[[424904]]

【51CTO.com快譯】鉆安全漏洞的空子是網(wǎng)絡(luò)犯罪分子用來攻擊組織的主要手法之一。遺憾的是，操作系統(tǒng)、應(yīng)用程序、硬件設(shè)備以及數(shù)據(jù)庫都存在漏洞。針對數(shù)據(jù)庫的攻擊很容易泄露敏感和機(jī)密的用戶及客戶數(shù)據(jù)。網(wǎng)絡(luò)安全公司Imperva研究實(shí)驗(yàn)室周二發(fā)布的一份報(bào)告分析了數(shù)據(jù)庫易受攻擊的原因，并就如何更有效地保護(hù)您的數(shù)據(jù)避免落入壞人之手提供了建議。

從分析全球27000個(gè)本地?cái)?shù)據(jù)庫的結(jié)果來看，Imperva發(fā)現(xiàn)每兩個(gè)數(shù)據(jù)庫中有一個(gè)至少存在一個(gè)漏洞。這方面的一個(gè)不足是，組織通常專注于邊界和端點(diǎn)安全，想當(dāng)然地以為其數(shù)據(jù)庫和數(shù)據(jù)會(huì)受到保護(hù)。據(jù)Imperva聲稱，但這種方法不管用。

組織并不盡可能頻繁地定期修補(bǔ)和更新數(shù)據(jù)庫。Imperva在分析數(shù)據(jù)庫時(shí)表示，它發(fā)現(xiàn)了一些漏洞有三年多未打上補(bǔ)丁。大多數(shù)數(shù)據(jù)庫中發(fā)現(xiàn)的大量常見漏洞和暴露(CVE)為黑客提供了一個(gè)誘人且容易下手的目標(biāo)。犯罪分子只要使用ExploitDB之類的合法搜索工具，就可以發(fā)現(xiàn)和利用許多漏洞。

有這么多漏洞需要修補(bǔ)，嚴(yán)重的漏洞常常被忽略。據(jù)美國國家標(biāo)準(zhǔn)與技術(shù)研究所的指導(dǎo)方針，數(shù)據(jù)庫中超過一半的安全漏洞被列為高危漏洞。這些類型的漏洞讓黑客得以竊取或破壞數(shù)據(jù)，并控制網(wǎng)絡(luò)。

Lookout的安全解決方案高級經(jīng)理Hank Schless說：“這份報(bào)告指出了本地環(huán)境最醒目的挑戰(zhàn)之一，即為易受攻擊的數(shù)據(jù)庫及其他基礎(chǔ)設(shè)施打上安全補(bǔ)丁。”

Schless補(bǔ)充道：“組織需要依賴管理員來下載和安裝這些可用的補(bǔ)丁。雖然管理員可能在這方面盡心盡力，但他們幾乎不可避免地會(huì)錯(cuò)過一些資源。在這種情況下，一個(gè)易受攻擊的數(shù)據(jù)庫就與100個(gè)易受攻擊的數(shù)據(jù)庫一樣糟糕。此外，本地服務(wù)可能不再受到支持。除了少數(shù)例外，這意味著如果在不再受到支持后發(fā)現(xiàn)了另外的漏洞，它們將不會(huì)收到補(bǔ)丁。”

為了保護(hù)組織的數(shù)據(jù)庫和數(shù)據(jù)免受安全漏洞的攻擊，Imperva給出了三條建議。

1. 清點(diǎn)數(shù)據(jù)庫。除非您知道數(shù)據(jù)所在的位置，否則保護(hù)數(shù)據(jù)無從談起。這意味著您需要查找和清點(diǎn)組織中的每個(gè)數(shù)據(jù)庫，包括可能在您的安全范圍之外建立的非授權(quán)數(shù)據(jù)庫。執(zhí)行這種清點(diǎn)工作還需要部署工具，以查找數(shù)據(jù)庫的異?；顒?dòng)，并結(jié)合防止安全漏洞被利用的方法。

2. 優(yōu)先為高危漏洞和關(guān)鍵數(shù)據(jù)打補(bǔ)丁。理想情況下，您的IT和安全人員有時(shí)間給第一時(shí)間發(fā)現(xiàn)的每個(gè)安全漏洞打補(bǔ)丁。然而在實(shí)際情形下，由于人手和時(shí)間有限，這可能行不通。相反，關(guān)鍵在于不僅關(guān)注最嚴(yán)重的漏洞，還關(guān)注最關(guān)鍵或最敏感的數(shù)據(jù)，從而確定打補(bǔ)丁的優(yōu)先級。為此，您需要使用工具來識別哪些數(shù)據(jù)庫含有最機(jī)密的客戶或用戶信息，比如信用卡號或護(hù)照資料。

3. 提防數(shù)字化轉(zhuǎn)型的風(fēng)險(xiǎn)。許多組織在推進(jìn)數(shù)字化轉(zhuǎn)型項(xiàng)目，以便將數(shù)據(jù)遷移到云端。然而，暫且不說保護(hù)傳輸?shù)皆贫说臄?shù)據(jù)這個(gè)額外挑戰(zhàn)，管理本地安全本身就夠困難的了。遷移數(shù)據(jù)時(shí)，您要有清晰一致的策略來保護(hù)數(shù)據(jù)，無論數(shù)據(jù)在本地、云端還是在這兩個(gè)環(huán)境都有。

據(jù)ThycoticCentrify的首席安全科學(xué)家Joseph Carson聲稱，除了修補(bǔ)高危漏洞外，組織還需要實(shí)施其他措施，比如多因子身份驗(yàn)證。

Carson說：“數(shù)據(jù)庫可能含有敏感信息，比如員工數(shù)據(jù)、個(gè)人身份信息、健康數(shù)據(jù)、財(cái)務(wù)資料和知識產(chǎn)權(quán)等等，因此組織全面保護(hù)最高優(yōu)先級的數(shù)據(jù)庫至關(guān)重要。給系統(tǒng)打補(bǔ)丁很重要，但使用特權(quán)訪問安全以及詳細(xì)的審計(jì)和多因子身份驗(yàn)證實(shí)施強(qiáng)大的訪問控制也很重要。”

原文標(biāo)題：How to protect your on-premises databases from security vulnerabilities，作者：Lance Whitney

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】