最危險的數據庫威脅以及如何預防它們

已發表: 2022-01-07

所有組織都在一定程度上使用數據庫,無論是處理簡單、低容量的數據集,例如秘書的通訊錄,還是用於戰略信息分析的大型大數據存儲庫。

所有這些數據庫的共同點是需要保護它們免受所面臨的許多風險,主要是信息丟失、更改和被盜。 其他不那麼嚴重但也很危險的風險包括性能下降和違反保密或隱私協議。

用於保護組織網絡的安全機制可以抵禦對數據庫的一些企圖攻擊。 儘管如此,一些風險是數據庫系統 (DBMS) 獨有的,需要特定的安全措施、技術和工具。

影響數據庫的威脅

以下列出了當今影響數據庫的最常見威脅,必須通過強化數據庫服務器並在常見安全和審計技術中添加一些程序來緩解這些威脅。

權限管理不足

比我們更願意承認的是,數據庫服務器安裝在具有默認安全設置的組織中,並且這些設置永遠不會更改。 這會導致數據庫暴露給知道默認權限並知道如何利用它們的攻擊者。

還有濫用合法權限的情況:用戶使用其數據庫權限進行未經授權的使用,例如洩露機密信息。

非活動賬戶的存在也帶來了經常被忽視的安全風險,因為惡意個人可能知道這些賬戶的存在,並利用它們未經授權訪問數據庫。

數據庫注入攻擊

數據庫注入攻擊的主要形式是SQL注入攻擊,它攻擊使用SQL語言的關係數據庫服務器(RDBMS)。 NoSQL 數據庫,例如 MongoDB、RavenDB 或 Couchbase,對 SQL 注入攻擊免疫,但容易受到 NoSQL 注入攻擊。 NoSQL 注入攻擊不太常見,但同樣危險。

SQL 注入和 NoSQL 注入攻擊都通過繞過 Web 應用程序的數據輸入控制來將命令傳遞到數據庫引擎以公開其數據和結構。 在極端情況下,成功的注入攻擊可以使攻擊者不受限制地訪問數據庫的核心。

可利用的數據庫漏洞

企業 IT 部門通常不會定期修補其 DBMS 核心軟件。 因此,即使發現了一個漏洞並且供應商發布了一個補丁來消除它,公司也可能需要幾個月的時間才能修補他們的系統。 結果是漏洞長時間暴露,可以被網絡犯罪分子利用。

DBMS 未打補丁的主要原因包括難以找到關閉服務器和執行維護的時間窗口; 測試補丁的複雜且耗時的要求; 關於誰負責維護 DBMS 的模糊性; 系統管理員的工作量過大,等等。

隱藏數據庫服務器的存在

不遵守組織中的軟件安裝策略(或缺乏此類策略)會導致用戶自行決定安裝數據庫服務器以解決特定需求。 結果是服務器出現在組織的網絡上,而安全管理員並不知道。 這些服務器將機密數據暴露給組織或暴露可能被攻擊者利用的漏洞。

可訪問的備份

儘管數據庫服務器受到一層安全保護,但這些數據庫的備份可能會被非特權用戶訪問。 在這種情況下,未經授權的用戶可能會復製備份並將其安裝在自己的服務器上以提取其中包含的敏感信息。

保護數據庫的技術和策略

為了為組織的數據庫提供足夠的保護,需要一個最佳實踐防禦矩陣,並結合定期的內部控制。 最佳實踐矩陣包括以下項目:

  • 管理用戶訪問權限並消除過度特權和非活動用戶。
  • 對員工進行風險緩解技術培訓,包括識別常見的網絡威脅,例如魚叉式網絡釣魚攻擊、互聯網和電子郵件使用的最佳實踐以及密碼管理。
  • 評估任何數據庫漏洞,識別受損端點並對敏感數據進行分類。
  • 實時監控所有數據庫訪問活動和使用模式,以檢測數據洩漏、未經授權的 SQL 和大數據事務以及協議/系統攻擊。
  • 使用數據庫保護和審計平台自動化審計。
  • 阻止惡意 Web 請求。
  • 歸檔外部數據、加密數據庫和屏蔽數據庫字段以隱藏敏感信息。

數據庫安全工具

上述技術需要組織的 IT 部門付出大量努力,而且很多時候 IT 人員無法跟上他們所有的任務,因此需要完成以確保數據庫安全的任務被擱置。 幸運的是,一些工具使這些任務變得更容易,因此威脅數據庫的危險不會影響它們。

Scuba 數據庫漏洞掃描器

Scuba 是一款免費且易於使用的工具,可讓您了解組織數據庫中隱藏的安全風險。 它為 Oracle、Microsoft SQL、Sybase、IBM DB2 和 MySQL 數據庫提供了 2,300 多項評估測試,可檢測各種漏洞和配置錯誤。

Scuba 以其清晰簡潔的報告揭示了哪些數據庫存在風險,以及每個數據庫中潛伏著哪些風險。 它還提供了有關如何減輕已識別風險的建議。

可以從任何 Windows、Mac 或 Linux 客戶端執行 Scuba 掃描。 使用此工具的典型掃描需要 2 到 3 分鐘,具體取決於數據庫的大小、用戶和組的數量以及網絡連接的速度。 除了使操作系統保持最新之外,沒有安裝先決條件。

儘管 Scuba 是一個免費的獨立工具,但 Imperva 將其包含在其特定的數據安全產品系列中,提供雲中的數據保護和安全性、數據隱私和用戶行為分析。

dbWatch 控制中心

dbWatch 是一個完整的數據庫監控和管理解決方案,支持 Microsoft SQL Server、Oracle、PostgreSQL、Sybase、MySQL 和 Azure SQL。 它旨在在大規模本地、混合或云數據庫環境中執行主動監控和盡可能多地自動化日常維護。

dbWatch 是高度可定制的,涵蓋了從監控到管理、分析和報告的 DBA 工作流程。 該工具的用戶強調了其輕鬆發現服務器(包括虛擬服務器)的能力。 這對於 IT 資產管理和跟踪來說是一個極好的優勢,有助於成本確定和風險評估。

雖然提供了強大的功能,但 dbWatch 的學習曲線非常陡峭,因此預計在購買該工具後,安裝過程和培訓將需要一些時間才能使該工具啟動並以 100% 運行。 免費的限時評估版可供下載。

AppDetectivePRO

AppDetectivePRO 是一種數據庫和大數據掃描程序,可以立即發現配置錯誤、識別/訪問控制問題、缺少補丁或任何可能導致數據洩漏、未經授權修改信息或拒絕服務 (DoS) 攻擊的配置組合。

通過其簡單的配置和用戶友好的界面,AppDetectivePRO 可以立即發現、評估和報告組織基礎設施內任何數據庫或大數據存儲庫的安全性、風險和安全狀況——無論是在本地還是在雲中——在幾分鐘的事。

AppDetectivePRO 可用作主機或網絡操作系統以及靜態或動態應用程序的掃描儀的附加組件。 其選項範圍提供 50 多種開箱即用的合規性和配置策略,無需維護用於數據收集的 SQL 腳本。

數據庫防禦

DbDefence 是駐留在 Microsoft SQL Server 上的數據庫的安全工具。 它的特點是易於使用、可訪問和有效地加密完整的數據庫並保護其模式,完全防止訪問數據庫,即使對於具有最高權限的用戶也是如此。

加密在服務器端工作,允許授權管理員安全地加密和解密數據庫,而無需更改訪問它們的應用程序。 該工具適用於 2005 年之後的任何 SQL Server 版本。

DbDefence 在 SQL 文件和對象級別工作,這與其他 SQL Server 加密軟件不同。 它可以區分哪些對像已被嘗試訪問,哪些對像已被拒絕或允許訪問。

要將 DbDefence 作為解決方案的一部分包含在內,無需為每個客戶端應用程序購買許可證。 一個再分發許可證足以將其安裝在任意數量的客戶端上。

掃描儀

OSScanner 是用 Java 開發的 Oracle 數據庫分析和評估工具。 它具有基於插件的架構,目前具有以下功能的插件:

  • Sid 枚舉
  • 密碼測試(常用和字典)
  • Oracle 版本枚舉
  • 枚舉用戶帳戶角色、特權和哈希
  • 審計信息枚舉
  • 密碼策略枚舉
  • 枚舉數據庫鏈接

結果以圖形 Java 樹的形式呈現。 它還提供簡潔的 XML 報告格式和用於查看報告的內置 XML 查看器。 安裝該工具只需要一個 java 運行時環境和 OScanner 安裝 (zip) 文件。

OScanner 的操作類似於 Oracle 審計工具的密碼猜測功能 (OAT opwg),使用 accounts .default 文件獲取默認的用戶名/密碼對。 它與 Oracle 工具的不同之處在於它還嘗試猜測具有相同用戶名和密碼的帳戶。

dbForge 安全管理器

Security Manager 是 dbForge Studio for MySQL 套件的一部分,為它添加了一個用於管理 MySQL 數據庫安全性的強大工具。 它具有擴展的功能和實用友好的用戶界面,旨在促進日常安全管理任務,例如管理 MySQL 用戶帳戶和權限。

使用安全管理器可以提高 IT 人員的工作效率。 它還提供其他好處,例如用更簡單的 MySQL 用戶帳戶及其權限的可視化管理替換複雜的命令行操作。 該工具還有助於提高數據庫安全性,這要歸功於簡化的管理程序,最大限度地減少錯誤並減少管理人員所需的時間。

使用安全管理器窗口的五個選項卡,您只需單擊幾下即可創建用戶帳戶,為每個帳戶授予全局和對象權限。 創建帳戶後,您可以一目了然地查看其設置,以確保您沒有犯錯。

您可以下載完全免費的 dbForge Studio for MySQL 版本,它提供了基本功能。 然後是標準版、專業版和企業版,價格高達 400 美元左右。

最後的話:真正安全的數據庫

組織通常認為他們的數據是安全的,只是因為他們有備份和防火牆。 但是數據庫安全的許多其他方面超出了這些安全措施。 在選擇數據庫服務器時,組織必須考慮上面列出的方面,所有這些都意味著數據庫服務器在組織關鍵數據的戰略管理中的重要性。