Imperva 最新發(fā)布的一項(xiàng)研究報(bào)告指出，全球近一半 (46%) 的內(nèi)部數(shù)據(jù)庫(kù)至少有一個(gè)未修補(bǔ)的常見(jiàn)漏洞和曝露 (CVE)，平均每個(gè)數(shù)據(jù)庫(kù)有 26 個(gè)漏洞，這是一個(gè)令人震驚的結(jié)論。
Imperva研究實(shí)驗(yàn)室基于五年前推出的專有數(shù)據(jù)庫(kù)掃描工具，對(duì)全球 27,000 個(gè)內(nèi)部數(shù)據(jù)庫(kù)進(jìn)行了前所未有的研究，這是迄今為止完成的同類分析中規(guī)模最大的一次。
研究結(jié)果表明，近一半 (46%) 的內(nèi)部數(shù)據(jù)庫(kù)至少有一個(gè)未修補(bǔ)的常見(jiàn)漏洞和曝露 (CVE)，平均每個(gè)數(shù)據(jù)庫(kù)有 26 個(gè)漏洞。而根據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 的指南，超過(guò)一半 (56%) 的漏洞被評(píng)為“高”（high）或“嚴(yán)重”（critical）。包括可用于劫持整個(gè)數(shù)據(jù)庫(kù)及其所包含信息的代碼執(zhí)行漏洞。
Imperva指出，“這表明許多組織沒(méi)有優(yōu)先考慮其數(shù)據(jù)的安全性，也忽視了常規(guī)的修補(bǔ)操作”?！案鶕?jù) Imperva 掃描，一些 CVE 已經(jīng)三年或更長(zhǎng)時(shí)間沒(méi)有得到解決?！?br/>對(duì)于未受保護(hù)的數(shù)據(jù)庫(kù)，法國(guó)情況最嚴(yán)重，84% 的被掃描數(shù)據(jù)庫(kù)包含至少一個(gè)漏洞，每個(gè)數(shù)據(jù)庫(kù)的平均漏洞數(shù)為 72。澳大利亞緊隨其后65%（平均 20 個(gè)漏洞），然后是新加坡64%（平均 62 個(gè)漏洞）、英國(guó)61%（平均 37 個(gè)漏洞）和中國(guó)52%（平均 74 個(gè)漏洞 ）。

“在某些方面，對(duì)于我們這些管理過(guò)企業(yè)混亂局面的人來(lái)說(shuō)，這些數(shù)字并不奇怪，”Vectra 的 CTO 團(tuán)隊(duì)技術(shù)總監(jiān) Tim Wade 認(rèn)為，“當(dāng)然，忽視和缺乏 IT 衛(wèi)生是造成這種現(xiàn)象的重要組成部分”。但他認(rèn)為，同樣重要的是，數(shù)據(jù)庫(kù)相對(duì)于其他基礎(chǔ)設(shè)施，不對(duì)等地成為了基本業(yè)務(wù)系統(tǒng)的重要組成部分?，F(xiàn)實(shí)中，因未能修補(bǔ)而造成的破壞風(fēng)險(xiǎn)、或修補(bǔ)程序未完全成熟，可能導(dǎo)致系統(tǒng)中斷等風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)問(wèn)題更能引起企業(yè)的關(guān)注和重視，企業(yè)通常只是簡(jiǎn)單地從系統(tǒng)業(yè)務(wù)中挖掘安全漏洞，而忽略了數(shù)據(jù)庫(kù)等基礎(chǔ)設(shè)施的漏洞。

Vulcan Cyber 的首席執(zhí)行官兼聯(lián)合創(chuàng)始人 Yaniv Bar-Dayan 表示，安全團(tuán)隊(duì)可以通過(guò)三種選擇來(lái)解決數(shù)據(jù)安全問(wèn)題：
  1）什么都不做，靠賭運(yùn)氣。大多數(shù)組織都不會(huì)接受此選項(xiàng)。但從 Imperva 的研究中可以看出，幾乎一半的本地?cái)?shù)據(jù)庫(kù)管理員都選擇了這條。
  2）外包給 AWS 或 Snowflake 等數(shù)據(jù)服務(wù)。這并不能完全免除數(shù)據(jù)所有者的安全責(zé)任，但對(duì)減輕負(fù)擔(dān)大有幫助。云和數(shù)據(jù)湖（Data lake）服務(wù)仍然可能通過(guò)用戶配置錯(cuò)誤或錯(cuò)誤的用戶訪問(wèn)控制漏洞被黑客入侵。但是 DBaaS （數(shù)據(jù)庫(kù)即服務(wù)）提供商以最高級(jí)別的程序成熟度運(yùn)行其網(wǎng)絡(luò)風(fēng)險(xiǎn)管理和漏洞修復(fù)程序，這為許多不想承擔(dān)這些責(zé)任的組織提供了急需的救助。
  3）像數(shù)據(jù)服務(wù)提供商一樣，在風(fēng)險(xiǎn)緩解和漏洞修復(fù)成熟度方面達(dá)到“變革性”（transformative）水平。風(fēng)險(xiǎn)和漏洞修復(fù)計(jì)劃有四個(gè)成熟度級(jí)別，“反應(yīng)性”（reactive）最不成熟，“變革性”（transformative）最成熟，處于 4 級(jí)。 Vulcan Cyber 研究發(fā)現(xiàn)，55% 的漏洞管理計(jì)劃處于 1 級(jí)或 2 級(jí)成熟度，這與已知但未解決本地?cái)?shù)據(jù)庫(kù)漏洞的情形相對(duì)應(yīng)。

Bar-Dayan 解釋說(shuō)，Imperva 數(shù)據(jù)并未根據(jù)所有者對(duì)風(fēng)險(xiǎn)的評(píng)估顯示漏洞是否可以接受，根據(jù) NIST 指南的漏洞嚴(yán)重性，只是對(duì)最終用戶進(jìn)行自定義風(fēng)險(xiǎn)評(píng)分的一個(gè)參考方面?；陲L(fēng)險(xiǎn)的漏洞優(yōu)先級(jí)排序，對(duì)于有效的數(shù)據(jù)安全至關(guān)重要。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門(mén)】免費(fèi)試用

本文來(lái)源:securitymagazine

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明