Imperva 最新发布的一项研究报告指出,全球近一半 (46%) 的内部数据库至少有一个未修补的常见漏洞和曝露 (CVE),平均每个数据库有 26 个漏洞,这是一个令人震惊的结论。
Imperva研究实验室基于五年前推出的专有数据库扫描工具,对全球 27,000 个内部数据库进行了前所未有的研究,这是迄今为止完成的同类分析中规模最大的一次。
研究结果表明,近一半 (46%) 的内部数据库至少有一个未修补的常见漏洞和曝露 (CVE),平均每个数据库有 26 个漏洞。而根据美国国家标准与技术研究院 (NIST) 的指南,超过一半 (56%) 的漏洞被评为“高”(high)或“严重”(critical)。包括可用于劫持整个数据库及其所包含信息的代码执行漏洞。
Imperva指出,“这表明许多组织没有优先考虑其数据的安全性,也忽视了常规的修补操作”。“根据 Imperva 扫描,一些 CVE 已经三年或更长时间没有得到解决。”
对于未受保护的数据库,法国情况最严重,84% 的被扫描数据库包含至少一个漏洞,每个数据库的平均漏洞数为 72。澳大利亚紧随其后65%(平均 20 个漏洞),然后是新加坡64%(平均 62 个漏洞)、英国61%(平均 37 个漏洞)和中国52%(平均 74 个漏洞 )。
“在某些方面,对于我们这些管理过企业混乱局面的人来说,这些数字并不奇怪,”Vectra 的 CTO 团队技术总监 Tim Wade 认为,“当然,忽视和缺乏 IT 卫生是造成这种现象的重要组成部分”。但他认为,同样重要的是,数据库相对于其他基础设施,不对等地成为了基本业务系统的重要组成部分。现实中,因未能修补而造成的破坏风险、或修补程序未完全成熟,可能导致系统中断等风险,这些风险问题更能引起企业的关注和重视,企业通常只是简单地从系统业务中挖掘安全漏洞,而忽略了数据库等基础设施的漏洞。
Vulcan Cyber 的首席执行官兼联合创始人 Yaniv Bar-Dayan 表示,安全团队可以通过三种选择来解决数据安全问题:
1)什么都不做,靠赌运气。大多数组织都不会接受此选项。但从 Imperva 的研究中可以看出,几乎一半的本地数据库管理员都选择了这条。
2)外包给 AWS 或 Snowflake 等数据服务。这并不能完全免除数据所有者的安全责任,但对减轻负担大有帮助。云和数据湖(Data lake)服务仍然可能通过用户配置错误或错误的用户访问控制漏洞被黑客入侵。但是 DBaaS (数据库即服务)提供商以最高级别的程序成熟度运行其网络风险管理和漏洞修复程序,这为许多不想承担这些责任的组织提供了急需的救助。
3)像数据服务提供商一样,在风险缓解和漏洞修复成熟度方面达到“变革性”(transformative)水平。风险和漏洞修复计划有四个成熟度级别,“反应性”(reactive)最不成熟,“变革性”(transformative)最成熟,处于 4 级。 Vulcan Cyber 研究发现,55% 的漏洞管理计划处于 1 级或 2 级成熟度,这与已知但未解决本地数据库漏洞的情形相对应。
Bar-Dayan 解释说,Imperva 数据并未根据所有者对风险的评估显示漏洞是否可以接受,根据 NIST 指南的漏洞严重性,只是对最终用户进行自定义风险评分的一个参考方面。基于风险的漏洞优先级排序,对于有效的数据安全至关重要。
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:securitymagazine
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照