在ArsTechnica的一篇文章中,Goodin提到美国海军花费了超过50万美元(超过300万人民币)来处理这一次的数据泄露事故。这是一个令大多数人瞠目的数字,然而在NTT集团发布的2014全球威胁情报报告中却指出一个残酷的事实:“企业对一次小规模SQL注入攻击的平均善后开支,通常超过19万6千美元(超过120万人民币)”。
50万美元的花费让美国海军为这次SQL注入攻击导致的数据泄露事故付出了沉重代价。不过,由于安全意识的缺乏和对应用安全的忽视,SQL注入攻击依然是黑客们赚钱的好方法。
SQL注入的现实
SQL注入绝不是一个过时的安全问题。作为一种非常容易被利用的攻击向量,SQL注入并不需要高级的攻击技术便可以盗取信息。事实上,由于SQL注入攻击非常高效,高级黑客往往利用自动化的SQL注入工具制造僵尸,建立可以自动攻击的僵尸网络。
对此,Imperva的ThreatRadar众包威胁情报系统的社区防御服务,则可以帮助我们了解SQL注入的第一手信息。据Imperva在过去一个月内全球发生的30万起攻击事件中的抽样数据显示,其中24.6%的袭击是由SQL注入造成的。
SQL注入攻击并不会在短时间内消停,其背后的web应用攻击更是一个迫在眉睫的、代价昂贵的重大威胁,处理一次web应用安全事故要花掉超过20万美元。因此企业须意识到:部署web应用攻击缓解策略是必要的、也是首要的安全任务,而这,也是保护企业数据安全关键的一步 |
