中小企業安全 SQL注入仍是主要威脅

2013-10-16 17:41:56 EP電力信息化網　點擊量：評論 (0)

盡管一些研究數據顯示，與其他網絡犯罪方式相比，SQL注入攻擊有所下降，但是本周發布的最新調查顯示，對于關注數據庫安全的中小企業而言，阻止SQL注入攻擊仍然是他們最重要的工作。 Securosis公司分析

盡管一些研究數據顯示，與其他網絡犯罪方式相比，SQL注入攻擊有所下降，但是本周發布的最新調查顯示，對于關注數據庫安全的中小企業而言，阻止SQL注入攻擊仍然是他們最重要的工作。

Securosis公司分析師Adrian Lane表示，“盡管SQL注入這種攻擊形式已經出現十年之久，但仍是最大的安全威脅，雖然根據數據泄露事故的分析顯示，SQL注入攻擊有所下降，但是這仍然是中小企業和擁有web應用程序的企業面臨的主要問題。”

數據庫安全公司Green SQL對6000多名中小企業技術決策者進行了調查，詢問讓他們夜不能寐的數據庫安全問題。雖然，只有18%的中小企業受訪者表示他們擔心合規問題，并且只有不到三分之一的受訪者擔心內部威脅(例如惡意內部人員)，51%的受訪者表示SQL注入攻擊是最令他們頭痛的問題。Green SQL首席技術官David Maman表示，SQL注入攻擊當之無愧地成為最受關注的問題。他表示，“說實話，這讓我們很震驚，因為現在討論的所有研究結果都是有關SQL注入攻擊已經下降，但這卻是中小企業社區面臨的最大威脅，很多人都擔心Anonymous，很多人擔心暴露敏感信息和客戶信息。”

面對尋找SQL注入漏洞的自動蠕蟲病毒和大規模SQL注入攻擊，很多中小企業往往無法不具備相關洞察力或者方法來阻止它們。他們經常不知道他們已經被“圍困”，Maman舉了一個實例，一位新的Green SQL中小企業客戶找到他，想知道其軟件有什么問題，結果后來發現他的基礎設施每天遭受2000次SQL注入攻擊嘗試。

在幫助該名管理員進行調查后，Maman不僅發現這個數字準確無誤，而且發動這種攻擊的IP地址之一位于該中小企業自己的網絡內部。

“他告訴我，‘看，這是一個誤報，因為這是我的網絡IP地址，’”Maman表示，“我告訴他，‘聽著，這是一個真正的SQL注入攻擊’，原來他的一臺電腦被惡意軟件感染了。”

根據Verizon公司RISK團隊負責人Chris Porter表示，Verizon最近發布的數據泄露調查統計數據的優先級可能要比其他攻擊要低，但是這仍然是中小企業需要認真對待的事情。

“這是一個很大的問題，”他表示，“你可以看到在我們過去兩年的調查數據中，SQL注入攻擊已經下降，相對于其他攻擊來說，這種下降確實是在發生。”

在SQL注入攻擊方面，他認為影響中小企業最大的因素之一是他們更加頻繁地使用現成的電子商務解決方案。他表示，中小企業往往不會修復這些軟件，或者進行正確地配置，這讓中小企業很容易成為自動攻擊的目標。即使沒有部署任何數據庫安全或者web應用程序防火墻解決方案，很多企業都可以通過及時修復這些電子商務和第三方web應用程序來降低他們的風險面。

“我認為很多小型企業并沒有認真對待，他們經常沒有修復漏洞，”Porter表示，“這樣就可能存在SQL注入漏洞，攻擊者就能夠利用這些漏洞發動攻擊，然后自動注入腳本。”