数万套未加验证保护的数据库暴露在外

数据库技术发展已达半个世纪之久，而云时代开始以后，我们可以从全新的视角审视数据库等基础技术的过去和未来。作为数据存储的主要技术手段，数据库系统在整个IT架构中的重要地位不言而喻。
然而，伴随互联网技术的飞速发展，数据库被逐渐暴露在更开放、更复杂的网络环境中，传统网络安全体系已不再适用于云计算、多连接等环境，高速的场景迁移和猖獗的黑产交易，更使数据库面临更多安全挑战。
过去几年，大规模数据泄露事件越来越司空见惯，百万甚至千万条记录的大规模泄露事件层出不穷。泄露的原因之一，就是直接接入互联网的数据库存在安全性差 / 未经验证保护的问题。
最近，RedHunt 实验室对网上公开的数据库进行研究，结果令人震惊：
• 21387 个未经验证保护 / 公开的 MongoDB 数据库
• 20098 个暴露的 elasticsearch 实例
• 20528 个非安全 Redis 数据库
• 25575 个暴露在外的 Memcached 服务器
• 1977 个非安全 CouchDB 实例
• 3340 个 Cassandra 数据库暴露在互联网上
• 570 个暴露在互联网上的 RethinkDB 数据库
• 1846 个非安全 HBase 实例
除了其中常见的源代码 repo、内部文档、查询系统 / 门户以及仪表板之外，最受关注也是最具安全影响的当然是未经验证保护的数据库。这些暴露在外的数据库不仅常被发现，而且往往会极大影响并增加相关组织的攻击面。
2018-2019年，全球各地深受数据泄露事件的困扰，已造成数以万计损失。据《数据泄露损失研究》评估显示，遭遇数据泄露事件的公司企业平均要损失386万美元，同比去年增加了6.4%。面对如此严峻的数据安全形势，如何有效地保障数据安全成为了众多企业的当务之急。
建议：对数据的访问，应进行帐号权限的划分，三权分立，知其所需，通过完善接入安全，固定接入的终端设备、应用接口，将非法接入拒之门外，同时采用多因素认证(MFA)方式和强口令认证，周期性修改口令，防止弱口令和权限泄露；数据相关的系统更改不安全的默认配置，进行加固操作；对数据根据重要程度和敏感级别进行分级，划分访问权限；存储和传输数据时，进行敏感数据脱敏和加密处理，同时对内部员工进行安全培训，提供保障数据安全意识。
数据库提供稳定可靠的数据备份和恢复，多重安全防护措施，完善的性能监控体系，可视化界面管理，让企业更专注于业务发展。https://www.56dr.com/