如果說，數(shù)字化轉型是全球變革的趨勢，那么“大數(shù)據(jù)安全”就是數(shù)字化轉型的“必答題”。“數(shù)據(jù)”作為當今信息化時代的重要載體與工具，其安全性是直接決定未來全球數(shù)字化轉型成功與否的關鍵命題。

前段時間，據(jù)外媒報道：SAP旗下產(chǎn)品ASE數(shù)據(jù)庫服務器被曝存在6個高危漏洞，其中之一的CVE-2020-6248威脅評分竟高達9.1（滿分10分）！據(jù)悉，攻擊者可利用該組漏洞在低權限狀態(tài)下，在目標系統(tǒng)上執(zhí)行任意代碼，直至完全控制目標數(shù)據(jù)庫甚至底層操作系統(tǒng)。鑒于SAP為全球知名企業(yè)軟件供應商，且ASE服務范圍甚廣，故而此次漏洞事件波及范圍或許比預想的還要深遠。而當我們將此事置于全球數(shù)字化轉型的背景下重新審視時，發(fā)現(xiàn)威脅絕不止于數(shù)據(jù)庫安全，其背后還潛藏著更深層次的數(shù)字時代安全形態(tài)：“數(shù)據(jù)”作為當今信息化時代的重要載體與工具，其安全性是直接決定未來全球數(shù)字化轉型成功與否的關鍵命題。

SAP（SystemApplications and Products）公司：成立于1972年，是全球知名的企業(yè)管理和協(xié)同化商務解決方案供應商，在全球190多個國家和地區(qū)擁有超過335000個客戶。

尤其值得注意的是，該公司旗下的明星產(chǎn)品ASE（Adaptive Server Enterprise）數(shù)據(jù)服務器享譽全球，世界范圍內近90%的銀行巨頭和安全公司，30000多家企業(yè)組織都在使用它。

SAP ASE數(shù)據(jù)服務器被曝高危漏洞

攻擊者可完全控制目標數(shù)據(jù)庫

近日，國外安全研究員發(fā)布報告，重磅披露了SAP ASE數(shù)據(jù)服務器中6個高危漏洞的技術細節(jié)，并警告稱：攻擊者可利用該組漏洞在低權限狀態(tài)下，在目標系統(tǒng)上執(zhí)行任意代碼，甚至完全控制目標數(shù)據(jù)庫以及底層操作系統(tǒng)。

6個高危漏洞主要信息如下：

CVE-2020-6248：威脅評分高達9.1（滿分10），該漏洞源于缺乏安全檢查，無法在數(shù)據(jù)庫備份操作期間覆蓋關鍵配置文件。任何可以運行DUMP命令的低權限用戶都可以通過發(fā)送損壞的配置文件以接管數(shù)據(jù)庫。

CVE-2020-6252：存在ASE服務器的小型輔助數(shù)據(jù)庫（SqlAnywhere）中，任何一個運行Windows系統(tǒng)的攻擊者皆可通過此漏洞，登錄輔助數(shù)據(jù)庫以“本地系統(tǒng)”權限執(zhí)行任意代碼。

CVE-2020-6241：存在于ASE 16的全局臨時表中，是典型的SQL注入漏洞，可被用于提升系統(tǒng)權限。

CVE-2020-6253：存在于ASE的WebServices處理代碼中，攻擊者可借此進行系統(tǒng)權限提升。

CVE-2020-6243：XP Server漏洞，經(jīng)過身份驗證的Windows攻擊者可借此連接到SAP ASE，并以“本地系統(tǒng)”的權限執(zhí)行任意代碼。

CVE-2020-6250：與安全日志中出現(xiàn)明文密碼有關，單獨使用時僅影響Linux/UNIX系統(tǒng)，但若與其他漏洞組合使用，或可導致SAP ASE服務器完全癱瘓。

從9.1的威脅評級到權限惡意提升再到服務器致癱，上述漏洞的破壞力不言而喻。而更關鍵的是，企業(yè)通常會將關鍵信息存儲在數(shù)據(jù)庫中，而數(shù)據(jù)庫又常處于不受信任或公開的環(huán)境下，這一趨勢更是給了漏洞攻擊可乘之機。

因此，一旦數(shù)據(jù)庫安全防線失守，不止機密信息會受到影響，正在運行的主機也將面臨前所未有的威脅。智庫在此提醒相關管理員，務必及時修補系統(tǒng)漏洞，保障系統(tǒng)安全運行。

服務器失守背后暗藏更大隱患

大數(shù)據(jù)安全危局一觸即發(fā)

而在SAP ASE存在高危漏洞這一事件中，需要我們關注的不只是漏洞的修補與否，更重要警惕的是其背后潛藏的危機：數(shù)據(jù)安全一旦失守，數(shù)字化轉型必將全線潰敗。

尤其隨著關鍵基礎設施的高度數(shù)字化，以工業(yè)互聯(lián)網(wǎng)、5G、人工智能為代表的新技術為大數(shù)據(jù)提供肥沃發(fā)展土壤的同時，也給數(shù)據(jù)安全帶來了前所未有的挑戰(zhàn)，其背后面臨的網(wǎng)絡威脅也日漸凸顯。

其一、內部脆弱難以避免，數(shù)據(jù)庫本身的存儲存在諸多安全隱患

由上文可知，SAP ASE服務器中存在的這組漏洞極具破壞力，而這還僅僅是數(shù)據(jù)庫服務器漏洞的冰山一角。相關數(shù)據(jù)顯示，截止2019年12月，CVE發(fā)布的被確認的國際主流數(shù)據(jù)庫漏洞多計140個！

而近年來，借助數(shù)據(jù)庫服務器漏洞，利用SQL注入、提權、緩沖區(qū)溢出登攻擊方式，針對數(shù)據(jù)中心發(fā)起的高級別網(wǎng)絡入侵時有發(fā)生，由此導致的大規(guī)模數(shù)據(jù)泄漏事件更是比比皆是。

根據(jù)Risk Based Security發(fā)布的數(shù)據(jù)顯示，僅在2020年第一季度，泄露的數(shù)據(jù)總量猛增至84億，與2019年第一季度相比增長了273%，創(chuàng)下至少自2005年詳細報告開始以來的同期記錄。

其二、外部威脅防不勝防，高級別APT、勒索軟件等各類攻擊層出不窮

在數(shù)據(jù)內部脆弱性難以避免的背景下，針對性的高級別網(wǎng)絡攻擊日益猖獗，傳統(tǒng)的防御手段已無法有效阻止APT等高級攻擊，而數(shù)據(jù)安全防線一旦被攻破，各類有關國家、社會、企業(yè)和個人的海量大數(shù)據(jù)將被置于前所未有的威脅之下。

以最近發(fā)生的數(shù)起數(shù)據(jù)攻擊案件為例：

2020年5月，美國德克薩斯州的航空服務供應商圣東安尼奧航空航天公司（VT SAA）遭遇勒索軟件攻擊，該公司包括財務數(shù)據(jù)、提案、保密協(xié)議在內的1.5TB數(shù)據(jù)慘遭竊取;

2020年5月，泰國最大的蜂窩網(wǎng)絡AIS疑似遭黑客攻擊，致其數(shù)據(jù)庫脫機，80億實時互聯(lián)網(wǎng)記錄慘遭泄露;

2020年6月3日，外媒報道稱，美國防部承包商遭遇Maze勒索軟件攻擊，致其參與維護支持的美國洲際彈道導彈“民兵-3“系列軍事數(shù)據(jù)陷入危局;

樁樁件件，皆是面向數(shù)據(jù)安全振聾發(fā)聵的安全警鈴。

其三、多域應用場景下，數(shù)據(jù)安全牽一發(fā)而動全身

隨著全球數(shù)字化戰(zhàn)略迎來前所未有之新變局，各產(chǎn)業(yè)鏈中，數(shù)據(jù)應用場景必將呈現(xiàn)井噴式增長。而在這一趨勢下，數(shù)據(jù)采集、數(shù)據(jù)整合、數(shù)據(jù)提煉、數(shù)據(jù)挖掘、數(shù)據(jù)發(fā)布這一鏈條中的任何一個環(huán)節(jié)被攻破，都將導致“牽一發(fā)而動全身“的威脅效果。

更為嚴重的是，若以失真的數(shù)據(jù)來訓練神經(jīng)網(wǎng)絡現(xiàn)象，將導致從決策錯誤到整個數(shù)據(jù)中心宕機等一些列重大安全問題。

短評

當前，新基建浪潮之下，大數(shù)據(jù)不僅是數(shù)字化轉型的重要驅動力，更是轉型之后各行各業(yè)數(shù)字化發(fā)展的重要載體和工具。

與此同時，伴隨萬物互通互聯(lián)，“大數(shù)據(jù)安全”也不再是虛擬世界的威脅，更是現(xiàn)實世界的延展。數(shù)據(jù)庫的暴露可能對國家安全、社會安全、個人安全造成不可逆的影響。

今年兩會期間，360董事長兼CEO周鴻祎提出的四點建議中，其中第三條也曾提到要強化大數(shù)據(jù)平臺安全，實現(xiàn)安全的大數(shù)據(jù)協(xié)同計算。足見，在全球數(shù)字化轉型的當下，“大數(shù)據(jù)安全”儼然早已成為網(wǎng)絡安全的“必答題”，保障“大數(shù)據(jù)安全”成為我們發(fā)展新基建避不開的重要一環(huán)。

而在應對之策上，與應對新型網(wǎng)絡空間威脅同理，在維護“大數(shù)據(jù)安全”上，我們同樣要改變單一、傳統(tǒng)的網(wǎng)絡防護思維和手段，盡早構建以數(shù)據(jù)安全為導向的全新網(wǎng)絡防護體系來應對當前的網(wǎng)絡威脅。