Imperva 最新發布的一項研究報告指出，全球近一半 (46%) 的內部數據庫至少有一個未修補的常見漏洞和曝露 (CVE)，平均每個數據庫有 26 個漏洞，這是一個令人震驚的結論。
Imperva研究實驗室基于五年前推出的專有數據庫掃描工具，對全球 27,000 個內部數據庫進行了前所未有的研究，這是迄今為止完成的同類分析中規模最大的一次。
研究結果表明，近一半 (46%) 的內部數據庫至少有一個未修補的常見漏洞和曝露 (CVE)，平均每個數據庫有 26 個漏洞。而根據美國國家標準與技術研究院 (NIST) 的指南，超過一半 (56%) 的漏洞被評為“高”（high）或“嚴重”（critical）。包括可用于劫持整個數據庫及其所包含信息的代碼執行漏洞。
Imperva指出，“這表明許多組織沒有優先考慮其數據的安全性，也忽視了常規的修補操作”。“根據 Imperva 掃描，一些 CVE 已經三年或更長時間沒有得到解決。”
對于未受保護的數據庫，法國情況最嚴重，84% 的被掃描數據庫包含至少一個漏洞，每個數據庫的平均漏洞數為 72。澳大利亞緊隨其后65%（平均 20 個漏洞），然后是新加坡64%（平均 62 個漏洞）、英國61%（平均 37 個漏洞）和中國52%（平均 74 個漏洞 ）。

“在某些方面，對于我們這些管理過企業混亂局面的人來說，這些數字并不奇怪，”Vectra 的 CTO 團隊技術總監 Tim Wade 認為，“當然，忽視和缺乏 IT 衛生是造成這種現象的重要組成部分”。但他認為，同樣重要的是，數據庫相對于其他基礎設施，不對等地成為了基本業務系統的重要組成部分。現實中，因未能修補而造成的破壞風險、或修補程序未完全成熟，可能導致系統中斷等風險，這些風險問題更能引起企業的關注和重視，企業通常只是簡單地從系統業務中挖掘安全漏洞，而忽略了數據庫等基礎設施的漏洞。

Vulcan Cyber 的首席執行官兼聯合創始人 Yaniv Bar-Dayan 表示，安全團隊可以通過三種選擇來解決數據安全問題：
  1）什么都不做，靠賭運氣。大多數組織都不會接受此選項。但從 Imperva 的研究中可以看出，幾乎一半的本地數據庫管理員都選擇了這條。
  2）外包給 AWS 或 Snowflake 等數據服務。這并不能完全免除數據所有者的安全責任，但對減輕負擔大有幫助。云和數據湖（Data lake）服務仍然可能通過用戶配置錯誤或錯誤的用戶訪問控制漏洞被黑客入侵。但是 DBaaS （數據庫即服務）提供商以最高級別的程序成熟度運行其網絡風險管理和漏洞修復程序，這為許多不想承擔這些責任的組織提供了急需的救助。
  3）像數據服務提供商一樣，在風險緩解和漏洞修復成熟度方面達到“變革性”（transformative）水平。風險和漏洞修復計劃有四個成熟度級別，“反應性”（reactive）最不成熟，“變革性”（transformative）最成熟，處于 4 級。 Vulcan Cyber 研究發現，55% 的漏洞管理計劃處于 1 級或 2 級成熟度，這與已知但未解決本地數據庫漏洞的情形相對應。

Bar-Dayan 解釋說，Imperva 數據并未根據所有者對風險的評估顯示漏洞是否可以接受，根據 NIST 指南的漏洞嚴重性，只是對最終用戶進行自定義風險評分的一個參考方面。基于風險的漏洞優先級排序，對于有效的數據安全至關重要。

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:securitymagazine

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明