数据安全知识：数据库安全威胁

数据库安全威胁

以下是创建数据库安全策略时必须考虑的最常见和最危险的威胁类型。

SQL注入

SQL 注入是一种网络攻击，攻击者通过输入字段将恶意代码插入结构化查询语言 (SQL) 语句中。如果数据库代码中存在漏洞，黑客就会绕过身份验证并获得向数据库发出命令的能力。

SQL 注入使入侵者能够执行以下一项（或多项）活动：

• 修改、窃取或删除数据。

• 创建新的漏洞来设置更高级的威胁（例如，APT 攻击）。

• 获得系统的 root 访问权限。

• 损害后端基础设施。

虽然不太常见，但也有NoSQL注入。当不敏感的查询允许入侵者包含恶意输入并在 NoSQL 数据库上执行不需要的命令时，就会发生这些攻击。

恶意软件

恶意软件（恶意软件的缩写）是基于软件的威胁（勒索软件、间谍软件、广告软件、木马、蠕虫、病毒等）的总称。犯罪分子以各种方式将恶意软件引入数据库，例如通过：

• 受感染的软件。

• 连接到数据库网络的端点设备。

• 路过式下载。

• 隐藏在电子邮件附件中的特洛伊木马。

• 未经授权现场访问数据库服务器。

恶意软件以不同的方式对数据库造成损害。恶意程序使黑客能够执行以下一项（或多项）操作：

• 窃取敏感数据。

• 破坏或修改文件（例如，加密数据库内所有文件的勒索软件攻击）。

• 通过使数据库服务器崩溃来破坏相关系统。

• 在数据库中创建后门。

• 获得远程访问。

• 监视数据或键盘输入。

虽然大多数恶意软件来自组织外部，但请记住，您的策略还必须考虑内部威胁。具有恶意意图并授权访问数据库的员工将是一场即将发生的灾难。

人为错误

以下是一些经常危害数据库安全的错误：

• 使用和重复使用弱密码。

• 与其他员工共享密码。

• 在BYOD设备上安装受感染的软件。

• 向错误的人员授予访问权限（组织内部或外部）。

• 将包含敏感数据的消息发送到私人社交媒体或电子邮件帐户。

• 使用影子 IT设备从数据库传输数据或向数据库传输数据。

• 数据意外删除或损坏。

虽然这些事件背后通常没有恶意，但错误仍然是数据库安全的主要威胁之一。2022 年， 不知情的用户行为是所有报告的数据泄露事件中近一半 (49%) 的原因。

DMS 漏洞

犯罪分子不断寻找数据库管理软件 (DMS) 中的漏洞。虽然商业和开源数据库平台背后的公司定期发布补丁，但许多用户未能足够快地安装更新以阻止黑客利用漏洞。

还有所谓的零日攻击的危险。当黑客在数据库供应商有机会修补问题之前发现 DMS 中的可利用漏洞时，就会发生这些事件。

密码攻击

大多数数据库使用密码作为用户身份验证的主要方法。犯罪分子经常使用机器人来尝试猜测密码，这种方法有以下几种策略：

• 暴力攻击（通过尝试不同的字符组合来系统地尝试猜测密码）。

• 字典攻击（通过常用单词和短语的列表来尝试猜测密码）。

• 密码喷射攻击（使用常用凭据列表）。

• 撞库攻击（使用从其他网站或数据库窃取的一组用户名和密码来尝试获取访问权限）。

一些犯罪分子更喜欢窃取密码而不是猜测密码。网络钓鱼是社会工程的一种形式，是窃取凭证的首选技术。网络钓鱼攻击者通常试图诱骗员工在虚假的登录表单中输入用户名和密码。

拒绝服务 (DoS) 攻击

当攻击者用虚假请求淹没数据库服务器时，就会发生拒绝服务 (DoS)。然后，服务器将无法满足合法请求，导致设备崩溃或变得不稳定。

DoS 攻击通常有以下两个目标之一：

• 通过导致资源耗尽来停止业务运营。

• 当攻击者执行其他任务（例如窃取数据或设置恶意软件）时，分散安全团队的注意力。

DoS 的一种更具挑战性的形式是分布式拒绝服务 (DDoS) 攻击。在 DDoS 中，虚假流量来自多个服务器（通常是来自毫无戒心的用户的受恶意软件感染的设备），这使得安全团队阻止攻击变得更加困难。