数据库安全能力:安全威胁TOP5
|
在一些帐户安全研究中,发现确定了一个用户,该用户尝试访问一个他从未访问过的数据库,然后在不到一个小时的时间内使用四个不同的帐户而没有成功,他使用第五个帐户成功登录了数据库,但是该帐户没有足够的特权来对该数据库执行任何操作。 此活动有多个危险信号:
曾数据泄露报告称超过3500万条记录丢失或被盗,其中44%与医疗或医疗保健相关。 此事件中将该活动标记为高风险,并提供了一项分析,指出此事件是由受威胁的内部人员实施的。为了识别此类事件,您需要了解哪些用户是人类用户(而不是作业进程和应用程序)。 不幸的是,当今使用的许多安全系统工具无法识别数据泄露,因为它们无法区分对数据库的可疑访问和正常访问。这些工具产生了太多模糊的告警,这些告警需要进行大量调查分析才能具有可视化,从而造成了过度消耗。通用告警的这种过载是为什么只研究了不到百分之一的关键安全警告的原因。 对等组异常的一个例子是,一个开发人员在其开发工作中访问一个应用程序表,而另一名开发人员访问该表以查看同事的个人数据。确定风险级别的关键是上下文,特别是要了解用户和对等用户的正常表访问权限。由于恶意内部人员会利用其特权从企业组织中窃取数据,因此无法区分上下文非常危险(请参阅“特权滥用”部分)。 本地审计工具无法区分不正常的用户访问和正常的内容,并经常导致过多的告警,所有这些都必须由专业安全人员进行筛选。SIEM工具可以减小此范围并使其更易于可视化,但是它们缺乏此领域专业知识,并且仅是从源数据中提取出来,并且只为直接调查提供了有限的可操作选项。需要具有反入侵行为分析以及自动化的数据库监视和检测功能系统,可以提供关注实际威胁所需的情报,以一种上下文关联和可操作的方式关注真正的威胁。 5. 不安全的存储介质 您上次关注存储介质备份的威胁是什么时候?通常,它是完全不受保护的。许多管理漏洞涉及数据库备份磁盘和磁带的被盗或意外暴露。采取适当措施保护敏感数据的备份副本不仅是数据安全的最佳实践,而且是许多法规的强制性要求。 此外,特权较高的用户通常将具有直接访问数据库服务器的权限。这种物理上的接触意味着他们可以插入类似拇指大小的USB驱动器,并直接对数据库执行SQL命令,这可以关闭本地审计功能并绕过除数据库服务器内核级别部署的保护机制之外的所有保护机制。我们需要健壮的数据库监控和防御工具,不允许这些类型的违规行为的工具。 (1) 威胁组合 (编辑:西安站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
