SQL注入攻擊的沉重代價
責編:admin |2014-11-05 16:00:25前段時間有一起敏感的黑客事件被曝光,一個叫“Team Digi7al”的黑客組織被關閉,原因是他們的一名成員攻擊了美國海軍的web應用“Smart Web Move”。此次攻擊造成美國海軍數據庫超過22萬服役人員的個人信息被泄露。這次黑客攻擊的攻擊手段是什么?—— SQL注入。
前段時間,我們曾撰文回應在Dark Reading網站上發表的一篇關于IPS的統計報告,該報告展示了超過十年的攻擊緩解數據,卻漏掉了一個非常關鍵的數據值——應用攻擊。絕大部分web應用攻擊,包括SQL注入在內,都在這份報告中被忽視掉了。但不幸的是,web應用攻擊在現實中廣泛存在。
2014年Verizon數據泄露調查報告中揭示了web應用攻擊數量是如何增長的,指出“web應用已成為網絡攻擊眾所周知的靶心目標”。這種說法或許聽起來很大膽,但事實的確如此。
· SQL注入攻擊的代價是什么?
隨著web應用攻擊日漸增多,我們不得不思考SQL注入攻擊的代價。
在ArsTechnica的一篇文章中,Goodin提到美國海軍花費了超過50萬美元(超過300萬人民幣)來處理這一次的數據泄露事故。或許對某些讀者來說這是個瞠目的數字,然而在NTT集團發布的2014全球威脅情報報告中卻指出一個殘酷的事實——“企業對一次小規模SQL注入攻擊的平均善后開支,通常超過19萬6千美元(超過120萬人民幣)”。
50萬美金算是讓美國海軍為這次SQL注入攻擊導致的數據泄露事故付出了沉重代價。不過,由于安全意識的缺乏和對應用安全的忽視,SQL注入攻擊依然是黑客們賺錢的好方法。
· SQL注入的現實
SQL注入絕不是一個過時的安全問題。作為一種非常容易被利用的攻擊向量,SQL注入并不需要高級的攻擊技術便可以盜取信息。事實上,由于SQL注入攻擊非常高效,高級黑客往往利用自動化的SQL注入工具制造僵尸,建立可以自動攻擊的僵尸網絡。
通過Imperva的ThreatRadar眾包威脅情報系統的社區防御服務,我們可以了解SQL注入的第一手信息。據我們在過去一個月內全球發生的30萬起攻擊事件中的抽樣數據顯示,24.6%的襲擊是由SQL注入造成的。
SQL注入攻擊并不會在短時間內消停,其背后的web應用攻擊更是一個迫在眉睫的、代價昂貴的重大威脅,處理一次web應用安全事故要花掉超過20萬美元。企業須意識到,部署web應用攻擊緩解策略是必要的、也是首要的安全任務,這是保護企業數據安全關鍵的一步。