数据库安全现状分析：聚焦MSSQL攻击活动

关键要点

• 最近的研究表明，93%的攻击活动集中在Microsoft SQL (MSSQL)数据库上。
• 安全团队需认真对待数据库安全，包括使用强密码和多重身份验证等措施。
• MSSQL攻击主要集中在英国和中国，Redis数据库的攻击活动也在增加。
• Honeypots在网络安全防御中变得愈加重要，提供了有价值的攻击信息。

最近的研究指出，针对俄罗斯、乌克兰、波兰、英国、中国和美国的数据库服务器进行监控的蜜罐发现，Microsoft SQL (MSSQL)
占所有攻击活动的93%。在Trustwave SpiderLabs的一篇中，研究者强调，安全团队必须高度重视数据库安全。

“这意味着要使用强大且独特的密码，非同寻常的用户名，强大而安全的身份验证，禁用默认账户，并启用多重身份验证，”研究人员表示。

SpiderLabs的研究人员还建议，安全团队应密切关注谁在尝试访问系统以及所拥有的权限，同时保持软件的更新，并进行频繁的安全审计。他们补充说，MSSQL攻击结果的失衡促使他们决定进行另一个关于MSSQL的研究，该研究将在本月晚些时候发布。

MSSQL攻击统计

根据报告，英国的MSSQL攻击占比最高，达到21.84% ，紧随其后的是中国（21.49%）
，然后是乌克兰（19.52%）、俄罗斯（17.54%）、波兰（11.54%） 和美国（8.08%）
。对MSSQL实例的攻击非常激烈。根据Shodan的数据显示，互联网上有超过450,000个MSSQL实例，其中超过133,000个位于中国。

SpiderLabs提到，英国和中国之所以有如此多的攻击，可能是因为它们是多个行业和企业的全球通信中心
。另一方面，关于在乌克兰和俄罗斯（最近冲突的中心）传感器的情况，也是面临着相似的困难。

研究人员对Redis数据库
在tcp/6379端口的高攻击活动感到有些惊讶。Redis是攻击第二多的数据库，自2009年推出以来，其在公司和攻击者中越来越受欢迎。根据Shodan的数据，Redis实例超过270,000个，而开放端口6379/tcp的实例超过600,000个，因此这个数据库吸引了攻击者。

除MSSQL和Redis外，SpiderLabs还对以下数据库设置了传感器：MySQL、MongoDB、PostgreSQL、Oracle DB、IBMDB2（Unix/Win）、Cassandra和Couchbase。数据库服务器正在其默认TCP端口上监听。

Honeypots的防御价值

设置这样的蜜罐在正确利用和客观分析时，成为防御情报的关键一环，Coalfire 的副总裁AndrewBarratt表示。Barratt指出，安全团队可以利用这些数据提供关于当前互联网攻击的证据。

“高管们常常会问‘这真的发生吗’，蜜罐提供了一些有趣的见解，揭示了正在部署的策略，从而让网络防御预算的必要性更加真实，”Barratt说。

Delinea 的首席安全科学家及建议CISO JosephCarson表示，Trustwave最近的博客突显了网络犯罪分子在不同类型数据库方面的自动化和经验。Carson提到，攻击者往往试图尽可能自动化已知的漏洞和基于凭证的攻击，因此当新数据库出现在公共互联网时，自动化机器人会集中攻击它们。

“较少使用的数据库通常会受到的攻击较少，但那些拥有更多经验并亲自操作的攻击者会更加成功。所以MSSQL作为一个普遍使用的目标并不奇怪，但希望能实施最佳的安全实践，如多因素身份验证、强权限访问控制和补丁管理，以确保修补所有已知的常见漏洞。”