網路的高速發展為企業和個人都帶來了無限機遇,隨著線上業務變得越來越流行,接觸全球客戶也成為點指間能夠實現的事情。想要建立一個線上業務,最重要的就是建立一個全面的資料庫,與此同時,保護你共享在網路中的資料安全也是至關重要的。
資料庫已經成為駭客的主要攻擊目標,因為它們儲存著大量有價值和敏感的資訊。 這些資訊包括金融、智慧財產權以及企業資料等各方面的內容。網路罪犯開始從入侵線上業務伺服器和破壞資料庫中大量獲利,因此,確保資料庫的安全成為越來越重要的命題。
儘管意識到資料庫安全的重要性,但開發者在整合應用程式或修補漏洞、更新資料庫的時候仍然會犯一些錯誤,讓駭客們乘虛而入。本文列出了資料庫系統10個最常見的安全問題及10款資料庫安全工具推薦!
1.部署失敗
資料庫陷入危機最普遍的原因就是在開發過程中的粗心大意。有些公司會意識到最佳化搜尋引擎對其業務獲得成功的重要性,但是隻有對資料庫進行排序的前提下,SEO才能成功對其最佳化。儘管功能性測試對效能有一定的保證,但測試並不能預料資料庫會發生的一切。因此,在進行完全部署之前,對資料庫的利弊進行全面的檢查是非常重要的。
2.資料洩露
你可以把資料庫當做後端設定的一部分,並更加註重保護網際網路安全,但是這樣一來其實並不起作用。因為資料庫中有網路介面,如果駭客想要利用它們就可以很輕易地操縱資料庫中的這些網路介面。為了避免發生這種現象,使用TLS或SSL加密通訊平臺就變的尤為重要。
3.破損的資料庫
2003年的SQLSlammer蠕蟲病毒可以在10分鐘內感染超過90%的脆弱裝置。該病毒可以在幾分鐘內感染破壞成千上萬的資料庫。透過利用在微軟SQLServer資料庫中發現的漏洞進行傳播,導致全球範圍內的網際網路癱瘓。這種蠕蟲的成功充分說明了保護資料庫安全的重要性。不幸的是,由於缺乏資源和時間,大多數企業不會為他們的系統提供常規的補丁,因此,他們很容易遭受蠕蟲攻擊。
4.資料庫備份資訊被盜
對資料庫而言通常存在兩種型別的威脅——一個是外部,一個是內部的。你會如何處理竊取企業內部錢財和其他利益的“內鬼”?這是當代企業最常面臨的一個問題,而解決這種問題的唯一方法就是對檔案進行加密。
5.濫用資料庫特性
6.基礎設施薄弱
駭客一般不會馬上控制整個資料庫,相反,他們會選擇玩跳房子游戲來尋找基礎設施中存在的弱點,然後再利用它們的優勢來發動一連串的攻擊,直到抵達後端。因此,很重要的一點是,每個部門都要演習相同數量的控制和隔離系統來幫助降低風險。
7.缺乏隔離
隔離管理員和使用者之間的許可權,如此一來內部員工想要竊取資料就需要面臨更多的挑戰。如果你可以限制使用者賬戶的數量,駭客想控制整個資料庫就會面臨更大的挑戰。
8.SQL注入
對於保護資料庫而言,這是一個重要的問題。一旦應用程式被注入惡意的字串來欺騙伺服器執行命令,那麼管理員不得不收拾殘局,在保護資料庫上,這是一個主要問題。目前最佳的解決方案就是使用防火牆來保護資料庫網路。
9.金鑰管理不當
保證金鑰安全是非常重要的,但是加密金鑰通常儲存在公司的磁碟驅動器上,如果無人防守,那麼您的系統會很容易遭受駭客攻擊。
10.違法操作
正是不一致性導致了漏洞。不斷地檢查資料庫以及時發現任何異常之處是非常有必要的,開發人員應該清除地認識任何可能影響資料庫的威脅因素。雖然這不是一項容易的工作,但是開發人員可以利用追蹤資訊/日誌文字來查詢和解決此類問題。
資料庫安全工具推薦
1. MSSQL DataMask
每個企業都會犯一個常見的錯誤—在測試資料庫中使用實時資料。為了避免這種情況,MSSQL.DataMask會為開發人員的開發、測試或外包專案提供分離資料的能力,包括SQL Server資料庫。MSSQL Data Mask會將資料分為個人身份資料、敏感個人資料或商業敏感資料等不同種類進行保護。
2. Scuba
Scuba是Imperva公司提供的一款免費資料庫安全軟體工具,該工具可掃描世界領先的企業資料庫,以查詢安全漏洞和配置缺陷(包括修補級別)。報表提供可據此操作的資訊來降低風險,定期的軟體更新會確保 Scuba 與新威脅保持同步。Scuba 針對 Oracle Database、Microsoft SQL Server、SAP Sybase、IBM DB2、Informix 和 MySQL 提供了接近 1200 次評估測試。
3. AppDetectivePro
AppDetectivePro是Application Security Inc開發的一款基於網路的脆弱性評估掃描資料庫應用程式的工具。AppDetectivePro使用業界最佳做法和行之有效的安全方法,找出、審查、報告和修補程式的安全漏洞和錯誤配置,以保護組織從內部和外部資料庫的威脅。
4. Nmap
NmapNmap是一個免費開源的網路連線端掃描工具,許多系統和網路管理員常用它掃描計算機開發的網路連線端,確定哪些服務執行在哪些連線端、正在執行的是哪種作業系統、正在使用的是哪種型別的防火牆等。另外,也常被用來評估網路系統的安全,可以說是網路管理員必備管理工具之一。
5. Zenmap
最好用的免費網路安全工具之一,透過GUI使所有Nmap(network mapper,用於網路發現和安全審計)功能更易於實現。為初學者設計,同時為Nmap老兵提供高階功能。Zenmap將儲存常用的掃描配置檔案作為模板,從而方便掃描設定。掃描結果可以透過一個可搜尋的資料庫儲存,以便跨時間對比分析。它還包含一些非常重要的特性,如掃描和檢測資料庫例項和漏洞。
6. BSQL Hacker
7. SQLRECON
SQLRECON是一個數據庫發現工具,執行網路主動和被動掃描來識別SQL Server例項。由於個人防火牆的擴散,不一致的網路庫配置以及多例項支援,SQL Server安裝開始變得越來越難發現、評估和維護。SQLRecon旨在解決這一問題,透過將所有已知的SQL Server/MSDE發現方式融入一個單一的工具,來查明你從不知曉的存在你的網路中的伺服器,由此你可以給予他們適當的保護。
8. Oracle審計工具
Oracle 審計工具是一個工具包,可以用來審計Oracle資料庫伺服器的安全性。這個開源的工具包包括口令攻擊工具、命令列查詢工具以及TNS-listener查詢工具,來檢測Oracle資料庫的配置安全問題。此外,該工具是基於java並在Windows 和 Linux系統中測試的。
9. OScanner
OScanner 是基於Java開發的一個Oracle評估框架。它有一個基於外掛的架構並附帶幾個外掛,目前可以實現:
① Sid列舉密碼測試
②列舉Oracle版本
④列舉賬號雜湊
⑤列舉審計資訊
⑥列舉密碼策略
⑦列舉資料庫連結
網路的高速發展為企業和個人都帶來了無限機遇,隨著線上業務變得越來越流行,接觸全球客戶也成為點指間能夠實現的事情。想要建立一個線上業務,最重要的就是建立一個全面的資料庫,與此同時,保護你共享在網路中的資料安全也是至關重要的。
資料庫已經成為駭客的主要攻擊目標,因為它們儲存著大量有價值和敏感的資訊。 這些資訊包括金融、智慧財產權以及企業資料等各方面的內容。網路罪犯開始從入侵線上業務伺服器和破壞資料庫中大量獲利,因此,確保資料庫的安全成為越來越重要的命題。
儘管意識到資料庫安全的重要性,但開發者在整合應用程式或修補漏洞、更新資料庫的時候仍然會犯一些錯誤,讓駭客們乘虛而入。本文列出了資料庫系統10個最常見的安全問題及10款資料庫安全工具推薦!
1.部署失敗
資料庫陷入危機最普遍的原因就是在開發過程中的粗心大意。有些公司會意識到最佳化搜尋引擎對其業務獲得成功的重要性,但是隻有對資料庫進行排序的前提下,SEO才能成功對其最佳化。儘管功能性測試對效能有一定的保證,但測試並不能預料資料庫會發生的一切。因此,在進行完全部署之前,對資料庫的利弊進行全面的檢查是非常重要的。
2.資料洩露
你可以把資料庫當做後端設定的一部分,並更加註重保護網際網路安全,但是這樣一來其實並不起作用。因為資料庫中有網路介面,如果駭客想要利用它們就可以很輕易地操縱資料庫中的這些網路介面。為了避免發生這種現象,使用TLS或SSL加密通訊平臺就變的尤為重要。
3.破損的資料庫
2003年的SQLSlammer蠕蟲病毒可以在10分鐘內感染超過90%的脆弱裝置。該病毒可以在幾分鐘內感染破壞成千上萬的資料庫。透過利用在微軟SQLServer資料庫中發現的漏洞進行傳播,導致全球範圍內的網際網路癱瘓。這種蠕蟲的成功充分說明了保護資料庫安全的重要性。不幸的是,由於缺乏資源和時間,大多數企業不會為他們的系統提供常規的補丁,因此,他們很容易遭受蠕蟲攻擊。
4.資料庫備份資訊被盜
對資料庫而言通常存在兩種型別的威脅——一個是外部,一個是內部的。你會如何處理竊取企業內部錢財和其他利益的“內鬼”?這是當代企業最常面臨的一個問題,而解決這種問題的唯一方法就是對檔案進行加密。
5.濫用資料庫特性
6.基礎設施薄弱
駭客一般不會馬上控制整個資料庫,相反,他們會選擇玩跳房子游戲來尋找基礎設施中存在的弱點,然後再利用它們的優勢來發動一連串的攻擊,直到抵達後端。因此,很重要的一點是,每個部門都要演習相同數量的控制和隔離系統來幫助降低風險。
7.缺乏隔離
隔離管理員和使用者之間的許可權,如此一來內部員工想要竊取資料就需要面臨更多的挑戰。如果你可以限制使用者賬戶的數量,駭客想控制整個資料庫就會面臨更大的挑戰。
8.SQL注入
對於保護資料庫而言,這是一個重要的問題。一旦應用程式被注入惡意的字串來欺騙伺服器執行命令,那麼管理員不得不收拾殘局,在保護資料庫上,這是一個主要問題。目前最佳的解決方案就是使用防火牆來保護資料庫網路。
9.金鑰管理不當
保證金鑰安全是非常重要的,但是加密金鑰通常儲存在公司的磁碟驅動器上,如果無人防守,那麼您的系統會很容易遭受駭客攻擊。
10.違法操作
正是不一致性導致了漏洞。不斷地檢查資料庫以及時發現任何異常之處是非常有必要的,開發人員應該清除地認識任何可能影響資料庫的威脅因素。雖然這不是一項容易的工作,但是開發人員可以利用追蹤資訊/日誌文字來查詢和解決此類問題。
資料庫安全工具推薦
1. MSSQL DataMask
每個企業都會犯一個常見的錯誤—在測試資料庫中使用實時資料。為了避免這種情況,MSSQL.DataMask會為開發人員的開發、測試或外包專案提供分離資料的能力,包括SQL Server資料庫。MSSQL Data Mask會將資料分為個人身份資料、敏感個人資料或商業敏感資料等不同種類進行保護。
2. Scuba
Scuba是Imperva公司提供的一款免費資料庫安全軟體工具,該工具可掃描世界領先的企業資料庫,以查詢安全漏洞和配置缺陷(包括修補級別)。報表提供可據此操作的資訊來降低風險,定期的軟體更新會確保 Scuba 與新威脅保持同步。Scuba 針對 Oracle Database、Microsoft SQL Server、SAP Sybase、IBM DB2、Informix 和 MySQL 提供了接近 1200 次評估測試。
3. AppDetectivePro
AppDetectivePro是Application Security Inc開發的一款基於網路的脆弱性評估掃描資料庫應用程式的工具。AppDetectivePro使用業界最佳做法和行之有效的安全方法,找出、審查、報告和修補程式的安全漏洞和錯誤配置,以保護組織從內部和外部資料庫的威脅。
4. Nmap
NmapNmap是一個免費開源的網路連線端掃描工具,許多系統和網路管理員常用它掃描計算機開發的網路連線端,確定哪些服務執行在哪些連線端、正在執行的是哪種作業系統、正在使用的是哪種型別的防火牆等。另外,也常被用來評估網路系統的安全,可以說是網路管理員必備管理工具之一。
5. Zenmap
最好用的免費網路安全工具之一,透過GUI使所有Nmap(network mapper,用於網路發現和安全審計)功能更易於實現。為初學者設計,同時為Nmap老兵提供高階功能。Zenmap將儲存常用的掃描配置檔案作為模板,從而方便掃描設定。掃描結果可以透過一個可搜尋的資料庫儲存,以便跨時間對比分析。它還包含一些非常重要的特性,如掃描和檢測資料庫例項和漏洞。
6. BSQL Hacker
7. SQLRECON
SQLRECON是一個數據庫發現工具,執行網路主動和被動掃描來識別SQL Server例項。由於個人防火牆的擴散,不一致的網路庫配置以及多例項支援,SQL Server安裝開始變得越來越難發現、評估和維護。SQLRecon旨在解決這一問題,透過將所有已知的SQL Server/MSDE發現方式融入一個單一的工具,來查明你從不知曉的存在你的網路中的伺服器,由此你可以給予他們適當的保護。
8. Oracle審計工具
Oracle 審計工具是一個工具包,可以用來審計Oracle資料庫伺服器的安全性。這個開源的工具包包括口令攻擊工具、命令列查詢工具以及TNS-listener查詢工具,來檢測Oracle資料庫的配置安全問題。此外,該工具是基於java並在Windows 和 Linux系統中測試的。
9. OScanner
OScanner 是基於Java開發的一個Oracle評估框架。它有一個基於外掛的架構並附帶幾個外掛,目前可以實現:
① Sid列舉密碼測試
②列舉Oracle版本
④列舉賬號雜湊
⑤列舉審計資訊
⑥列舉密碼策略
⑦列舉資料庫連結