Imperva Application Defense Center (ADC) ทีมงานวิจัยเกี่ยวกับภัยคุกคามบนโลกไซเบอร์ของ Imperva Inc. บริษัทชั้นนำทางด้านระบบรักษาความปลอดภัยของเว็บแอพพลิเคชัน ระบบไฟล์และฐานข้อมูล ได้เปิดเผยภัยคุกคามและการบุกรุกโจมตีระบบฐานข้อมูลยอดนิยมในปี 2013 ดังนี้
1. การไม่จำกัดสิทธิ์ให้เหมาะสม (Excessive and Unused Privileges)
การให้สิทธิ์ในการจัดการระบบฐานข้อมูลแก่ผู้ใช้จนเกินขอบเขตของงานที่รับผิดชอบ อาจส่งผลให้ผู้ใช้เหล่านั้นนำสิทธิ์ไปใช้ในทางที่ผิดได้ ยกตัวอย่างเช่น พนักงานธนาคารที่สามารถแก้ไขข้อมูลผู้ถือบัญชี อาจใช้สิทธิ์ที่เกินมาในการเพิ่มยอดเงินในบัญชีแก่คนรู้จัก หรือบางบริษัทไม่ได้ทำการริบสิทธิ์คืนแก่พนักงานที่ลาออกไปแล้ว ก็อาจส่งผลให้พนักงานแอบเข้ามาขโมยข้อมูลได้เช่นเดียวกัน
2. การใช้สิทธิ์ในทางที่ผิด (Privilege Abuse)
ผู้ใช้นำสิทธิ์ที่ตนมีอยู่ในใช้ในทางที่ไม่เหมาะสม หรือเป็นอันตรายต่อองค์กร เช่น เว็บแอพพลิเคชันของโรงพยาบาลที่ใช้ดูฐานข้อมูลผู้ป่วย ถูกจำกัดให้ดูข้อมูลผู้ป่วยได้ทีละคน และไม่สามารถบันทึกหรือคัดลอกข้อมูลออกไปได้ แต่ผู้ไม่ประสงค์ดีอาจละเมิดข้อจำกัดนั้นด้วยการเชื่อมต่อกับฐานข้อมูลผ่านแอพพลิเคชันอื่น เช่น Ms-Excel แล้วใช้สิทธิ์ที่ตนมีอยู่ดึงข้อมูลผู้ป่วยออกมาใส่ตารางและบันทึกออกไปได้ ก่อให้เกิดข้อมูลรั่วไหลได้
3. SQL Injection
การทำ SQL Injection ทำให้ผู้ไม่ประสงค์เข้าถึงระบบฐานข้อมูลได้ถึงแม้ว่าจะไม่มีสิทธิ์ โดยการใส่คำสั่ง SQL ทั่วไปผ่านช่องทางเชื่อมต่อกับฐานข้อมูล เช่น เว็บแอพพลิเคชัน แต่แอบแฝงด้วยคำสั่งที่ก่อให้เกิดผลลัพธ์ที่ไม่พึงประสงค์ต่อระบบฐานข้อมูล เช่น บายพาสการพิสูจน์ตัวตน หรือการแก้ไขฐานข้อมูล เป็นต้น
4. มัลแวร์ (Malware)
การก่อการร้ายบนโลกไซเบอร์หรือแฮ็คเกอร์มักจะโจมตีโดยอาศัยหลายๆเทคนิครวมๆกัน เช่น ทำ Spear Phishing อีเมลล์ และปล่อยมัลแวร์เพื่อเจาะระบบและขโมยข้อมูล มัลแวร์ในระบบเครือข่ายอาจช่วยให้ผู้ไม่ประสงค์ดีเจาะระบบฐานข้อมูลได้ง่ายยิ่งขึ้น
5. การตรวจสอบการใช้งานฐานข้อมูลไม่ดีพอ (Weak Audit Trail)
การที่ไม่สามารถเรียกดูข้อมูลการใช้งานฐานข้อมูลตามที่ต้องการได้ทำให้เกิดความเสี่ยงต่อองค์กรเป็นอย่างมาก ซึ่งองค์กรส่วนใหญ่ในปัจจุบันนิยมใช้เครื่องมือในการตรวจสอบ (Audit Tool) ของระบบฐานของมูลที่มีมาให้อยู่แล้ว ซึ่งเครื่องมือดังกล่าวมีประสิทธิภาพไม่เพียงพอต่อการติดตามการใช้งาน การตรวจจับการโจมตี หรือการวิเคราะห์เชิงสถิติ ทั้งยังบริโภคทรัพยากรของระบบฐานข้อมูลและพื้นที่ฮาร์ดดิสก์อย่างมหาศาล นอกจากนี้ระบบฐานข้อมูลที่แตกต่างกัน เช่น MsSQL, Oracle หรือ DB2 ก็จะมีระบบการตรวจสอบการใช้งานฐานข้อมูลที่แตกต่างกัน ไม่สามารถใช้ร่วมกันได้ ส่งผลให้เป็นการยากที่จะจัดเก็บและวิเคราะห์ข้อมูลการใช้งานระบบฐานข้อมูลแบบรวมศูนย์
นอกจากนี้ ผู้ใช้งานที่มีสิทธิ์ระดับ admin ไม่ว่าจะเป็นผู้ดูแลระบบ หรือได้รับสิทธิ์มาจากการแฮ็ค สามารถปิดการตรวจสอบการใช้งานระบบฐานข้อมูลได้ทันที ทำให้สามารถเข้าถึงฐานข้อมูลโดยที่ไม่มีใครตรวจสอบได้ ดังนั้น หน้าที่ในการตรวจสอบจึงควรแยกออกมาจากผู้ดูแลระบบและเซิฟเวอร์ฐานข้อมูล เพื่อให้มั่นใจได้ว่าสามารถตรวจสอบและติดตามการเข้าถึงฐานข้อมูลของทุกคนได้จริง
6. การโจรกรรมที่จัดเก็บข้อมูล (Storage Media Exposure)
ที่จัดเก็บข้อมูลสำรอง (Backup Storage) นิยมเป็นเป้าหมายของการโจมตีซึ่งมีระบบการป้องกันต่ำ ทำให้สาเหตุที่ข้อมูลรั่วไหลส่วนใหญ่มาจากการขโมยข้อมูลบนระบบสำรองทั้งสิ้น
7. การโจมตีผ่านทางช่องโหว่ของระบบฐานข้อมูลที่ตั้งค่าไม่ดี (Exploitation of Vulnerable, Misconfigured Databases)
มันเป็นเรื่องง่ายที่จะค้นหาฐานข้อมูลที่มีช่องโหว่ หรือไม่ได้อัพเดทแพทช์ล่าสุด รวมทั้งฐานข้อมูลที่ใช้การตั้งค่าพารามิเตอร์ตามค่าดั้งเดิม (Default accounts and configuration parameters) แฮ็คเกอร์จึงให้ประโยชน์จากช่องโหว่ดังกล่าวในการโจมตีระบบฐานข้อมูลขององค์กร จากสถิติของ IOUG (Independent Oracle User Group) ระบุว่า 28% ของผู้ใช้งาน Oracle ไม่เคยอัพเดทแพทช์ หรือไม่ทราบว่ามีแพทช์ใหม่ต้องอัพเดท และ 10% ใช้เวลานานกว่า 1 ปีในการอัพเดทแพทช์ใหม่ แฮ็คเกอร์มักใช้ช่วงเวลาดังกล่าวที่ไม่ได้อัพเดทแพทช์ในการโจมตีระบบฐานข้อมูล
8. การไม่จัดการข้อมูลสำคัญให้ดี (Unmanaged Sensitive Data)
หลายองค์กรมักมีปัญหาในการจับเก็บข้อมูลสำคัญ เช่น ลืมไปว่ามีข้อมูลสำคัญบางอย่างถูกจัดเก็บไว้ในฐานข้อมูลนี้ หรือมีการสร้างฐานข้อมูลขึ้นมาใหม่ เช่น ในระบบทดสอบแอพพิลเคชันใหม่ เหล่านี้ถ้าไม่มีการแจ้งให้ทีมรักษาความปลอดภัยทราบ อาจส่งผลให้ข้อมูลสำคัญในฐานข้อมูลมีความเสียงถูกขโมยไปได้ เนื่องจากไม่มีการควบคุมและกำหนดสิทธิ์ในการเข้าถึง
9. Denial of Service (DoS)
DoS เป็นรูปแบบการโจมตีที่พบได้โดยทั่วไป ที่ก่อกวนระบบเครือข่ายและฐานข้อมูลให้ผู้ใช้งานไม่สามารถใช้บริการได้ เทคนิคของ DoS มีหลากหลายรูปแบบ แต่ที่ใช้กับระบบฐานข้อมูลมักจะเป็นการทำให้เซิฟเอวร์บริโภคทรัพยากรมากจนเกินไป เช่น การส่งคำร้องขอแก่ฐานข้อมูลเป็นจำนวนมหาศาล ทำให้ RAM และ CPU ของเซิฟเวอร์รับภาระไม่ไหว ส่วนใหญ่แฮ็คเกอร์มักมีเป้าหมายในการข่มขู่บังคับให้ทำตามข้อเรียกร้องของตน ไม่เช่นนั้นจะทำให้ระบบฐานข้อมูล่ม เป็นต้น
10. ขาดความรู้และความเชี่ยวชาญทางด้านความปลอดภัย
หลายองค์กรที่เกิดปัญหาถูกโจมตี หรือข้อมูลรั่วไหล สาเหตุที่พบได้บ่อยมักมาจากการขาดประสบการณ์ในการติดตั้งและกำหนดนโยบายระบบรักษาความปลอดภัยให้เหมาะสมต่อสภาพการใช้งาน จากข้อมูลแบบสำรวจการรั่วไหลของข้อมูลของ PWC พบว่า 75% ของปัญหามีพนักงานมาเกี่ยวข้องและนโยบายรักษาความปลอดภัยไม่เข้มงวด และ 54% ของธุรกิจขนาดเล็กไม่มีโปรแกรมให้ความรู้ทางด้านระบบรักษาความปลอดภัยแก่พนักงาน
รายละเอียดเพิ่มเติม: http://www.imperva.com/docs/WP_TopTen_Database_Threats.pdf