域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
安華金和長(zhǎng)期致力于幫助客戶應(yīng)對(duì)數(shù)據(jù)安全領(lǐng)域的威脅。為了提高數(shù)據(jù)庫(kù)用戶的安全意識(shí),快速了解最新數(shù)據(jù)庫(kù)漏洞利用方向,最新發(fā)布《2019年數(shù)據(jù)庫(kù)漏洞安全威脅報(bào)告》。該報(bào)告用于快速跟蹤及反饋數(shù)據(jù)庫(kù)安全的發(fā)展態(tài)勢(shì)。
數(shù)據(jù)庫(kù)內(nèi)、外部威脅對(duì)數(shù)據(jù)庫(kù)安全的影響
內(nèi)部安全威脅主要是指數(shù)據(jù)庫(kù)自身的安全性,具體表現(xiàn)為各類數(shù)據(jù)庫(kù)漏洞;外部安全威脅主要體現(xiàn)在人為因素造成的數(shù)據(jù)庫(kù)配置不當(dāng)以及外部黑客數(shù)據(jù)庫(kù)攻擊。
內(nèi)部威脅主要來(lái)自數(shù)據(jù)庫(kù)自身的組件
數(shù)據(jù)庫(kù)內(nèi)部安全威脅主要表現(xiàn)在自身的三大組件上:數(shù)據(jù)庫(kù)引擎、SQL編程組件(例如PL/SQL)和網(wǎng)絡(luò)監(jiān)聽(tīng)組件。利用數(shù)據(jù)庫(kù)引擎的漏洞,攻擊者能夠破壞RDBMS核心,直接接管目標(biāo)機(jī)器的RDBMS核心組件,還可以進(jìn)行提權(quán)攻擊,將低權(quán)限用戶提權(quán)為DBA;利用SQL編程組件的漏洞,攻擊者同樣可以實(shí)現(xiàn)數(shù)據(jù)庫(kù)賬號(hào)提權(quán)攻擊;利用網(wǎng)絡(luò)監(jiān)聽(tīng)組件的緩沖區(qū)溢出漏洞,可以直接奪取數(shù)據(jù)庫(kù)所在主機(jī)的操作系統(tǒng)權(quán)限。
外部威脅主要來(lái)源于系統(tǒng)配置不當(dāng)和黑客攻擊
數(shù)據(jù)庫(kù)外部威脅主要表現(xiàn)在人為因素上,可以分為系統(tǒng)配置不當(dāng)和外部攻擊。系統(tǒng)配置不當(dāng)?shù)闹饕憩F(xiàn)形式有管理口令設(shè)置不當(dāng)、數(shù)據(jù)管理賬號(hào)權(quán)限設(shè)置不當(dāng)?shù)?這些都會(huì)增加數(shù)據(jù)庫(kù)被入侵的風(fēng)險(xiǎn),進(jìn)而造成企業(yè)或組織的數(shù)據(jù)資產(chǎn)泄露或破壞;外部攻擊的主要威脅來(lái)自于黑客對(duì)于數(shù)據(jù)庫(kù)的攻擊行為,其主要手段表現(xiàn)為第三方惡意組件攻擊,例如數(shù)據(jù)庫(kù)后門(mén)、勒索病毒、挖礦木馬等。
Mysql漏洞多DB2漏洞嚴(yán)重
截止2019年12月,CVE發(fā)布的被確認(rèn)的國(guó)際主流數(shù)據(jù)庫(kù)漏洞共計(jì)140個(gè),其中Oracle 12個(gè)、MySQL 107個(gè)、Postgresql 4個(gè)、IBM DB2 14個(gè)。其中Oracle被發(fā)現(xiàn)的12個(gè)漏洞中含1個(gè)超危漏洞,4個(gè)高危漏洞;MySQL數(shù)據(jù)庫(kù)的107個(gè)漏洞中含有4個(gè)高危漏洞,97個(gè)中危漏洞;Postgresql數(shù)據(jù)庫(kù)發(fā)現(xiàn)2個(gè)高危漏洞;DB2數(shù)據(jù)庫(kù)發(fā)現(xiàn)11個(gè)高危漏洞。
2019年出現(xiàn)的數(shù)據(jù)庫(kù)漏洞MySQL數(shù)據(jù)庫(kù)為主,大部分是中危漏洞, DB2數(shù)據(jù)庫(kù)出現(xiàn)了多個(gè)高危漏洞,這兩類數(shù)據(jù)庫(kù)的用戶需要引起重視。
勒索病毒與挖礦木馬是當(dāng)前典型的數(shù)據(jù)庫(kù)攻擊手段
自2017年WannaCry勒索病毒爆發(fā)以來(lái),數(shù)據(jù)勒索成為黑客攻擊的重要手段。因?yàn)槠涔舫杀镜?風(fēng)險(xiǎn)系數(shù)小,獲取利益高,至今仍受到黑客的青睞。根據(jù)數(shù)據(jù)庫(kù)所處位置,在攻擊手段和流程上有所差別,但勒索攻擊都會(huì)對(duì)數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)所有的組織造成重大傷害,包括數(shù)據(jù)資產(chǎn)的損失或者是財(cái)務(wù)損失。構(gòu)建外圍防護(hù)+定期安全探查+數(shù)據(jù)定期備份是防止數(shù)據(jù)庫(kù)勒索攻擊的有效手段。
數(shù)據(jù)庫(kù)服務(wù)器硬件性能好,挖礦效率高,受到挖礦黑客的青睞。數(shù)據(jù)庫(kù)自身漏洞以及針對(duì)數(shù)據(jù)庫(kù)的安全防護(hù)較弱,給黑客攻擊獲取服務(wù)器權(quán)限部署挖礦軟件提供了便利條件。這種攻擊一般分為三個(gè)步驟,首先利用數(shù)據(jù)庫(kù)漏洞獲取到主機(jī)權(quán)限,然后部署挖礦軟件和木馬程序,最后利用惡意程序滲透網(wǎng)絡(luò)中的其他主機(jī),形成大的僵尸網(wǎng)絡(luò)為挖礦服務(wù)。加強(qiáng)事先防御,及時(shí)更新軟件、系統(tǒng)補(bǔ)丁,檢查弱口令等數(shù)據(jù)庫(kù)配置;定期檢查數(shù)據(jù)庫(kù)服務(wù)的運(yùn)行情況,檢查數(shù)據(jù)庫(kù)日志中有無(wú)過(guò)多的用戶登錄記錄,檢查硬件的使用情況,看有無(wú)陌生進(jìn)程占用過(guò)多資源,能夠有效防止挖礦攻擊。
加強(qiáng)數(shù)據(jù)庫(kù)權(quán)限控制和輸入限制是有效的數(shù)據(jù)庫(kù)安全措施
加強(qiáng)數(shù)據(jù)庫(kù)權(quán)限控制和輸入限制,能夠在一定程度上提高數(shù)據(jù)庫(kù)漏洞的利用難度,降低數(shù)據(jù)庫(kù)被攻擊的可能性,其主要手段有:用戶權(quán)限最小化原則,加強(qiáng)數(shù)據(jù)庫(kù)用戶管理,嚴(yán)格檢查數(shù)據(jù)庫(kù)安全配置,數(shù)據(jù)庫(kù)功能最小化,及時(shí)升級(jí)安全補(bǔ)丁等。
安華金和數(shù)據(jù)安全攻防實(shí)驗(yàn)室(DBSec Labs)于2010年11月成立,是我國(guó)一支獨(dú)立的、持久的針對(duì)數(shù)據(jù)庫(kù)安全漏洞、數(shù)據(jù)庫(kù)攻擊技術(shù)模擬和數(shù)據(jù)庫(kù)安全防護(hù)技術(shù)進(jìn)行研究的專業(yè)隊(duì)伍。旨在通過(guò)數(shù)據(jù)庫(kù)漏洞與攻擊技術(shù)的研究制定有效的防御手段和技術(shù),從而降低數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn),以實(shí)現(xiàn)對(duì)數(shù)據(jù)資產(chǎn)的保護(hù)。
安華金和數(shù)據(jù)安全攻防實(shí)驗(yàn)室針對(duì)數(shù)據(jù)庫(kù)漏洞安全威脅定期發(fā)布報(bào)告,旨在幫助廣大用戶了解數(shù)據(jù)庫(kù)安全形勢(shì),完善企業(yè)及組織的數(shù)據(jù)安全解決方案提供幫助。
完整版報(bào)告可通過(guò)安華金和官方網(wǎng)站資源中心欄目或微信服務(wù)號(hào)“安華金和服務(wù)平臺(tái)”獲取。也可添加微信“dbsec-sir”索取。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!