Imperva 最新發(fā)布的一項研究報告指出，全球近一半 (46%) 的內(nèi)部數(shù)據(jù)庫至少有一個未修補(bǔ)的常見漏洞和曝露 (CVE)，平均每個數(shù)據(jù)庫有 26 個漏洞，這是一個令人震驚的結(jié)論。
Imperva研究實驗室基于五年前推出的專有數(shù)據(jù)庫掃描工具，對全球 27,000 個內(nèi)部數(shù)據(jù)庫進(jìn)行了前所未有的研究，這是迄今為止完成的同類分析中規(guī)模最大的一次。
研究結(jié)果表明，近一半 (46%) 的內(nèi)部數(shù)據(jù)庫至少有一個未修補(bǔ)的常見漏洞和曝露 (CVE)，平均每個數(shù)據(jù)庫有 26 個漏洞。而根據(jù)美國國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 的指南，超過一半 (56%) 的漏洞被評為“高”（high）或“嚴(yán)重”（critical）。包括可用于劫持整個數(shù)據(jù)庫及其所包含信息的代碼執(zhí)行漏洞。
Imperva指出，“這表明許多組織沒有優(yōu)先考慮其數(shù)據(jù)的安全性，也忽視了常規(guī)的修補(bǔ)操作”。“根據(jù) Imperva 掃描，一些 CVE 已經(jīng)三年或更長時間沒有得到解決?！?br/>對于未受保護(hù)的數(shù)據(jù)庫，法國情況最嚴(yán)重，84% 的被掃描數(shù)據(jù)庫包含至少一個漏洞，每個數(shù)據(jù)庫的平均漏洞數(shù)為 72。澳大利亞緊隨其后65%（平均 20 個漏洞），然后是新加坡64%（平均 62 個漏洞）、英國61%（平均 37 個漏洞）和中國52%（平均 74 個漏洞 ）。

“在某些方面，對于我們這些管理過企業(yè)混亂局面的人來說，這些數(shù)字并不奇怪，”Vectra 的 CTO 團(tuán)隊技術(shù)總監(jiān) Tim Wade 認(rèn)為，“當(dāng)然，忽視和缺乏 IT 衛(wèi)生是造成這種現(xiàn)象的重要組成部分”。但他認(rèn)為，同樣重要的是，數(shù)據(jù)庫相對于其他基礎(chǔ)設(shè)施，不對等地成為了基本業(yè)務(wù)系統(tǒng)的重要組成部分?，F(xiàn)實中，因未能修補(bǔ)而造成的破壞風(fēng)險、或修補(bǔ)程序未完全成熟，可能導(dǎo)致系統(tǒng)中斷等風(fēng)險，這些風(fēng)險問題更能引起企業(yè)的關(guān)注和重視，企業(yè)通常只是簡單地從系統(tǒng)業(yè)務(wù)中挖掘安全漏洞，而忽略了數(shù)據(jù)庫等基礎(chǔ)設(shè)施的漏洞。

Vulcan Cyber 的首席執(zhí)行官兼聯(lián)合創(chuàng)始人 Yaniv Bar-Dayan 表示，安全團(tuán)隊可以通過三種選擇來解決數(shù)據(jù)安全問題：
  1）什么都不做，靠賭運(yùn)氣。大多數(shù)組織都不會接受此選項。但從 Imperva 的研究中可以看出，幾乎一半的本地數(shù)據(jù)庫管理員都選擇了這條。
  2）外包給 AWS 或 Snowflake 等數(shù)據(jù)服務(wù)。這并不能完全免除數(shù)據(jù)所有者的安全責(zé)任，但對減輕負(fù)擔(dān)大有幫助。云和數(shù)據(jù)湖（Data lake）服務(wù)仍然可能通過用戶配置錯誤或錯誤的用戶訪問控制漏洞被黑客入侵。但是 DBaaS （數(shù)據(jù)庫即服務(wù)）提供商以最高級別的程序成熟度運(yùn)行其網(wǎng)絡(luò)風(fēng)險管理和漏洞修復(fù)程序，這為許多不想承擔(dān)這些責(zé)任的組織提供了急需的救助。
  3）像數(shù)據(jù)服務(wù)提供商一樣，在風(fēng)險緩解和漏洞修復(fù)成熟度方面達(dá)到“變革性”（transformative）水平。風(fēng)險和漏洞修復(fù)計劃有四個成熟度級別，“反應(yīng)性”（reactive）最不成熟，“變革性”（transformative）最成熟，處于 4 級。 Vulcan Cyber 研究發(fā)現(xiàn)，55% 的漏洞管理計劃處于 1 級或 2 級成熟度，這與已知但未解決本地數(shù)據(jù)庫漏洞的情形相對應(yīng)。

Bar-Dayan 解釋說，Imperva 數(shù)據(jù)并未根據(jù)所有者對風(fēng)險的評估顯示漏洞是否可以接受，根據(jù) NIST 指南的漏洞嚴(yán)重性，只是對最終用戶進(jìn)行自定義風(fēng)險評分的一個參考方面?；陲L(fēng)險的漏洞優(yōu)先級排序，對于有效的數(shù)據(jù)安全至關(guān)重要。

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:securitymagazine

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明