如今的風(fēng)險(xiǎn)環(huán)境充斥著各種新舊不同的風(fēng)險(xiǎn)和漏洞。有些大的風(fēng)險(xiǎn)在過去的幾年中并沒有什么變化。許多風(fēng)險(xiǎn)仍在肆虐,給敏感信息造成極大的威脅和巨大的破壞成本。其中,數(shù)據(jù)庫的安全風(fēng)險(xiǎn)一直是業(yè)界關(guān)注的重點(diǎn)。2012年,企業(yè)面臨的數(shù)據(jù)庫風(fēng)險(xiǎn)將有增無減。

  數(shù)據(jù)庫越來越容易遭到攻擊有兩方面原因:首先,公司被要求越來越多地增加對存儲在數(shù)據(jù)庫中數(shù)據(jù)的訪問。增加的數(shù)據(jù)訪問極大地增加了數(shù)據(jù)被竊取和濫用的風(fēng)險(xiǎn)。要求訪問數(shù)據(jù)的人員包括內(nèi)部雇員、審計(jì)人員、承包商、分包商、供應(yīng)鏈的合作伙伴等。其次,數(shù)據(jù)庫的攻擊者已經(jīng)發(fā)生了變化。過去,攻擊者的目的是為了炫耀其才能,雖然意圖并不高尚,但很少造成數(shù)據(jù)失竊。如今,攻擊者的動機(jī)往往是經(jīng)濟(jì)上的,有時(shí)與政治或意識形態(tài)有關(guān)。攻擊者有組織并且死心塌地地尋求可以使其發(fā)財(cái)?shù)男畔ⅲ缰R產(chǎn)權(quán)、信用卡號、個(gè)人身份證號、政府機(jī)密等私密信息。

  在考慮到這些風(fēng)險(xiǎn)后,企業(yè)需要一種可以清除漏洞、定位敏感數(shù)據(jù)、確認(rèn)用戶訪問、監(jiān)視數(shù)據(jù)庫活動的安全策略,而且能在數(shù)據(jù)庫水平上減輕風(fēng)險(xiǎn)。從歷史上看,企業(yè)將工作的重點(diǎn)放在外圍安全和外部攻擊上,投資購買了防火墻、反病毒軟件,并確保路由器的配置安全等。雖然這些投資很有必要,但對于阻止針對數(shù)據(jù)庫的直接攻擊卻收效甚微。如果不阻擊這些攻擊,會搞垮公司。調(diào)查發(fā)現(xiàn),現(xiàn)代的數(shù)據(jù)庫攻擊所造成的單位成本比以往任何攻擊都要巨大。而修復(fù)數(shù)據(jù)庫損害的花費(fèi)更是越來越高。在這種環(huán)境中,企業(yè)必須保護(hù)自己免受高風(fēng)險(xiǎn)的危害,并重視保護(hù)數(shù)據(jù)庫免受各種新出現(xiàn)風(fēng)險(xiǎn)的破壞。

  下文討論的是一些需要引起關(guān)注的重要安全風(fēng)險(xiǎn),在制定和實(shí)施2012年的數(shù)據(jù)庫防御策略時(shí),必須考慮這些方面。

  一、內(nèi)部人員錯(cuò)誤

  數(shù)據(jù)庫安全的一個(gè)潛在風(fēng)險(xiǎn)是“非故意的授權(quán)用戶攻擊”和內(nèi)部人員錯(cuò)誤。這種安全事件類型的常見表現(xiàn)包括:由于不慎而造成意外刪除或泄漏,非故意的規(guī)避安全策略。在授權(quán)用戶無意訪問敏感數(shù)據(jù)并錯(cuò)誤地修改或刪除信息時(shí),會發(fā)生第一種風(fēng)險(xiǎn)。在用戶為了備份或“將工作帶回家”而作了非授權(quán)的備份時(shí),會發(fā)生第二種風(fēng)險(xiǎn)。雖然這并不是一種惡意行為,但很明顯,它違反了公司的安全策略,并會造成數(shù)據(jù)存放到存儲設(shè)備上,在該設(shè)備遭到惡意攻擊時(shí),會導(dǎo)致非故意的安全事件。例如,筆記本電腦能造成這種風(fēng)險(xiǎn)。

  經(jīng)常進(jìn)行用戶權(quán)利的檢查可以使審計(jì)人員、IT顧問等知道企業(yè)的數(shù)據(jù)所有權(quán)、訪問控制、對敏感信息的權(quán)利等詳細(xì)信息。這個(gè)過程可以使企業(yè)確立有效的責(zé)任分離制度,更好地滿足合規(guī)要求。

  監(jiān)視責(zé)任的分離變得日益重要。適當(dāng)?shù)脑L問權(quán)限是一個(gè)關(guān)鍵的安全問題,責(zé)任分離的控制是合規(guī)要求的一個(gè)基本原則。

  為確保這些無意的違反不會發(fā)生,企業(yè)應(yīng)當(dāng)將關(guān)鍵的保護(hù)從網(wǎng)絡(luò)和Web應(yīng)用程序?qū)訑U(kuò)展到數(shù)據(jù)庫。常規(guī)的數(shù)據(jù)庫安全評估包括審計(jì)和滲透測試,而且應(yīng)當(dāng)執(zhí)行錯(cuò)誤配置的檢查,以盡量減少這些風(fēng)險(xiǎn)。此外,還可以實(shí)施活動監(jiān)視,以保證不會無意下載或傳輸敏感數(shù)據(jù)。

  二、社交工程

  由于攻擊者使用的高級釣魚技術(shù),在合法用戶不知不覺地將安全機(jī)密提供給攻擊者時(shí),會發(fā)生大量的嚴(yán)重攻擊。這些新型攻擊的成功,意味著此趨勢在2012年繼續(xù)。在這種情況下,用戶會通過一個(gè)受到損害的網(wǎng)站或通過一個(gè)電子郵件響應(yīng)將信息提供給看似合法的請求。應(yīng)當(dāng)通知雇員這種非法的請求,并教育他們不要做出響應(yīng)。此外,企業(yè)還可以通過適時(shí)地檢測可疑活動,來減輕成功的釣魚攻擊的影響。數(shù)據(jù)庫活動監(jiān)視和審計(jì)可以使這種攻擊的影響小化。

  三、內(nèi)部人員攻擊

  很多數(shù)據(jù)庫攻擊源自企業(yè)內(nèi)部。當(dāng)前的經(jīng)濟(jì)環(huán)境和有關(guān)的裁員方法都有可能引起雇員的不滿,從而導(dǎo)致內(nèi)部人員攻擊的增加。這些內(nèi)部人員受到貪欲或報(bào)復(fù)欲的驅(qū)使,且不受防火墻及入侵防御系統(tǒng)等的影響,容易給企業(yè)帶來風(fēng)險(xiǎn)。

  常見的內(nèi)部人員攻擊包括口令猜測或竊取、特權(quán)提升、數(shù)據(jù)竊取、惡意軟件部署、拒絕服務(wù)攻擊等。例如,如果某雇員準(zhǔn)備離職,在對目前的公司不滿時(shí),有可能訪問并竊取大量的私密文檔。這表明,僅有防火墻和網(wǎng)絡(luò)安全是遠(yuǎn)遠(yuǎn)不夠的。企業(yè)應(yīng)定期執(zhí)行用戶權(quán)力的檢查、評估漏洞并監(jiān)視特權(quán)活動(包括受信任的雇員和合伙人)等,這至關(guān)重要。

  在不少企業(yè),很多人可以訪問需要特定權(quán)限才能訪問的數(shù)據(jù);蛘,雇員擁有過高的權(quán)限,可被用于訪問敏感數(shù)據(jù)。從本質(zhì)上講,公司網(wǎng)絡(luò)上的通道越多,利用網(wǎng)絡(luò)訪問點(diǎn)的機(jī)會越多,企業(yè)更容易遭到攻擊。

  在任何企業(yè)中,知道敏感的數(shù)據(jù)在哪里至關(guān)重要。首要的一步是全面分析哪些用戶可以訪問每個(gè)系統(tǒng),他們可以訪問哪些數(shù)據(jù)和功能,根據(jù)用戶的業(yè)務(wù)功能驗(yàn)證用戶是否被授予了適當(dāng)?shù)脑L問水平。具有前瞻性思維的企業(yè)必須主動地實(shí)施用戶權(quán)利的佳實(shí)踐,確保將數(shù)據(jù)的適當(dāng)訪問和所有權(quán)分配給機(jī)密數(shù)據(jù)。如果不執(zhí)行全面的用戶權(quán)利檢查,會增加企業(yè)的數(shù)據(jù)訪問被濫用的風(fēng)險(xiǎn),并增加不遵守合規(guī)要求的風(fēng)險(xiǎn)。