數(shù)據(jù)庫安全問題?這里有10個最常見的
數(shù)據(jù)庫因包含有各種有價值的敏感信息,例如金融或知識產(chǎn)權(quán)信息、公司數(shù)據(jù)、個人用戶數(shù)據(jù)等等,一直是黑客攻擊的目標(biāo),黑客企圖通過破壞服務(wù)器、數(shù)據(jù)庫來獲利,因此,數(shù)據(jù)庫安全測試是必不可少的。
黑客攻擊公司的事件比比皆是,過去的幾年中,Equifax,F(xiàn)acebook,雅虎,蘋果,Gmail,Slack 和 eBay 都曾發(fā)生過數(shù)據(jù)泄露事。而這種情況也引發(fā)了企業(yè)對網(wǎng)絡(luò)安全軟件和 web 應(yīng)用程序測試的需求,通過采用這些措施,黑客將被拒絕訪問在線數(shù)據(jù)庫中的可用記錄和文檔。另外,嚴(yán)格遵守 GDPR 有助于加強(qiáng)用戶數(shù)據(jù)保護(hù)。
那么數(shù)據(jù)庫驅(qū)動系統(tǒng)中常見的漏洞有哪些呢?我們總結(jié)了常見的十大漏洞以及消除這些漏洞的技巧。
?? ??
部署前無安全測試
數(shù)據(jù)庫被攻擊最常見的原因之一就是在開發(fā)過程中部署階段的疏忽。雖然為了確保高性能,企業(yè)可能進(jìn)行了功能測試,但是這種類型的測試無法顯示數(shù)據(jù)庫是否正在執(zhí)行不應(yīng)該執(zhí)行的操作。因此,在完全部署之前,使用不同類型的測試來測試網(wǎng)站安全性是非常重要的。
糟糕的加密與數(shù)據(jù)泄露密不可分
很多人都會把數(shù)據(jù)庫視為后端部分,因此更多的是在關(guān)注 Internet 傳播的威脅,但其實他們都忽略了數(shù)據(jù)庫也是有網(wǎng)絡(luò)接口的,如果軟件安全性很差,黑客同樣可以輕松跟蹤這些接口。為了避免這種情況,使用 TLS 或 SSL 加密通信平臺很重要。
虛弱的網(wǎng)絡(luò)安全軟件 = 破碎的數(shù)據(jù)庫
Equifax 數(shù)據(jù)泄露事件,公司承認(rèn)有 1.47 億消費者的數(shù)據(jù)受到損害,造成的后果非常嚴(yán)重。這個案例證明了網(wǎng)絡(luò)安全軟件對于保護(hù)數(shù)據(jù)庫的重要性。不過,大多數(shù)企業(yè)因為缺乏資源或時間原因不愿意進(jìn)行用戶數(shù)據(jù)安全測試,甚至也不為系統(tǒng)提供定期補(bǔ)丁,因此容易導(dǎo)致數(shù)據(jù)泄露。
數(shù)據(jù)庫被盜
數(shù)據(jù)庫一般有兩種威脅:外部威脅和內(nèi)部威脅。在某些情況下,內(nèi)部威脅的嚴(yán)重程度甚至?xí)^外部威脅,因為無論企業(yè)使用什么樣的安全軟件都無法保證員工的忠誠度,任何有權(quán)訪問敏感數(shù)據(jù)的人都有機(jī)會竊取它并將其出售給第三方組織以獲取利潤。但是,有一種方法可以消除風(fēng)險:加密數(shù)據(jù)庫檔案,實施嚴(yán)格的安全標(biāo)準(zhǔn),在違規(guī)情況下罰款,使用網(wǎng)絡(luò)安全軟件,并通過公司會議和個人咨詢不斷提高團(tuán)隊的意識。
?? ??
功能中的缺陷成為了數(shù)據(jù)庫安全問題
黑客可以利用數(shù)據(jù)庫的功能缺陷進(jìn)行攻擊,通過破解合法憑據(jù)并強(qiáng)制系統(tǒng)運行任意代碼。雖然這聽起來有點復(fù)雜,但這是基于功能固有的缺陷,所以可以通過安全測試保護(hù)數(shù)據(jù)庫免受第三方訪問。此外,其功能結(jié)構(gòu)越簡單,確保對每個數(shù)據(jù)庫功能進(jìn)行良好保護(hù)的機(jī)會就越多。
弱而復(fù)雜的數(shù)據(jù)庫基礎(chǔ)架構(gòu)
黑客通常不會一次控制整個數(shù)據(jù)庫,他們會利用基礎(chǔ)設(shè)施中存在的特殊弱點并將其用于自己的優(yōu)勢。安全軟件無法完全保護(hù)系統(tǒng)免受此類操作。即使想要避免功能缺陷,就不要讓整個數(shù)據(jù)庫基礎(chǔ)結(jié)構(gòu)過于復(fù)雜。當(dāng)它很復(fù)雜時,你有可能忘記或忽視檢查和修復(fù)它的弱點。因此,重要的是每個部門保持相同的控制量并隔離系統(tǒng)以分散重點并降低可能的風(fēng)險。
無限的管理訪問 = 糟糕的數(shù)據(jù)保護(hù)
管理員和用戶之間應(yīng)該有明確的分工,確保團(tuán)隊是有限制性的訪問,這樣如果有用戶試圖竊取任何數(shù)據(jù),那么也會因未參與數(shù)據(jù)庫管理的過程而遇到更多困難。如果還可以限制用戶帳戶的數(shù)量,那就更好了,因為黑客也會在獲得對數(shù)據(jù)庫的控制權(quán)方面遇到更多問題。這種情況通常會發(fā)生在金融行業(yè),他們不僅要關(guān)心誰有權(quán)訪問敏感數(shù)據(jù),還要在發(fā)布之前執(zhí)行銀行軟件測試。
測試網(wǎng)站安全性以避免 SQL 注入
因為注入攻擊應(yīng)用程序,數(shù)據(jù)庫管理員被迫清除插入到字符串中的惡意代碼和變量。Web 應(yīng)用程序安全測試和防火墻實施是保護(hù)面向 Web 數(shù)據(jù)庫的最佳選擇。不過,這對于在線業(yè)務(wù)來說是一個大問題,但對于移動業(yè)務(wù)來說卻不是挑戰(zhàn),而對于只有移動版本的應(yīng)用程序來說這是一個很大的優(yōu)勢。
密鑰管理不足
對敏感數(shù)據(jù)進(jìn)行加密是很重要的,但同樣重要的是要注意誰可以訪問密鑰。由于密鑰通常存儲在硬盤上,因此對于想要竊取的人來說,這顯然是一個容易攻擊的目標(biāo)。
?? 
數(shù)據(jù)庫中的不規(guī)范
導(dǎo)致數(shù)據(jù)庫漏洞的原因多種多樣,因為需要測試網(wǎng)站安全性并定期進(jìn)行數(shù)據(jù)保護(hù)。如果發(fā)現(xiàn)有任何差異,一定要盡快修復(fù)。而企業(yè)開發(fā)人員應(yīng)該要了解可能會影響數(shù)據(jù)庫的任何威脅。
雖然企業(yè)可能已經(jīng)意識到要進(jìn)行安全測試,但是仍有很多企業(yè)都無法實施,因為致命錯誤通常會出現(xiàn)在開發(fā)階段,或者是應(yīng)用程序集成期間、修補(bǔ)和更新數(shù)據(jù)庫期間。
