前段时间有一起敏感的黑客事件被曝光,一个叫“Team Digi7al”的黑客组织被关闭,原因是他们的一名成员攻击了美国海军的web应用“Smart Web Move”。此次攻击造成美国海军数据库超过22万服役人员的个人信息被泄露。这次黑客攻击的攻击手段是什么?—— SQL注入。
前段时间,我们曾撰文回应在Dark Reading网站上发表的一篇关于IPS的统计报告,该报告展示了超过十年的攻击缓解数据,却漏掉了一个非常关键的数据值——应用攻击。绝大部分web应用攻击,包括SQL注入在内,都在这份报告中被忽视掉了。但不幸的是,web应用攻击在现实中广泛存在。
2014年Verizon数据泄露调查报告中揭示了web应用攻击数量是如何增长的,指出“web应用已成为网络攻击众所周知的靶心目标”。这种说法或许听起来很大胆,但事实的确如此。
· SQL注入攻击的代价是什么?
随着web应用攻击日渐增多,我们不得不思考SQL注入攻击的代价。
在ArsTechnica的一篇文章中,Goodin提到美国海军花费了超过50万美元(超过300万人民币)来处理这一次的数据泄露事故。或许对某些读者来说这是个瞠目的数字,然而在NTT集团发布的2014全球威胁情报报告中却指出一个残酷的事实——“企业对一次小规模SQL注入攻击的平均善后开支,通常超过19万6千美元(超过120万人民币)”。
50万美金算是让美国海军为这次SQL注入攻击导致的数据泄露事故付出了沉重代价。不过,由于安全意识的缺乏和对应用安全的忽视,SQL注入攻击依然是黑客们赚钱的好方法。
· SQL注入的现实
SQL注入绝不是一个过时的安全问题。作为一种非常容易被利用的攻击向量,SQL注入并不需要高级的攻击技术便可以盗取信息。事实上,由于SQL注入攻击非常高效,高级黑客往往利用自动化的SQL注入工具制造僵尸,建立可以自动攻击的僵尸网络。
通过Imperva的ThreatRadar众包威胁情报系统的社区防御服务,我们可以了解SQL注入的第一手信息。据我们在过去一个月内全球发生的30万起攻击事件中的抽样数据显示,24.6%的袭击是由SQL注入造成的。
SQL注入攻击并不会在短时间内消停,其背后的web应用攻击更是一个迫在眉睫的、代价昂贵的重大威胁,处理一次web应用安全事故要花掉超过20万美元。企业须意识到,部署web应用攻击缓解策略是必要的、也是首要的安全任务,这是保护企业数据安全关键的一步。