不好的數(shù)據(jù)庫安全習慣給攻擊者和惡意內(nèi)部人員大開了方便之門，數(shù)據(jù)泄漏事故的發(fā)生往往是因為企業(yè)一遍又一遍重復同樣的錯誤，而這些不良行為通常是從數(shù)據(jù)庫開始的。本文為大家分析了讓攻擊者和惡意內(nèi)部人員輕松獲取數(shù)據(jù)庫訪問權的七個不良習慣，希望大家引以為戒！

1. 數(shù)據(jù)庫未及時修復漏洞

數(shù)據(jù)庫管理員擔心修復最新漏洞會影響功能，但是卻不擔心修復周期無限期拖延會讓最業(yè)余的攻擊者都能夠竊取大量數(shù)據(jù)。

“一些大漏洞會在每個補丁中進行修復，而利用代碼也總是可以在網(wǎng)上找到，攻擊者可以剪切粘貼來用于攻擊，”Application Security公司的首席技術官Josh Shaul表示。

2. 沒有尋找流氓數(shù)據(jù)庫

對于你不知道的數(shù)據(jù)庫，你無法確保其安全，F(xiàn)ortinet公司產(chǎn)品營銷副總裁Patrick Bedwell表示，他經(jīng)常發(fā)現(xiàn)客戶不會保持他們數(shù)據(jù)庫的庫存，或者掃描流氓數(shù)據(jù)庫，這是一個問題，因為確實存在流氓數(shù)據(jù)庫。

“常見的做法試安裝小型footprint數(shù)據(jù)庫，并在數(shù)據(jù)庫中裝滿供開發(fā)和測試使用的生產(chǎn)數(shù)據(jù)，”Bedwell表示。

攻擊者很喜歡企業(yè)不追蹤流氓數(shù)據(jù)庫，因為這些數(shù)據(jù)庫通常都是沒打補丁的，大門敞開的，因為安全團隊并沒有注意它們。

3. 給予過多特權

當時間很緊急，資源有限時，企業(yè)很容易忽略用戶的權限，可能只是將特權給予整個用戶群，然后去忙別的事情了，Imperva公司高級安全策略師Noa Bar Yosef表示。但是只要一個用戶濫用這些特權就可能造成巨大的問題。

“考慮Diablo Valley社區(qū)學院的情況，三年以來，他們都讓數(shù)據(jù)庫管理員修改學生的成績，”她表示，“當數(shù)據(jù)泄漏曝光后，他們發(fā)現(xiàn)在授予數(shù)據(jù)庫管理員權限的100名用戶中，只有11名用戶真正需要這個權限。”

給予過多權限的問題在于，用戶不僅可以做他們不應該做的事情，而且他們不會受到制裁，因為那些行為并沒有被預料，Application Security公司的研究部門經(jīng)理Alex Rothacker表示。

“給予過多權限的側面影響在于，用戶可以在他們沒有授權的數(shù)據(jù)庫或者操作系統(tǒng)進行操作，”他表示，“例如，在應付帳款部門具有特權的用戶可以創(chuàng)造一個虛假的公司，向這個公司支付費用，然后刪除所有關于該公司的記錄以掩蓋他們的蹤跡。”

4. 允許使用默認用戶名/密碼

使用默認用戶名和密碼就像為數(shù)據(jù)庫盜賊敞開大門一樣。但是很多公司仍然這樣做，因為很多應用程序輸入數(shù)據(jù)庫信息都是與默認帳戶同步的，更改密碼可能會破壞某些東西。

5. 沒有自我檢查

仔細檢查你的用戶在做什么，數(shù)據(jù)庫是如何被使用的，數(shù)據(jù)庫容易受到哪種類型的攻擊等。

然而大部分安全專家同意，大多數(shù)企業(yè)沒有監(jiān)測用戶或者審計數(shù)據(jù)庫行為，因為他們并不擔心會受到行為。

“這是一個不能停歇的戰(zhàn)斗，安全專業(yè)人士需要依賴于審計和數(shù)據(jù)庫管理員，同時又需要更好的性能。在為客戶提供服務方面，性能通常排在第一位，”Imperva公司的Bar Yosef表示，“但是最后，或者說發(fā)生數(shù)據(jù)泄漏的時候，他們才會知道發(fā)現(xiàn)、恢復和問責制的重要性。”

根據(jù)安全咨詢公司Brainlink公司首席技術官Rajesh Goel表示，很多公司還會否定安全評估或者滲透測試人員將數(shù)據(jù)庫放在攻擊考慮范圍內(nèi)，即便這是惡意攻擊者最先瞄準的目標。

6. 允許任意互聯(lián)網(wǎng)連接和輸入

當數(shù)據(jù)庫連接到互聯(lián)網(wǎng)時，任意客戶端都可以不受限制地訪問數(shù)據(jù)庫，這樣的話，不好的事情也將發(fā)生。

“這意味著SQL注入攻擊將造成毀滅性影響，將泄漏任意數(shù)據(jù)，”Arbor Networks公司安全研究高級經(jīng)理Jose Nazario表示，“將權利和角色分開還有很長一段路要走，可以使用只讀角色來用于web服務。”

同樣的，用戶輸入需要被監(jiān)測以防止注入和拒絕服務攻擊，并且不受新人的用戶應該永遠不能過直接查詢表格或者數(shù)據(jù)庫對象名稱，例如表格、函數(shù)或者視圖。

7. 沒有加密

根據(jù)403 Web Security公司首席執(zhí)行官Alan Wlasuk表示，最簡單最愚蠢的數(shù)據(jù)庫安全錯誤就是沒有加密他們的數(shù)據(jù)庫。

“這樣就能讓攻擊者最終進入你的數(shù)據(jù)庫，攻擊者很難進入加密的數(shù)據(jù)庫，加密是免費、快速和易于使用的。”

【編輯推薦】

1. 網(wǎng)絡安全形勢嚴峻　黑客攻破SSL加密
2. 你是否忽視了終端安全？
3. 從2011年司試“泄題疑云”看教育信息安全
4. 啟明星辰喜獲國家信息安全服務資質(zhì)證書
5. 網(wǎng)絡安全度量標準：基本的網(wǎng)絡安全控制評估