數(shù)據(jù)庫(kù)的出廠設(shè)置和薄弱的配置讓攻擊者更容易攻入數(shù)據(jù)存儲(chǔ)，讓IT更難以快速檢測(cè)數(shù)據(jù)泄露。盡管企業(yè)花了很多錢(qián)在IT基礎(chǔ)設(shè)施的各個(gè)層次部署數(shù)據(jù)防御措施，但最終這些努力可能在配置不當(dāng)?shù)臄?shù)據(jù)庫(kù)中毀于一旦。無(wú)論是因?yàn)榉奖愎芾韱T還是數(shù)據(jù)庫(kù)管理員缺乏安全意識(shí)，企業(yè)內(nèi)經(jīng)?？梢钥吹綌?shù)據(jù)庫(kù)仍然采用出廠設(shè)置。

這些默認(rèn)的配置很容易被消息靈通的數(shù)據(jù)竊賊獲取。當(dāng)攻擊者訪問(wèn)到登錄屏幕時(shí)，他們首先會(huì)嘗試使用默認(rèn)賬戶登錄信息。當(dāng)他們發(fā)現(xiàn)存儲(chǔ)在數(shù)據(jù)庫(kù)的密鑰時(shí)，他們會(huì)如獲至寶。

GreenSQL公司首席技術(shù)官兼創(chuàng)始人David Maman表示，“唯一可以使用默認(rèn)配置的是你的TIVO或者電視，IT世界的任何位置都最好不好使用默認(rèn)配置，尤其是數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)硬化是至關(guān)重要的。”

成也數(shù)據(jù)庫(kù)，敗也數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)配置如果設(shè)置得當(dāng)，將可以保護(hù)數(shù)據(jù)存儲(chǔ)，反之，將讓數(shù)據(jù)面臨數(shù)據(jù)泄露的風(fēng)險(xiǎn)。安全專(zhuān)家建議企業(yè)仔細(xì)檢查所有的數(shù)據(jù)庫(kù)默認(rèn)設(shè)置，以下幾個(gè)默認(rèn)設(shè)置將構(gòu)成最大風(fēng)險(xiǎn)：

1. 默認(rèn)的密碼和帳戶

Accuvant實(shí)驗(yàn)室首席安全架構(gòu)師David Litchfield表示：“不安全的密碼絕對(duì)是最致命的數(shù)據(jù)庫(kù)服務(wù)器配置問(wèn)題。”

我們看到各種圍繞身份驗(yàn)證和賬戶憑證的配置問(wèn)題，但到目前為止，最危險(xiǎn)和最普遍的是允許默認(rèn)管理用戶名和密碼繼續(xù)使用。

eIQnetworks公司首席安全和合規(guī)官John Linkous表示，“攻擊者和惡意軟件會(huì)故意針對(duì)已知的登錄信息，更改共同賬戶名稱(chēng)或者其他管理默認(rèn)賬戶，并為這些賬戶使用復(fù)雜的密碼，將為數(shù)據(jù)庫(kù)增加一個(gè)安全層。”

此外，允許匿名登錄的默認(rèn)配置是另一個(gè)危險(xiǎn)的權(quán)限設(shè)置。

“攻擊者經(jīng)常使用分析工具來(lái)查找允許匿名登錄的數(shù)據(jù)庫(kù)，然后確定數(shù)據(jù)庫(kù)和其他信息，”ExtraHop Networks公司高級(jí)技術(shù)培訓(xùn)師Cal Jewell表示，“然后他們使用這些信息來(lái)發(fā)動(dòng)攻擊，以幫助他們獲得更多的訪問(wèn)權(quán)限。”

同樣地，共享服務(wù)賬戶可能會(huì)帶來(lái)很大風(fēng)險(xiǎn)，因?yàn)樗鼈冸y以被監(jiān)控，并且經(jīng)常在數(shù)據(jù)庫(kù)內(nèi)提供相當(dāng)大的權(quán)限。

2. 允許直接表訪問(wèn)

Infusions Brands公司電子商務(wù)副總裁Ron Rule表示，讓企業(yè)陷入困境的頭號(hào)數(shù)據(jù)庫(kù)配置問(wèn)題是允許直接表訪問(wèn)。

Rule表示，讓你的應(yīng)用程序可以自己生成SELECT/UPDATE/INSERT/DELETE語(yǔ)句，并直接訪問(wèn)表時(shí)，你的數(shù)據(jù)很容易被泄露。

在這種情況下，最佳保護(hù)措施之一就是在開(kāi)發(fā)過(guò)程中通過(guò)存儲(chǔ)過(guò)程創(chuàng)建一個(gè)訪問(wèn)緩沖區(qū)。

他表示：“讓你的應(yīng)用程序只能執(zhí)行這些存儲(chǔ)過(guò)程，然后授予用戶權(quán)限來(lái)訪問(wèn)這些存儲(chǔ)過(guò)程，而拒絕直接對(duì)表的訪問(wèn)。”

3.保留默認(rèn)存儲(chǔ)過(guò)程

然而，存儲(chǔ)過(guò)程并不一定是一件好事。在很多情況下，執(zhí)行常見(jiàn)任務(wù)(例如添加用戶)的出廠存儲(chǔ)過(guò)程其實(shí)一個(gè)很大的漏洞。

如果落入壞人的手中，一些出廠存儲(chǔ)過(guò)程將被濫用。他表示，“微軟SQL服務(wù)器的‘xp_cmdshell’就是一個(gè)這樣的例子：一個(gè)允許任意命令行的SP將被執(zhí)行，即使該命令在SQL服務(wù)器范圍外運(yùn)行。”

他建議企業(yè)密切關(guān)注默認(rèn)存儲(chǔ)過(guò)程，要么完全禁止它們，要么刪除它們。

4.加密密鑰存儲(chǔ)在數(shù)據(jù)中心

Vormetric公司產(chǎn)品營(yíng)銷(xiāo)高級(jí)總監(jiān)Todd Thiemann表示，如果執(zhí)行得當(dāng)，數(shù)據(jù)庫(kù)加密可以增加有效的安全保護(hù)層。但糟糕的配置將讓數(shù)據(jù)庫(kù)供應(yīng)商提供的透明數(shù)據(jù)加密(TDE)失效。

“將TDE密鑰存儲(chǔ)到數(shù)據(jù)庫(kù)的默認(rèn)方法就像是將鑰匙放在門(mén)把手上，或者將密碼寫(xiě)在顯示器上的便條上，”他表示，“企業(yè)應(yīng)該將加密密鑰存儲(chǔ)在不托管該數(shù)據(jù)庫(kù)的服務(wù)器上。”

5. 不必要的服務(wù)和應(yīng)用程序

數(shù)據(jù)庫(kù)具有各種支持服務(wù)、應(yīng)用程序和其他組件，以便為盡可能多的用例提供廣泛的功能集。但數(shù)據(jù)庫(kù)的每個(gè)增加的組件都增加了潛在攻擊者可以利用的攻擊面。

“大多數(shù)數(shù)據(jù)庫(kù)產(chǎn)品提供‘附加’組件，例如報(bào)告或分析工具，”Linkous表示，“這些組件可能對(duì)整個(gè)數(shù)據(jù)庫(kù)系統(tǒng)帶來(lái)更多的漏洞，企業(yè)應(yīng)該對(duì)不必要的組件進(jìn)行禁用或者卸載。”

讓事情更糟糕的是，現(xiàn)在很多數(shù)據(jù)庫(kù)都沒(méi)有即時(shí)修復(fù)漏洞。不過(guò)，企業(yè)通常只需要一小部分功能集就能夠支持任何一個(gè)數(shù)據(jù)庫(kù)安裝，這可以幫助降低很大風(fēng)險(xiǎn)。

“在我們的安全部署中，我們經(jīng)?？吹皆跀?shù)據(jù)庫(kù)服務(wù)器剛剛構(gòu)建時(shí)，會(huì)安裝盡可能多的組件，以備不時(shí)之需，”他表示，“企業(yè)只需要有一點(diǎn)點(diǎn)遠(yuǎn)期規(guī)劃意識(shí)，就可以避免很多組件。應(yīng)用程序開(kāi)發(fā)人員應(yīng)該明確他們具體需要哪些組件，避免不需要的組件。”