多數(shù)情況下，數(shù)據(jù)庫在互聯(lián)網(wǎng)上的公開暴露是由配置錯(cuò)誤導(dǎo)致。而黑客經(jīng)常使用可從開放網(wǎng)絡(luò)訪問的搜索引擎索引系統(tǒng)來尋找這些數(shù)據(jù)庫，以竊取內(nèi)容或進(jìn)行金融勒索。威脅情報(bào)和研究公司 Group-IB 的研究人員在與 BleepingComputer 共享的一份報(bào)告中表示，2022 年第一季度，暴露的數(shù)據(jù)庫數(shù)量已達(dá)到 91200 個(gè)的峰值。

2021 全年公開暴露在互聯(lián)網(wǎng)上的數(shù)據(jù)庫數(shù)量為 308,000 個(gè)，2022 年在此基礎(chǔ)上有所增加;季度環(huán)比增長持續(xù)，在今年頭幾個(gè)月達(dá)到頂峰。

Group-IB 使用其攻擊面管理解決方案掃描整個(gè) IPv4 空間中與訪問數(shù)據(jù)庫有關(guān)的開放端口，并檢查索引或表是否可用。該公司的解決方案僅限于檢查數(shù)據(jù)庫是否暴露，沒有任何收集或分析數(shù)據(jù)庫內(nèi)容的能力。以這種方式收集的遙測(cè)數(shù)據(jù)不會(huì)顯示開放數(shù)據(jù)庫是否容易受到安全漏洞的影響，或者未經(jīng)授權(quán)的一方是否在暴露在網(wǎng)絡(luò)上時(shí)訪問了它們。

Group-IB 發(fā)現(xiàn)，大多數(shù)暴露實(shí)例都位于美國和中國服務(wù)器上，德國、法國和印度也占有較大的比例。而在暴露實(shí)例中使用的數(shù)據(jù)庫管理系統(tǒng)中，Redis 占比最高，幾乎是亞軍 MongoDB 的兩倍。Elastic 僅占一小部分，但仍然也是數(shù)以萬計(jì)，MySQL 則占比最少。

目前，這些管理系統(tǒng)已經(jīng)采取了措施，在管理員將實(shí)例配置為無需密碼即可公開訪問時(shí)提醒管理員，但相關(guān)問題仍然存在。

專攻數(shù)據(jù)庫安全的安全研究員 Bob Diachenko 表達(dá)了一個(gè)觀點(diǎn)稱，供應(yīng)商引入的保護(hù) dbms 的措施越復(fù)雜，就越有可能出現(xiàn)配置錯(cuò)誤，從而無意中暴露數(shù)據(jù)。

“數(shù)據(jù)庫的目的不僅是存儲(chǔ)數(shù)據(jù)，而且還允許以即時(shí)和便捷的方式共享這些數(shù)據(jù)，并由其他團(tuán)隊(duì)成員對(duì)其進(jìn)行分析。如今，越來越多的人參與到數(shù)據(jù)庫管理過程中;最終他們?cè)噲D簡化和加快訪問速度，因此省略登錄過程對(duì)他們來說通常是最簡單和最明顯的方法。”

然而數(shù)據(jù)顯示，管理員平均需要 170 天的時(shí)間才能意識(shí)到錯(cuò)誤的配置并修復(fù)暴露問題，這足以讓惡意行為者發(fā)現(xiàn)暴露的數(shù)據(jù)并完成竊取。2021 年第三季度的平均修復(fù)時(shí)間為 113 天，但此后情況有所惡化;報(bào)告指出，可能是由于 IT 人員被面向公眾的資產(chǎn)的快速擴(kuò)張所淹沒。

Group-IB 指出，大多數(shù)困擾數(shù)據(jù)庫安全的問題都可以輕松預(yù)防。如果管理員在設(shè)置和維護(hù)數(shù)據(jù)庫時(shí)遵循特定關(guān)鍵措施，則可以確保數(shù)據(jù)庫安全。可以總結(jié)為以下幾點(diǎn)：

• 如無必要，確保數(shù)據(jù)庫不公開;
• 使數(shù)據(jù)庫管理系統(tǒng)保持最新版本，以減少可利用的缺陷;
• 使用強(qiáng)用戶身份驗(yàn)證;
• 為所有存儲(chǔ)的信息部署強(qiáng)大的數(shù)據(jù)加密協(xié)議;
• 使用采用數(shù)據(jù)包過濾器、數(shù)據(jù)包檢查和代理的數(shù)據(jù)庫和 Web 應(yīng)用程序防火墻;
• 使用實(shí)時(shí)數(shù)據(jù)庫監(jiān)控;
• 避免使用將數(shù)據(jù)庫暴露給惡意掃描的默認(rèn)網(wǎng)絡(luò)端口;
• 盡可能遵循服務(wù)器分段做法;
• 以加密形式對(duì)數(shù)據(jù)進(jìn)行離線備份。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：中美數(shù)據(jù)庫暴露占比最高，Redis 約 MongoDB 的兩倍

本文地址：https://www.oschina.net/news/193543/redis-mongodb-elastic-2022-exposed-databases