最近,来自俄罗斯和乌克兰的五名嫌犯被起诉涉嫌盗窃超过一亿六千万信用卡号码和其他财务数据,受害企业包括NASDAQ、JCP、Carrefour、Discover Bank、Hannaford、Heartland和Dow Jones。起诉书上显示,在2005年到2012年七年的时间中,嫌犯共盗取受害者达3亿美元的资产。
从该事件中我们了解到,在大多数情况下,黑客们并没有采用特别复杂的方法来入侵企业网络。通常是通过SQL注入漏洞来发动攻击,而这个漏洞的存在已经超过十年之久。
例如,NASDAQ网络最初遭受攻击是源自在线密码提醒页面上的SQL注入漏洞,这个漏洞可以让黑客们未经授权而进入到公司的网络系统,最终控制整个网络系统。
通过SQL注入攻击,黑客们利用编码较差的Web应用软件在企业的系统和网络中安装恶意代码。当web应用程序没能正确过滤或验证用户输入的数据,例如网上购物或重设密码时,这个漏洞就可能被利用。
黑客可以利用输入验证错误来发送伪造SQL查询到底层数据库,从而入侵数据库,安装恶意代码,或入侵网络上的其他系统。
SQL注入漏洞一旦发现,很容易修复。但IT专业人员面临的挑战是去哪里查找这些漏洞。在大型web应用程序中,用户可以在上百处地方输入数据,每一个都可能为黑客提供机会。
多年来,黑客一直在利用SQL注入漏洞,因为这种漏洞比较容易掌握。近年来,SQL注入攻击是黑客们入侵网络最受欢迎的方法之一。
一些安全专家和组织(例如支付卡行业安全委员会)长期以来一直在敦促企业彻底扫描web应用程序中的这种漏洞。他们建议使用web应用防火墙来缓解这种威胁。
PCI委员会要求企业进行全面的源代码分析来扫除这些漏洞,或者使用web应用程序防火墙。
即便如此,很多公司仍然未能全面部署这些措施来缓解SQL注入威胁,Gartner分析师Avivah Litan说,“SQL注入攻击之所以能够成功,是因为企业并没有部署足够好的保护。”
Litan表示,虽然企业知道应用程序代码审查和部署应用防火墙的必要,但很多企业因为资源问题往往忽略了这些问题。
“企业没有部署这些措施是因为,他们已经不堪重负,他们没有足够的资金和资源来解决SQL问题,”她表示,“企业非常需要进行预算优先排序,并解决组织孤岛问题。”
应用安全公司WhiteHat Security创始人兼首席技术官Jeremiah Grossman表示,很多企业的软件开发资源已经完全耗尽了。
“你的编程员需要不断为客户推出新功能,以确保为企业创收。如果他们慢下来,或者做别的工作,例如修复其代码中的漏洞,这肯定会牺牲他们开发新功能的时间,所以他们当然没有足够的时间和资源来做所有的事情。”
“对于SQL注入漏洞问题,我们了解它也知道如何修复它,但是核心问题是SQL漏洞的规模以及开发资源限制。”(编译/邹铮)