2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析報(bào)告

2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)2020GlobalNetworkedDatabaseRiskAnalysisReport2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析報(bào)告360CERT360CERT是政企安全創(chuàng)新中心的尖兵團(tuán)隊(duì)，團(tuán)隊(duì)致力于維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)空間安全，是360基于"安全協(xié)調(diào)中心。針對(duì)全球重大安全漏洞第一時(shí)間啟動(dòng)安全響應(yīng)流程，發(fā)布權(quán)威報(bào)告，幫助用戶進(jìn)行360天樞智庫(kù)360天樞智庫(kù)，是中國(guó)首家專注于“大安全”研究領(lǐng)域的新型企業(yè)智庫(kù)。天樞智庫(kù)依托于360深耕多年的網(wǎng)絡(luò)安全實(shí)戰(zhàn)經(jīng)驗(yàn)、海量安全大數(shù)據(jù)、安全創(chuàng)新實(shí)踐以及完善的專家體系，聚焦網(wǎng)絡(luò)安全行業(yè)發(fā)展和大安全問(wèn)題，看現(xiàn)在，觀未來(lái)，開(kāi)展政策、行業(yè)、技術(shù)等方向的研究。通過(guò)與國(guó)內(nèi)外智庫(kù)平臺(tái)、高校及科研機(jī)構(gòu)的合作與交流，博采眾長(zhǎng)，助力網(wǎng)絡(luò)安全在全行業(yè)的積極發(fā)展，為助推數(shù)字化安全發(fā)展建言獻(xiàn)策。360天樞智庫(kù)秉持科學(xué)的、前瞻的、獨(dú)立的、建設(shè)的態(tài)度，致力于養(yǎng)成安全360網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)（Quake）360網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)（QUAKE)是360網(wǎng)絡(luò)安全響應(yīng)中心（360-CERT）自主設(shè)計(jì)研發(fā)的全球網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)，能夠?qū)θ騃Pv4、IPv6地址進(jìn)行持續(xù)性探測(cè)，實(shí)時(shí)感知全球網(wǎng)絡(luò)空間中各類資產(chǎn)并發(fā)現(xiàn)其安全風(fēng)險(xiǎn)。作為360安全大腦-測(cè)繪云的核心系統(tǒng)，它將作為安全大腦的重要基礎(chǔ)設(shè)施之一，成為連接現(xiàn)實(shí)世界與網(wǎng)絡(luò)空間的橋梁。系統(tǒng)地址：。22020GlobalNetworkedDatabaseRiskAnalysisReport文中部分信息直接如有侵權(quán)或異議請(qǐng)聯(lián)系quake@#2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析報(bào)告隨著網(wǎng)絡(luò)空間存儲(chǔ)數(shù)據(jù)規(guī)模的急劇擴(kuò)大，聯(lián)網(wǎng)數(shù)據(jù)庫(kù)發(fā)生數(shù)據(jù)泄露的條數(shù)和風(fēng)險(xiǎn)逐年增加。公開(kāi)報(bào)全球互聯(lián)網(wǎng)上到底存在多少聯(lián)網(wǎng)數(shù)據(jù)庫(kù)？這些數(shù)據(jù)庫(kù)類型和地域分布如何？又有多少比例的數(shù)據(jù)庫(kù)存在大規(guī)模數(shù)據(jù)泄露風(fēng)險(xiǎn)？基于360自主研發(fā)的Quake網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)對(duì)全球42億IP空間全展現(xiàn)了全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)分布特征和風(fēng)險(xiǎn)。研究報(bào)1、介紹了本報(bào)告所選取的數(shù)據(jù)庫(kù)MySQL、SqlServer、Oracle、PostgreSql、DB2、ElasticSearch、MongoDB、Memcache、Redis和CouchDB十大數(shù)據(jù)庫(kù)類型。我們根據(jù)數(shù)據(jù)庫(kù)使用場(chǎng)景和分類分為了關(guān)系型數(shù)據(jù)庫(kù)和非關(guān)系型數(shù)據(jù)庫(kù)。探測(cè)發(fā)現(xiàn)，目前全球數(shù)據(jù)庫(kù)聯(lián)網(wǎng)數(shù)據(jù)庫(kù)總量為1500萬(wàn)個(gè)，關(guān)系型數(shù)據(jù)庫(kù)占總量的93%，非關(guān)系型數(shù)據(jù)庫(kù)有109萬(wàn)個(gè)，占總量的7%。關(guān)系型數(shù)據(jù)庫(kù)使用量要遠(yuǎn)大于非關(guān)系型數(shù)據(jù)的使用量。與DB-Engines的市場(chǎng)研究數(shù)據(jù)Oracle數(shù)據(jù)庫(kù)排名第一不同的是，通過(guò)我們探測(cè)全2、對(duì)所選的數(shù)據(jù)庫(kù)全球地理分布和利用希爾伯特曲線進(jìn)行IPV4空間分布進(jìn)行了分析。數(shù)據(jù)庫(kù)全球地理分布主要集中在中美兩國(guó)，在一些組織管理下的IP段，例如：RIPENCC、ARIN和LACNIC等數(shù)據(jù)庫(kù)IP呈均勻分布，在另外一些,如US-DOD則不存在數(shù)據(jù)庫(kù)IP。在各大數(shù)據(jù)庫(kù)中MySQL的使用32020GlobalNetworkedDatabaseRiskAnalysisReport文中部分信息直接如有侵權(quán)或異議請(qǐng)聯(lián)系quake@#2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析報(bào)告據(jù)庫(kù)的全球分布中美國(guó)和中國(guó)都位于前兩位，MySQL、PostgreSql、Redis、DB2和CouchDB使用量最多的為美國(guó)，SqlServr、Oracle、MongoDB、ElasticSearch和Memcache使用量最多的為中國(guó)。波蘭在數(shù)據(jù)庫(kù)總量位于第三，在PostgreSQL數(shù)據(jù)庫(kù)使用量中位于第二位。同時(shí)把數(shù)據(jù)庫(kù)探測(cè)得到的版本與各個(gè)版本發(fā)行日期和結(jié)束維護(hù)日期進(jìn)行比較，發(fā)現(xiàn)全網(wǎng)仍有大量官方不在支3、對(duì)數(shù)據(jù)庫(kù)存在泄露的情況進(jìn)行分析，并提出數(shù)據(jù)庫(kù)加固建議。通過(guò)分析發(fā)現(xiàn)，數(shù)據(jù)泄露仍是數(shù)據(jù)庫(kù)安全的一大隱患，網(wǎng)中仍有超8萬(wàn)個(gè)數(shù)據(jù)庫(kù)存在未授權(quán)訪問(wèn)漏洞。ElasticSearch泄露數(shù)據(jù)量達(dá)到3,402TB、MongoDB泄露量為611TB、Redis泄露數(shù)據(jù)量為10TB和Memcache為5.3TB?；ヂ?lián)網(wǎng)約30%的Memcache數(shù)據(jù)庫(kù)存未授權(quán)訪問(wèn)問(wèn)題，ElasticSearch存在未授權(quán)訪問(wèn)的數(shù)量占該數(shù)據(jù)庫(kù)總量的20%左右。4、將存在泄露的數(shù)據(jù)庫(kù)IP進(jìn)行歸屬地劃分，我們發(fā)現(xiàn)在各個(gè)數(shù)據(jù)庫(kù)泄露全球排名中，中國(guó)在數(shù)據(jù)庫(kù)泄露數(shù)量排名全球第一具有近4萬(wàn)個(gè)數(shù)據(jù)庫(kù)存在未授權(quán)訪問(wèn)漏洞，其中在ElasticSearch、MongoDB和Redis數(shù)據(jù)庫(kù)類型中存在該漏洞的數(shù)量居全球第一，分別為ElasticSearch數(shù)據(jù)庫(kù)5、我們針對(duì)數(shù)據(jù)庫(kù)勒索中出現(xiàn)的BTC地址做了統(tǒng)計(jì)，發(fā)現(xiàn)“1FYqD4YtPpcnHyyMiFFigG53s542020GlobalNetworkedDatabaseRiskAnalysisReport文中部分信息直接如有侵權(quán)或異議請(qǐng)聯(lián)系quake@#2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析報(bào)告隨著互聯(lián)網(wǎng)的飛速發(fā)展，越來(lái)越多的設(shè)備接入互聯(lián)網(wǎng)中形成網(wǎng)絡(luò)空間。網(wǎng)絡(luò)空間作為人類活動(dòng)新的存儲(chǔ)著人類在網(wǎng)絡(luò)空間活動(dòng)過(guò)程中產(chǎn)生的各級(jí)各類數(shù)據(jù)，有很多數(shù)據(jù)重要且敏感，涉及國(guó)家安全或個(gè)人隱私。這些數(shù)據(jù)一旦泄露將直接或間接造成重大經(jīng)濟(jì)損失。Quake網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)是360網(wǎng)絡(luò)安全響應(yīng)中心（360-CERT）自主研發(fā)設(shè)計(jì)的全網(wǎng)空間測(cè)繪系統(tǒng)，能夠?qū)θ蛉縄Pv4、據(jù)泄露事件，這些行業(yè)涵蓋了醫(yī)療、金融、教育、能源、工業(yè)、通信等主要領(lǐng)域。數(shù)據(jù)泄露的平均總成本達(dá)到386萬(wàn)美元，該數(shù)字自2014年至今一直在350萬(wàn)到400萬(wàn)美元間波動(dòng)，并沒(méi)有顯著改善。報(bào)告指出，當(dāng)泄露數(shù)據(jù)條數(shù)在100萬(wàn)至1000萬(wàn)條時(shí)，平均總成本將達(dá)到5000萬(wàn)美元，而泄露數(shù)據(jù)條數(shù)超過(guò)5000萬(wàn)條時(shí)，平均總成本將飆升至3.92億美元。數(shù)據(jù)泄露造成最嚴(yán)重的后果就是使組織的業(yè)務(wù)失效，由此遭受的損失占到平均總成本的40%。下面3起2020年公開(kāi)報(bào)道的事52020GlobalNetworkedDatabaseRiskAnalysisReport文中部分信息直接如有侵權(quán)或異議請(qǐng)聯(lián)系quake@#2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析報(bào)告2020年1月27日Comparitech的安全研究員BoElasticSearch數(shù)據(jù)庫(kù)服務(wù)器暴露在網(wǎng)絡(luò)上[3]。該次數(shù)據(jù)泄露的樣例數(shù)據(jù)如圖1-1所示。此次暴露的數(shù)據(jù)包括個(gè)人信息、人口統(tǒng)計(jì)信息和財(cái)產(chǎn)信息等共201,162,598條。這些數(shù)據(jù)在互聯(lián)網(wǎng)中暴露時(shí)間長(zhǎng)達(dá)一個(gè)多月，直到2020年3月4日該數(shù)據(jù)庫(kù)服務(wù)器被關(guān)閉。在這一個(gè)多月時(shí)間里任何人都能夠通過(guò)網(wǎng)絡(luò)訪問(wèn)此數(shù)據(jù)庫(kù)。由于泄露的數(shù)據(jù)包含詳細(xì)的個(gè)人信息和財(cái)產(chǎn)信息，這些數(shù)據(jù)很在本次事件中由于管理者未對(duì)數(shù)據(jù)庫(kù)進(jìn)行合理的權(quán)限驗(yàn)證，導(dǎo)致億級(jí)美國(guó)個(gè)人信息數(shù)據(jù)在互聯(lián)網(wǎng)公開(kāi)暴露上長(zhǎng)達(dá)一個(gè)多月時(shí)間。根據(jù)美國(guó)商務(wù)部下屬的美國(guó)人口普查數(shù)量為330,429,434個(gè)，此次泄露的數(shù)據(jù)量超過(guò)美國(guó)人口總數(shù)的一半以上，且涉及到人口、財(cái)產(chǎn)等背景事件二：英國(guó)印刷公司Doxzoo泄露343GB機(jī)密信息2020年1月22日vpnMentor網(wǎng)絡(luò)安全團(tuán)隊(duì)發(fā)現(xiàn)了印刷公司Doxzoo的一個(gè)AmazonS3云存儲(chǔ)服務(wù)器泄露了343GB大小的數(shù)據(jù)[5]其中包括個(gè)人護(hù)照（如圖1-2左所示）信息、內(nèi)部軍事文件（如圖1-2右所示）等敏感信息。根據(jù)vpnMentor描述，此次泄露有超過(guò)10萬(wàn)用戶受62020GlobalNetworkedDatabaseRiskAnalysisReport文中部分信息直接如有侵權(quán)或異議請(qǐng)聯(lián)系quake@#2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析報(bào)告在此事件中正是管理者未對(duì)亞馬遜云存儲(chǔ)服務(wù)進(jìn)行正確的權(quán)限驗(yàn)證，導(dǎo)致大量敏感數(shù)據(jù)泄露，甚至包含了軍事機(jī)密文件。本次事件警示，數(shù)據(jù)庫(kù)安全可能威脅的不僅僅是個(gè)人，甚至可能涉及國(guó)家或背景事件三：VPN數(shù)據(jù)庫(kù)泄露超過(guò)2000萬(wàn)用戶日志2020年7月5日，vpnMentor安全研究團(tuán)隊(duì)NoamRotem發(fā)現(xiàn)了一臺(tái)ElasticSearch服務(wù)器泄露了1.207TBVPN日志信息[6]。數(shù)據(jù)泄露的數(shù)據(jù)摘要如表2-1所示。該服務(wù)器于2020年7月15日被關(guān)閉，其中泄露了包括明文密碼、用戶訪問(wèn)日志在內(nèi)的1.207TB數(shù)據(jù)。一向以安全著稱的VPN提供商，本次卻由于低級(jí)的失誤，造成了大量數(shù)據(jù)的泄露，此次泄露的數(shù)據(jù)也揭露了No-logVPN“不記錄用戶訪問(wèn)日志”的謊言。在此事件中正是管理者未對(duì)亞馬遜云存儲(chǔ)服務(wù)進(jìn)行正確的權(quán)限驗(yàn)證，導(dǎo)致大量敏感數(shù)據(jù)泄露，甚至包含了軍事機(jī)密文件。本次事件警示，數(shù)據(jù)庫(kù)安全可能威脅的不僅僅是個(gè)人，甚至可能涉及國(guó)家或72020GlobalNetworkedDatabaseRiskAnalysisReport文中部分信息直接如有侵權(quán)或異議請(qǐng)聯(lián)系quake@#2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析報(bào)告根據(jù)DB-Engines的市場(chǎng)研究數(shù)據(jù)[7]，我們按照2020年數(shù)據(jù)庫(kù)排名，選取了十個(gè)具有代表性的數(shù)據(jù)庫(kù)進(jìn)行了分析，如圖2-1所示，反映了數(shù)據(jù)庫(kù)的受歡迎程度。表2-2列出了我們本次分析的數(shù)據(jù)庫(kù)類型，并按照數(shù)據(jù)庫(kù)常見(jiàn)的使用場(chǎng)景和分類，劃分為關(guān)系型和非關(guān)系型數(shù)據(jù)庫(kù)。關(guān)系型數(shù)據(jù)庫(kù)用來(lái)存儲(chǔ)結(jié)構(gòu)化數(shù)據(jù)，應(yīng)用場(chǎng)景為數(shù)據(jù)關(guān)系性強(qiáng)，具有標(biāo)準(zhǔn)定義的項(xiàng)目。非關(guān)系型數(shù)據(jù)庫(kù)適合存儲(chǔ)本次探測(cè)和分析的數(shù)據(jù)全部取自Quake網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)無(wú)害掃描、去重得到，時(shí)間跨度從201782020GlobalNetworkedDatabaseRiskAnalysisReport文中部分信息直接如有侵權(quán)或異議請(qǐng)聯(lián)系quake@#2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析報(bào)告通過(guò)Quake平臺(tái)，我們探測(cè)到全球數(shù)據(jù)庫(kù)總量有15,090,146個(gè)，其中關(guān)系型數(shù)據(jù)庫(kù)有可以看到關(guān)系型數(shù)據(jù)庫(kù)占總量的92.7%，非關(guān)系型數(shù)據(jù)庫(kù)占總量的7.3%，關(guān)系型數(shù)據(jù)庫(kù)的數(shù)量遠(yuǎn)將探測(cè)到數(shù)據(jù)庫(kù)的服務(wù)IP進(jìn)行歸屬地分類，可以得到數(shù)據(jù)庫(kù)在全球國(guó)家的分布，如圖3-2所示。其中在各個(gè)國(guó)家中數(shù)量TOP10的如圖3-3所示。結(jié)合全球分布來(lái)看數(shù)據(jù)庫(kù)數(shù)量集中分布在北美洲、其中美國(guó)存在約518萬(wàn)個(gè)排名第一；中國(guó)289萬(wàn)個(gè)位于第二位；后續(xù)為波蘭956,271個(gè)、德國(guó)633,728個(gè)、法國(guó)452,794個(gè)和荷蘭371,692，均為歐洲國(guó)家。在TOP10中令人意外的波蘭排92020GlobalNetworkedDatabaseRiskAnalysisReport文中部分信息直接如有侵權(quán)或異議請(qǐng)聯(lián)系quake@#2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析報(bào)告通過(guò)Quake平臺(tái)，各類型數(shù)據(jù)庫(kù)在公網(wǎng)暴露數(shù)量分布如圖3-4所示。我們獲得了10,669,797個(gè)運(yùn)行MySQL服務(wù)的實(shí)例。PostgreSql存在1,515,560個(gè)，SqlServer有1,282,744個(gè)。探測(cè)數(shù)據(jù)和DB-Engines排名不同的是，MySQL在互聯(lián)網(wǎng)中暴露的數(shù)量遠(yuǎn)多于其它數(shù)據(jù)庫(kù)，在DB-Engines排名第一的Oracle數(shù)據(jù)庫(kù)在互聯(lián)網(wǎng)上暴露數(shù)量為根據(jù)數(shù)據(jù)庫(kù)在全球的分布，我們統(tǒng)計(jì)出了各個(gè)數(shù)據(jù)庫(kù)使用量最多的國(guó)家（如表3-1所示）。在各個(gè)數(shù)據(jù)庫(kù)使用量第一的國(guó)家中，MySQL、PostgreSql、Redis、DB2和CouchDB使用量最多的為美國(guó)。SqlServr、Oracle、MongoDB、ElasticSearch和Memcache使用量最多的為中國(guó)。102020GlobalNetworkedDatabaseRiskAnalysisReport文中部分信息直接如有侵權(quán)或異議請(qǐng)聯(lián)系quake@#2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析報(bào)告為了對(duì)聯(lián)網(wǎng)數(shù)據(jù)庫(kù)在IPV4空間的分布一探究竟，我們使用希爾伯特曲線將一維的IP空間外推成二維空間，如圖3-5所示。圖中每個(gè)像素代表一個(gè)C段IP地址（/24黑色像素代表該C段中數(shù)據(jù)庫(kù)占比為0%，藍(lán)色到白色像素代表對(duì)應(yīng)C段中數(shù)據(jù)庫(kù)占比小于50%，白色像素到紅色像素之間代表占比大于50%，紅色像素代表占比100%。由圖3-5就可以看出，數(shù)據(jù)庫(kù)在IPV4空間中總體我們通過(guò)IPV4地址空間注冊(cè)表[8]與我們探測(cè)得到的數(shù)據(jù)庫(kù)IP進(jìn)行匹配發(fā)現(xiàn)，在一些組織管理下的IP段，例如：RIPENCC、ARIN和LACNIC等數(shù)據(jù)庫(kù)IP呈均勻分布，在另外一些,如US-DOD則不存在數(shù)據(jù)庫(kù)IP，如圖3-6所示。112020GlobalNetworkedDatabaseRiskAnalysisReport文中部分信息直接如有侵權(quán)或異議請(qǐng)聯(lián)系quake@#2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析報(bào)告3、2主要數(shù)據(jù)庫(kù)類型地理分布3、2、1MySQLMySQL是一個(gè)傳統(tǒng)的關(guān)系型數(shù)據(jù)庫(kù)，原由瑞典MySQLAB公司開(kāi)發(fā)，2009年被甲骨文公司(Oracle)收購(gòu)，成為Oracle旗下產(chǎn)品。MySQL由于性能高、成本低和高可靠性被廣范應(yīng)用。在被甲骨文收購(gòu)后，MySQL創(chuàng)始人麥克爾·維德紐斯以MySQL為基礎(chǔ)，成立分支計(jì)劃MariaDB。本次探測(cè)MySQL的數(shù)據(jù)量為MySQL和MariaDB數(shù)據(jù)總和。我們探測(cè)得到的MySQL總量為10,669,797個(gè),MySQL全球分布如圖3-7所示。在MySQL全球分布的國(guó)家中，美國(guó)使用量最多，有3,978,657個(gè)，中國(guó)使用量2,203,568個(gè)位于第二位，德國(guó)擁有477,824個(gè)位于第三。第四位到第十位的分別是波蘭405,029個(gè)、法國(guó)380,792個(gè)、荷蘭122020GlobalNetworkedDatabaseRiskAnalysisReport文中部分信息直接如有侵權(quán)或異議請(qǐng)聯(lián)系quake@#2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析報(bào)告在MySQL的各個(gè)版本中，版本5.6.41使用量最大有883,310個(gè),版本5.1.73使用量為60,2291位于第二位，如圖3-8所示。表3-3羅列了MySQL各個(gè)版本的發(fā)布日期和終止支持的日期。在MySQL版本TOP20中發(fā)現(xiàn)，仍有大量官方不再維護(hù)的老版本的MySQL在互聯(lián)網(wǎng)中存在,例如MySQL5.1.73數(shù)量為602,291個(gè)，位于MySQL各個(gè)版本的第二位，距離官方終止支持的日期過(guò)去了近7年。132020GlobalNetworkedDatabaseRiskAnalysisReport文中部分信息直接如有侵權(quán)或異議請(qǐng)聯(lián)系quake@#2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析報(bào)告3、2、2ElasticSearchElasticSearch是一個(gè)基于Luncene庫(kù)的搜索引擎，基于Java語(yǔ)言開(kāi)發(fā)的一個(gè)流行的企業(yè)級(jí)搜索引擎。2010年ShayBanon發(fā)布了ElasticSearch的第一個(gè)版本。ElasticSearch常用于云計(jì)算常常被爆出數(shù)據(jù)泄露事件。因此，對(duì)ElasticSearch進(jìn)行測(cè)繪非常有意義。我們?cè)诨ヂ?lián)網(wǎng)中共發(fā)現(xiàn)了135,490個(gè)開(kāi)啟ElasticSearch服務(wù)的實(shí)例，全球分布如圖3-9所示。ElasticSearch全球分布TOP10如表3-4所示，中國(guó)ElasticSearch使用量最多有43,705個(gè)；其次為美國(guó)40,163個(gè)，和中國(guó)數(shù)量較為接近；德國(guó)6,605個(gè)排名第三。我們還統(tǒng)計(jì)了ElasticSearch各個(gè)版本的數(shù)量如圖3-10所示。ElasticSearch目前使用的最多的版本是7.6.2，有不少老版本的ElasticSearch在使用，如2.4.6142020GlobalNetworkedDatabaseRiskAnalysisReport文中部分信息直接如有侵權(quán)或異議請(qǐng)聯(lián)系quake@#2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析報(bào)告3、2、3RedisRedis（RemoteDictionaryServer)，即遠(yuǎn)程字典服務(wù)，是一個(gè)開(kāi)源、支持網(wǎng)絡(luò)、日志型的Key-Value數(shù)據(jù)庫(kù)，并提供多種語(yǔ)言的API。ElasticSearch的很類似，主要集中在歐美和中國(guó)等地，其中分布TOP10如表3-5所示。美國(guó)的Redis使用量最多有189,142個(gè)，中Redis各個(gè)版本的統(tǒng)計(jì)，Redis版本TOP20如圖3-12所示，從圖中可以看到3.2.12版本使用量最多，有2948個(gè)。152020GlobalNetworkedDatabaseRiskAnalysisReport文中部分信息直接如有侵權(quán)或異議請(qǐng)聯(lián)系quake@#2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析報(bào)告3、2、4MongoDBMongoDB是一種面向文檔的數(shù)據(jù)庫(kù)，由C++語(yǔ)言編寫而成，初始版本于2009年2月發(fā)布。MongoDB具有強(qiáng)大的查詢語(yǔ)言，可以實(shí)現(xiàn)與關(guān)系型數(shù)據(jù)庫(kù)表單查詢類似的大部分功能，支持對(duì)數(shù)表3-6羅列了MongoDB使用數(shù)量TOP10的國(guó)家。美國(guó)和中國(guó)的使用量相接近，分別為49,361個(gè)和48,372個(gè)。其它國(guó)家和前兩名差距較大，日本僅有21,068個(gè)位于第三位。其后，德國(guó)、新加坡和法國(guó)的使用量較為接近分別為9,699個(gè)、7,574個(gè)和6,065個(gè)。印度和荷蘭的使用量較為接近同樣的，我們對(duì)MongoDB的版本分布做了統(tǒng)計(jì)，如圖3-14所示。其中，2.5.1版本遠(yuǎn)多于其它版本，有41,782個(gè)。根據(jù)MongoDB的各個(gè)版本的發(fā)行日期和終止支持日期[9]，可以發(fā)現(xiàn)仍有大量的老版本MongoDB在互聯(lián)網(wǎng)上162020GlobalNetworkedDatabaseRiskAnalysisReport文中部分信息直接如有侵權(quán)或異議請(qǐng)聯(lián)系quake@#2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析報(bào)告3、2、5MemcacheMemcache是一套分布式的高速緩存系統(tǒng)，由LiveJournal的BradFitzpatrick開(kāi)發(fā)。我們探測(cè)得到的Memcache有64，085個(gè)，Memcache的全球分布,如圖3-15所示。圖3-15Memcache全球分布根據(jù)表3-7所示，在Memcache全球分布的國(guó)家中，中國(guó)使用量最多，有19,001個(gè)；美國(guó)使用量16,693個(gè)位于第二位；南非擁有8,686個(gè)位于第三。之后數(shù)量急劇減少，從法國(guó)2,973個(gè)開(kāi)始依次為俄羅斯聯(lián)邦2,274個(gè)、德國(guó)1,604個(gè)、日本1,037個(gè)、荷蘭863個(gè)、英國(guó)748個(gè)和加拿大172020GlobalNetworkedDatabaseRiskAnalysisReport文中部分信息直接如有侵權(quán)或異議請(qǐng)聯(lián)系quake@#2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析報(bào)告3、2、6PostgreSqlPostgreSql是一種特性非常齊全的關(guān)系型數(shù)據(jù)庫(kù)，是以加州大學(xué)計(jì)算機(jī)系開(kāi)發(fā)的POSTGRES4.2在PostgreSql全球分布的國(guó)家中，美國(guó)使用量最多，有489,577個(gè)；波蘭使用量380,794個(gè)位于第二位；中國(guó)擁有77,241個(gè)位于第三。之后從德國(guó)69,814個(gè)開(kāi)始依次為智利59,614個(gè)、巴西43,422個(gè)、韓國(guó)36,647個(gè)、日本34,537個(gè)、法國(guó)27,541個(gè)和愛(ài)爾蘭25,385個(gè)。2020GlobalNetworkedDatabaseRiskAnalysisReport文中部分信息直接如有侵權(quán)或異議請(qǐng)聯(lián)系quake@#2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析報(bào)告3、2、7SqlServerSqlServe是由Microsoft開(kāi)發(fā)和推廣的，在全網(wǎng)中共有1,282,744個(gè)，SqlServer的全球分布如美國(guó)使用量282,948個(gè)位于第二位；波蘭擁有166,253個(gè)位于第三。之后從韓國(guó)41,672個(gè)開(kāi)始依次為印度36,565個(gè)、土耳其30,846個(gè)、巴西29,946個(gè)、德國(guó)20,727個(gè)、越南19,069個(gè)和智192020GlobalNetworkedDatabaseRiskAnalysisReport文中部分信息直接如有侵權(quán)或異議請(qǐng)聯(lián)系quake@#2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析報(bào)告3、3主要數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析ElasticSearch和MongoDB分別有135,490和181,050個(gè),而Memcache實(shí)例有64,085個(gè)。過(guò)往的一些嚴(yán)重的數(shù)據(jù)泄露事件常常與ElasticSearch和MongoDB數(shù)據(jù)庫(kù)相關(guān)，這些數(shù)據(jù)庫(kù)通常在得知這些數(shù)據(jù)庫(kù)在互聯(lián)網(wǎng)上暴露的數(shù)量后，我們還想知道，到底還有多少數(shù)據(jù)庫(kù)存在未授權(quán)訪問(wèn)我們把測(cè)繪數(shù)據(jù)中存在未授權(quán)訪問(wèn)漏洞的數(shù)據(jù)庫(kù)與數(shù)據(jù)庫(kù)總量做對(duì)比，如圖3-20和表3-10所示，Redis中存在問(wèn)題的實(shí)例占總數(shù)的比例為2.15%，有14,704個(gè)。ElasticSearch、MongoDB和Memcache中存在該問(wèn)題的實(shí)例占總量比例分別為20.26%、12.28%和31.80%。需要引起重視的是，仍然有822個(gè)獨(dú)立IP在早在2017年360信息安全部0keeTeam就發(fā)現(xiàn)了利用此配置進(jìn)行的MemcacheDRDoS攻擊，并在PoC2017會(huì)議上做了在多次此類攻擊事件發(fā)生后，2018年360信息安全部0keeTeam、360網(wǎng)絡(luò)安全研究院、360-CERT還共同發(fā)布了技術(shù)博客深202020GlobalNetworkedDatabaseRiskAnalysisReport文中部分信息直接如有侵權(quán)或異議請(qǐng)聯(lián)系quake@#2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析報(bào)告在明確泄露實(shí)體數(shù)量后，我們根據(jù)如下字段進(jìn)行分析，分別為：Redis中的used__memory、Memcache中的bytes、MongoDB中的datasize和ElasticSearch的size字段。我們利用這些字段數(shù)據(jù)，做了進(jìn)一步的探測(cè)，將各個(gè)實(shí)體泄露數(shù)量相加得出各個(gè)數(shù)據(jù)庫(kù)可能泄露的總量，如圖3-21所示。ElasticSearch泄露數(shù)據(jù)量達(dá)到3,402TB、MongoDB泄露量為611TB、Redis泄露數(shù)據(jù)量為10TB和Memcache為5.3TB?？梢钥吹紼lasticSearch和MongoDB泄露的數(shù)據(jù)量遠(yuǎn)大于Redis和Memcache，這和ElasticSearch常用于大數(shù)據(jù)搜索有關(guān)。將泄露數(shù)據(jù)的數(shù)據(jù)庫(kù)IP進(jìn)行歸屬統(tǒng)計(jì)，可以得到數(shù)據(jù)庫(kù)泄露的全球分布，如圖3-22所示。根據(jù)表3-11數(shù)據(jù)庫(kù)泄露國(guó)家TOP10所露，位于第一，美國(guó)有17,830個(gè)位于第二。ElasticSearch、Memcache、MongoDB和Redis泄露數(shù)量最多的國(guó)家如表3-12所示?？梢钥闯龀齅emcache外，中國(guó)在其它三個(gè)212020GlobalNetworkedDatabaseRiskAnalysisReport文中部分信息直接如有侵權(quán)或異議請(qǐng)聯(lián)系quake@#2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析報(bào)告存在數(shù)據(jù)泄露（未授權(quán)訪問(wèn)漏洞）的數(shù)據(jù)庫(kù)中，會(huì)存在一些如：“READ__ME__TO__RECOVER__YOUR__DATA”、“have__7days__to__一些攻擊者會(huì)利用未授權(quán)訪問(wèn)漏洞，竊取數(shù)據(jù)庫(kù)數(shù)據(jù)并留下相關(guān)比特幣地址進(jìn)行勒索。我們統(tǒng)計(jì)了出現(xiàn)次數(shù)最多的數(shù)據(jù)庫(kù)勒索比特幣地址，如表3-13所222020GlobalNetworkedDatabaseRiskAnalysisReport文中部分信息直接如有侵權(quán)或異議請(qǐng)聯(lián)系quake@#2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析報(bào)告3、4主要數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析通過(guò)上述分析結(jié)果，我們發(fā)現(xiàn)仍然有大量的聯(lián)網(wǎng)數(shù)據(jù)庫(kù)存在基礎(chǔ)安全配置缺失的問(wèn)題。因此，我們●數(shù)據(jù)庫(kù)應(yīng)配置為始終需要進(jìn)行身份驗(yàn)●分配數(shù)據(jù)庫(kù)用戶權(quán)限應(yīng)遵守最小權(quán)限原則[12]，既僅具有應(yīng)用程序所需的●不使用root、sa或sys等內(nèi)置的或●不對(duì)數(shù)據(jù)庫(kù)實(shí)例添加賬戶管理權(quán)限?！裨O(shè)置白名單，僅白名單內(nèi)的主機(jī)可具●僅授予用戶對(duì)所需特定數(shù)據(jù)庫(kù)的訪問(wèn)●開(kāi)發(fā)環(huán)境、測(cè)試環(huán)境和生產(chǎn)環(huán)境應(yīng)該232020GlobalNetworkedDatabaseRiskAnalysisReport文中部分信息直接如有侵權(quán)或異議請(qǐng)聯(lián)系quake@#2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析報(bào)告1.MySQL安全指南：https://dev.MySQL.com/doc/refman/8.0/en/security-guidelines.html3.SqlServer安全指南：/en-us/sql/relational-databases/security/securing-sql-server4.Oracle安全指南：/en/database/oracle/oracle-database/12.2/5.DB2安全指南：/support/kno6.ElasticSearch安全指南：https://www.elastic.co/guide/en/elasticsearch/reference/current/configuring-security.htmlchecklist/10.Memcache安全指南：/memcached-security-best-practices242020GlobalNetworkedDatabaseRiskAnalysisReport文中部分信息直接如有侵權(quán)或異議請(qǐng)聯(lián)系quake@#2020年全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析報(bào)告數(shù)據(jù)庫(kù)是互聯(lián)網(wǎng)服務(wù)組成的重要應(yīng)用。也是360Quake網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)重點(diǎn)關(guān)注的專題方向。通過(guò)Quake平臺(tái)，我們探測(cè)到全球數(shù)據(jù)庫(kù)總量有15,090,146個(gè)，其中關(guān)系型數(shù)據(jù)庫(kù)有同時(shí)我們對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)泄露風(fēng)險(xiǎn)也進(jìn)行了評(píng)估。這是第一個(gè)對(duì)全網(wǎng)數(shù)據(jù)庫(kù)詳盡研究的分析報(bào)告，極具價(jià)值。我們的分析顯示，當(dāng)前全球主要國(guó)家數(shù)據(jù)庫(kù)泄露風(fēng)險(xiǎn)不容樂(lè)觀，數(shù)據(jù)庫(kù)防護(hù)亟待加強(qiáng)。主1.探測(cè)選取了全球使用廣泛的MySQL、SqlServer、Oracle、PostgreSql、DB2、ElasticSearch、MongoDB、Memcache、Redis和CouchDB十大數(shù)據(jù)庫(kù)類型，前5個(gè)屬于關(guān)系型數(shù)據(jù)庫(kù)，后5個(gè)屬于非關(guān)系型數(shù)據(jù)。探測(cè)發(fā)現(xiàn)關(guān)系型數(shù)據(jù)庫(kù)庫(kù)的使用量多，全球聯(lián)網(wǎng)數(shù)據(jù)庫(kù)超93%都是關(guān)系型數(shù)據(jù)庫(kù)。2.各數(shù)據(jù)庫(kù)類型在全球的國(guó)家分布中，美國(guó)和中國(guó)都位于前兩