多数情况下,数据库在互联网上的公开暴露是由配置错误导致。而黑客经常使用可从开放网络访问的搜索引擎索引系统来寻找这些数据库,以窃取内容或进行金融勒索。威胁情报和研究公司 Group-IB 的研究人员在与BleepingComputer共享的一份报告中表示,2022 年第一季度,暴露的数据库数量已达到 91200 个的峰值。http://www.jyjdjx.cn
2021 全年公开暴露在互联网上的数据库数量为 308,000 个,2022 年在此基础上有所增加;季度环比增长持续,在今年头几个月达到顶峰。http://www.jyhwcf.com
Group-IB 使用其攻击面管理解决方案扫描整个 IPv4 空间中与访问数据库有关的开放端口,并检查索引或表是否可用。该公司的解决方案仅限于检查数据库是否暴露,没有任何收集或分析数据库内容的能力。以这种方式收集的遥测数据不会显示开放数据库是否容易受到安全漏洞的影响,或者未经授权的一方是否在暴露在网络上时访问了它们。http://www.jssgdcx.com
Group-IB 发现,大多数暴露实例都位于美国和中国服务器上,德国、法国和印度也占有较大的比例。而在暴露实例中使用的数据库管理系统中,Redis 占比最高,http://www.tenger88.com几乎是亚军 MongoDB 的两倍。Elastic 仅占一小部分,但仍然也是数以万计,MySQL 则占比最少。
目前,这些管理系统已经采取了措施,在管理员将实例配置为无需密码即可公开访问时提醒管理员,但相关问题仍然存在。
专攻数据库安全的安全研究员 Bob Diachenko 表达了一个观点称,供应商引入的保护 dbms 的措施越复杂,就越有可能出现配置错误,从而无意中暴露数据。http://www.jycxsp.com
“数据库的目的不仅是存储数据,而且还允许以即时和便捷的方式共享这些数据,并由其他团队成员对其进行分析。如今,越来越多的人参与到数据库管理过程中;最终他们试图简化和加快访问速度,因此省略登录过程对他们来说通常是最简单和最明显的方法。”http://www.jyrcd.com
然而数据显示,管理员平均需要 170 天的时间才能意识到错误的配置并修复暴露问题,这足以让恶意行为者发现暴露的数据并完成窃取。2021 年第三季度的平均修复时间为 113 天,但此后情况有所恶化;报告指出,可能是由于 IT 人员被面向公众的资产的快速扩张所淹没。
Group-IB 指出,大多数困扰数据库安全的问题都可以轻松预防。如果管理员在设置和维护数据库时遵循特定关键措施,则可以确保数据库安全。可以总结为以下几点:http://www.baishen168.cn
如无必要,确保数据库不公开;
使数据库管理系统保持最新版本,以减少可利用的缺陷;
使用强用户身份验证;
为所有存储的信息部署强大的数据加密协议;
使用采用数据包过滤器、数据包检查和代理的数据库和 Web 应用程序防火墙;
使用实时数据库监控;
避免使用将数据库暴露给恶意扫描的默认网络端口;
尽可能遵循服务器分段做法;
以加密形式对数据进行离线备份。