网络妥协不应该意味着企业数据的“游戏结束”，但调查数据显示，许多公司未能保护他们“皇冠上的宝石”

根据互联网安全公司Imperva在过去5年内收集的数据显示，几乎一半的公司，内部数据库都有已知的漏洞，平均每个易受攻击的数据库有26个公开披露的漏洞，其中有超过一半有严重或高度严重的问题。

该公司在一篇博客文章中表示，虽然易受攻击的本地数据库可以从公司的防火墙中获得一些保护，但是，一些给数据库留下已知且未修补的漏洞的公司，会将它们暴露给攻击者，这些攻击者可以访问公司的网络，或者能够使用公共应用程序将有效负载发送到后端系统。许多未打补丁的漏洞至少存在了3年，超过一半(约56%)的漏洞被认为是严重漏洞。

Imperva首席创新官埃拉德•埃雷兹(Elad Erez)表示，这种程度的漏洞是一个巨大的攻击面。

他说:“从攻击者的角度来看，一旦他们进入网络，他们就可以扫描数据库，可能会发现一个超过有20个漏洞的数据库。”“正如我们所知，找到已知漏洞的漏洞利用，就像在谷歌上搜索一样简单。”

数据一直是网络罪犯和国家攻击者关注的主要焦点。在过去，攻击者可以进入内部网络，窃取大量数据，导致大规模数据泄露。零售巨头塔吉特(Target)被入侵、美国人事管理办公室(US Office of Personnel Management)遭到间谍攻击，以及最近米高梅酒店(MGM Hotels)数千万客户记录的泄露，都是在攻击者进入公司内部网络之后发生的。

向云数据存储的转移，转移了攻击者的注意力，但大多数组织仍然依赖本地数据库，特别是内部业务数据和其他敏感信息。

该公司在其博客中表示:“多年来，各组织一直优先考虑并投资于外围和终端安全工具，以为只保护数据系统或网络就足够了。”“这种方法并不奏效，因为这是一个广泛的全球性问题。组织机构需要重新考虑他们保护数据的方式，来真正保护数据本身。”

这些数据来自四年前Imperva创新实验室发布的一个数据库扫描工具，该工具旨在更深入地了解内部数据库。该工具已经扫描了超过29,000个内部数据库，并为Imperva提供了匿名数据。

该工具发现，公司无法定期修补数据库系统漏洞，但某些国家的一些公司系统漏洞修补做得要比其他公司好。例如，法国的公司数据暴露的风险最大，84%的数据库至少有一个漏洞，平均每个易受攻击的数据库有多达72个安全问题。新加坡和澳大利亚分列第二和第三位，分别有65%和64%的数据库存在漏洞，但这两个国家的漏洞水平明显不同:澳大利亚的数据库平均只有20个漏洞，而新加坡的平均漏洞为62个。

美国的组织做得比平均水平好，平均39%的数据库至少有一个漏洞，而脆弱的数据库有25个漏洞。

其中最重要的问题是身份验证漏洞，攻击者可以在不登录的情况下访问数据库，Erez说。

公司应该定期扫描他们的数据库，以了解他们的安全状况。

“似乎太多人忘记了数据安全和基本卫生，”Erez说。“这是一个非常简单的扫描。（本文出自SCA安全通信联盟，转载请注明出处。）