您现在的位置:融合网首页 > 广电 > 其他 >

「安华金和」2019数据库漏洞安全威胁报告

来源:未知 作者:胡廷康 责任编辑:胡廷康 发表时间:2019-12-25 09:03 阅读:
核心提示:安华金和长期致力于帮助客户应对数据安全领域的威胁。为了提高数据库用户的安全意识,快速了解最新数据库漏洞利用方向,最新发布《2019年数据库漏洞安全威胁报告》。该报告用于快速跟踪及反馈数据库安全的发展态势。 数据库内、外部威胁对数据库安全的影响 内

安华金和长期致力于帮助客户应对数据安全领域的威胁。为了提高数据库用户的安全意识,快速了解最新数据库漏洞利用方向,最新发布《2019年数据库漏洞安全威胁报告》。该报告用于快速跟踪及反馈数据库安全的发展态势。

数据库内、外部威胁对数据库安全的影响

内部安全威胁主要是指数据库自身的安全性,具体表现为各类数据库漏洞;外部安全威胁主要体现在人为因素造成的数据库配置不当以及外部黑客数据库攻击。

内部威胁主要来自数据库自身的组件

数据库内部安全威胁主要表现在自身的三大组件上:数据库引擎、SQL编程组件(例如PL/SQL)和网络监听组件。利用数据库引擎的漏洞,攻击者能够破坏RDBMS核心,直接接管目标机器的RDBMS核心组件,还可以进行提权攻击,将低权限用户提权为DBA;利用SQL编程组件的漏洞,攻击者同样可以实现数据库账号提权攻击;利用网络监听组件的缓冲区溢出漏洞,可以直接夺取数据库所在主机的操作系统权限。

外部威胁主要来源于系统配置不当和黑客攻击

数据库外部威胁主要表现在人为因素上,可以分为系统配置不当和外部攻击。系统配置不当的主要表现形式有管理口令设置不当、数据管理账号权限设置不当等,这些都会增加数据库被入侵的风险,进而造成企业或组织的数据资产泄露或破坏;外部攻击的主要威胁来自于黑客对于数据库的攻击行为,其主要手段表现为第三方恶意组件攻击,例如数据库后门、勒索病毒、挖矿木马等。

Mysql漏洞多DB2漏洞严重

截止2019年12月,CVE发布的被确认的国际主流数据库漏洞共计140个,其中Oracle 12个、MySQL 107个、Postgresql 4个、IBM DB2 14个。其中Oracle被发现的12个漏洞中含1个超危漏洞,4个高危漏洞;MySQL数据库的107个漏洞中含有4个高危漏洞,97个中危漏洞;Postgresql数据库发现2个高危漏洞;DB2数据库发现11个高危漏洞。

2019年出现的数据库漏洞MySQL数据库为主,大部分是中危漏洞, DB2数据库出现了多个高危漏洞,这两类数据库的用户需要引起重视。

勒索病毒与挖矿木马是当前典型的数据库攻击手段

自2017年WannaCry勒索病毒爆发以来,数据勒索成为黑客攻击的重要手段。因为其攻击成本低,风险系数小,获取利益高,至今仍受到黑客的青睐。根据数据库所处位置,在攻击手段和流程上有所差别,但勒索攻击都会对数据库和数据库所有的组织造成重大伤害,包括数据资产的损失或者是财务损失。构建外围防护+定期安全探查+数据定期备份是防止数据库勒索攻击的有效手段。

数据库服务器硬件性能好,挖矿效率高,受到挖矿黑客的青睐。数据库自身漏洞以及针对数据库的安全防护较弱,给黑客攻击获取服务器权限部署挖矿软件提供了便利条件。这种攻击一般分为三个步骤,首先利用数据库漏洞获取到主机权限,然后部署挖矿软件和木马程序,最后利用恶意程序渗透网络中的其他主机,形成大的僵尸网络为挖矿服务。加强事先防御,及时更新软件、系统补丁,检查弱口令等数据库配置;定期检查数据库服务的运行情况,检查数据库日志中有无过多的用户登录记录,检查硬件的使用情况,看有无陌生进程占用过多资源,能够有效防止挖矿攻击。

加强数据库权限控制和输入限制是有效的数据库安全措施

加强数据库权限控制和输入限制,能够在一定程度上提高数据库漏洞的利用难度,降低数据库被攻击的可能性,其主要手段有:用户权限最小化原则,加强数据库用户管理,严格检查数据库安全配置,数据库功能最小化,及时升级安全补丁等。

安华金和数据安全攻防实验室(DBSec Labs)于2010年11月成立,是我国一支独立的、持久的针对数据库安全漏洞、数据库攻击技术模拟和数据库安全防护技术进行研究的专业队伍。旨在通过数据库漏洞与攻击技术的研究制定有效的防御手段和技术,从而降低数据库安全风险,以实现对数据资产的保护。

安华金和数据安全攻防实验室针对数据库漏洞安全威胁定期发布报告,旨在帮助广大用户了解数据库安全形势,完善企业及组织的数据安全解决方案提供帮助。

完整版报告可通过安华金和官方网站资源中心栏目或微信服务号“安华金和服务平台”获取。也可添加微信索取。

(责任编辑:胡廷康)
    • “扫一扫”关注融合网微信号

    免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。

    第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。

    根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。

    第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。

    个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。

    融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net

    对免责声明的解释、修改及更新权均属于融合网所有。

    新闻关注排行榜

    热门推荐 最新推荐

    热门关键字

    关于我们 - 融合文化 - 媒体报道 - 在线咨询 - 网站地图 - TAG标签 - 联系我们
    Copyright © 2010-2019 融合网|DWRH.net 版权所有 联系邮箱:dwrh@dwrh.net 京公网安备11011202001892号 京ICP备11014553号