QCon 演讲火热征集中,快来分享你的技术实践与洞见! 了解详情
写点什么

暴露数据库数量创新高,中美占比最多,Redis 排第一

  • 2022-04-29
  • 本文字数:1155 字

    阅读完需:约 4 分钟

暴露数据库数量创新高,中美占比最多,Redis 排第一

BleepingComputer 网站消息,威胁情报和研究公司 Group-IB 共享的一份报告中显示,公开暴露在互联网上的数据库数量近期有所增加 ,从 2021 年的 308000 个持续增长,截至 2022 年第一季度,暴露的数据库峰值数量已达 91200 个,创造了历史记录。


每个季度暴露的数据库数量 (Group-IB)

 

在大多数情况下,数据库被公开至网络是由于配置错误的原因造成,黑客常常使用可从开放网络访问的搜索引擎索引系统来寻找这些数据库,以窃取内容或进行金融勒索。

 

Group-IB 使用其攻击面管理解决方案扫描整个 IPv4 空间来查找与访问数据库相关的开放端口,并检查索引或表是否可用。Group-IB 的攻击面管理产品负责人 Tim Bobak 告诉 BleepingComputer,该公司的解决方案仅限于检查数据库是否暴露,不会收集或分析数据库内容。以这种方式收集的遥测数据不会显示开放数据库是否容易受到安全漏洞的影响,或者未经授权的一方是否在暴露在网络上时访问了它们。

中美数据库占比最多

 

Group-IB 发现,大多数暴露的数据库都位于美国和中国服务器,德国、法国和印度也占很多。


暴露的数据库实例的热图 (Group-IB)

 

在暴露实例中使用的数据库管理系统中,今年一季度的暴露数量最多的是 Redis,是排名第二的 MongoDB 的近两倍, MySQL 则占比较少。


数据库管理系统类型 (Group-IB)

 

目前这些管理系统已采取措施,在管理员将实例配置为无需密码即可公开访问时会对管理员进行提醒,但目前问题仍然存在。

 

专攻数据库安全的安全研究员 Bob Diachenko 告诉 Bleeping Computer:目前一些数据库供应商引入的 dbms (数据库管理系统)越复杂,反而越容易出现配置错误,从而在无意中暴露数据。他认为,数据库的目的不仅是存储数据,而且还允许以即时和便捷的方式共享这些数据,并由其他团队成员对其进行分析,如今,越来越多的人参与到数据库管理过程中,为了试图简化和加快访问速度,甚至对登录措施进行了省略。

 

同时,管理员平均需要 170 天的时间来发现错误配置并修复暴露问题,这足以让恶意行为者找到实例并窃取其内容。


修复错误配置所需的时间 (Group-IB)

预防措施

 

Group-IB 的 Bobak 指出,大多数困扰数据库安全的问题都可以轻松预防。如果管理员在设置和维护数据库时遵循特定关键措施,则可以确保数据库安全。总结为以下几点:

 

  • 如无必要,确保数据库不公开;

  • 使数据库管理系统保持最新版本,以减少可利用的缺陷;

  • 使用强用户身份验证;

  • 为所有存储的信息部署强大的数据加密协议;

  • 使用采用数据包过滤器、数据包检查和代理的数据库和 Web 应用程序防火墙;

  • 使用实时数据库监控;

  • 避免使用将数据库暴露给恶意扫描的默认网络端口;

  • 尽可能遵循服务器分段做法;

  • 以加密形式对数据进行离线备份。

 

参考链接:

 

https://www.bleepingcomputer.com/news/security/redis-mongodb-and-elastic-2022-s-top-exposed-databases/

2022-04-29 15:065847

评论

发布
暂无评论
发现更多内容

开源机器学习软件对AI的发展意味着什么?

OneFlow

人工智能 深度学习 开源

不愧是阿里内部都在强力进阶学习springboot实战派文档,这细节讲解,神了!

架构师之道

Java 面试 架构师 springboot

“一键”模型迁移,性能翻倍,多语言AltDiffusion推理速度超快

OneFlow

人工智能 深度学习

泛娱乐社交出海解决方案技术实践

网易智企

即时通讯IM 音视频通话

泛娱乐社交出海解决方案技术实践

网易云信

即时通讯IM 音视频技术

升哲科技荣获2022年度华夏建设科学技术奖二等奖

SENSORO

如何又快又好实现Catalog系统搜索能力?火山引擎DataLeap这样做

字节跳动数据平台

大数据 数据治理 数据研发 企业号 2 月 PK 榜

如何快速完成API设计,mock数据给到前端?

不想敲代码

APi设计 apipost API调试

上新啦|请查收StarRocks 2.5 LTS 版本特性介绍

StarRocks

数据库 大数据

云原生场景下实现编译加速

京东科技开发者

Java golang 缓存 编译 企业号 2 月 PK 榜

云小课|创建DDS只读节点,轻松应对业务高峰

华为云开发者联盟

数据库 后端 华为云 企业号 2 月 PK 榜 华为云开发者联盟

Kratos微服务工程Bazel构建指南

微服务 CMS Kratos Monorepo bazel

一文带你掌握物联网Mqtt网关搭建背后的技术原理

华为云开发者联盟

后端 物联网 华为云 企业号 2 月 PK 榜 华为云开发者联盟

便捷模型迭代优化,算法模型支持更新到已部署服务、已有项目|ModelWhale 版本更新

ModelWhale

人工智能 机器学习 数据分析 团队协同 编程建模

Getaverse 1月总结 | 节点数突破6200+

Geek_Web3

#区块链# 元宇宙 web3

下一代编解码技术Ali266在视频超高清领域的应用展望

阿里云CloudImagine

云计算 Ali266 超高清

关于 NGINX Kubernetes Gateway,你需要知道的 5 件事

NGINX开源社区

nginx NGINX Ingress Controller NGINX Kubernetes Gateway 企业号 2 月 PK 榜

StarRocks荣获2022年度最具潜力数据库奖

StarRocks

数据库 大数据

Dubbo 中 Zookeeper 注册中心原理分析

小小怪下士

Java zookeeper dubbo

新思科技:数字赋能,安全先行

InfoQ_434670063458

巧用Golang泛型,简化代码编写

百度Geek说

Go golang 企业号 2 月 PK 榜

对话 BitSail Contributor | 梁奋杰:保持耐心,享受创造

字节跳动数据平台

GitHub 开源 数据引擎

JavaScript使用URL用来解析处理URL

ModStart

SpringBoot 如何保证接口安全?老鸟们都是这么玩的!

程序知音

Java spring 架构

测试开发 | AppCrawler 自动遍历测试实践(三):动手实操与常见问题汇总

霍格沃兹测试开发学社

八股文的天花板,没到35k的Java开发都值得好好读一读

程序知音

java面试 后端技术 八股文 Java面试八股文 Java构架师

还在用 OpenFeign?来试试 SpringBoot3 中的这个新玩意!

江南一点雨

spring springboot

利器 | AppCrawler 自动遍历测试工具实践(一)

霍格沃兹测试开发学社

测试开发 | AppCrawler 自动遍历测试实践(二):定制化配置

霍格沃兹测试开发学社

打通对账的最后一公里——对账管理平台

元年技术洞察

数字化转型 对账 对账系统 方舟平台

系统运维 SysOM profiling 在云上环境的应用观测实践 | 龙蜥技术

OpenAnolis小助手

开源 cpu 系统运维 profiling 龙蜥技术

暴露数据库数量创新高,中美占比最多,Redis 排第一_架构_闫园园_InfoQ精选文章