社区编辑申请
注册/登录
中美数据库暴露占比最高,Redis 约 MongoDB 的两倍
数据库
2021 全年公开暴露在互联网上的数据库数量为 308,000 个,2022 年在此基础上有所增加;季度环比增长持续,在今年头几个月达到顶峰。

多数情况下,数据库在互联网上的公开暴露是由配置错误导致。而黑客经常使用可从开放网络访问的搜索引擎索引系统来寻找这些数据库,以窃取内容或进行金融勒索。威胁情报和研究公司 Group-IB 的研究人员在与 BleepingComputer 共享的一份报告中表示,2022 年第一季度,暴露的数据库数量已达到 91200 个的峰值。

2021 全年公开暴露在互联网上的数据库数量为 308,000 个,2022 年在此基础上有所增加;季度环比增长持续,在今年头几个月达到顶峰。

Group-IB 使用其攻击面管理解决方案扫描整个 IPv4 空间中与访问数据库有关的开放端口,并检查索引或表是否可用。该公司的解决方案仅限于检查数据库是否暴露,没有任何收集或分析数据库内容的能力。以这种方式收集的遥测数据不会显示开放数据库是否容易受到安全漏洞的影响,或者未经授权的一方是否在暴露在网络上时访问了它们。

Group-IB 发现,大多数暴露实例都位于美国和中国服务器上,德国、法国和印度也占有较大的比例。而在暴露实例中使用的数据库管理系统中,Redis 占比最高,几乎是亚军 MongoDB 的两倍。Elastic 仅占一小部分,但仍然也是数以万计,MySQL 则占比最少。

目前,这些管理系统已经采取了措施,在管理员将实例配置为无需密码即可公开访问时提醒管理员,但相关问题仍然存在。

专攻数据库安全的安全研究员 Bob Diachenko 表达了一个观点称,供应商引入的保护 dbms 的措施越复杂,就越有可能出现配置错误,从而无意中暴露数据。

“数据库的目的不仅是存储数据,而且还允许以即时和便捷的方式共享这些数据,并由其他团队成员对其进行分析。如今,越来越多的人参与到数据库管理过程中;最终他们试图简化和加快访问速度,因此省略登录过程对他们来说通常是最简单和最明显的方法。”

然而数据显示,管理员平均需要 170 天的时间才能意识到错误的配置并修复暴露问题,这足以让恶意行为者发现暴露的数据并完成窃取。2021 年第三季度的平均修复时间为 113 天,但此后情况有所恶化;报告指出,可能是由于 IT 人员被面向公众的资产的快速扩张所淹没。

Group-IB 指出,大多数困扰数据库安全的问题都可以轻松预防。如果管理员在设置和维护数据库时遵循特定关键措施,则可以确保数据库安全。可以总结为以下几点:

  • 如无必要,确保数据库不公开;
  • 使数据库管理系统保持最新版本,以减少可利用的缺陷;
  • 使用强用户身份验证;
  • 为所有存储的信息部署强大的数据加密协议;
  • 使用采用数据包过滤器、数据包检查和代理的数据库和 Web 应用程序防火墙;
  • 使用实时数据库监控;
  • 避免使用将数据库暴露给恶意扫描的默认网络端口;
  • 尽可能遵循服务器分段做法;
  • 以加密形式对数据进行离线备份。

本文转自OSCHINA

本文标题:中美数据库暴露占比最高,Redis 约 MongoDB 的两倍

本文地址:https://www.oschina.net/news/193543/redis-mongodb-elastic-2022-exposed-databases

责任编辑:未丽燕 来源: 开源中国
相关推荐

2022-05-18 23:42:08

网络安全安全分析工具

2022-04-01 10:08:21

SQL 优化MySQL数据库

2022-04-12 10:36:52

数据库PostgreSQLMongoDB

2022-05-16 13:37:12

Sysrv僵尸网络微软

2022-05-17 15:51:32

数据中心运维能力基础设施

2022-04-19 14:41:29

Oracle数据库SQL

2022-04-12 11:15:31

Redis消息队列数据库

2022-04-28 08:05:05

2022-05-11 14:48:33

腾讯云寿险民生保险

2022-05-11 08:23:54

自动化测试软件测试

2022-05-12 14:44:38

数据中心IT云计算

2022-05-24 08:21:16

数据安全API

2022-04-25 14:41:15

甲骨文数据库机数据库

2022-05-20 14:08:13

Web3元宇宙区块链

2022-04-15 09:23:29

Kubernetes面试题

2022-05-20 16:50:33

区块链Web3加密资产

2022-05-10 10:02:51

2022-05-19 19:26:33

区块链大数据数据分析

2022-03-01 10:45:38

Redis服务器数据

2022-04-25 11:26:16

开发SpringBoot

同话题下的热门内容

数据中台为什么不好搞?Abase2:字节跳动新一代高可用 NoSQL 数据库金融业分布式数据库选型及HTAP场景实践谈谈对 Database Plus 认识与畅想再有人问你什么是分库分表,直接把这篇文章发给他SQL 语句中单引号、双引号的用法聊聊延时消息的六种实现方案实时数据湖在字节跳动的实践

编辑推荐

Oracle数据库初学者开场篇NoSQL数据库概览及其与SQL语法的比较如果对MySQL还停留在这个印象,就out了SQL编程之高级查询及注意事项防止服务器宕机时MySQL数据丢失的几种方案
我收藏的内容
点赞
收藏

51CTO技术栈公众号