數據庫服務器成黑客最愛 7成攻擊針對企業數據
原創【51CTO.com快譯6月22日外電頭條】如今頂尖的黑客一定都是頂尖的商人!因為他們的評估記錄上會寫著哪些目標最簡單,哪些目標最有利可圖。現在,可能沒有比笨拙的企業數據庫更好對付的目標了。
一般來說,企業的數據庫中匯集著這家公司最重要的機密:客戶名單、工資記錄、以及其他許多按照良好結構儲存的敏感信息,這些都是最容易賣出好價錢的。何況數據庫的管理員們往往不會想在安全性上精益求精,而且數據庫本身常常和網絡應用聯系在一起,這些都已經被證明是企業數據庫屢遭破解的原因。
在Verizon Business的年度計算機破壞報告中,調查小組報告說,在2008年的數據丟失案中,數據庫破壞占據了30%。更糟糕的是,在數據入侵的統計中,數據庫入侵高達75%(參見下圖)。由于敏感信息往往是儲存在一個單獨的數據庫中,一次簡單的入侵就可能導致企業遭受重大損失。
數據來源:Verizon 2009數據破壞調查報告,基于2008年2億8500萬次累計攻擊數據
制圖:51CTO.com安全頻道
“認真研究一下,你會發現安全威脅在很大比例上都來自于數據庫,”企業安全咨詢公司Securosis創始人兼分析師Rich Mogull說。還有大多數的信息安全管理員都是在IT網絡背景下成長起來,對數據庫技術并不了解太多,他另外說到。最近Forrester Research的研究也發現,大多數數據庫管理員僅花費不到5%的時間來保證數據庫的安全。
“我要說的是,在我就安全性問題開會的時候,三次里至少有兩次數據庫方面的人不來參加,”Gartner的信息安全和隱私研究主管Jeffrey Wheatman說。“我認為這是一個大問題,因為當你要對一個不太明白的東西進行監測或要保證它的安全,你需要請一位這方面的專家來幫助你。”
此前,51CTO.com也曾刊載專家分析文章稱,由于企業數據庫系統用戶眾多,涉及數據庫管理員、內部員工及合作方人員等,網絡管理非常復雜,數據庫的審計已經成為燃眉之急。
許多數據庫的安全漏洞僅僅是由簡單的安全工作失誤造成的。在2008年的調查中,IOUG(the Independent Oracle Users Group,獨立Oracle用戶組織)發現,有26%的企業安裝Oracle數據庫的安全補丁的時間超過了6個月,而有11%的企業竟然從來沒有給它們打補丁。“生產數據庫(production database)往往不能在第一時間得到最新的補丁,因為這些數據庫服務器的訪問非常繁忙,人們會說‘只要不出大問題,就不要去修補它’!”漏洞評估公司QuietMove的合伙人Adam Muntner說。
企業經常會犯一些錯誤,這使數據庫變得更加脆弱,比如將測試數據庫留在生產服務器上,或者把敏感數據鏈接到網絡應用中,這就有可能被黑客輕松竊取。“我認為數據庫面臨的最大威脅就是與網絡應用相鏈接和其中的業務邏輯漏洞,”Muntner說。
與網絡應用密切聯系會使數據庫容易遭受SQL注入攻擊——這個問題51CTO.com安全頻道曾專門討論過,指攻擊者輸入SQL代碼形式的字符串到網絡應用的薄弱區域。他們可以襲擊連接到特定網絡應用的數據庫,也可以使用網絡應用和數據庫之間的鏈接,對整個數據庫服務器發起更廣泛的攻擊。跟據IBM的ISS X-Force安全研究團隊報告,SQL注入攻擊在去年成為因特網最常見的針對基于數據庫的網站漏洞的攻擊方式,比起2007年增長了134%。相應地,應對SQL注入攻擊,也需要進行全面防御。
【編輯推薦】
【51CTO.com譯稿,非經授權請勿轉載。合作站點轉載請注明原文譯者和出處為51CTO.com,且不得修改原文內容。】
原文:Database Servers: Candy For Hackers 作者:Ericka Chickowski
