預警即預防：6大常見資料庫安全漏洞

總有大批創意百出的黑客不斷搗鼓出超狡猾的新方法染指各類資料。然後，更多不那麼聰明的黑客不斷重複老舊套路——因為同樣老舊的漏洞一直在全球各個企業裡湧現。

無論如何，資料洩露總是破壞性的;但更糟的是，要怎麼向受影響的使用者、投資人和證監會交代呢?一家公司上千萬使用者的個人資料，總不會自己長腳跑到黑市上躺着被賣吧?于是，在各種監管機構找上門來問一些很難堪的問題之前，我們還是來看看這幾個最常見的資料庫安全漏洞吧。

資料庫安全重要性上升

隻要存儲了任何人士的任意個人資料，無論是使用者還是公司員工，資料庫安全都是重中之重。然而，随着黑市對資料需求的上升，成功資料洩露利潤的上漲，資料庫安全解決方案也就變得比以往更為重要了。尤其是考慮到2016年堪稱創紀錄的資料洩露年的情況下。

身份盜竊資源中心的資料顯示，美國2016年的資料洩露事件比上一年增長了40%，高達1,093起。商業領域是重災區，緊随其後的是醫療保健行業。政府和教育機構也是常見目标。

常見資料庫漏洞

1. 部署問題

這就是資料庫安全版的博爾特一蹬出起跑器就被鞋帶絆倒。資料庫經過廣泛測試以確定能勝任應該做的所有工作，但有幾家公司肯花時間保證資料庫不幹點兒什麼不應該幹的事兒呢?

解決辦法：這個問題的解決辦法十分明顯：部署前做更多的測試，找出可被攻擊者利用的非預期操作。

2. 離線伺服器資料洩露

公司資料庫可能會托管在不接入網際網路的伺服器上，但這并不意味着對基于網際網路的威脅完全免疫。無論有沒有網際網路連接配接，資料庫都有可供黑客切入的網絡接口。

解決辦法：首先，将資料庫伺服器當成聯網伺服器一樣看待，做好相應的安全防護。其次，用ssl或tsl加密通信平台加密其上資料。

3. 錯誤配置的資料庫

有太多太多的資料庫都是被老舊未補的漏洞或預設賬戶配置參數出賣的。個中原因可能是管理者手頭工作太多忙不過來，或者因為業務關鍵系統實在承受不住停機檢查資料庫的損失。無論原因為何，結果就是這麼令人唏噓。

解決辦法：在整個公司中樹立起資料庫安全是首要任務的氛圍，讓資料庫管理者有底氣去花時間恰當配置和修複資料庫。

4. sql注入

sql注入不僅僅是最常見的資料庫漏洞，還是開放網頁應用安全計劃(owasp)應用安全威脅清單上的頭号威脅。該漏洞可使攻擊者将sql查詢注入到資料庫中，達成讀取敏感資料、修改資料、執行管理操作乃至向作業系統發出指令等目的。

解決辦法：開發過程中，對輸入變量進行sql注入測試。開發完成後，用防火牆保護好面向web的資料庫。

5. 權限問題

涉及通路權限，資料庫面臨兩大主要問題：

員工被賦予超出工作所需的過多權限;

合法權限被未授權或惡意使用。

解決辦法：權限分發時遵循最小權限原則，僅給員工賦予完成工作所需最小權限。資料庫通路也要受到嚴格監視，確定員工權限僅用于經授權的操作。員工離職時需立即撤銷分發給他/她的權限。

6. 存檔資料

與上一條相關，無論出于報複還是利益，員工通過盜取資料庫備份獲得大量個人資料的事屢見不鮮。

解決辦法：加密存檔資料，嚴密監視存檔資料通路和使用情況，可以大幅減少内部人威脅。

常見後果

2016這個無比繁忙的資料洩露年的全部影響尚未真正顯現。最初的傷害作用在受影響企業身上，包括公關災難、負面報道和使用者及員工信譽損失。監管處罰和集體訴訟的賠款會在更晚些時候兌現。最終，企業會損失千百萬美元的罰金和賠款，還有更巨量的收益損失，所有這一切都源于最常見的資料庫安全漏洞。是時候把常見轉變為少見了，而第一步，就是意識。

本文轉自d1net（轉載）