數(shù)據(jù)庫的出廠設置和薄弱的配置讓攻擊者更容易攻入數(shù)據(jù)存儲，讓IT更難以快速檢測數(shù)據(jù)泄露。盡管企業(yè)花了很多錢在IT基礎(chǔ)設施的各個層次部署數(shù)據(jù)防御措施，但最終這些努力可能在配置不當?shù)臄?shù)據(jù)庫中毀于一旦。無論是因為方便管理員還是數(shù)據(jù)庫管理員缺乏安全意識，企業(yè)內(nèi)經(jīng)常可以看到數(shù)據(jù)庫仍然采用出廠設置。

這些默認的配置很容易被消息靈通的數(shù)據(jù)竊賊獲取。當攻擊者訪問到登錄屏幕時，他們首先會嘗試使用默認賬戶登錄信息。當他們發(fā)現(xiàn)存儲在數(shù)據(jù)庫的密鑰時，他們會如獲至寶。

GreenSQL公司首席技術(shù)官兼創(chuàng)始人David Maman表示，“唯一可以使用默認配置的是你的TIVO或者電視，IT世界的任何位置都最好不好使用默認配置，尤其是數(shù)據(jù)庫。數(shù)據(jù)庫硬化是至關(guān)重要的。”

成也數(shù)據(jù)庫，敗也數(shù)據(jù)庫，數(shù)據(jù)庫配置如果設置得當，將可以保護數(shù)據(jù)存儲，反之，將讓數(shù)據(jù)面臨數(shù)據(jù)泄露的風險。安全專家建議企業(yè)仔細檢查所有的數(shù)據(jù)庫默認設置，以下幾個默認設置將構(gòu)成最大風險：

1. 默認的密碼和帳戶

Accuvant實驗室首席安全架構(gòu)師David Litchfield表示：“不安全的密碼絕對是最致命的數(shù)據(jù)庫服務器配置問題。”

我們看到各種圍繞身份驗證和賬戶憑證的配置問題，但到目前為止，最危險和最普遍的是允許默認管理用戶名和密碼繼續(xù)使用。

eIQnetworks公司首席安全和合規(guī)官John Linkous表示，“攻擊者和惡意軟件會故意針對已知的登錄信息，更改共同賬戶名稱或者其他管理默認賬戶，并為這些賬戶使用復雜的密碼，將為數(shù)據(jù)庫增加一個安全層。”

此外，允許匿名登錄的默認配置是另一個危險的權(quán)限設置。

“攻擊者經(jīng)常使用分析工具來查找允許匿名登錄的數(shù)據(jù)庫，然后確定數(shù)據(jù)庫和其他信息，”ExtraHop Networks公司高級技術(shù)培訓師Cal Jewell表示，“然后他們使用這些信息來發(fā)動攻擊，以幫助他們獲得更多的訪問權(quán)限。”

同樣地，共享服務賬戶可能會帶來很大風險，因為它們難以被監(jiān)控，并且經(jīng)常在數(shù)據(jù)庫內(nèi)提供相當大的權(quán)限。

2. 允許直接表訪問

Infusions Brands公司電子商務副總裁Ron Rule表示，讓企業(yè)陷入困境的頭號數(shù)據(jù)庫配置問題是允許直接表訪問。

Rule表示，讓你的應用程序可以自己生成SELECT/UPDATE/INSERT/DELETE語句，并直接訪問表時，你的數(shù)據(jù)很容易被泄露。

在這種情況下，最佳保護措施之一就是在開發(fā)過程中通過存儲過程創(chuàng)建一個訪問緩沖區(qū)。

他表示：“讓你的應用程序只能執(zhí)行這些存儲過程，然后授予用戶權(quán)限來訪問這些存儲過程，而拒絕直接對表的訪問。”

3.保留默認存儲過程

然而，存儲過程并不一定是一件好事。在很多情況下，執(zhí)行常見任務(例如添加用戶)的出廠存儲過程其實一個很大的漏洞。

如果落入壞人的手中，一些出廠存儲過程將被濫用。他表示，“微軟SQL服務器的‘xp_cmdshell’就是一個這樣的例子：一個允許任意命令行的SP將被執(zhí)行，即使該命令在SQL服務器范圍外運行。”

他建議企業(yè)密切關(guān)注默認存儲過程，要么完全禁止它們，要么刪除它們。

4.加密密鑰存儲在數(shù)據(jù)中心

Vormetric公司產(chǎn)品營銷高級總監(jiān)Todd Thiemann表示，如果執(zhí)行得當，數(shù)據(jù)庫加密可以增加有效的安全保護層。但糟糕的配置將讓數(shù)據(jù)庫供應商提供的透明數(shù)據(jù)加密(TDE)失效。

“將TDE密鑰存儲到數(shù)據(jù)庫的默認方法就像是將鑰匙放在門把手上，或者將密碼寫在顯示器上的便條上，”他表示，“企業(yè)應該將加密密鑰存儲在不托管該數(shù)據(jù)庫的服務器上。”

5. 不必要的服務和應用程序

數(shù)據(jù)庫具有各種支持服務、應用程序和其他組件，以便為盡可能多的用例提供廣泛的功能集。但數(shù)據(jù)庫的每個增加的組件都增加了潛在攻擊者可以利用的攻擊面。

“大多數(shù)數(shù)據(jù)庫產(chǎn)品提供‘附加’組件，例如報告或分析工具，”Linkous表示，“這些組件可能對整個數(shù)據(jù)庫系統(tǒng)帶來更多的漏洞，企業(yè)應該對不必要的組件進行禁用或者卸載。”

讓事情更糟糕的是，現(xiàn)在很多數(shù)據(jù)庫都沒有即時修復漏洞。不過，企業(yè)通常只需要一小部分功能集就能夠支持任何一個數(shù)據(jù)庫安裝，這可以幫助降低很大風險。

“在我們的安全部署中，我們經(jīng)常看到在數(shù)據(jù)庫服務器剛剛構(gòu)建時，會安裝盡可能多的組件，以備不時之需，”他表示，“企業(yè)只需要有一點點遠期規(guī)劃意識，就可以避免很多組件。應用程序開發(fā)人員應該明確他們具體需要哪些組件，避免不需要的組件。”