1. 數(shù)據(jù)庫(kù)未及時(shí)修復(fù)漏洞

數(shù)據(jù)庫(kù)管理員擔(dān)心修復(fù)最新漏洞會(huì)影響功能，但是卻不擔(dān)心修復(fù)周期無(wú)限期拖延會(huì)讓最業(yè)余的攻擊者都能夠竊取大量數(shù)據(jù)。

“一些大漏洞會(huì)在每個(gè)補(bǔ)丁中進(jìn)行修復(fù)，而利用代碼也總是可以在網(wǎng)上找到，攻擊者可以剪切粘貼來(lái)用于攻擊，”Application Security公司的首席技術(shù)官Josh Shaul表示。

2. 沒(méi)有尋找流氓數(shù)據(jù)庫(kù)

對(duì)于你不知道的數(shù)據(jù)庫(kù)，你無(wú)法確保其安全，F(xiàn)ortinet公司產(chǎn)品營(yíng)銷(xiāo)副總裁Patrick Bedwell表示，他經(jīng)常發(fā)現(xiàn)客戶不會(huì)保持他們數(shù)據(jù)庫(kù)的庫(kù)存，或者掃描流氓數(shù)據(jù)庫(kù)，這是一個(gè)問(wèn)題，因?yàn)榇_實(shí)存在流氓數(shù)據(jù)庫(kù)。

“常見(jiàn)的做法試安裝小型footprint數(shù)據(jù)庫(kù)，并在數(shù)據(jù)庫(kù)中裝滿供開(kāi)發(fā)和測(cè)試使用的生產(chǎn)數(shù)據(jù)，”Bedwell表示。

攻擊者很喜歡企業(yè)不追蹤流氓數(shù)據(jù)庫(kù)，因?yàn)檫@些數(shù)據(jù)庫(kù)通常都是沒(méi)打補(bǔ)丁的，大門(mén)敞開(kāi)的，因?yàn)榘踩珗F(tuán)隊(duì)并沒(méi)有注意它們。

3. 給予過(guò)多特權(quán)

當(dāng)時(shí)間很緊急，資源有限時(shí)，企業(yè)很容易忽略用戶的權(quán)限，可能只是將特權(quán)給予整個(gè)用戶群，然后去忙別的事情了，Imperva公司高級(jí)安全策略師Noa Bar Yosef表示。但是只要一個(gè)用戶濫用這些特權(quán)就可能造成巨大的問(wèn)題。

“考慮Diablo Valley社區(qū)學(xué)院的情況，三年以來(lái)，他們都讓數(shù)據(jù)庫(kù)管理員修改學(xué)生的成績(jī)，”她表示，“當(dāng)數(shù)據(jù)泄漏曝光后，他們發(fā)現(xiàn)在授予數(shù)據(jù)庫(kù)管理員權(quán)限的100名用戶中，只有11名用戶真正需要這個(gè)權(quán)限。”

給予過(guò)多權(quán)限的問(wèn)題在于，用戶不僅可以做他們不應(yīng)該做的事情，而且他們不會(huì)受到制裁，因?yàn)槟切┬袨椴](méi)有被預(yù)料，Application Security公司的研究部門(mén)經(jīng)理Alex Rothacker表示。

“給予過(guò)多權(quán)限的側(cè)面影響在于，用戶可以在他們沒(méi)有授權(quán)的數(shù)據(jù)庫(kù)或者操作系統(tǒng)進(jìn)行操作，”他表示，“例如，在應(yīng)付帳款部門(mén)具有特權(quán)的用戶可以創(chuàng)造一個(gè)虛假的公司，向這個(gè)公司支付費(fèi)用，然后刪除所有關(guān)于該公司的記錄以掩蓋他們的蹤跡。”

4. 允許使用默認(rèn)用戶名/密碼

使用默認(rèn)用戶名和密碼就像為數(shù)據(jù)庫(kù)盜賊敞開(kāi)大門(mén)一樣。但是很多公司仍然這樣做，因?yàn)楹芏鄳?yīng)用程序輸入數(shù)據(jù)庫(kù)信息都是與默認(rèn)帳戶同步的，更改密碼可能會(huì)破壞某些東西。

5. 沒(méi)有自我檢查

仔細(xì)檢查你的用戶在做什么，數(shù)據(jù)庫(kù)是如何被使用的，數(shù)據(jù)庫(kù)容易受到哪種類(lèi)型的攻擊等。

然而大部分安全專(zhuān)家同意，大多數(shù)企業(yè)沒(méi)有監(jiān)測(cè)用戶或者審計(jì)數(shù)據(jù)庫(kù)行為，因?yàn)樗麄儾⒉粨?dān)心會(huì)受到行為。

“這是一個(gè)不能停歇的戰(zhàn)斗，安全專(zhuān)業(yè)人士需要依賴(lài)于審計(jì)和數(shù)據(jù)庫(kù)管理員，同時(shí)又需要更好的性能。在為客戶提供服務(wù)方面，性能通常排在第一位，”Imperva公司的Bar Yosef表示，“但是最后，或者說(shuō)發(fā)生數(shù)據(jù)泄漏的時(shí)候，他們才會(huì)知道發(fā)現(xiàn)、恢復(fù)和問(wèn)責(zé)制的重要性。”

根據(jù)安全咨詢公司Brainlink公司首席技術(shù)官Rajesh Goel表示，很多公司還會(huì)否定安全評(píng)估或者滲透測(cè)試人員將數(shù)據(jù)庫(kù)放在攻擊考慮范圍內(nèi)，即便這是惡意攻擊者最先瞄準(zhǔn)的目標(biāo)。

6. 允許任意互聯(lián)網(wǎng)連接和輸入

當(dāng)數(shù)據(jù)庫(kù)連接到互聯(lián)網(wǎng)時(shí)，任意客戶端都可以不受限制地訪問(wèn)數(shù)據(jù)庫(kù)，這樣的話，不好的事情也將發(fā)生。

“這意味著SQL注入攻擊將造成毀滅性影響，將泄漏任意數(shù)據(jù)，”Arbor Networks公司安全研究高級(jí)經(jīng)理Jose Nazario表示，“將權(quán)利和角色分開(kāi)還有很長(zhǎng)一段路要走，可以使用只讀角色來(lái)用于web服務(wù)。”

同樣的，用戶輸入需要被監(jiān)測(cè)以防止注入和拒絕服務(wù)攻擊，并且不受新人的用戶應(yīng)該永遠(yuǎn)不能過(guò)直接查詢表格或者數(shù)據(jù)庫(kù)對(duì)象名稱(chēng)，例如表格、函數(shù)或者視圖。

7.沒(méi)有加密

根據(jù)403 Web Security公司首席執(zhí)行官Alan Wlasuk表示，最簡(jiǎn)單最愚蠢的數(shù)據(jù)庫(kù)安全錯(cuò)誤就是沒(méi)有加密他們的數(shù)據(jù)庫(kù)。

“這樣就能讓攻擊者最終進(jìn)入你的數(shù)據(jù)庫(kù)，攻擊者很難進(jìn)入加密的數(shù)據(jù)庫(kù)，加密是免費(fèi)、快速和易于使用的。”

【編輯推薦】

1. 網(wǎng)御網(wǎng)閘助力某省國(guó)稅“數(shù)據(jù)大集中”
2. 小心你的WEB應(yīng)用程序成為數(shù)據(jù)竊賊的幫兇
3. 微軟牽手Websense為用戶提供最先進(jìn)的數(shù)據(jù)泄露防護(hù)
4. 云時(shí)代數(shù)據(jù)中心安全建設(shè)三部曲
5. 解讀信息系統(tǒng)數(shù)據(jù)安全防范策略