如果說，數字化轉型是全球變革的趨勢，那么“大數據安全”就是數字化轉型的“必答題”。“數據”作為當今信息化時代的重要載體與工具，其安全性是直接決定未來全球數字化轉型成功與否的關鍵命題。

前段時間，據外媒報道：SAP旗下產品ASE數據庫服務器被曝存在6個高危漏洞，其中之一的CVE-2020-6248威脅評分竟高達9.1(滿分10分)!據悉，攻擊者可利用該組漏洞在低權限狀態下，在目標系統上執行任意代碼，直至完全控制目標數據庫甚至底層操作系統。鑒于SAP為全球知名企業軟件供應商，且ASE服務范圍甚廣，故而此次漏洞事件波及范圍或許比預想的還要深遠。而當我們將此事置于全球數字化轉型的背景下重新審視時，發現威脅絕不止于數據庫安全，其背后還潛藏著更深層次的數字時代安全形態：“數據”作為當今信息化時代的重要載體與工具，其安全性是直接決定未來全球數字化轉型成功與否的關鍵命題。

SAP(SystemApplications and Products)公司：成立于1972年，是全球知名的企業管理和協同化商務解決方案供應商，在全球190多個國家和地區擁有超過335000個客戶。

尤其值得注意的是，該公司旗下的明星產品ASE(Adaptive Server Enterprise)數據服務器享譽全球，世界范圍內近90%的銀行巨頭和安全公司，30000多家企業組織都在使用它。

SAP ASE數據服務器被曝高危漏洞

攻擊者可完全控制目標數據庫

近日，國外安全研究員發布報告，重磅披露了SAP ASE數據服務器中6個高危漏洞的技術細節，并警告稱：攻擊者可利用該組漏洞在低權限狀態下，在目標系統上執行任意代碼，甚至完全控制目標數據庫以及底層操作系統。

6個高危漏洞主要信息如下：

• CVE-2020-6248：威脅評分高達9.1(滿分10)，該漏洞源于缺乏安全檢查，無法在數據庫備份操作期間覆蓋關鍵配置文件。任何可以運行DUMP命令的低權限用戶都可以通過發送損壞的配置文件以接管數據庫。
• CVE-2020-6252：存在ASE服務器的小型輔助數據庫(SqlAnywhere)中，任何一個運行Windows系統的攻擊者皆可通過此漏洞，登錄輔助數據庫以“本地系統”權限執行任意代碼。
• CVE-2020-6241：存在于ASE 16的全局臨時表中，是典型的SQL注入漏洞，可被用于提升系統權限。
• CVE-2020-6253：存在于ASE的WebServices處理代碼中，攻擊者可借此進行系統權限提升。
• CVE-2020-6243：XP Server漏洞，經過身份驗證的Windows攻擊者可借此連接到SAP ASE，并以“本地系統”的權限執行任意代碼。
• CVE-2020-6250：與安全日志中出現明文密碼有關，單獨使用時僅影響Linux/UNIX系統，但若與其他漏洞組合使用，或可導致SAP ASE服務器完全癱瘓。

從9.1的威脅評級到權限惡意提升再到服務器致癱，上述漏洞的破壞力不言而喻。而更關鍵的是，企業通常會將關鍵信息存儲在數據庫中，而數據庫又常處于不受信任或公開的環境下，這一趨勢更是給了漏洞攻擊可乘之機。

因此，一旦數據庫安全防線失守，不止機密信息會受到影響，正在運行的主機也將面臨前所未有的威脅。智庫在此提醒相關管理員，務必及時修補系統漏洞，保障系統安全運行。

服務器失守背后暗藏更大隱患

大數據安全危局一觸即發

而在SAP ASE存在高危漏洞這一事件中，需要我們關注的不只是漏洞的修補與否，更重要警惕的是其背后潛藏的危機：數據安全一旦失守，數字化轉型必將全線潰敗。

尤其隨著關鍵基礎設施的高度數字化，以工業互聯網、5G、人工智能為代表的新技術為大數據提供肥沃發展土壤的同時，也給數據安全帶來了前所未有的挑戰，其背后面臨的網絡威脅也日漸凸顯。

其一、內部脆弱難以避免，數據庫本身的存儲存在諸多安全隱患

由上文可知，SAP ASE服務器中存在的這組漏洞極具破壞力，而這還僅僅是數據庫服務器漏洞的冰山一角。相關數據顯示，截止2019年12月,CVE發布的被確認的國際主流數據庫漏洞多計140個!

而近年來，借助數據庫服務器漏洞，利用SQL注入、提權、緩沖區溢出登攻擊方式，針對數據中心發起的高級別網絡入侵時有發生，由此導致的大規模數據泄漏事件更是比比皆是。

根據Risk Based Security發布的數據顯示，僅在2020年第一季度，泄露的數據總量猛增至84億，與2019年第一季度相比增長了273%，創下至少自2005年詳細報告開始以來的同期記錄。

其二、外部威脅防不勝防，高級別APT、勒索軟件等各類攻擊層出不窮

在數據內部脆弱性難以避免的背景下，針對性的高級別網絡攻擊日益猖獗，傳統的防御手段已無法有效阻止APT等高級攻擊，而數據安全防線一旦被攻破，各類有關國家、社會、企業和個人的海量大數據將被置于前所未有的威脅之下。

以最近發生的數起數據攻擊案件為例：

2020年5月，美國德克薩斯州的航空服務供應商圣東安尼奧航空航天公司(VT SAA)遭遇勒索軟件攻擊，該公司包括財務數據、提案、保密協議在內的1.5TB數據慘遭竊取;

2020年5月，泰國最大的蜂窩網絡AIS疑似遭黑客攻擊，致其數據庫脫機，80億實時互聯網記錄慘遭泄露;

2020年6月3日，外媒報道稱，美國防部承包商遭遇Maze勒索軟件攻擊，致其參與維護支持的美國洲際彈道導彈“民兵-3“系列軍事數據陷入危局;

樁樁件件，皆是面向數據安全振聾發聵的安全警鈴。

其三、多域應用場景下，數據安全牽一發而動全身

隨著全球數字化戰略迎來前所未有之新變局，各產業鏈中，數據應用場景必將呈現井噴式增長。而在這一趨勢下，數據采集、數據整合、數據提煉、數據挖掘、數據發布這一鏈條中的任何一個環節被攻破，都將導致“牽一發而動全身“的威脅效果。

更為嚴重的是，若以失真的數據來訓練神經網絡現象，將導致從決策錯誤到整個數據中心宕機等一些列重大安全問題。

短評

當前，新基建浪潮之下，大數據不僅是數字化轉型的重要驅動力，更是轉型之后各行各業數字化發展的重要載體和工具。

與此同時，伴隨萬物互通互聯，“大數據安全”也不再是虛擬世界的威脅，更是現實世界的延展。數據庫的暴露可能對國家安全、社會安全、個人安全造成不可逆的影響。

今年兩會期間，360董事長兼CEO周鴻祎提出的四點建議中，其中第三條也曾提到要強化大數據平臺安全，實現安全的大數據協同計算。足見，在全球數字化轉型的當下，“大數據安全”儼然早已成為網絡安全的“必答題”，保障“大數據安全”成為我們發展新基建避不開的重要一環。

而在應對之策上，與應對新型網絡空間威脅同理，在維護“大數據安全”上，我們同樣要改變單一、傳統的網絡防護思維和手段，盡早構建以數據安全為導向的全新網絡防護體系來應對當前的網絡威脅。