《2016年度数据泄露调查报告》回顾了2016年全球超过10万起安全事件和2260起已经确认的数据泄漏事件。根据verizon统计报告,全球数据库泄露事件呈现缓步提高趋势、手段和方式呈现多种变化。分析已确认的2260起数据泄露事件,泄露源7成以上和数据库相关。数据库信息泄露主要是由人为因素、数据库自身安全漏洞和第三方恶意组件造成。
人为因素主要指人为对数据库的错误配置或使用弱口令和默认口令。错误配置和弱口令往往成为不法分子窥探数据库的入口。利用这个入口不法分子结合数据库漏洞或第三方恶意组件对数据库实施入侵。在1600多起数据库泄露事件中有63%和弱口令和错误配置相关。
数据库漏洞还是数据库被入侵最常见的方式。但利用漏洞的方式发生了变化。零日漏洞和已知漏洞使用比例几乎持平,很多攻击利用的是已知漏洞。前10位常用漏洞中已知漏洞占据了55%的比例。其中很多漏洞已经被公开很多年,相关补丁也早已推出数年。数据库由于各种考虑不及时打补丁,给不法分子极大的可操作空间。
第三方恶意组件成为数据库安全的新威胁。今年年底闹得沸沸扬扬的Oracle数据库比特币勒索事件就是这方面的代表。不法分子通过散播存在恶意SQL语句的数据库工具。向误用该工具的企业勒索赎金。这种绑架数据勒索用户的方式,正急速扩大其攻击范围。很可能在明年将成为数据库安全的首要威胁。
人为因素,数据库漏洞和第三方恶意组件共同成为,现今威胁数据库安全的“三驾马车”。本文通过梳理这三种方式的原理,以及主流数据库的高危漏洞分布情况,力求使客户明确明年数据库安全防护的侧重点。
产品咨询:4000 258 365 
