《2016年度數(shù)據(jù)泄露調查報告》回顧了2016年全球超過10萬起安全事件和2260起已經(jīng)確認的數(shù)據(jù)泄漏事件��。根據(jù)verizon統(tǒng)計報告��,全球數(shù)據(jù)庫泄露事件呈現(xiàn)緩步提高趨勢����、手段和方式呈現(xiàn)多種變化。分析已確認的2260起數(shù)據(jù)泄露事件�����,泄露源7成以上和數(shù)據(jù)庫相關�����。數(shù)據(jù)庫信息泄露主要是由人為因素����、數(shù)據(jù)庫自身安全漏洞和第三方惡意組件造成���。
人為因素主要指人為對數(shù)據(jù)庫的錯誤配置或使用弱口令和默認口令�。錯誤配置和弱口令往往成為不法分子窺探數(shù)據(jù)庫的入口。利用這個入口不法分子結合數(shù)據(jù)庫漏洞或第三方惡意組件對數(shù)據(jù)庫實施入侵��。在1600多起數(shù)據(jù)庫泄露事件中有63%和弱口令和錯誤配置相關�。
數(shù)據(jù)庫漏洞還是數(shù)據(jù)庫被入侵最常見的方式。但利用漏洞的方式發(fā)生了變化�。零日漏洞和已知漏洞使用比例幾乎持平,很多攻擊利用的是已知漏洞��。前10位常用漏洞中已知漏洞占據(jù)了55%的比例�����。其中很多漏洞已經(jīng)被公開很多年�,相關補丁也早已推出數(shù)年。數(shù)據(jù)庫由于各種考慮不及時打補丁����,給不法分子極大的可操作空間。
第三方惡意組件成為數(shù)據(jù)庫安全的新威脅��。今年年底鬧得沸沸揚揚的Oracle數(shù)據(jù)庫比特幣勒索事件就是這方面的代表�����。不法分子通過散播存在惡意SQL語句的數(shù)據(jù)庫工具。向誤用該工具的企業(yè)勒索贖金����。這種綁架數(shù)據(jù)勒索用戶的方式,正急速擴大其攻擊范圍���。很可能在明年將成為數(shù)據(jù)庫安全的首要威脅����。
人為因素��,數(shù)據(jù)庫漏洞和第三方惡意組件共同成為���,現(xiàn)今威脅數(shù)據(jù)庫安全的“三駕馬車”�。本文通過梳理這三種方式的原理���,以及主流數(shù)據(jù)庫的高危漏洞分布情況����,力求使客戶明確明年數(shù)據(jù)庫安全防護的側重點�����。
產(chǎn)品咨詢:4000 258 365 
