如今的风险环境充斥着各种新旧不同的风险和漏洞。有些最大的风险在过去的几年中并没有什么变化。许多风险仍在肆虐,给敏感信息造成极大的威胁和巨大的破坏成本。其中,数据库的安全风险一直是业界关注的重点。
2012年,企业面临的数据库风险将有增无减。 数据库越来越容易遭到攻击有两方面原因:首先,公司被要求越来越多地增加对存储在数据库中数据的访问。增加的数据访问极大地增加了数据被窃取和滥用的风险。要求访问数据的人员包括内部雇员、审计人员、承包商、分包商、供应链的合作伙伴等。
其次,数据库的攻击者已经发生了变化。过去,攻击者的目的是为了炫耀其才能,虽然意图并不高尚,但很少造成数据失窃。如今,攻击者的动机往往……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
如今的风险环境充斥着各种新旧不同的风险和漏洞。有些最大的风险在过去的几年中并没有什么变化。许多风险仍在肆虐,给敏感信息造成极大的威胁和巨大的破坏成本。其中,数据库的安全风险一直是业界关注的重点。2012年,企业面临的数据库风险将有增无减。
数据库越来越容易遭到攻击有两方面原因:首先,公司被要求越来越多地增加对存储在数据库中数据的访问。增加的数据访问极大地增加了数据被窃取和滥用的风险。要求访问数据的人员包括内部雇员、审计人员、承包商、分包商、供应链的合作伙伴等。其次,数据库的攻击者已经发生了变化。过去,攻击者的目的是为了炫耀其才能,虽然意图并不高尚,但很少造成数据失窃。如今,攻击者的动机往往是经济上的,有时与政治或意识形态有关。攻击者有组织并且死心塌地地寻求可以使其发财的信息,如知识产权、信用卡号、个人身份证号、政府机密等私密信息。
在考虑到这些风险后,企业需要一种可以清除漏洞、定位敏感数据、确认用户访问、监视数据库活动的安全策略,而且能在数据库水平上减轻风险。从历史上看,企业将工作的重点放在外围安全和外部攻击上,投资购买了防火墙、反病毒软件,并确保路由器的配置安全等。虽然这些投资很有必要,但对于阻止针对数据库的直接攻击却收效甚微。如果不阻击这些攻击,就会搞垮公司。调查发现,现代的数据库攻击所造成的单位成本比以往任何攻击都要巨大。而修复数据库损害的花费更是越来越高。在这种环境中,企业必须保护自己免受最高风险的危害,并重视保护数据库免受各种新出现风险的破坏。
下文讨论的是一些需要引起关注的重要安全风险,在制定和实施2012年的数据库防御策略时,必须考虑这些方面。
一、内部人员错误
数据库安全的一个潜在风险就是“非故意的授权用户攻击”和内部人员错误。这种安全事件类型的最常见表现包括:由于不慎而造成意外删除或泄漏,非故意的规避安全策略。在授权用户无意访问敏感数据并错误地修改或删除信息时,就会发生第一种风险。在用户为了备份或“将工作带回家”而作了非授权的备份时,就会发生第二种风险。虽然这并不是一种恶意行为,但很明显,它违反了公司的安全策略,并会造成数据存放到存储设备上,在该设备遭到恶意攻击时,就会导致非故意的安全事件。例如,笔记本电脑就能造成这种风险。
经常进行用户权利的检查可以使审计人员、IT顾问等知道企业的数据所有权、访问控制、对敏感信息的权利等详细信息。这个过程可以使企业确立有效的责任分离制度,更好地满足合规要求。
监视责任的分离变得日益重要。适当的访问权限是一个关键的安全问题,责任分离的控制是合规要求的一个基本原则。
为确保这些无意的违反不会发生,企业应当将关键的保护从网络和Web应用程序层扩展到数据库。常规的数据库安全评估包括审计和渗透测试,而且应当执行错误配置的检查,以尽量减少这些风险。此外,还可以实施活动监视,以保证不会无意下载或传输敏感数据。
二、社交工程
由于攻击者使用的高级钓鱼技术,在合法用户不知不觉地将安全机密提供给攻击者时,就会发生大量的严重攻击。这些新型攻击的成功,意味着此趋势在2012年继续。在这种情况下,用户会通过一个受到损害的网站或通过一个电子邮件响应将信息提供给看似合法的请求。应当通知雇员这种非法的请求,并教育他们不要做出响应。此外,企业还可以通过适时地检测可疑活动,来减轻成功的钓鱼攻击的影响。数据库活动监视和审计可以使这种攻击的影响最小化。
三、内部人员攻击
很多数据库攻击源自企业内部。当前的经济环境和有关的裁员方法都有可能引起雇员的不满,从而导致内部人员攻击的增加。这些内部人员受到贪欲或报复欲的驱使,且不受防火墙及入侵防御系统等的影响,容易给企业带来风险。
常见的内部人员攻击包括口令猜测或窃取、特权提升、数据窃取、恶意软件部署、拒绝服务攻击等。例如,如果某雇员准备离职,在对目前的公司不满时,就有可能访问并窃取大量的私密文档。这表明,仅有防火墙和网络安全是远远不够的。企业应定期执行用户权力的检查、评估漏洞并监视特权活动(包括受信任的雇员和合伙人)等,这至关重要。
在不少企业,很多人可以访问需要特定权限才能访问的数据。或者,雇员拥有过高的权限,可被用于访问敏感数据。从本质上讲,公司网络上的通道越多,利用网络访问点的机会就越多,企业就更容易遭到攻击。
在任何企业中,知道最敏感的数据在哪里至关重要。首要的一步是全面分析哪些用户可以访问每个系统,他们可以访问哪些数据和功能,根据用户的业务功能验证用户是否被授予了适当的访问水平。具有前瞻性思维的企业必须主动地实施用户权利的最佳实践,确保将数据的适当访问和所有权分配给机密数据。如果不执行全面的用户权利检查,就会增加企业的数据访问被滥用的风险,并增加不遵守合规要求的风险。
对关键系统建立强健的基于策略的访问和活动监视可以阻止内部人员攻击。活动监视和审计提供对可疑活动的警告功能,从而可以对可疑活动及时采取行动。数据库安全解决方案允许IT和安全人根据不同的活动类型设置不同的警告级别,可以用不同的格式智能地过滤这些警告,并根据预先定义的策略来定义用户组或个人。
管理员应当为插入、更新、删除等命令创建存储过程。在存储过程中,管理员可以将一条记录插入到日志表中,要记录所需要的细节。管理员可以用存储过程来撤销对数据库表的插入、更新、删除等语句。注意,属于特定角色(如db_owner)的任何人仍能够直接对表进行操作。
管理员还应当对表的更新、插入、删除等建立触发器。在触发器中,可以将任何东西记录到日志表中。通过此法,可以将所有的数据修改操作记录下来,而不管其实现方式(直接的SQL语句或通过存储过程)。
相关推荐
-
不安全的Firebase数据库使关键数据面临风险
当开发人员无法对支持其移动应用程序的数据库或云实例执行身份验证时,这里会发生一种最简单且最具破坏性的安全事件。 […]
-
数据泄露事故诉讼:企业应该怎么做?
当发现有数据泄露事故发生时,企业应该调查发生了什么事情、修复安全漏洞、配合执法部门工作以及遵守通知法规,认真遵循这些步骤可帮助企业减少影响。
-
美新数据安全法案:故意隐瞒数据泄漏将获罪
美国民主党参议员重新提出了“数据安全和数据泄露事故通知法案,该法案规定对未能向消费者披露泄漏事故的企业高管进行严格惩罚,甚至监禁。
-
虚拟键盘数据泄露致数百万个人记录被曝光
因移动开发商Ai.type错误配置MongoDB数据库导致键盘数据泄露,在本次泄露事故中,数以百万计的个人记录被曝光。