尽管一些研究数据显示,与其他网络犯罪方式相比,SQL注入攻击有所下降,但是本周发布的最新调查显示,对于关注数据库安全的中小企业而言,阻止SQL注入攻击仍然是他们最重要的工作。
Securosis公司分析师Adrian Lane表示,“尽管SQL注入这种攻击形式已经出现十年之久,但仍是最大的安全威胁,虽然根据数据泄露事故的分析显示,SQL注入攻击有所下降,但是这仍然是中小企业和拥有web应用程序的企业面临的主要问题。”
数据库安全公司Green SQL对6000多名中小企业技术决策者进行了调查,询问让他们夜不能寐的数据库安全问题。虽然,只有18%的中小企业受访者表示他们担心合规问题,并且只有不到三分之一的受访者担心内部威胁(例如恶意内部人员),51%的受访者表示SQL注入攻击是最令他们头痛的问题。Green SQL首席技术官David Maman表示,SQL注入攻击当之无愧地成为最受关注的问题。他表示,“说实话,这让我们很震惊,因为现在讨论的所有研究结果都是有关SQL注入攻击已经下降,但这却是中小企业社区面临的最大威胁,很多人都担心Anonymous,很多人担心暴露敏感信息和客户信息。”
面对寻找SQL注入漏洞的自动蠕虫病毒和大规模SQL注入攻击,很多中小企业往往无法不具备相关洞察力或者方法来阻止它们。他们经常不知道他们已经被“围困”,Maman举了一个实例,一位新的Green SQL中小企业客户找到他,想知道其软件有什么问题,结果后来发现他的基础设施每天遭受2000次SQL注入攻击尝试。
在帮助该名管理员进行调查后,Maman不仅发现这个数字准确无误,而且发动这种攻击的IP地址之一位于该中小企业自己的网络内部。
“他告诉我,‘看,这是一个误报,因为这是我的网络IP地址,’”Maman表示,“我告诉他,‘听着,这是一个真正的SQL注入攻击’,原来他的一台电脑被恶意软件感染了。”
根据Verizon公司RISK团队负责人Chris Porter表示,Verizon最近发布的数据泄露调查统计数据的优先级可能要比其他攻击要低,但是这仍然是中小企业需要认真对待的事情。
“这是一个很大的问题,”他表示,“你可以看到在我们过去两年的调查数据中,SQL注入攻击已经下降,相对于其他攻击来说,这种下降确实是在发生。”
在SQL注入攻击方面,他认为影响中小企业最大的因素之一是他们更加频繁地使用现成的电子商务解决方案。他表示,中小企业往往不会修复这些软件,或者进行正确地配置,这让中小企业很容易成为自动攻击的目标。即使没有部署任何数据库安全或者web应用程序防火墙解决方案,很多企业都可以通过及时修复这些电子商务和第三方web应用程序来降低他们的风险面。
“我认为很多小型企业并没有认真对待,他们经常没有修复漏洞,”Porter表示,“这样就可能存在SQL注入漏洞,攻击者就能够利用这些漏洞发动攻击,然后自动注入脚本。”
