無(wú)論如何,數(shù)據(jù)泄露總是破壞性的;但更糟的是,要怎么向受影響的用戶、投資人和證監(jiān)會(huì)交代呢?一家公司上千萬(wàn)用戶的個(gè)人數(shù)據(jù),總不會(huì)自己長(zhǎng)腳跑到黑市上躺著被賣(mài)吧?于是,在各種監(jiān)管機(jī)構(gòu)找上門(mén)來(lái)問(wèn)一些很難堪的問(wèn)題之前,我們還是來(lái)看看這幾個(gè)最常見(jiàn)的數(shù)據(jù)庫(kù)安全漏洞吧。
數(shù)據(jù)庫(kù)安全重要性上升
只要存儲(chǔ)了任何人士的任意個(gè)人數(shù)據(jù),無(wú)論是用戶還是公司員工,數(shù)據(jù)庫(kù)安全都是重中之重。然而,隨著黑市對(duì)數(shù)據(jù)需求的上升,成功數(shù)據(jù)泄露利潤(rùn)的上漲,數(shù)據(jù)庫(kù)安全解決方案也就變得比以往更為重要了。尤其是考慮到2016年堪稱創(chuàng)紀(jì)錄的數(shù)據(jù)泄露年的情況下。
身份盜竊資源中心的數(shù)據(jù)顯示,美國(guó)2016年的數(shù)據(jù)泄露事件比上一年增長(zhǎng)了 40% ,高達(dá) 1,093 起。商業(yè)領(lǐng)域是重災(zāi)區(qū),緊隨其后的是醫(yī)療保健行業(yè)。政府和教育機(jī)構(gòu)也是常見(jiàn)目標(biāo)。
常見(jiàn)數(shù)據(jù)庫(kù)漏洞
1. 部署問(wèn)題
這就是數(shù)據(jù)庫(kù)安全版的博爾特一蹬出起跑器就被鞋帶絆倒。數(shù)據(jù)庫(kù)經(jīng)過(guò)廣泛測(cè)試以確保能勝任應(yīng)該做的所有工作,但有幾家公司肯花時(shí)間保證數(shù)據(jù)庫(kù)不干點(diǎn)兒什么不應(yīng)該干的事兒呢?
解決辦法:這個(gè)問(wèn)題的解決辦法十分明顯:部署前做更多的測(cè)試,找出可被攻擊者利用的非預(yù)期操作。
2. 離線服務(wù)器數(shù)據(jù)泄露
公司數(shù)據(jù)庫(kù)可能會(huì)托管在不接入互聯(lián)網(wǎng)的服務(wù)器上,但這并不意味著對(duì)基于互聯(lián)網(wǎng)的威脅完全免疫。無(wú)論有沒(méi)有互聯(lián)網(wǎng)連接,數(shù)據(jù)庫(kù)都有可供黑客切入的網(wǎng)絡(luò)接口。
解決辦法:首先,將數(shù)據(jù)庫(kù)服務(wù)器當(dāng)成聯(lián)網(wǎng)服務(wù)器一樣看待,做好相應(yīng)的安全防護(hù)。其次,用SSL或TSL加密通信平臺(tái)加密其上數(shù)據(jù)。
3. 錯(cuò)誤配置的數(shù)據(jù)庫(kù)
有太多太多的數(shù)據(jù)庫(kù)都是被老舊未補(bǔ)的漏洞或默認(rèn)賬戶配置參數(shù)出賣(mài)的。個(gè)中原因可能是管理員手頭工作太多忙不過(guò)來(lái),或者因?yàn)闃I(yè)務(wù)關(guān)鍵系統(tǒng)實(shí)在承受不住停機(jī)檢查數(shù)據(jù)庫(kù)的損失。無(wú)論原因?yàn)楹危Y(jié)果就是這么令人唏噓。
解決辦法:在整個(gè)公司中樹(shù)立起數(shù)據(jù)庫(kù)安全是首要任務(wù)的氛圍,讓數(shù)據(jù)庫(kù)管理員有底氣去花時(shí)間恰當(dāng)配置和修復(fù)數(shù)據(jù)庫(kù)。
4. SQL注入
SQL注入不僅僅是最常見(jiàn)的數(shù)據(jù)庫(kù)漏洞,還是開(kāi)放網(wǎng)頁(yè)應(yīng)用安全計(jì)劃(OWASP)應(yīng)用安全威脅列表上的頭號(hào)威脅。該漏洞可使攻擊者將SQL查詢注入到數(shù)據(jù)庫(kù)中,達(dá)成讀取敏感數(shù)據(jù)、修改數(shù)據(jù)、執(zhí)行管理操作乃至向操作系統(tǒng)發(fā)出指令等目的。
解決辦法:開(kāi)發(fā)過(guò)程中,對(duì)輸入變量進(jìn)行SQL注入測(cè)試。開(kāi)發(fā)完成后,用防火墻保護(hù)好面向Web的數(shù)據(jù)庫(kù)。
5. 權(quán)限問(wèn)題
涉及訪問(wèn)權(quán)限,數(shù)據(jù)庫(kù)面臨兩大主要問(wèn)題:
員工被賦予超出工作所需的過(guò)多權(quán)限;
合法權(quán)限被未授權(quán)或惡意使用。
解決辦法:權(quán)限分發(fā)時(shí)遵循最小權(quán)限原則,僅給員工賦予完成工作所需最小權(quán)限。數(shù)據(jù)庫(kù)訪問(wèn)也要受到嚴(yán)格監(jiān)視,確保員工權(quán)限僅用于經(jīng)授權(quán)的操作。員工離職時(shí)需立即撤銷(xiāo)分發(fā)給他/她的權(quán)限。
6. 存檔數(shù)據(jù)
與上一條相關(guān),無(wú)論出于報(bào)復(fù)還是利益,員工通過(guò)盜取數(shù)據(jù)庫(kù)備份獲得大量個(gè)人資料的事屢見(jiàn)不鮮。
解決辦法:加密存檔數(shù)據(jù),嚴(yán)密監(jiān)視存檔數(shù)據(jù)訪問(wèn)和使用情況,可以大幅減少內(nèi)部人威脅。
常見(jiàn)后果
2016這個(gè)無(wú)比繁忙的數(shù)據(jù)泄露年的全部影響尚未真正顯現(xiàn)。最初的傷害作用在受影響企業(yè)身上,包括公關(guān)災(zāi)難、負(fù)面報(bào)道和用戶及員工信譽(yù)損失。監(jiān)管處罰和集體訴訟的賠款會(huì)在更晚些時(shí)候兌現(xiàn)。最終,企業(yè)會(huì)損失千百萬(wàn)美元的罰金和賠款,還有更巨量的收益損失,所有這一切都源于最常見(jiàn)的數(shù)據(jù)庫(kù)安全漏洞。是時(shí)候把常見(jiàn)轉(zhuǎn)變?yōu)樯僖?jiàn)了,而第一步,就是意識(shí)。
| 
