10 月 23 - 25 日,QCon 上海站即将召开,现在购票,享9折优惠 了解详情
写点什么

暴露数据库数量创新高,中美占比最多,Redis 排第一

  • 2022-04-29
  • 本文字数:1155 字

    阅读完需:约 4 分钟

暴露数据库数量创新高,中美占比最多,Redis 排第一

BleepingComputer 网站消息,威胁情报和研究公司 Group-IB 共享的一份报告中显示,公开暴露在互联网上的数据库数量近期有所增加 ,从 2021 年的 308000 个持续增长,截至 2022 年第一季度,暴露的数据库峰值数量已达 91200 个,创造了历史记录。


每个季度暴露的数据库数量 (Group-IB)

 

在大多数情况下,数据库被公开至网络是由于配置错误的原因造成,黑客常常使用可从开放网络访问的搜索引擎索引系统来寻找这些数据库,以窃取内容或进行金融勒索。

 

Group-IB 使用其攻击面管理解决方案扫描整个 IPv4 空间来查找与访问数据库相关的开放端口,并检查索引或表是否可用。Group-IB 的攻击面管理产品负责人 Tim Bobak 告诉 BleepingComputer,该公司的解决方案仅限于检查数据库是否暴露,不会收集或分析数据库内容。以这种方式收集的遥测数据不会显示开放数据库是否容易受到安全漏洞的影响,或者未经授权的一方是否在暴露在网络上时访问了它们。

中美数据库占比最多

 

Group-IB 发现,大多数暴露的数据库都位于美国和中国服务器,德国、法国和印度也占很多。


暴露的数据库实例的热图 (Group-IB)

 

在暴露实例中使用的数据库管理系统中,今年一季度的暴露数量最多的是 Redis,是排名第二的 MongoDB 的近两倍, MySQL 则占比较少。


数据库管理系统类型 (Group-IB)

 

目前这些管理系统已采取措施,在管理员将实例配置为无需密码即可公开访问时会对管理员进行提醒,但目前问题仍然存在。

 

专攻数据库安全的安全研究员 Bob Diachenko 告诉 Bleeping Computer:目前一些数据库供应商引入的 dbms (数据库管理系统)越复杂,反而越容易出现配置错误,从而在无意中暴露数据。他认为,数据库的目的不仅是存储数据,而且还允许以即时和便捷的方式共享这些数据,并由其他团队成员对其进行分析,如今,越来越多的人参与到数据库管理过程中,为了试图简化和加快访问速度,甚至对登录措施进行了省略。

 

同时,管理员平均需要 170 天的时间来发现错误配置并修复暴露问题,这足以让恶意行为者找到实例并窃取其内容。


修复错误配置所需的时间 (Group-IB)

预防措施

 

Group-IB 的 Bobak 指出,大多数困扰数据库安全的问题都可以轻松预防。如果管理员在设置和维护数据库时遵循特定关键措施,则可以确保数据库安全。总结为以下几点:

 

  • 如无必要,确保数据库不公开;

  • 使数据库管理系统保持最新版本,以减少可利用的缺陷;

  • 使用强用户身份验证;

  • 为所有存储的信息部署强大的数据加密协议;

  • 使用采用数据包过滤器、数据包检查和代理的数据库和 Web 应用程序防火墙;

  • 使用实时数据库监控;

  • 避免使用将数据库暴露给恶意扫描的默认网络端口;

  • 尽可能遵循服务器分段做法;

  • 以加密形式对数据进行离线备份。

 

参考链接:

 

https://www.bleepingcomputer.com/news/security/redis-mongodb-and-elastic-2022-s-top-exposed-databases/

2022-04-29 15:066503

评论

发布
暂无评论
发现更多内容

【面试题系列】——Java基础

Noneplus

Java

API接口设计最佳实践

Man

Java 安全开发 设计实践 APi设计 接口管理

腾讯的区块链为何败给了老干妈的“萝卜章”?

ToB行业头条

文档写作利器:Markdown

xcbeyond

markdown

doris临时故障恢复过程时序图

刘志刚

“Python的单例模式有四种写法,你知道么?”——孔乙己

BigYoung

Python 设计模式 单例模式

实战技巧,Vue原来还可以这样写

前端有的玩

Java Vue 大前端 技巧

从需求到交付——论敏捷过程中的需求管理

华为云开发者联盟

敏捷开发 团队协作 需求管理 故事 持续交付

为什么我们应该使用 Flutter?

环信

flutter

从0开始设计Flutter独立APP | 第三篇: 一劳永逸解决全局BuildContext问题

渔子长

flutter 大前端 跨平台 React

MySQL性能优化(一):MySQL架构与核心问题

xcbeyond

MySQL MySQL性能优化

Spring配置类深度剖析-总结篇(手绘流程图,可白嫖)

YourBatman

spring springboot @Configuration 白嫖

MySQL性能优化(三):深入理解索引的这点事

xcbeyond

MySQL 索引 MySQL性能优化

计算机网络基础(二)---网络层-IP协议详解

书旅

php laravel 计算机网络 网络协议

啃碎并发(11):内存模型之重排序

猿灯塔

6种快速统计代码执行时间的方法,真香!

王磊

Java

昨天、今天、明天

escray

Malagu 框架开发 React 应用新体验

木香丘

Serverless 大前端 React 微应用 Malagu

一致性协议算法

张瑞浩

面试官:如何决定使用 HashMap 还是 TreeMap?

爱嘤嘤嘤斯坦

Java 算法 hashmap

静态代码检查完成代码分析和SonarQuber的初探

陈磊@Criss

Doris 临时失效处理过程

石刻掌纹

第六周总结

石刻掌纹

MySQL性能优化(二):选择优化的数据类型

xcbeyond

MySQL性能优化

Malagu 框架的认证与授权【借鉴 Spring Security 和 aws iam 的设计】

木香丘

身份认证 权限系统

架构师训练营作业 -- Week 6

吴炳华

极客大学架构师训练营

【进收藏夹吃灰系列】——Java基础快速扫盲

Noneplus

Java

从一盏路灯,看亿万级联接的智能之路

华为云开发者联盟

人工智能 物联网 智能设备 华为云

猿灯塔:spring Boot Starter开发及源码刨析(五)

猿灯塔

spring 猿灯塔

CAP原理

李白

震惊!ConcurrentHashMap里面也有死循环,作者留下的“彩蛋”了解一下?

why技术

Java 源码 jdk 后端 bug

暴露数据库数量创新高,中美占比最多,Redis 排第一_架构_闫园园_InfoQ精选文章