監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機APP | 產(chǎn)品資料
X 關(guān)閉

當數(shù)據(jù)庫入侵曝光后該怎么辦?

申請免費試用、咨詢電話:400-8352-114

因為我們的疏忽大意,數(shù)據(jù)庫入侵的現(xiàn)象有很多,很多重要的數(shù)據(jù)據(jù)這樣唄泄密,當數(shù)據(jù)庫入侵曝光后,大多數(shù)企業(yè)沒有監(jiān)測用戶或者審計數(shù)據(jù)庫行為,因為他們并不擔心會受到行為。

1. 數(shù)據(jù)庫入侵的原因:未及時修復(fù)漏洞

數(shù)據(jù)庫管理員擔心修復(fù)最新漏洞會影響功能,但是卻不擔心修復(fù)周期無限期拖延會讓最業(yè)余的攻擊者都能夠竊取大量數(shù)據(jù)。

“一些大漏洞會在每個補丁中進行修復(fù),而利用代碼也總是可以在網(wǎng)上找到,攻擊者可以剪切粘貼來用于攻擊,”Application Security公司的首席技術(shù)官Josh Shaul表示。

2. 沒有尋找流氓數(shù)據(jù)庫

對于你不知道的數(shù)據(jù)庫,你無法確保其安全,F(xiàn)ortinet公司產(chǎn)品營銷副總裁Patrick Bedwell表示,他經(jīng)常發(fā)現(xiàn)客戶不會保持他們數(shù)據(jù)庫的庫存,或者掃描流氓數(shù)據(jù)庫,這是一個問題,因為確實存在流氓數(shù)據(jù)庫。

“常見的做法試安裝小型footprint數(shù)據(jù)庫,并在數(shù)據(jù)庫中裝滿供開發(fā)和測試使用的生產(chǎn)數(shù)據(jù),”Bedwell表示。

攻擊者很喜歡企業(yè)不追蹤流氓數(shù)據(jù)庫,因為這些數(shù)據(jù)庫入侵通常都是沒打補丁的,大門敞開的,因為安全團隊并沒有注意它們。

3. 給予過多特權(quán)

當時間很緊急,資源有限時,企業(yè)很容易忽略用戶的權(quán)限,可能只是將特權(quán)給予整個用戶群,然后去忙別的事情了,Imperva公司高級安全策略師Noa Bar Yosef表示。但是只要一個用戶濫用這些特權(quán)就可能造成巨大的問題。

“考慮Diablo Valley社區(qū)學(xué)院的情況,三年以來,他們都讓數(shù)據(jù)庫管理員修改學(xué)生的成績,”她表示,“當數(shù)據(jù)庫入侵曝光后,他們發(fā)現(xiàn)在授予數(shù)據(jù)庫管理員權(quán)限的100名用戶中,只有11名用戶真正需要這個權(quán)限。”

給予過多權(quán)限的問題在于,用戶不僅可以做他們不應(yīng)該做的事情,而且他們不會受到制裁,因為那些行為并沒有被預(yù)料,Application Security公司的研究部門經(jīng)理Alex Rothacker表示。

“給予過多權(quán)限的側(cè)面影響在于,用戶可以在他們沒有授權(quán)的數(shù)據(jù)庫或者操作系統(tǒng)進行操作,”他表示,“例如,在應(yīng)付帳款部門具有特權(quán)的用戶可以創(chuàng)造一個虛假的公司,向這個公司支付費用,然后刪除所有關(guān)于該公司的記錄以掩蓋他們的蹤跡。”

4. 允許使用默認用戶名/密碼

使用默認用戶名和密碼就像為數(shù)據(jù)庫盜賊敞開大門一樣。但是很多公司仍然這樣做,因為很多應(yīng)用程序輸入數(shù)據(jù)庫信息都是與默認帳戶同步的,更改密碼可能會破壞某些東西。

5. 沒有自我檢查

仔細檢查你的用戶在做什么,數(shù)據(jù)庫是如何被使用的,數(shù)據(jù)庫容易受到哪種類型的攻擊等。

然而大部分安全專家同意,大多數(shù)企業(yè)沒有監(jiān)測用戶或者審計數(shù)據(jù)庫行為,因為他們并不擔心會受到行為。

“這是一個不能停歇的戰(zhàn)斗,安全專業(yè)人士需要依賴于審計和數(shù)據(jù)庫管理員,同時又需要更好的性能。在為客戶提供服務(wù)方面,性能通常排在第一位,”Imperva公司的Bar Yosef表示,“但是最后,或者說數(shù)據(jù)庫入侵發(fā)生數(shù)據(jù)泄漏的時候,他們才會知道發(fā)現(xiàn)、恢復(fù)和問責(zé)制的重要性。”

根據(jù)安全咨詢公司Brainlink公司首席技術(shù)官Rajesh Goel表示,很多公司還會否定安全評估或者滲透測試人員將數(shù)據(jù)庫放在攻擊考慮范圍內(nèi),即便這是惡意攻擊者最先瞄準的目標。

6. 允許任意互聯(lián)網(wǎng)連接和輸入

當數(shù)據(jù)庫連接到互聯(lián)網(wǎng)時,任意客戶端都可以不受限制地訪問數(shù)據(jù)庫,這樣的話,不好的事情也將發(fā)生。

“這意味著SQL注入攻擊將造成毀滅性影響,將泄漏任意數(shù)據(jù),”Arbor Networks公司安全研究高級經(jīng)理Jose Nazario表示,“將權(quán)利和角色分開還有很長一段路要走,可以使用只讀角色來用于web服務(wù)。”

同樣的,用戶輸入需要被監(jiān)測以防止注入和拒絕服務(wù)攻擊,并且不受新人的用戶應(yīng)該永遠不能過直接查詢表格或者數(shù)據(jù)庫對象名稱,例如表格、函數(shù)或者視圖。

7.沒有加密

根據(jù)403 Web Security公司首席執(zhí)行官Alan Wlasuk表示,最簡單最愚蠢的數(shù)據(jù)庫入侵是因為安全錯誤,就是沒有加密他們的數(shù)據(jù)庫。

“這樣很容易數(shù)據(jù)庫入侵,攻擊者很難進入加密的數(shù)據(jù)庫,加密是免費、快速和易于使用的。”

本文來自互聯(lián)網(wǎng),僅供參考
發(fā)布:2007-04-15 10:44    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:

泛普重慶OA快博其他應(yīng)用

重慶OA軟件 重慶OA新聞動態(tài) 重慶OA信息化 重慶OA客戶 重慶OA快博 重慶OA行業(yè)資訊 重慶軟件開發(fā)公司 重慶網(wǎng)站建設(shè)公司 重慶物業(yè)管理軟件 重慶餐飲管理軟件 重慶倉庫管理系統(tǒng) 重慶門禁系統(tǒng) 重慶微信營銷 重慶ERP 重慶監(jiān)控公司 重慶金融行業(yè)軟件 重慶B2B、B2C商城系統(tǒng)開發(fā) 重慶建筑施工項目管理系統(tǒng)開發(fā)