最危险的数据库威胁以及如何预防它们
已发表: 2022-01-07所有组织都在一定程度上使用数据库,无论是处理简单、低容量的数据集,例如秘书的通讯录,还是用于战略信息分析的大型大数据存储库。
所有这些数据库的共同点是需要保护它们免受所面临的许多风险,主要是信息丢失、更改和被盗。 其他不那么严重但也很危险的风险包括性能下降和违反保密或隐私协议。
用于保护组织网络的安全机制可以抵御对数据库的一些企图攻击。 尽管如此,一些风险是数据库系统 (DBMS) 独有的,需要特定的安全措施、技术和工具。
影响数据库的威胁
以下列出了当今影响数据库的最常见威胁,必须通过强化数据库服务器并在常见安全和审计技术中添加一些程序来缓解这些威胁。
权限管理不足
比我们更愿意承认的是,数据库服务器安装在具有默认安全设置的组织中,并且这些设置永远不会更改。 这会导致数据库暴露给知道默认权限并知道如何利用它们的攻击者。
还有滥用合法权限的情况:用户使用其数据库权限进行未经授权的使用,例如泄露机密信息。
非活动账户的存在也带来了经常被忽视的安全风险,因为恶意个人可能知道这些账户的存在,并利用它们未经授权访问数据库。
数据库注入攻击
数据库注入攻击的主要形式是SQL注入攻击,它攻击使用SQL语言的关系数据库服务器(RDBMS)。 NoSQL 数据库,例如 MongoDB、RavenDB 或 Couchbase,对 SQL 注入攻击免疫,但容易受到 NoSQL 注入攻击。 NoSQL 注入攻击不太常见,但同样危险。
SQL 注入和 NoSQL 注入攻击都通过绕过 Web 应用程序的数据输入控制来将命令传递到数据库引擎以公开其数据和结构。 在极端情况下,成功的注入攻击可以使攻击者不受限制地访问数据库的核心。
可利用的数据库漏洞
企业 IT 部门通常不会定期修补其 DBMS 核心软件。 因此,即使发现了一个漏洞并且供应商发布了一个补丁来消除它,公司也可能需要几个月的时间才能修补他们的系统。 结果是漏洞长时间暴露,可以被网络犯罪分子利用。
DBMS 未打补丁的主要原因包括难以找到关闭服务器和执行维护的时间窗口; 测试补丁的复杂且耗时的要求; 关于谁负责维护 DBMS 的模糊性; 系统管理员的工作量过大,等等。
隐藏数据库服务器的存在
不遵守组织中的软件安装策略(或缺乏此类策略)会导致用户自行决定安装数据库服务器以解决特定需求。 结果是服务器出现在组织的网络上,而安全管理员并不知道。 这些服务器将机密数据暴露给组织或暴露可能被攻击者利用的漏洞。
可访问的备份
尽管数据库服务器受到一层安全保护,但这些数据库的备份可能会被非特权用户访问。 在这种情况下,未经授权的用户可能会复制备份并将其安装在自己的服务器上以提取其中包含的敏感信息。
保护数据库的技术和策略
为了为组织的数据库提供足够的保护,需要一个最佳实践防御矩阵,并结合定期的内部控制。 最佳实践矩阵包括以下项目:
- 管理用户访问权限并消除过度特权和非活动用户。
- 对员工进行风险缓解技术培训,包括识别常见的网络威胁,例如鱼叉式网络钓鱼攻击、互联网和电子邮件使用的最佳实践以及密码管理。
- 评估任何数据库漏洞,识别受损端点并对敏感数据进行分类。
- 实时监控所有数据库访问活动和使用模式,以检测数据泄漏、未经授权的 SQL 和大数据事务以及协议/系统攻击。
- 使用数据库保护和审计平台自动化审计。
- 阻止恶意 Web 请求。
- 归档外部数据、加密数据库和屏蔽数据库字段以隐藏敏感信息。
数据库安全工具
上述技术需要组织的 IT 部门付出大量努力,而且很多时候 IT 人员无法跟上他们所有的任务,因此需要完成以确保数据库安全的任务被搁置。 幸运的是,一些工具使这些任务变得更容易,因此威胁数据库的危险不会影响它们。
Scuba 数据库漏洞扫描器
Scuba 是一款免费且易于使用的工具,可让您了解组织数据库中隐藏的安全风险。 它为 Oracle、Microsoft SQL、Sybase、IBM DB2 和 MySQL 数据库提供了 2,300 多项评估测试,可检测各种漏洞和配置错误。
Scuba 以其清晰简洁的报告揭示了哪些数据库存在风险,以及每个数据库中潜伏着哪些风险。 它还提供了有关如何减轻已识别风险的建议。
可以从任何 Windows、Mac 或 Linux 客户端执行 Scuba 扫描。 使用此工具的典型扫描需要 2 到 3 分钟,具体取决于数据库的大小、用户和组的数量以及网络连接的速度。 除了使操作系统保持最新之外,没有安装先决条件。
尽管 Scuba 是一个免费的独立工具,但 Imperva 将其包含在其特定的数据安全产品系列中,提供云中的数据保护和安全性、数据隐私和用户行为分析。
dbWatch 控制中心
dbWatch 是一个完整的数据库监控和管理解决方案,支持 Microsoft SQL Server、Oracle、PostgreSQL、Sybase、MySQL 和 Azure SQL。 它旨在在大规模本地、混合或云数据库环境中执行主动监控和尽可能多地自动化日常维护。
dbWatch 是高度可定制的,涵盖了从监控到管理、分析和报告的 DBA 工作流程。 该工具的用户强调了其轻松发现服务器(包括虚拟服务器)的能力。 这对于 IT 资产管理和跟踪来说是一个极好的优势,有助于成本确定和风险评估。

虽然提供了强大的功能,但 dbWatch 的学习曲线非常陡峭,因此预计在购买该工具后,安装过程和培训将需要一些时间才能使该工具启动并以 100% 运行。 免费的限时评估版可供下载。
AppDetectivePRO
AppDetectivePRO 是一种数据库和大数据扫描程序,可以立即发现配置错误、识别/访问控制问题、缺少补丁或任何可能导致数据泄漏、未经授权修改信息或拒绝服务 (DoS) 攻击的配置组合。
通过其简单的配置和用户友好的界面,AppDetectivePRO 可以立即发现、评估和报告组织基础设施内任何数据库或大数据存储库的安全性、风险和安全状况——无论是在本地还是在云中——在几分钟的事。
AppDetectivePRO 可用作主机或网络操作系统以及静态或动态应用程序的扫描仪的附加组件。 其选项范围提供 50 多种开箱即用的合规性和配置策略,无需维护用于数据收集的 SQL 脚本。
数据库防御
DbDefence 是驻留在 Microsoft SQL Server 上的数据库的安全工具。 它的特点是易于使用、可访问和有效地加密完整的数据库并保护其模式,完全防止访问数据库,即使对于具有最高权限的用户也是如此。
加密在服务器端工作,允许授权管理员安全地加密和解密数据库,而无需更改访问它们的应用程序。 该工具适用于 2005 年之后的任何 SQL Server 版本。
DbDefence 在 SQL 文件和对象级别工作,这与其他 SQL Server 加密软件不同。 它可以区分哪些对象已被尝试访问,哪些对象已被拒绝或允许访问。
要将 DbDefence 作为解决方案的一部分包含在内,无需为每个客户端应用程序购买许可证。 一个再分发许可证足以将其安装在任意数量的客户端上。
扫描仪
OSScanner 是用 Java 开发的 Oracle 数据库分析和评估工具。 它具有基于插件的架构,目前具有以下功能的插件:
- Sid 枚举
- 密码测试(常用和字典)
- Oracle 版本枚举
- 枚举用户帐户角色、特权和哈希
- 审计信息枚举
- 密码策略枚举
- 枚举数据库链接
结果以图形 Java 树的形式呈现。 它还提供简洁的 XML 报告格式和用于查看报告的内置 XML 查看器。 安装该工具只需要一个 java 运行时环境和 OScanner 安装 (zip) 文件。
OScanner 的操作类似于 Oracle 审计工具的密码猜测功能 (OAT opwg),使用 accounts .default 文件获取默认的用户名/密码对。 它与 Oracle 工具的不同之处在于它还尝试猜测具有相同用户名和密码的帐户。
dbForge 安全管理器
Security Manager 是 dbForge Studio for MySQL 套件的一部分,为它添加了一个用于管理 MySQL 数据库安全性的强大工具。 它具有扩展的功能和实用友好的用户界面,旨在促进日常安全管理任务,例如管理 MySQL 用户帐户和权限。
使用安全管理器可以提高 IT 人员的工作效率。 它还提供其他好处,例如用更简单的 MySQL 用户帐户及其权限的可视化管理替换复杂的命令行操作。 该工具还有助于提高数据库安全性,这要归功于简化的管理程序,最大限度地减少错误并减少管理人员所需的时间。
使用安全管理器窗口的五个选项卡,您只需单击几下即可创建用户帐户,为每个帐户授予全局和对象权限。 创建帐户后,您可以一目了然地查看其设置,以确保您没有犯错。
您可以下载完全免费的 dbForge Studio for MySQL 版本,它提供了基本功能。 然后是标准版、专业版和企业版,价格高达 400 美元左右。
最后的话:真正安全的数据库
组织通常认为他们的数据是安全的,只是因为他们有备份和防火墙。 但是数据库安全的许多其他方面超出了这些安全措施。 在选择数据库服务器时,组织必须考虑上面列出的方面,所有这些都意味着数据库服务器在组织关键数据的战略管理中的重要性。