中小企業(yè)安全調查 SQL注入仍是主要威脅

盡管一些研究數(shù)據(jù)顯示，與其他網(wǎng)絡犯罪方式相比，SQL注入攻擊有所下降，但是本周發(fā)布的最新調查顯示，對于關注數(shù)據(jù)庫安全的中小企業(yè)而言，阻止SQL注入攻擊仍然是他們最重要的工作。

Securosis公司分析師Adrian Lane表示，“盡管SQL注入這種攻擊形式已經(jīng)出現(xiàn)十年之久，但仍是最大的安全威脅，雖然根據(jù)數(shù)據(jù)泄露事故的分析顯示，SQL注入攻擊有所下降，但是這仍然是中小企業(yè)和擁有web應用程序的企業(yè)面臨的主要問題。”

數(shù)據(jù)庫安全公司Green SQL對6000多名中小企業(yè)技術決策者進行了調查，詢問讓他們夜不能寐的數(shù)據(jù)庫安全問題。雖然，只有18%的中小企業(yè)受訪者表示他們擔心合規(guī)問題，并且只有不到三分之一的受訪者擔心內(nèi)部威脅(例如惡意內(nèi)部人員)，51%的受訪者表示SQL注入攻擊是最令他們頭痛的問題。Green SQL首席技術官David Maman表示，SQL注入攻擊當之無愧地成為最受關注的問題。他表示，“說實話，這讓我們很震驚，因為現(xiàn)在討論的所有研究結果都是有關SQL注入攻擊已經(jīng)下降，但這卻是中小企業(yè)社區(qū)面臨的最大威脅，很多人都擔心Anonymous，很多人擔心暴露敏感信息和客戶信息。”

面對尋找SQL注入漏洞的自動蠕蟲病毒和大規(guī)模SQL注入攻擊，很多中小企業(yè)往往無法不具備相關洞察力或者方法來阻止它們。他們經(jīng)常不知道他們已經(jīng)被“圍困”，Maman舉了一個實例，一位新的Green SQL中小企業(yè)客戶找到他，想知道其軟件有什么問題，結果后來發(fā)現(xiàn)他的基礎設施每天遭受2000次SQL注入攻擊嘗試。

在幫助該名管理員進行調查后，Maman不僅發(fā)現(xiàn)這個數(shù)字準確無誤，而且發(fā)動這種攻擊的IP地址之一位于該中小企業(yè)自己的網(wǎng)絡內(nèi)部。

“他告訴我，‘看，這是一個誤報，因為這是我的網(wǎng)絡IP地址，’”Maman表示，“我告訴他，‘聽著，這是一個真正的SQL注入攻擊’，原來他的一臺電腦被惡意軟件感染了。”

根據(jù)Verizon公司RISK團隊負責人Chris Porter表示，Verizon最近發(fā)布的數(shù)據(jù)泄露調查統(tǒng)計數(shù)據(jù)的優(yōu)先級可能要比其他攻擊要低，但是這仍然是中小企業(yè)需要認真對待的事情。

“這是一個很大的問題，”他表示，“你可以看到在我們過去兩年的調查數(shù)據(jù)中，SQL注入攻擊已經(jīng)下降，相對于其他攻擊來說，這種下降確實是在發(fā)生。”

在SQL注入攻擊方面，他認為影響中小企業(yè)最大的因素之一是他們更加頻繁地使用現(xiàn)成的電子商務解決方案。他表示，中小企業(yè)往往不會修復這些軟件，或者進行正確地配置，這讓中小企業(yè)很容易成為自動攻擊的目標。即使沒有部署任何數(shù)據(jù)庫安全或者web應用程序防火墻解決方案，很多企業(yè)都可以通過及時修復這些電子商務和第三方web應用程序來降低他們的風險面。

“我認為很多小型企業(yè)并沒有認真對待，他們經(jīng)常沒有修復漏洞，”Porter表示，“這樣就可能存在SQL注入漏洞，攻擊者就能夠利用這些漏洞發(fā)動攻擊，然后自動注入腳本。”

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]