数据库的安全风险一直是业界关注的重点。2012年,企业面临的数据库风险将有增无减。在《2012年需关注的六大数据库风险(上)》中,我们介绍了三种企业应考虑的三种风险,接下来介绍剩下三种。 四、错误配置 黑客可以使用数据库的错误配置控制“肉机”访问点,借以绕过认证方法并访问敏感信息。
这种配置缺陷成为攻击者借助特权提升发动某些攻击的主要手段。如果没有正确的重新设置数据库的默认配置,非特权用户就有可能访问未加密的文件,未打补丁的漏洞就有可能导致非授权用户访问敏感数据。 1、修复默认的、空白的、弱口令。确保所有的数据库都拥有复杂的口令,并清除空白的、默认的及弱口令。
要保证每一个实例都使用独……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
数据库的安全风险一直是业界关注的重点。2012年,企业面临的数据库风险将有增无减。在《2012年需关注的六大数据库风险(上)》中,我们介绍了三种企业应考虑的三种风险,接下来介绍剩下三种。
四、错误配置
黑客可以使用数据库的错误配置控制“肉机”访问点,借以绕过认证方法并访问敏感信息。这种配置缺陷成为攻击者借助特权提升发动某些攻击的主要手段。如果没有正确的重新设置数据库的默认配置,非特权用户就有可能访问未加密的文件,未打补丁的漏洞就有可能导致非授权用户访问敏感数据。
1、修复默认的、空白的、弱口令。确保所有的数据库都拥有复杂的口令,并清除空白的、默认的及弱口令。要保证每一个实例都使用独立的口令,要强化企业当前正在使用的口令策略,并将其扩展到所有的网络登录中。如果数据库支持,可以考虑使用网络认证,如活动目录,而不使用用户名和口令认证。
2、加密静态和动态的敏感数据。不要把敏感数据以明文形式存放到数据库中的表中。通过修复数据库漏洞,并密切监视对敏感数据存储的访问,数据库专业人员可以发现并阻止攻击。防御SQL注入攻击要求一种多层的方法,保护措施必须与端到端的检查结合起来,这意味着无论是Web应用程序还是数据库的基础架构都要纳入到解决方案中。
五、未打补丁的漏洞
如今攻击已经从公开的漏洞利用发展到更精细的方法,并敢于挑战传统的入侵检测机制。漏洞利用的脚本在数据库补丁发布的几小时内就可以被发到网上。当即就可以使用的漏洞利用代码,再加上几十天的补丁周期(在多数企业中如此),实质上几乎把数据库的大门完全打开了。
使用专业工具发现并修复这些漏洞,然后再结合监视没有打补丁的漏洞可以保护企业免受这种风险。
六、高级持续性威胁
之所以称其为高级持续性威胁,是因为实施这种威胁的是有组织的专业公司或政府机构,它们掌握了威胁数据库安全的大量技术和技巧,而且是“咬定青山不放松”“立根原在‘金钱(有资金支持)’中”,“千磨万击还坚劲,任尔东西南北风”。这是一种正甚嚣尘上的风险:热衷于窃取数据的公司甚至外国政府专门窃取存储在数据库中的大量关键数据,不再满足于获得一些简单的数据。特别是一些个人的私密及金融信息,一旦失窃,这些数据记录就可以在信息黑市上销售或使用,并被其它政府机构操纵。鉴于数据库攻击涉及到成千上万甚至上百万的记录,所以其日益增长和普遍。通过锁定数据库漏洞并密切监视对关键数据存储的访问,数据库的专家们可以及时发现并阻止这些攻击。
小结:将安全作为一个过程
不少企业的安全解决方案是作为应对已知风险的一系列技术而部署的,而不是作为一种保障企业安全的综合方法和过程。安全并不是购买并部署了安全产品那么简单,它是一个需要持续关注的过程。例如,在企业部署了Web应用程序防火墙后,还应当经常检查其有效性和可用性,随着业务的开展而对其进行调整。再比如,在购买了某软件后,你还得关注它有没有漏洞,开发商什么时候提供补丁下载和安装。
此外,企业如果不把对雇员的教育放在首位,任何安全措施都会成为空谈。所以,构建一种能够随着企业的增长和变化而演变的系统化的动态过程,才能更有效地保障当今的动态环境。
相关推荐
-
不安全的Firebase数据库使关键数据面临风险
当开发人员无法对支持其移动应用程序的数据库或云实例执行身份验证时,这里会发生一种最简单且最具破坏性的安全事件。 […]
-
Stuxnet多年之后:Windows Shell漏洞仍然肆虐
Stuxnet利用的Windows Shell漏洞是需要企业仔细评估的漏洞之一。自被公开以来,Windows Shell漏洞已经包含在很多漏洞利用工具包中,并被很多攻击者利用,尽管微软在2010年发布了补丁,但这个问题仍然没有得到解决。
-
微软6月补丁日发布更多面向Windows XP的补丁
微软在2017年6月份周二的补丁发布日提供了全新的Windows XP修复程序,以确保系统免受泄漏的NSA网络武器(如勒索软件WannaCry)的威胁。
-
从WannaCry事件吸取教训:补丁管理需自动化
更新升级软件是企业IT管理员的一项份内职责。为了提高打补丁的效率,符合合规要求,企业常需要购买补丁管理工具。补丁管理工具可实现更新的自动化,有助于保护企业基础架构和终端设备免受可能的安全威胁,并支持在线修复软件bug及增强功能……