资产维度分类之全球数据库漏洞大盘点

新闻
1天前

1、漏洞以资产维度分类管理是一个普遍性的需求

漏洞管理生命周期过程中,在漏洞修复阶段,基于管理权限和职责分工,普遍会按照漏洞的资产分类指派修复任务。典型的漏洞资产分类如操作系统、数据库、中间件、业务应用等,不同分类的漏洞由不同的人、服务商、部门来负责,分权分责通过协同完成漏洞修复任务。

2、当前需求实现存在的问题

目前采用较多的方法是使用NVD CPE(漏洞影响产品)数据中的o(操作系统)、a(应用)、h(硬件)来进行分类识别。NVD CPE(漏洞影响产品)存在问题是:

1) 只有三种分类。分类较粗,数据库、中间件都归到a(应用)里,没有办法满足细粒度管理要求;

2) 存在分类错误问题。例如o(操作系统)中存在非操作系统产品,可能会把修复任务指派给错误的修复人;

3) 存在漏洞未提供NVD CPE(漏洞影响产品)数据、漏洞的NVD CPE(漏洞影响产品)未及时更新问题,导致漏洞无法分类、无法正确进行归类。

部分行业用户为部分解决上述问题,对NVD CPE中a、o、h分类进行了扩展,如增加m(中间件)分类等,并对分类进行枚举值列举。存在的问题是:

1) 与NVD CPE分类冲突、重合;

2) 分类枚举值不够丰富,难以覆盖行业用户的资产产品类型;

3) 新扩展的产品分类与漏洞的关联度不足,出现漏洞归属不清或错误问题。

长期以来,这一看似简单的需求,在实际管理过程中却难以得到很好的实现。可以看到,完全依赖开源数据、本地数据或本地知识库进行简单的分类,同时又缺少漏洞分类数据的动态更新,传统方案难以支撑对效率和成本要求日益趋高的漏洞管理过程。

3、摄星玄猫的最佳实践

为解决传统方案存在的问题,完美满足用户管理需求,首先要有一个完整的动态更新的覆盖全球产品的资产库、全面的产品和漏洞关联的数据库。才能避免漏洞分类不全、不准确、不及时的问题。

摄星科技以玄猫漏洞情报数据底座为分类基础,提出贴合日用习惯的创新性分类方法,并通过API数据接口为各类资产和漏洞风险管理系统赋能。

1) 以摄星玄猫数据底座为分类基础

覆盖全球产品的基础字典库

摄星玄猫对标CPE字典,形成不断迭代、持续更新的覆盖全球产品的高质量基础字典库。进而能够覆盖用户的资产类型,并能够提供丰富的、兼容常用名的资产分类标准枚举值。

 

1752630750303253.png

产品和漏洞关联数据库

摄星玄猫对标NVD CPE,形成覆盖国产产品、开源组件、厂家安全公告的更加丰富、更加准确的动态更新的漏洞影响产品库。保障漏洞在进行资产分类时更加全面、更加准确、更加及时。

1752630771679467.png

2) 创新性的漏洞的资产分类方法

依托摄星科技基于DeepSeek的数据治理和数据标准化智能体,以习惯和实用为原则,遵循如下分类方法:

兼容并重新审视NVD CPE数据,修正NVD CPE中的错误分类;

摆脱NVD CPE的分类束缚,以业界熟知的、习惯的方法进行分类;

全球视野的分类枚举值穷举,使得能够覆盖用户的所有资产类型;

3) 通过情报服务API接口赋能

通过API对接漏洞管理平台、资产安全平台、安全运营平台、态势感知平台等,将玄猫漏洞情报的分类应用到本地漏洞管理过程中,本地和云端联动,可具备最新最全的动态更新的漏洞资产分类能力,满足运营者在漏洞生命周期管理过程中多角色、多部门分权分责协同的需要。

4、数据库及其漏洞分类

数据库是按照特定结构组织、存储和管理数据的系统,经历了从早期文件系统到现代多样化数据库的演进过程。20世纪60年代出现的层次型和网状型数据库为第一代系统,70年代关系型数据库(如OracleMySQL)凭借二维表结构和SQL语言成为主流。随着互联网和大数据时代的到来,非关系型数据库(NoSQL)如MongoDBRedis应运而生,解决了海量异构数据的处理问题。当前数据库技术正向多模型融合、云原生、AI自治等方向发展,同时兼顾传统事务处理与新兴的时序、图数据等场景需求,形成了包括NewSQL、分布式数据库、内存数据库等在内的多元化技术生态。

数据库类型的日益丰富和复杂,为安全漏洞管理带来了更多的挑战。

NVD CPE中,数据库归为a(应用)大类,没有进行专门对数据库细分,因此没有可借鉴的价值。要做好数据库及其漏洞的分类需要依靠产品指纹库、产品和漏洞关联知识库,并与安全运营中的习惯相结合。

1) 摄星玄猫数据库分类

摄星玄猫的全球数据库系统分类共计790个,其中包含国产数据库333个。按照开发属性、部署方式、数据模型、应用场景等4种划分方法可进行如下分类。

按开发属性分类

 

1752631136721361.png

按部署方式分类

 

1752631150982674.png

按数据模型分类

 

1752631164645817.png

按应用场景分类

 

1752631179198422.png

2) 数据库漏洞及其威胁

迄今为止,全球790个数据库去重合并的公开漏洞共计4,191个。数据库PoC漏洞占所有数据库漏洞的12.25%,同时与APT组织关联的漏洞43个,与勒索软件组织关联漏洞12个。表明数据库面临威胁的多样性和严重性。

 

1752631247732069.png

数据库漏洞分布(按开发属性)

闭源商业、开源、国产/自主可控数据库漏洞共计4,348,高于所有数据库的4,191个漏洞总数,闭源商业、国产/自主可控数据库在引用开源组件的同时也引入了开源数据库组件漏洞。因此,需要从供应链角度重视对开源数据库组件的安全管理。

 

1752631283843033.png

数据库漏洞分布(按部署方式)

单机部署、分布式数据库在漏洞总数、APT组织关联漏洞、勒索软件关联漏洞方面都处于突出位置。

 

1752631346408817.png

数据库漏洞分布(按数据模型)

关系型数据库由于其发展历史长、使用规模广,在众多数据库中,漏洞数量占据榜首。

 

1752631360708812.png

数据库漏洞分布(按应用场景)

事务型、分析型数据库漏洞占据全部数据库漏洞的93.2%以上。

 

1752631394384110.png


全球数据库漏洞数量TOP 20

数据库在经过长期间发展和大规模使用后,积累了大量已公开历史漏洞。漏洞数量多并不意味着该数据库的新版本不安全,反而可能是该数据库的使用规模较广、较受用户欢迎。同时也反映了该厂家漏洞披露的透明性、管理的规范性。

在全球TOP 20中有2个数据库是我国国产数据库。

 

1752631443688050.png


我国国产数据库经过多年发展,在全球数据库领域占有重要地位。国产数据库的漏洞态势如下图所示。

 

1752631459139535.png


随着国产化替代进程加快,国产数据库使用规模将来愈大,漏洞带来的风险也将加大,因此,我们应该更加重视国产数据库漏洞。