DLP攻略：五個危險的資料庫預設設定

　　這些預設的配置很容易被訊息靈通的資料竊賊獲取。當攻擊者訪問到登入螢幕時，他們首先會嘗試使用預設賬戶登入資訊。當他們發現儲存在資料庫的金鑰時，他們會如獲至寶。

　　GreenSQL公司技術長兼創始人David Maman表示，“唯一可以使用預設配置的是你的TIVO或者電視，IT世界的任何位置都最好不好使用預設配置，尤其是資料庫。資料庫硬化是至關重要的。”

　　成也資料庫，敗也資料庫，資料庫配置如果設定得當，將可以保護資料儲存，反之，將讓資料面臨資料洩露的風險。安全專家建議企業仔細檢查所有的資料庫預設設定，以下幾個預設設定將構成最大風險：

　　1. 預設的密碼和帳戶

　　Accuvant實驗室首席安全架構師David Litchfield表示：“不安全的密碼絕對是最致命的資料庫伺服器配置問題。”

　　我們看到各種圍繞身份驗證和賬戶憑證的配置問題，但到目前為止，最危險和最普遍的是允許預設管理使用者名稱和密碼繼續使用。

　　eIQnetworks公司首席安全和合規官John Linkous表示，“攻擊者和惡意軟體會故意針對已知的登入資訊，更改共同賬戶名稱或者其他管理預設賬戶，併為這些賬戶使用複雜的密碼，將為資料庫增加一個安全層。”

　　此外，允許匿名登入的預設配置是另一個危險的許可權設定。

　　“攻擊者經常使用分析工具來查詢允許匿名登入的資料庫，然後確定資料庫和其他資訊，”ExtraHop Networks公司高階技術培訓師Cal Jewell表示，“然後他們使用這些資訊來發動攻擊，以幫助他們獲得更多的訪問許可權。”

　　同樣地，共享服務賬戶可能會帶來很大風險，因為它們難以被監控，並且經常在資料庫內提供相當大的許可權。

　　2. 允許直接表訪問

　　Infusions Brands公司電子商務副總裁Ron Rule表示，讓企業陷入困境的頭號資料庫配置問題是允許直接表訪問。

　　Rule表示，讓你的應用程式可以自己生成SELECT/UPDATE/INSERT/DELETE語句，並直接訪問表時，你的資料很容易被洩露。

　　在這種情況下，最佳保護措施之一就是在開發過程中通過儲存過程建立一個訪問緩衝區。

　　他表示：“讓你的應用程式只能執行這些儲存過程，然後授予使用者許可權來訪問這些儲存過程，而拒絕直接對錶的訪問。”

　　3.保留預設儲存過程

　　然而，儲存過程並不一定是一件好事。在很多情況下，執行常見任務(例如新增使用者)的出廠儲存過程其實一個很大的漏洞。

　　如果落入壞人的手中，一些出廠儲存過程將被濫用。他表示，“微軟SQL伺服器的‘xp_cmdshell’就是一個這樣的例子：一個允許任意命令列的SP將被執行，即使該命令在SQL伺服器範圍外執行。”

　　他建議企業密切關注預設儲存過程，要麼完全禁止它們，要麼刪除它們。

　　4.加密金鑰儲存在資料中心

　　Vormetric公司產品營銷高階總監Todd Thiemann表示，如果執行得當，資料庫加密可以增加有效的安全保護層。但糟糕的配置將讓資料庫供應商提供的透明資料加密(TDE)失效。

　　“將TDE金鑰儲存到資料庫的預設方法就像是將鑰匙放在門把手上，或者將密碼寫在顯示器上的便條上，”他表示，“企業應該將加密金鑰儲存在不託管該資料庫的伺服器上。”

　　5. 不必要的服務和應用程式

　　資料庫具有各種支援服務、應用程式和其他元件，以便為儘可能多的用例提供廣泛的功能集。但資料庫的每個增加的元件都增加了潛在攻擊者可以利用的攻擊面。

　　“大多數資料庫產品提供‘附加’元件，例如報告或分析工具，”Linkous表示，“這些元件可能對整個資料庫系統帶來更多的漏洞，企業應該對不必要的元件進行禁用或者解除安裝。”

　　讓事情更糟糕的是，現在很多資料庫都沒有即時修復漏洞。不過，企業通常只需要一小部分功能集就能夠支援任何一個資料庫安裝，這可以幫助降低很大風險。

　　“在我們的安全部署中，我們經常看到在資料庫伺服器剛剛構建時，會安裝儘可能多的元件，以備不時之需，”他表示，“企業只需要有一點點遠期規劃意識，就可以避免很多元件。應用程式開發人員應該明確他們具體需要哪些元件，避免不需要的元件。”