總有大批創(chuàng)意百出的黑客不斷搗鼓出超狡猾的新方法染指各類數(shù)據(jù)。然后,更多不那么聰明的黑客不斷重復老舊套路——因為同樣老舊的漏洞一直在全球各個企業(yè)里涌現(xiàn)。
漏洞/黑客/數(shù)據(jù)庫安全
無論如何,數(shù)據(jù)泄露總是破壞性的;但更糟的是,要怎么向受影響的用戶、投資人和證監(jiān)會交代呢?一家公司上千萬用戶的個人數(shù)據(jù),總不會自己長腳跑到黑市上躺著被賣吧?于是,在各種監(jiān)管機構(gòu)找上門來問一些很難堪的問題之前,我們還是來看看這幾個最常見的數(shù)據(jù)庫安全漏洞吧。
一、數(shù)據(jù)庫安全重要性上升
只要存儲了任何人士的任意個人數(shù)據(jù),無論是用戶還是公司員工,數(shù)據(jù)庫安全都是重中之重。然而,隨著黑市對數(shù)據(jù)需求的上升,成功數(shù)據(jù)泄露利潤的上漲,數(shù)據(jù)庫安全解決方案也就變得比以往更為重要了。尤其是考慮到2016年堪稱創(chuàng)紀錄的數(shù)據(jù)泄露年的情況下。
身份盜竊資源中心的數(shù)據(jù)顯示,美國2016年的數(shù)據(jù)泄露事件比上一年增長了40%,高達1,093起。商業(yè)領域是重災區(qū),緊隨其后的是醫(yī)療保健行業(yè)。政府和教育機構(gòu)也是常見目標。
二、常見數(shù)據(jù)庫漏洞
1. 部署問題
這就是數(shù)據(jù)庫安全版的博爾特一蹬出起跑器就被鞋帶絆倒。數(shù)據(jù)庫經(jīng)過廣泛測試以確保能勝任應該做的所有工作,但有幾家公司肯花時間保證數(shù)據(jù)庫不干點兒什么不應該干的事兒呢?
解決辦法:這個問題的解決辦法十分明顯:部署前做更多的測試,找出可被攻擊者利用的非預期操作。
2. 離線服務器數(shù)據(jù)泄露
公司數(shù)據(jù)庫可能會托管在不接入互聯(lián)網(wǎng)的服務器上,但這并不意味著對基于互聯(lián)網(wǎng)的威脅完全免疫。無論有沒有互聯(lián)網(wǎng)連接,數(shù)據(jù)庫都有可供黑客切入的網(wǎng)絡接口。
解決辦法:首先,將數(shù)據(jù)庫服務器當成聯(lián)網(wǎng)服務器一樣看待,做好相應的安全防護。其次,用SSL或TSL加密通信平臺加密其上數(shù)據(jù)。
3. 錯誤配置的數(shù)據(jù)庫
有太多太多的數(shù)據(jù)庫都是被老舊未補的漏洞或默認賬戶配置參數(shù)出賣的。個中原因可能是管理員手頭工作太多忙不過來,或者因為業(yè)務關鍵系統(tǒng)實在承受不住停機檢查數(shù)據(jù)庫的損失。無論原因為何,結(jié)果就是這么令人唏噓。
解決辦法:在整個公司中樹立起數(shù)據(jù)庫安全是首要任務的氛圍,讓數(shù)據(jù)庫管理員有底氣去花時間恰當配置和修復數(shù)據(jù)庫。
4. SQL注入
SQL注入不僅僅是最常見的數(shù)據(jù)庫漏洞,還是開放網(wǎng)頁應用安全計劃(OWASP)應用安全威脅列表上的頭號威脅。該漏洞可使攻擊者將SQL查詢注入到數(shù)據(jù)庫中,達成讀取敏感數(shù)據(jù)、修改數(shù)據(jù)、執(zhí)行管理操作乃至向操作系統(tǒng)發(fā)出指令等目的。
解決辦法:開發(fā)過程中,對輸入變量進行SQL注入測試。開發(fā)完成后,用防火墻保護好面向Web的數(shù)據(jù)庫。
5. 權(quán)限問題
涉及訪問權(quán)限,數(shù)據(jù)庫面臨兩大主要問題:
員工被賦予超出工作所需的過多權(quán)限;
合法權(quán)限被未授權(quán)或惡意使用。
解決辦法:權(quán)限分發(fā)時遵循最小權(quán)限原則,僅給員工賦予完成工作所需最小權(quán)限。數(shù)據(jù)庫訪問也要受到嚴格監(jiān)視,確保員工權(quán)限僅用于經(jīng)授權(quán)的操作。員工離職時需立即撤銷分發(fā)給他/她的權(quán)限。
6. 存檔數(shù)據(jù)
與上一條相關,無論出于報復還是利益,員工通過盜取數(shù)據(jù)庫備份獲得大量個人資料的事屢見不鮮。
解決辦法:加密存檔數(shù)據(jù),嚴密監(jiān)視存檔數(shù)據(jù)訪問和使用情況,可以大幅減少內(nèi)部人威脅。
三、常見后果
2016這個無比繁忙的數(shù)據(jù)泄露年的全部影響尚未真正顯現(xiàn)。最初的傷害作用在受影響企業(yè)身上,包括公關災難、負面報道和用戶及員工信譽損失。監(jiān)管處罰和集體訴訟的賠款會在更晚些時候兌現(xiàn)。最終,企業(yè)會損失千百萬美元的罰金和賠款,還有更巨量的收益損失,所有這一切都源于最常見的數(shù)據(jù)庫安全漏洞。是時候把常見轉(zhuǎn)變?yōu)樯僖娏?,而第一步,就是意識。