信息化觀察網(wǎng)

如果說，數(shù)字化轉(zhuǎn)型是全球變革的趨勢(shì)，那么“大數(shù)據(jù)安全”就是數(shù)字化轉(zhuǎn)型的“必答題”。“數(shù)據(jù)”作為當(dāng)今信息化時(shí)代的重要載體與工具，其安全性是直接決定未來全球數(shù)字化轉(zhuǎn)型成功與否的關(guān)鍵命題。

前段時(shí)間，據(jù)外媒報(bào)道：SAP旗下產(chǎn)品ASE數(shù)據(jù)庫(kù)服務(wù)器被曝存在6個(gè)高危漏洞，其中之一的CVE-2020-6248威脅評(píng)分竟高達(dá)9.1（滿分10分）！據(jù)悉，攻擊者可利用該組漏洞在低權(quán)限狀態(tài)下，在目標(biāo)系統(tǒng)上執(zhí)行任意代碼，直至完全控制目標(biāo)數(shù)據(jù)庫(kù)甚至底層操作系統(tǒng)。鑒于SAP為全球知名企業(yè)軟件供應(yīng)商，且ASE服務(wù)范圍甚廣，故而此次漏洞事件波及范圍或許比預(yù)想的還要深遠(yuǎn)。而當(dāng)我們將此事置于全球數(shù)字化轉(zhuǎn)型的背景下重新審視時(shí)，發(fā)現(xiàn)威脅絕不止于數(shù)據(jù)庫(kù)安全，其背后還潛藏著更深層次的數(shù)字時(shí)代安全形態(tài)：“數(shù)據(jù)”作為當(dāng)今信息化時(shí)代的重要載體與工具，其安全性是直接決定未來全球數(shù)字化轉(zhuǎn)型成功與否的關(guān)鍵命題。

SAP（SystemApplications and Products）公司：成立于1972年，是全球知名的企業(yè)管理和協(xié)同化商務(wù)解決方案供應(yīng)商，在全球190多個(gè)國(guó)家和地區(qū)擁有超過335000個(gè)客戶。

尤其值得注意的是，該公司旗下的明星產(chǎn)品ASE（Adaptive Server Enterprise）數(shù)據(jù)服務(wù)器享譽(yù)全球，世界范圍內(nèi)近90%的銀行巨頭和安全公司，30000多家企業(yè)組織都在使用它。

SAP ASE數(shù)據(jù)服務(wù)器被曝高危漏洞

攻擊者可完全控制目標(biāo)數(shù)據(jù)庫(kù)

近日，國(guó)外安全研究員發(fā)布報(bào)告，重磅披露了SAP ASE數(shù)據(jù)服務(wù)器中6個(gè)高危漏洞的技術(shù)細(xì)節(jié)，并警告稱：攻擊者可利用該組漏洞在低權(quán)限狀態(tài)下，在目標(biāo)系統(tǒng)上執(zhí)行任意代碼，甚至完全控制目標(biāo)數(shù)據(jù)庫(kù)以及底層操作系統(tǒng)。

6個(gè)高危漏洞主要信息如下：

CVE-2020-6248：威脅評(píng)分高達(dá)9.1（滿分10），該漏洞源于缺乏安全檢查，無法在數(shù)據(jù)庫(kù)備份操作期間覆蓋關(guān)鍵配置文件。任何可以運(yùn)行DUMP命令的低權(quán)限用戶都可以通過發(fā)送損壞的配置文件以接管數(shù)據(jù)庫(kù)。

CVE-2020-6252：存在ASE服務(wù)器的小型輔助數(shù)據(jù)庫(kù)（SqlAnywhere）中，任何一個(gè)運(yùn)行Windows系統(tǒng)的攻擊者皆可通過此漏洞，登錄輔助數(shù)據(jù)庫(kù)以“本地系統(tǒng)”權(quán)限執(zhí)行任意代碼。

CVE-2020-6241：存在于ASE 16的全局臨時(shí)表中，是典型的SQL注入漏洞，可被用于提升系統(tǒng)權(quán)限。

CVE-2020-6253：存在于ASE的WebServices處理代碼中，攻擊者可借此進(jìn)行系統(tǒng)權(quán)限提升。

CVE-2020-6243：XP Server漏洞，經(jīng)過身份驗(yàn)證的Windows攻擊者可借此連接到SAP ASE，并以“本地系統(tǒng)”的權(quán)限執(zhí)行任意代碼。

CVE-2020-6250：與安全日志中出現(xiàn)明文密碼有關(guān)，單獨(dú)使用時(shí)僅影響Linux/UNIX系統(tǒng)，但若與其他漏洞組合使用，或可導(dǎo)致SAP ASE服務(wù)器完全癱瘓。

從9.1的威脅評(píng)級(jí)到權(quán)限惡意提升再到服務(wù)器致癱，上述漏洞的破壞力不言而喻。而更關(guān)鍵的是，企業(yè)通常會(huì)將關(guān)鍵信息存儲(chǔ)在數(shù)據(jù)庫(kù)中，而數(shù)據(jù)庫(kù)又常處于不受信任或公開的環(huán)境下，這一趨勢(shì)更是給了漏洞攻擊可乘之機(jī)。

因此，一旦數(shù)據(jù)庫(kù)安全防線失守，不止機(jī)密信息會(huì)受到影響，正在運(yùn)行的主機(jī)也將面臨前所未有的威脅。智庫(kù)在此提醒相關(guān)管理員，務(wù)必及時(shí)修補(bǔ)系統(tǒng)漏洞，保障系統(tǒng)安全運(yùn)行。

服務(wù)器失守背后暗藏更大隱患

大數(shù)據(jù)安全危局一觸即發(fā)

而在SAP ASE存在高危漏洞這一事件中，需要我們關(guān)注的不只是漏洞的修補(bǔ)與否，更重要警惕的是其背后潛藏的危機(jī)：數(shù)據(jù)安全一旦失守，數(shù)字化轉(zhuǎn)型必將全線潰敗。

尤其隨著關(guān)鍵基礎(chǔ)設(shè)施的高度數(shù)字化，以工業(yè)互聯(lián)網(wǎng)、5G、人工智能為代表的新技術(shù)為大數(shù)據(jù)提供肥沃發(fā)展土壤的同時(shí)，也給數(shù)據(jù)安全帶來了前所未有的挑戰(zhàn)，其背后面臨的網(wǎng)絡(luò)威脅也日漸凸顯。

其一、內(nèi)部脆弱難以避免，數(shù)據(jù)庫(kù)本身的存儲(chǔ)存在諸多安全隱患

由上文可知，SAP ASE服務(wù)器中存在的這組漏洞極具破壞力，而這還僅僅是數(shù)據(jù)庫(kù)服務(wù)器漏洞的冰山一角。相關(guān)數(shù)據(jù)顯示，截止2019年12月,CVE發(fā)布的被確認(rèn)的國(guó)際主流數(shù)據(jù)庫(kù)漏洞多計(jì)140個(gè)！

而近年來，借助數(shù)據(jù)庫(kù)服務(wù)器漏洞，利用SQL注入、提權(quán)、緩沖區(qū)溢出登攻擊方式，針對(duì)數(shù)據(jù)中心發(fā)起的高級(jí)別網(wǎng)絡(luò)入侵時(shí)有發(fā)生，由此導(dǎo)致的大規(guī)模數(shù)據(jù)泄漏事件更是比比皆是。

根據(jù)Risk Based Security發(fā)布的數(shù)據(jù)顯示，僅在2020年第一季度，泄露的數(shù)據(jù)總量猛增至84億，與2019年第一季度相比增長(zhǎng)了273％，創(chuàng)下至少自2005年詳細(xì)報(bào)告開始以來的同期記錄。

其二、外部威脅防不勝防，高級(jí)別APT、勒索軟件等各類攻擊層出不窮

在數(shù)據(jù)內(nèi)部脆弱性難以避免的背景下，針對(duì)性的高級(jí)別網(wǎng)絡(luò)攻擊日益猖獗，傳統(tǒng)的防御手段已無法有效阻止APT等高級(jí)攻擊，而數(shù)據(jù)安全防線一旦被攻破，各類有關(guān)國(guó)家、社會(huì)、企業(yè)和個(gè)人的海量大數(shù)據(jù)將被置于前所未有的威脅之下。

以最近發(fā)生的數(shù)起數(shù)據(jù)攻擊案件為例：

2020年5月，美國(guó)德克薩斯州的航空服務(wù)供應(yīng)商圣東安尼奧航空航天公司（VT SAA）遭遇勒索軟件攻擊，該公司包括財(cái)務(wù)數(shù)據(jù)、提案、保密協(xié)議在內(nèi)的1.5TB數(shù)據(jù)慘遭竊??；

2020年5月，泰國(guó)最大的蜂窩網(wǎng)絡(luò)AIS疑似遭黑客攻擊，致其數(shù)據(jù)庫(kù)脫機(jī)，80億實(shí)時(shí)互聯(lián)網(wǎng)記錄慘遭泄露；

2020年6月3日，外媒報(bào)道稱，美國(guó)防部承包商遭遇Maze勒索軟件攻擊，致其參與維護(hù)支持的美國(guó)洲際彈道導(dǎo)彈“民兵-3“系列軍事數(shù)據(jù)陷入危局；

樁樁件件，皆是面向數(shù)據(jù)安全振聾發(fā)聵的安全警鈴。

其三、多域應(yīng)用場(chǎng)景下，數(shù)據(jù)安全牽一發(fā)而動(dòng)全身

隨著全球數(shù)字化戰(zhàn)略迎來前所未有之新變局，各產(chǎn)業(yè)鏈中，數(shù)據(jù)應(yīng)用場(chǎng)景必將呈現(xiàn)井噴式增長(zhǎng)。而在這一趨勢(shì)下，數(shù)據(jù)采集、數(shù)據(jù)整合、數(shù)據(jù)提煉、數(shù)據(jù)挖掘、數(shù)據(jù)發(fā)布這一鏈條中的任何一個(gè)環(huán)節(jié)被攻破，都將導(dǎo)致“牽一發(fā)而動(dòng)全身“的威脅效果。

更為嚴(yán)重的是，若以失真的數(shù)據(jù)來訓(xùn)練神經(jīng)網(wǎng)絡(luò)現(xiàn)象，將導(dǎo)致從決策錯(cuò)誤到整個(gè)數(shù)據(jù)中心宕機(jī)等一些列重大安全問題。

短評(píng)

當(dāng)前，新基建浪潮之下，大數(shù)據(jù)不僅是數(shù)字化轉(zhuǎn)型的重要驅(qū)動(dòng)力，更是轉(zhuǎn)型之后各行各業(yè)數(shù)字化發(fā)展的重要載體和工具。

與此同時(shí)，伴隨萬物互通互聯(lián)，“大數(shù)據(jù)安全”也不再是虛擬世界的威脅，更是現(xiàn)實(shí)世界的延展。數(shù)據(jù)庫(kù)的暴露可能對(duì)國(guó)家安全、社會(huì)安全、個(gè)人安全造成不可逆的影響。

今年兩會(huì)期間，360董事長(zhǎng)兼CEO周鴻祎提出的四點(diǎn)建議中，其中第三條也曾提到要強(qiáng)化大數(shù)據(jù)平臺(tái)安全，實(shí)現(xiàn)安全的大數(shù)據(jù)協(xié)同計(jì)算。足見，在全球數(shù)字化轉(zhuǎn)型的當(dāng)下，“大數(shù)據(jù)安全”儼然早已成為網(wǎng)絡(luò)安全的“必答題”，保障“大數(shù)據(jù)安全”成為我們發(fā)展新基建避不開的重要一環(huán)。

而在應(yīng)對(duì)之策上，與應(yīng)對(duì)新型網(wǎng)絡(luò)空間威脅同理，在維護(hù)“大數(shù)據(jù)安全”上，我們同樣要改變單一、傳統(tǒng)的網(wǎng)絡(luò)防護(hù)思維和手段，盡早構(gòu)建以數(shù)據(jù)安全為導(dǎo)向的全新網(wǎng)絡(luò)防護(hù)體系來應(yīng)對(duì)當(dāng)前的網(wǎng)絡(luò)威脅。

研究所簡(jiǎn)介

國(guó)際技術(shù)經(jīng)濟(jì)研究所（IITE）成立于1985年11月，是隸屬于國(guó)務(wù)院發(fā)展研究中心的非營(yíng)利性研究機(jī)構(gòu)，主要職能是研究我國(guó)經(jīng)濟(jì)、科技社會(huì)發(fā)展中的重大政策性、戰(zhàn)略性、前瞻性問題，跟蹤和分析世界科技、經(jīng)濟(jì)發(fā)展態(tài)勢(shì)，為中央和有關(guān)部委提供決策咨詢服務(wù)。“全球技術(shù)地圖”為國(guó)際技術(shù)經(jīng)濟(jì)研究所官方微信賬號(hào)，致力于向公眾傳遞前沿技術(shù)資訊和科技創(chuàng)新洞見。