美國FBI網路犯罪中心(IC3)日前指出,利用微軟SQL Server的漏洞,植入各種後門程式以取得有效使用者存取資料庫權限,是目前駭客最常使用的攻擊手法之一。對此,FBI IC3提出12種基本的預防之道。

首先,對於常見SQL Injection(隱碼攻擊)或微軟SQL Server漏洞,FBI IC3認為,資料庫管理人員應該關閉有傷害性的SQL Stored Procedure(預存程序)呼叫,例如最常見的xp_cmdshell可允許存取本地端的程式,就是一種安全性的隱憂。FBI IC3提醒,要關閉這類有害的Stored Procedure,除了關閉呼叫功能,更需移除相關dll檔。

其次,FBI IC3建議,網站伺服器(例如微軟的IIS)應該過濾掉過長的網址。IT人員可以找出網路服務所使用的最長網址長度,藉由限制過長網址,可避免駭客在網址中隱含惡意網址或參數字串。再者,對於目前許多動態網頁內容安全性的保護,FBI IC3認為,網路管理員應該要做到過濾字串和只傳參數,把程式的控制指令替代成字串,不會對SQL指令造成影響,但又能在瀏覽器正確顯示。

許多IT人員習慣以最高管理者權限執行安裝各種服務,這也意味著,一旦這個最高管理者權限被竊,整個伺服器和資料庫的安全性將岌岌可危。所以,FBI IC3建議,不要使用最高權限安裝微軟的SQL Server和IIS網站伺服器,只安裝所需的程式,例如AD伺服器就不需要安裝Microsoft Office,對網路和資料庫使用者,只提供最小權限。

提供密碼保護,是保護管理者帳號的基本作為。但FBI IC3發現,有很多企業IT管理人員經常採用SQL Server預設SA管理者帳號和預設空白密碼,這些都是安全上的一大隱憂。此外,對於主機登入密碼多次輸入錯誤,應暫時封鎖並做檢查,FBI IC3認為這是對駭客入侵的初次檢驗。

FBI IC3認為,所有企業內的伺服器都應該禁止直接連網,所有的連網都應該透過代理伺服器(Proxy)對外連線,才能夠檢查連線內容和連線埠。FBI IC3也提醒,對於一些會產生驗證金鑰(例如PIN碼)的HSM(硬體加密模組),應該限制其他指令不可以產生這種加密的PIN碼,避免讓駭客可以取得足夠的樣本,藉此反推加密演算法以保護加密演算法。

FBI IC3建議,企業IT人員對於資料庫的管理往往較為鬆散,不論是存取資料庫的黑白名單,或制定更謹慎的資安管理規則,都是讓資料庫更安全的手法之一。最後,FBI IC3也提醒,企業內IT人員應該要在防火牆定期更新已知的惡意網址或IP位址,檢驗企業內是否有連結這些惡意網路位址的記錄,即時掌握企業內資安動態。文⊙黃彥棻


Advertisement

更多 iThome相關內容