開放網路上暴露的配置錯誤或不安全的資料庫是事實。我們之所以聽到其中的一些資訊，是因為安全研究人員告訴我們他們是如何發現它們的，指出了其所有者併發出了警報，但是其他許多人是首先被攻擊者發現的。

過去掃描網際網路以尋找開放系統需要花費數月的時間，但是攻擊者現在可以使用免費且易於使用的掃描工具，這些工具可以在不到一個小時的時間內找到它們。

“作為一個蜜罐實驗表明，開啟的資料庫有針對性的幾小時內幾百次，”喬希Bressers，在產品安全引線彈性，告訴幫助網路安全。

“如果不對資料開放攻擊，就無法將不安全的資料保持線上狀態。這就是為什麼在設定資料庫時始終啟用安全性和身份驗證功能至關重要，這樣您的組織才能完全避免這種風險。”

攻擊者如何處理公開的資料庫？

Bressers長期以來一直從事產品和專案（尤其是開源）的安全性。在過去的二十年中，他在Progeny Linux Systems上建立了產品安全部門，並擔任Red Hat產品安全團隊的經理，並領導了Red Hat平臺業務部的安全策略。

他現在管理Elastic產品的漏洞賞金，滲透測試和安全漏洞計劃，以及公司根據客戶的需要或要求提高應用程式安全性，新增新功能和改進現有安全功能的努力。

這個問題暴露Elasticsearch（MariaDB的，MongoDB的，等等）資料庫，他說，是他們常常錯誤地離開不安全的開發商和企業沒有很快發現曝光。

他指出：“掃描工具完成了大部分工作，因此，由攻擊者決定資料庫是否有任何值得竊取的資料，”他指出，這並不是黑客行為，而是開放服務的挖掘。

攻擊者可以迅速竊取可訪問的資料，將其保留以勒索，將其出售給出價最高的人，對其進行修改或將其全部刪除。

“有時沒有明顯的優勢或動機。例如，今年夏天，發生了一系列稱為Meow Bot攻擊的網路攻擊，到目前為止，已經影響了至少25,000個數據庫。攻擊者用“喵”一詞替換了每個受災資料庫的內容，但尚未發現或透露任何攻擊目的。”

使用叢集資料庫的組織的建議

Bressers說，諸如Elasticsearch之類的開源資料庫平臺具有內建的安全性，可以防止這種性質的攻擊，但是開發人員通常會匆忙禁用這些功能，或者是由於缺乏對自己的操作可能會使客戶資料面臨風險的瞭解。

“在嘗試保護資料時，最重要的事情是要清楚地瞭解要保護的內容及其對組織的意義。資料有多敏感？需要應用什麼級別的安全性？誰應該有權使用？”他解釋。

“有時與執行現代資料庫專家的合作伙伴一起工作比自己動手更安全。有時候不是。對於許多組織而言，現代資料管理是一個新問題。確保您的員工瞭解機遇和挑戰。最重要的是，確保他們具有工具和培訓。”

其次，他說，公司應建立外部掃描系統，以連續檢查暴露的資料庫。

“這些工具可能與攻擊者使用的工具相同，但是當開發人員錯誤地將敏感資料解鎖時，它們會立即通知安全團隊。例如，Shadowserver可以提供免費的掃描器。”

Elastic添加了有關如何啟用Elasticsearch資料庫的安全功能並防止暴露的資訊和文件，他補充並指出，預設情況下，安全性已在Elastic Cloud的Elasticsearch Service中啟用，並且無法禁用。

縱深防禦

沒有組織會百分百安全，但是可以採取措施減少公司的受攻擊面。Bressers說，“深度防禦”是遊戲的名稱，在這種情況下，它應包括以下安全層：

發現數據暴露（使用前面提到的外部掃描系統）

強大的身份驗證（SSO或使用者名稱/密碼）

資料訪問的優先順序（例如，HR可能只需要訪問員工資訊，而會計部門可能只需要訪問預算和稅收資料）

部署監視基礎結構和自動化解決方案，這些解決方案可以在潛在問題緊急發生之前快速識別潛在問題，隔離受感染的資料庫，並標記支援和IT團隊以採取下一步措施

他還建議沒有內部專業知識的組織設定安全配置和管理叢集資料庫，以聘請可以處理資料管理和擁有強大安全產品組合的服務提供商，並始終制定緩解計劃並進行演練與他們的IT和安全團隊合作，以便當某些事情發生時，他們可以執行快速而有意的響應。