以下的文章主要是介绍企业数据库安全失效的5个主要原因,虽然关于数据库安全最佳做法已经整整讨论了几年的时间了,并且现有的数据库安全工具也已经成熟,但现在企业仍然无法确保最机密数据的存储安全。
近日独立Oracle用户集团发布的数据安全调查结果就揭露了企业最常见的数据库安全错误。从这些结果来看,很明显,现在大多数企业都是凭感觉在运行数据库安全。绝大多数企业根本没有监控他们的数据库,或者说以特设的方式来监控。更令人不安的是,大多数企业甚至不知道他们的重要数据的位置,很多管理员在调查中承认他们并不能肯定数据库中包含着重要信息。
从调查结果中,我们已经确定了泄漏事故发生率居高不下的最主要原因,除非企业对这些做法进行适当控制,否则数据泄漏事故还将继续制造新闻。
企业数据库安全失效的五大原因1. 企业仍然不知道重要数据的位置
在企业可以保护他们的重要数据之前,他们必须知道重要数据的位置。不幸的是,在当今快节奏的IT环境,很多管理员发现很难在众多数据库中追踪重要信息。
事实上,他们只是不知道哪些数据库包含或者不包含诸如个人身份信息等数据。调查发现,48%的受访者承认他们不清楚企业中哪些数据库包含机密信息。
部分原因在于现在企业运行着大量的数据库。大约35%的企业运行11到100个数据库,将近40%的企业运行超过100个数据库,而13%的企业运行1000多个数据库。
更复杂的问题是,非常多的重要信息位于生产数据库外部。大约有37%的企业承认他们在非生产数据库使用生产数据,在这些受访者中,39%表示这些数据包含个人身份信息或者他们并不确定是否包含。
企业数据库安全失效的五大原因2. 安全监控力度不足
有这么多的数据库需要追踪,如果企业真的想清楚知道哪些人访问了重要数据,他们必须明确如何监测这些数据的活动。然而,只有四分之一的企业部署了自动化工具来定期监测数据库行为,这个数据自IOUG从2008年开始访问数据库管理员以来就大致保持不变。
IOUG还发现,虽然72%的企业表示至少在一些数据库上使用本地审计工具,很少的管理员会真正查看这些工具生成的数据。大约有11%的企业表示他们会定期手动监测数据库。
25%的企业表示他们没有办法确定数据库是否发生了未经授权更改。只有30%的企业表示他们能够在大多数数据库中检查出这种更改。约有46%的受访者表示他们只能够检测中某些数据库中的未经授权更改。
然而,在那些可以发现未经授权更改的受访者中,响应时间都很慢。只有12%的受访者表示他们能够在一个小时内检测出未经授权更改,而约有33%的受访者表示他们最多一天内可以察觉。大约16%的受访者表示需要一天或者更长事件,40%表示他们不确定什么时候能够察觉未经授权更改。
企业数据库安全失效的五大原因3. 特权用户运行不受制止
IOUG调查的一名受访者表示,“我们最大的风险可能是员工肆意运行,我们可以很快察觉,但是可能还是无法避免严重损害。”
这是很多管理员共同的心声,约有22%受访者将内部攻击者列为他们最大的数据库安全风险,而另外12%受访者表示滥用特权是最大的威胁。
尽管大家都知道这个威胁,但是却很少有企业采取行动来减轻这些风险。高达四分之三的企业并有或者不确定他们是否有办法制止特权用户滥用或者攻击数据库信息。只有23%的企业有办法阻止特权用户的意外更高。四分之一的企业,即使是普通用户都可以绕过应用程序获取对重要数据的直接访问。
也许更令人担心的是,面对未经授权访问和恶意篡改数据,很多公司无法保护审计数据。大约有57%的受访者并没有将数据库审计数据放到中央安全位置,从而使特权用户可以在未经授权访问或者篡改信息后更改审计数据来掩藏他们的踪迹。
企业数据库安全失效的五大原因4. 数据库补丁修复缓慢
现在很多数据泄漏事故都出自利用数据库和web应用程序漏洞攻入重要数据存储位置的黑客之手。根据最新Verizon2010数据泄漏调查报告显示,去年的数据泄漏事故中有90%涉及SQL注入攻击。
虽然企业完全可以通过保持更新数据库和以安全的方式配置来避免这些攻击,但是他们根本没有抓住这个机会来减轻风险。IOUG调查发现63%的管理员承认他们的关键补丁更新至少有一个周期时间的延误。最令人关注的是,17%的管理员表示他们从来没有修复补丁或者并不确定是否修复了补丁。
企业数据库安全失效的五大原因5. 加密不足
虽然HIPAA和PCL DSS等法规要求企业加密或者确定数据库内的个人身份信息,但企业内对个人身份信息的数据库加密仍然远远不够。少于三分之一的管理员表示,他们会对所有数据库内的个人身份信息进行加密,而38%则表示,他们没有加密个人身份信息或者不确定是否加密。对进出数据库的网络流量的加密也是同样如此,大约23%的企业表示他们加密所有流量,而35%承认他们没有加密流量或者不确定是否加密。
数据库加密真正的致命弱点就是数据库备份和数据库副本如何被发送到公司外合作伙伴的方式。不到一半的企业可以明确的表示,他们没有发送未加密数据库信息到公司外部。只有16%的企业表示他们对所有数据库备份和数据库副本进行了加密。