《2016年度數據泄露調查報告》回顧了2016年全球超過10萬起安全事件和2260起已經確認的數據泄漏事件。根據verizon統計報告����,全球數據庫泄露事件呈現緩步提高趨勢�����、手段和方式呈現多種變化。分析已確認的2260起數據泄露事件,泄露源7成以上和數據庫相關��。數據庫信息泄露主要是由人為因素���、數據庫自身安全漏洞和第三方惡意組件造成�。
人為因素主要指人為對數據庫的錯誤配置或使用弱口令和默認口令�����。錯誤配置和弱口令往往成為不法分子窺探數據庫的入口���。利用這個入口不法分子結合數據庫漏洞或第三方惡意組件對數據庫實施入侵�。在1600多起數據庫泄露事件中有63%和弱口令和錯誤配置相關�����。
數據庫漏洞還是數據庫被入侵最常見的方式����。但利用漏洞的方式發生了變化����。零日漏洞和已知漏洞使用比例幾乎持平,很多攻擊利用的是已知漏洞���。前10位常用漏洞中已知漏洞占據了55%的比例。其中很多漏洞已經被公開很多年�,相關補丁也早已推出數年����。數據庫由于各種考慮不及時打補丁�,給不法分子極大的可操作空間。
第三方惡意組件成為數據庫安全的新威脅���。今年年底鬧得沸沸揚揚的Oracle數據庫比特幣勒索事件就是這方面的代表。不法分子通過散播存在惡意SQL語句的數據庫工具���。向誤用該工具的企業勒索贖金�。這種綁架數據勒索用戶的方式�����,正急速擴大其攻擊范圍。很可能在明年將成為數據庫安全的首要威脅�。
人為因素�����,數據庫漏洞和第三方惡意組件共同成為,現今威脅數據庫安全的“三駕馬車”�����。本文通過梳理這三種方式的原理��,以及主流數據庫的高危漏洞分布情況�����,力求使客戶明確明年數據庫安全防護的側重點。
產品咨詢:4000 258 365 
