10個常見的資料庫安全問題

tianxiaoxu發表於2018-07-31

資料庫因包含有各種有價值的敏感資訊,例如金融或智慧財產權資訊、公司資料、個人使用者資料等等,一直是黑客攻擊的目標,黑客企圖通過破壞伺服器、資料庫來獲利,因此,資料庫安全測試是必不可少的。

黑客攻擊公司的事件比比皆是,過去的幾年中,Equifax,Facebook,雅虎,蘋果,Gmail,Slack和eBay都曾發生過資料洩露事。而這種情況也引發了企業對網路安全軟體和web應用程式測試的需求,通過採用這些措施,黑客將被拒絕訪問線上資料庫中的可用記錄和文件。另外,嚴格遵守GDPR有助於加強使用者資料保護。

那麼資料庫驅動系統中常見的漏洞有哪些呢?我們總結了常見的十大漏洞以及消除這些漏洞的技巧。

部署前無安全測試

資料庫被攻擊最常見的原因之一就是在開發過程中部署階段的疏忽。雖然為了確保高效能,企業可能進行了功能測試,但是這種型別的測試無法顯示資料庫是否正在執行不應該執行的操作。因此,在完全部署之前,使用不同型別的測試來測試網站安全性是非常重要的。

糟糕的加密與資料洩露密不可分

很多人都會把資料庫視為後端部分,因此更多的是在關注Internet傳播的威脅,但其實他們都忽略了資料庫也是有網路介面的,如果軟體安全性很差,黑客同樣可以輕鬆跟蹤這些介面。為了避免這種情況,使用TLS或SSL加密通訊平臺很重要。

虛弱的網路安全軟體=破碎的資料庫

Equifax資料洩露事件,公司承認有1.47億消費者的資料受到損害,造成的後果非常嚴重。這個案例證明了網路安全軟體對於保護資料庫的重要性。不過,大多數企業因為缺乏資源或時間原因不願意進行使用者資料安全測試,甚至也不為系統提供定期補丁,因此容易導致資料洩露。

資料庫被盜

資料庫一般有兩種威脅:外部威脅和內部威脅。在某些情況下,內部威脅的嚴重程度甚至會超過外部威脅,因為無論企業使用什麼樣的安全軟體都無法保證員工的忠誠度,任何有權訪問敏感資料的人都有機會竊取它並將其出售給第三方組織以獲取利潤。但是,有一種方法可以消除風險:加密資料庫檔案,實施嚴格的安全標準,在違規情況下罰款,使用網路安全軟體,並通過公司會議和個人諮詢不斷提高團隊的意識。

功能中的缺陷成為了資料庫安全問題

黑客可以利用資料庫的功能缺陷進行攻擊,通過破解合法憑據並強制系統執行任意程式碼。雖然這聽起來有點複雜,但這是基於功能固有的缺陷,所以可以通過安全測試保護資料庫免受第三方訪問。此外,其功能結構越簡單,確保對每個資料庫功能進行良好保護的機會就越多。

弱而複雜的資料庫基礎架構

黑客通常不會一次控制整個資料庫,他們會利用基礎設施中存在的特殊弱點並將其用於自己的優勢。安全軟體無法完全保護系統免受此類操作。即使想要避免功能缺陷,就不要讓整個資料庫基礎結構過於複雜。當它很複雜時,你有可能忘記或忽視檢查和修復它的弱點。因此,重要的是每個部門保持相同的控制量並隔離系統以分散重點並降低可能的風險。

無限的管理訪問=糟糕的資料保護

管理員和使用者之間應該有明確的分工,確保團隊是有限制性的訪問,這樣如果有使用者試圖竊取任何資料,那麼也會因未參與資料庫管理的過程而遇到更多困難。如果還可以限制使用者帳戶的數量,那就更好了,因為黑客也會在獲得對資料庫的控制權方面遇到更多問題。這種情況通常會發生在金融行業,他們不僅要關心誰有權訪問敏感資料,還要在釋出之前執行銀行軟體測試。

測試網站安全性以避免SQL隱碼攻擊

因為注入攻擊應用程式,資料庫管理員被迫清除插入到字串中的惡意程式碼和變數。Web應用程式安全測試和防火牆實施是保護面向Web資料庫的最佳選擇。不過,這對於線上業務來說是一個大問題,但對於移動業務來說卻不是挑戰,而對於只有移動版本的應用程式來說這是一個很大的優勢。

金鑰管理不足

對敏感資料進行加密是很重要的,但同樣重要的是要注意誰可以訪問金鑰。由於金鑰通常儲存在硬碟上,因此對於想要竊取的人來說,這顯然是一個容易攻擊的目標。

資料庫中的不規範

導致資料庫漏洞的原因多種多樣,因為需要測試網站安全性並定期進行資料保護。如果發現有任何差異,一定要儘快修復。而企業開發人員應該要了解可能會影響資料庫的任何威脅。

雖然企業可能已經意識到要進行安全測試,但是仍有很多企業都無法實施,因為致命錯誤通常會出現在開發階段,或者是應用程式整合期間、修補和更新資料庫期間。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31137683/viewspace-2168805/,如需轉載,請註明出處,否則將追究法律責任。

相關文章