行了刪除、鎖定、修改,當(dāng)事人構(gòu)成破壞計(jì)算機(jī)信息系統(tǒng)罪,被判處有期徒刑9個(gè)月,緩刑1年。


      • 2018年,順豐高級運(yùn)維工程師鄧某錯(cuò)選RUSS數(shù)據(jù)庫,打算刪除執(zhí)行的SQL。在選定刪除時(shí),因其操作不嚴(yán)謹(jǐn),光標(biāo)回跳到RUSS庫的實(shí)例,在未看清所選內(nèi)容的情況下,便通過delete執(zhí)行刪除,同時(shí)鄧某忽略了彈窗提醒,直接回車,導(dǎo)致RUSS生產(chǎn)數(shù)據(jù)庫被刪掉,導(dǎo)致系統(tǒng)中斷590分鐘。



       問題分析


      對于絕大多數(shù)單位組織而言,往往對數(shù)據(jù)庫運(yùn)維缺少細(xì)粒度管控,而面臨數(shù)據(jù)庫誤操作、高危操作等,堡壘機(jī)作為“系統(tǒng)”層的門禁,僅能對運(yùn)維人員操作行為以錄屏的方式進(jìn)行安全監(jiān)控,并不能對高危風(fēng)險(xiǎn)行為進(jìn)行識別和阻斷處理。


      常見場景

      具體手段

      數(shù)據(jù)庫運(yùn)維

      數(shù)據(jù)庫運(yùn)維工程師誤操作導(dǎo)致的數(shù)據(jù)刪除或丟失,包括刪除測試環(huán)境因地址錯(cuò)誤或數(shù)據(jù)庫名稱等錯(cuò)誤導(dǎo)致刪除、歷史表遷移工作誤刪除;數(shù)據(jù)庫運(yùn)維工程師的惡意操作導(dǎo)致的數(shù)據(jù)丟失,包括刪除數(shù)據(jù)庫部分或全部數(shù)據(jù)、刪除數(shù)據(jù)庫、刪除數(shù)據(jù)庫實(shí)例。如百度網(wǎng)訊事件。

      應(yīng)用系統(tǒng)運(yùn)維

      delete不增加where從句的方式對表格進(jìn)行刪除、drop table方式進(jìn)行數(shù)據(jù)刪除、truncate table方式進(jìn)行數(shù)據(jù)刪除、drop user方式進(jìn)行某用戶數(shù)據(jù)刪除、刪除所有用戶數(shù)據(jù)。如順豐事件。



       解決對策


      通過數(shù)據(jù)庫防水壩(數(shù)據(jù)庫運(yùn)維安全管控)和數(shù)據(jù)庫防火墻,實(shí)施嚴(yán)格訪問權(quán)限管理,加強(qiáng)高危操作行為管控和多層級授權(quán)審批,對“drop DATABASE”等刪除數(shù)據(jù)庫或其他高危SQL操作語句進(jìn)行精細(xì)化控制。同時(shí)數(shù)據(jù)庫防水壩具備誤操作恢復(fù)功能,一旦發(fā)生誤操作行為,安全管理員可在管理端頁面進(jìn)行語句追蹤,快速找回誤刪除數(shù)據(jù)。




      加強(qiáng)第二重保障:存儲域

      阻斷底層物理文件刪除防勒索




       典型事件


      • 2020年,微盟研發(fā)中心運(yùn)維部核心運(yùn)維人員賀某在家通過VPN登錄公司數(shù)據(jù)庫停止數(shù)據(jù)庫相關(guān)進(jìn)程后,惡意刪除數(shù)據(jù)庫文件,這一操作導(dǎo)致300余萬用戶無法正常使用微盟SaaS產(chǎn)品,故障時(shí)間長達(dá)8天14個(gè)小時(shí),微盟市值一天之內(nèi)蒸發(fā)超10億元。


      • 2018年,鏈家公司數(shù)據(jù)庫管理員韓某因?qū)M織調(diào)整有意見,利用財(cái)務(wù)系統(tǒng)root權(quán)限便利,登錄公司財(cái)務(wù)系統(tǒng)服務(wù)器,并通過執(zhí)行rm、shred命令刪除了服務(wù)器中的數(shù)據(jù)文件。鏈家公司為恢復(fù)數(shù)據(jù)及重新構(gòu)建財(cái)務(wù)系統(tǒng)共計(jì)花費(fèi)人民幣18萬元。


      • 2016年12月下旬開始并延續(xù)至2017年1月的大規(guī)模的MongoDB數(shù)據(jù)庫勒索事件,黑客組織通過掃描互聯(lián)網(wǎng)上對外開放連接的MongoDB數(shù)據(jù)庫,利用MongoDB數(shù)據(jù)庫未授權(quán)訪問漏洞,劫持服務(wù)器后對存在漏洞的數(shù)據(jù)庫進(jìn)行“刪庫”操作并留下聯(lián)系方式,以此勒索用戶支付贖金。



       問題分析


      上述案件的刪庫和勒索手段,均發(fā)生在存儲域(物理域)。主要場景如:在操作系統(tǒng)運(yùn)維過程中,運(yùn)維人員通過format、rm等系統(tǒng)級操作直接對操作系統(tǒng)中的數(shù)據(jù)庫文件進(jìn)行刪除(典型微盟、鏈家事件)。


      此外,黑客入侵某數(shù)據(jù)庫服務(wù)器后,通過惡意程序和惡意代碼等手段,控制未知進(jìn)程對操作系統(tǒng)中存儲的數(shù)據(jù)文件進(jìn)行加密、修改或破壞,進(jìn)而要挾勒索。


      常見場景

      具體手段

      操作系統(tǒng)運(yùn)維

      進(jìn)行數(shù)據(jù)庫、數(shù)據(jù)文件刪除、數(shù)據(jù)庫所處目錄刪除、所屬邏輯卷刪除、所屬磁盤格式化,操作系統(tǒng)格式化。如微盟事件、鏈家事件。

      外部威脅

      通過惡意程序和惡意代碼等手段,控制未知進(jìn)程對操作系統(tǒng)中存儲的數(shù)據(jù)文件進(jìn)行加密、修改或破壞。


      存儲域(物理域)安全是數(shù)據(jù)安全的基礎(chǔ),構(gòu)建存儲域的基線防線,保障存儲的數(shù)據(jù)不被破壞、篡改,是系統(tǒng)穩(wěn)定運(yùn)行的根本前提條件。



       解決對策


      實(shí)時(shí)監(jiān)控各類進(jìn)程和用戶對數(shù)據(jù)文件的讀寫操作,快速識別、阻斷已知、未知勒索病毒的寫操作以及 “rm -rf /”之類的刪除命令行為,確保只有被允許的合法操作才能被執(zhí)行,有效避免微盟事件中自行停止數(shù)據(jù)庫進(jìn)程后刪除數(shù)據(jù)庫文件等數(shù)據(jù)破壞場景。


      圖片

      點(diǎn)擊圖片,了解產(chǎn)品詳情






      加強(qiáng)第三重保障:容災(zāi)備份

      底線思維,極限生存



      美創(chuàng)CEO柳遵梁在「構(gòu)建適應(yīng)性進(jìn)化的韌性數(shù)據(jù)安全體系」專欄中提到:



      無論是復(fù)雜業(yè)務(wù)系統(tǒng)運(yùn)行還是復(fù)雜數(shù)據(jù)生態(tài),雖然我們付出了各種巨大的努力,業(yè)務(wù)還是會不可避免的崩潰,數(shù)據(jù)還是會不可避免的遭遇破壞。底線防御是數(shù)據(jù)和業(yè)務(wù)在漫長的生存周期中確保其漫長的生命生涯中必須組成部分,除非你可以承受數(shù)據(jù)損失的巨大破壞力。



      面對刪庫,幸好我們有備份。但回溯這兩年刪庫事件,業(yè)務(wù)恢復(fù)和數(shù)據(jù)恢復(fù)難的狀況屢見不鮮。究其原因,一方面完備的災(zāi)備建設(shè),未獲得組織單位應(yīng)有的重視。另一方面,多云、混合云時(shí)代帶來的資產(chǎn)復(fù)雜性和災(zāi)備技術(shù)多態(tài)性,給災(zāi)備能力建設(shè)、災(zāi)備資源高效利用和日常災(zāi)備運(yùn)營提出挑戰(zhàn)。


      這需要企業(yè)的災(zāi)備建設(shè)更加科學(xué)合理、災(zāi)備管控更加精準(zhǔn)高效、災(zāi)備運(yùn)營更加彈性和數(shù)字化。


      美創(chuàng)新一代災(zāi)備一體化平臺(DRCC v3.0),基于云端架構(gòu),提供 “1 個(gè)災(zāi)備管控中心 + 多個(gè)災(zāi)備能力”,實(shí)現(xiàn)災(zāi)備狀態(tài)可感知、災(zāi)備能力可訂閱、災(zāi)備演練可掌控、災(zāi)難切換可指揮,充分保證業(yè)務(wù)連續(xù)性和數(shù)據(jù)完整性。


      圖片

      新一代災(zāi)備一體化平臺架構(gòu)(詳情點(diǎn)擊圖片)




      無論運(yùn)維工程師的誤操作,還是黑客或員工的惡意刪除,“刪庫”事件的發(fā)生不是單一的問題或漏洞導(dǎo)致,人始終是安全中最不可控以及最為復(fù)雜的因素,導(dǎo)致了問題的復(fù)雜。例如,“刪庫”當(dāng)事人常常會利用多種手段進(jìn)行刪除破壞,先通過SQL語句對數(shù)據(jù)庫數(shù)據(jù)批量刪除后,再通過操作系統(tǒng)層刪掉數(shù)據(jù)庫備份文件,造成數(shù)據(jù)無法及時(shí)修復(fù)。因此,只有通過全方位的管理、制度、技術(shù)保障,才能更游刃有余地應(yīng)對刪庫事件。

      上一條:每周安全速遞3??|弗林特市遭勒索軟件襲擊致在線服務(wù)中斷
      下一條:每周安全速遞3??|Gafgyt僵尸網(wǎng)絡(luò)新變種通過弱SSH密碼攻擊GPU進(jìn)行加密貨幣挖礦
      免費(fèi)試用
      服務(wù)熱線

      馬上咨詢

      400-811-3777

      回到頂部