Imperva 最新發(fā)布的一項研究報告指出，全球近一半 (46%) 的內(nèi)部數(shù)據(jù)庫至少有一個未修補的常見漏洞和曝露 (CVE)，平均每個數(shù)據(jù)庫有 26 個漏洞，這是一個令人震驚的結論。
Imperva研究實驗室基于五年前推出的專有數(shù)據(jù)庫掃描工具，對全球 27,000 個內(nèi)部數(shù)據(jù)庫進行了前所未有的研究，這是迄今為止完成的同類分析中規(guī)模最大的一次。
研究結果表明，近一半 (46%) 的內(nèi)部數(shù)據(jù)庫至少有一個未修補的常見漏洞和曝露 (CVE)，平均每個數(shù)據(jù)庫有 26 個漏洞。而根據(jù)美國國家標準與技術研究院 (NIST) 的指南，超過一半 (56%) 的漏洞被評為“高”（high）或“嚴重”（critical）。包括可用于劫持整個數(shù)據(jù)庫及其所包含信息的代碼執(zhí)行漏洞。
Imperva指出，“這表明許多組織沒有優(yōu)先考慮其數(shù)據(jù)的安全性，也忽視了常規(guī)的修補操作”?！案鶕?jù) Imperva 掃描，一些 CVE 已經(jīng)三年或更長時間沒有得到解決?！?br/>對于未受保護的數(shù)據(jù)庫，法國情況最嚴重，84% 的被掃描數(shù)據(jù)庫包含至少一個漏洞，每個數(shù)據(jù)庫的平均漏洞數(shù)為 72。澳大利亞緊隨其后65%（平均 20 個漏洞），然后是新加坡64%（平均 62 個漏洞）、英國61%（平均 37 個漏洞）和中國52%（平均 74 個漏洞 ）。

“在某些方面，對于我們這些管理過企業(yè)混亂局面的人來說，這些數(shù)字并不奇怪，”Vectra 的 CTO 團隊技術總監(jiān) Tim Wade 認為，“當然，忽視和缺乏 IT 衛(wèi)生是造成這種現(xiàn)象的重要組成部分”。但他認為，同樣重要的是，數(shù)據(jù)庫相對于其他基礎設施，不對等地成為了基本業(yè)務系統(tǒng)的重要組成部分。現(xiàn)實中，因未能修補而造成的破壞風險、或修補程序未完全成熟，可能導致系統(tǒng)中斷等風險，這些風險問題更能引起企業(yè)的關注和重視，企業(yè)通常只是簡單地從系統(tǒng)業(yè)務中挖掘安全漏洞，而忽略了數(shù)據(jù)庫等基礎設施的漏洞。

Vulcan Cyber 的首席執(zhí)行官兼聯(lián)合創(chuàng)始人 Yaniv Bar-Dayan 表示，安全團隊可以通過三種選擇來解決數(shù)據(jù)安全問題：
  1）什么都不做，靠賭運氣。大多數(shù)組織都不會接受此選項。但從 Imperva 的研究中可以看出，幾乎一半的本地數(shù)據(jù)庫管理員都選擇了這條。
  2）外包給 AWS 或 Snowflake 等數(shù)據(jù)服務。這并不能完全免除數(shù)據(jù)所有者的安全責任，但對減輕負擔大有幫助。云和數(shù)據(jù)湖（Data lake）服務仍然可能通過用戶配置錯誤或錯誤的用戶訪問控制漏洞被黑客入侵。但是 DBaaS （數(shù)據(jù)庫即服務）提供商以最高級別的程序成熟度運行其網(wǎng)絡風險管理和漏洞修復程序，這為許多不想承擔這些責任的組織提供了急需的救助。
  3）像數(shù)據(jù)服務提供商一樣，在風險緩解和漏洞修復成熟度方面達到“變革性”（transformative）水平。風險和漏洞修復計劃有四個成熟度級別，“反應性”（reactive）最不成熟，“變革性”（transformative）最成熟，處于 4 級。 Vulcan Cyber 研究發(fā)現(xiàn)，55% 的漏洞管理計劃處于 1 級或 2 級成熟度，這與已知但未解決本地數(shù)據(jù)庫漏洞的情形相對應。

Bar-Dayan 解釋說，Imperva 數(shù)據(jù)并未根據(jù)所有者對風險的評估顯示漏洞是否可以接受，根據(jù) NIST 指南的漏洞嚴重性，只是對最終用戶進行自定義風險評分的一個參考方面?；陲L險的漏洞優(yōu)先級排序，對于有效的數(shù)據(jù)安全至關重要。

及時掌握網(wǎng)絡安全態(tài)勢 盡在傻蛋網(wǎng)絡安全監(jiān)測系統(tǒng)

【網(wǎng)絡安全監(jiān)管部門】免費試用

本文來源:securitymagazine

如涉及侵權，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權內(nèi)容。
電話：400-869-9193 負責人：張明