【51CTO.com快譯6月22日外電頭條】如今頂尖的黑客一定都是頂尖的商人！因?yàn)樗麄兊脑u(píng)估記錄上會(huì)寫著哪些目標(biāo)最簡(jiǎn)單，哪些目標(biāo)最有利可圖?，F(xiàn)在，可能沒(méi)有比笨拙的企業(yè)數(shù)據(jù)庫(kù)更好對(duì)付的目標(biāo)了。

一般來(lái)說(shuō)，企業(yè)的數(shù)據(jù)庫(kù)中匯集著這家公司最重要的機(jī)密：客戶名單、工資記錄、以及其他許多按照良好結(jié)構(gòu)儲(chǔ)存的敏感信息，這些都是最容易賣出好價(jià)錢的。何況數(shù)據(jù)庫(kù)的管理員們往往不會(huì)想在安全性上精益求精，而且數(shù)據(jù)庫(kù)本身常常和網(wǎng)絡(luò)應(yīng)用聯(lián)系在一起，這些都已經(jīng)被證明是企業(yè)數(shù)據(jù)庫(kù)屢遭破解的原因。

在Verizon Business的年度計(jì)算機(jī)破壞報(bào)告中，調(diào)查小組報(bào)告說(shuō)，在2008年的數(shù)據(jù)丟失案中，數(shù)據(jù)庫(kù)破壞占據(jù)了30％。更糟糕的是，在數(shù)據(jù)入侵的統(tǒng)計(jì)中，數(shù)據(jù)庫(kù)入侵高達(dá)75％（參見(jiàn)下圖）。由于敏感信息往往是儲(chǔ)存在一個(gè)單獨(dú)的數(shù)據(jù)庫(kù)中，一次簡(jiǎn)單的入侵就可能導(dǎo)致企業(yè)遭受重大損失。

 
數(shù)據(jù)來(lái)源：Verizon 2009數(shù)據(jù)破壞調(diào)查報(bào)告，基于2008年2億8500萬(wàn)次累計(jì)攻擊數(shù)據(jù)
制圖：51CTO.com安全頻道

“認(rèn)真研究一下，你會(huì)發(fā)現(xiàn)安全威脅在很大比例上都來(lái)自于數(shù)據(jù)庫(kù)，”企業(yè)安全咨詢公司Securosis創(chuàng)始人兼分析師Rich Mogull說(shuō)。還有大多數(shù)的信息安全管理員都是在IT網(wǎng)絡(luò)背景下成長(zhǎng)起來(lái)，對(duì)數(shù)據(jù)庫(kù)技術(shù)并不了解太多，他另外說(shuō)到。最近Forrester Research的研究也發(fā)現(xiàn)，大多數(shù)數(shù)據(jù)庫(kù)管理員僅花費(fèi)不到5％的時(shí)間來(lái)保證數(shù)據(jù)庫(kù)的安全。

“我要說(shuō)的是，在我就安全性問(wèn)題開(kāi)會(huì)的時(shí)候，三次里至少有兩次數(shù)據(jù)庫(kù)方面的人不來(lái)參加，”Gartner的信息安全和隱私研究主管Jeffrey Wheatman說(shuō)?！拔艺J(rèn)為這是一個(gè)大問(wèn)題，因?yàn)楫?dāng)你要對(duì)一個(gè)不太明白的東西進(jìn)行監(jiān)測(cè)或要保證它的安全，你需要請(qǐng)一位這方面的專家來(lái)幫助你?！?/P>

此前，51CTO.com也曾刊載專家分析文章稱，由于企業(yè)數(shù)據(jù)庫(kù)系統(tǒng)用戶眾多，涉及數(shù)據(jù)庫(kù)管理員、內(nèi)部員工及合作方人員等，網(wǎng)絡(luò)管理非常復(fù)雜，數(shù)據(jù)庫(kù)的審計(jì)已經(jīng)成為燃眉之急。

許多數(shù)據(jù)庫(kù)的安全漏洞僅僅是由簡(jiǎn)單的安全工作失誤造成的。在2008年的調(diào)查中，IOUG（the Independent Oracle Users Group，獨(dú)立Oracle用戶組織）發(fā)現(xiàn)，有26％的企業(yè)安裝Oracle數(shù)據(jù)庫(kù)的安全補(bǔ)丁的時(shí)間超過(guò)了6個(gè)月，而有11％的企業(yè)竟然從來(lái)沒(méi)有給它們打補(bǔ)丁?！吧a(chǎn)數(shù)據(jù)庫(kù)（production database）往往不能在第一時(shí)間得到最新的補(bǔ)丁，因?yàn)檫@些數(shù)據(jù)庫(kù)服務(wù)器的訪問(wèn)非常繁忙，人們會(huì)說(shuō)‘只要不出大問(wèn)題，就不要去修補(bǔ)它’！”漏洞評(píng)估公司QuietMove的合伙人Adam Muntner說(shuō)。

企業(yè)經(jīng)常會(huì)犯一些錯(cuò)誤，這使數(shù)據(jù)庫(kù)變得更加脆弱，比如將測(cè)試數(shù)據(jù)庫(kù)留在生產(chǎn)服務(wù)器上，或者把敏感數(shù)據(jù)鏈接到網(wǎng)絡(luò)應(yīng)用中，這就有可能被黑客輕松竊取?！拔艺J(rèn)為數(shù)據(jù)庫(kù)面臨的最大威脅就是與網(wǎng)絡(luò)應(yīng)用相鏈接和其中的業(yè)務(wù)邏輯漏洞，”Muntner說(shuō)。

與網(wǎng)絡(luò)應(yīng)用密切聯(lián)系會(huì)使數(shù)據(jù)庫(kù)容易遭受SQL注入攻擊——這個(gè)問(wèn)題51CTO.com安全頻道曾專門討論過(guò)，指攻擊者輸入SQL代碼形式的字符串到網(wǎng)絡(luò)應(yīng)用的薄弱區(qū)域。他們可以襲擊連接到特定網(wǎng)絡(luò)應(yīng)用的數(shù)據(jù)庫(kù)，也可以使用網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)庫(kù)之間的鏈接，對(duì)整個(gè)數(shù)據(jù)庫(kù)服務(wù)器發(fā)起更廣泛的攻擊。跟據(jù)IBM的ISS X-Force安全研究團(tuán)隊(duì)報(bào)告，SQL注入攻擊在去年成為因特網(wǎng)最常見(jiàn)的針對(duì)基于數(shù)據(jù)庫(kù)的網(wǎng)站漏洞的攻擊方式，比起2007年增長(zhǎng)了134％。相應(yīng)地，應(yīng)對(duì)SQL注入攻擊，也需要進(jìn)行全面防御。

【編輯推薦】

1. 數(shù)據(jù)庫(kù)安全技術(shù)專題
2. 數(shù)據(jù)庫(kù)系統(tǒng)防黑客入侵技術(shù)綜述
3. 專家談：確保安全 數(shù)據(jù)庫(kù)審計(jì)成燃眉之急

【51CTO.com譯稿，非經(jīng)授權(quán)請(qǐng)勿轉(zhuǎn)載。合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com，且不得修改原文內(nèi)容?！?

原文：Database Servers: Candy For Hackers  作者：Ericka Chickowski