2020 Global Networked Database Risk Analysis Report 2020 年 10 月 2020年全球联网数据库 风险分析报告 2020 Global Networked Database Risk Analysis Report 文中部分信息直接如有侵权或异议请联系 quake@360.cn 2 2020年全球联网数据库风险分析报告 团队介绍 360CERT 360CERT 是政企安全创新中心的尖兵团队，团队致力于维护计算机网络空间安全，是 360 基于 " 协同联动，主动发现，快速响应 " 的指导原则，对全球重要网络安全事件进行快速预警、应急响应的 安全协调中心。针对全球重大安全漏洞第一时间启动安全响应流程，发布权威报告，帮助用户进行 预防处理，保护用户和互联网安全。 360 天枢智库 360 天枢智库，是中国首家专注于“大安全”研究领域的新型企业智库。天枢智库依托于 360 深耕 多年的网络安全实战经验、海量安全大数据、安全创新实践以及完善的专家体系，聚焦网络安全行 业发展和大安全问题，看现在，观未来，开展政策、行业、技术等方向的研究。通过与国内外智库 平台、高校及科研机构的合作与交流，博采众长，助力网络安全在全行业的积极发展，为助推数字 化安全发展建言献策。360 天枢智库秉持科学的、前瞻的、独立的、建设的态度，致力于养成安全 领域的思想库和风向标。 360 网络空间测绘系统（Quake） 360 网络空间测绘系统（QUAKE) 是 360 网络安全响应中心（360-CERT）自主设计研发的全 球网络空间测绘系统，能够对全球 IPv4、IPv6 地址进行持续性探测，实时感知全球网络空间中各类 资产并发现其安全风险。作为 360 安全大脑 - 测绘云的核心系统，它将作为安全大脑的重要基础设 施之一，成为连接现实世界与网络空间的桥梁。系统地址：quake.360.cn。 2020 Global Networked Database Risk Analysis Report 文中部分信息直接如有侵权或异议请联系 quake@360.cn 3 2020年全球联网数据库风险分析报告 执行摘要 随着网络空间存储数据规模的急剧扩大，联网数据库发生数据泄露的条数和风险逐年增加。公开报 道的在线数据泄露事件和数据库勒索事件屡创新高，在这背后的数据库安全问题频频被提及。那么， 全球互联网上到底存在多少联网数据库？这些数据库类型和地域分布如何？又有多少比例的数据库 存在大规模数据泄露风险？基于 360 自主研发的 Quake 网络空间测绘系统对全球 42 亿 IP 空间全 面测绘的结果，我们对联网数据库进行了无害化探测发现和分析，时间从 2017 年至今，全面详细地 展现了全球联网数据库分布特征和风险。研究报告的主要发现如下 ： 1、介绍了本报告所选取的数据库 MySQL、SqlServer、Oracle、 PostgreSql、DB2、ElasticSearch、MongoDB、Memcache、 Redis 和 CouchDB 十大数据库类型。 我们根据数据库使用场景和 分类分为了关系型数据库和非关系型数据库。探测发现，目前全球 数据库联网数据库总量为 1500 万个，关系型数据库有 1400 万个， 占总量的 93%，非关系型数据库有 109 万个，占总量的 7%。关系 型数据库使用量要远大于非关系型数据的使用量。与 DB-Engines 的市场研究数据 Oracle 数据库排名第一不同的是，通过我们探测全 网中 Oracle 仅为 157,157 个位于第六位。 2、对所选的数据库全球地理分布和利用希尔伯特曲线进行 IPV4 空 间分布进行了分析。 数据库全球地理分布主要集中在中美两国，在 一些组织管理下的 IP 段，例如：RIPE NCC、ARIN 和 LACNIC 等数据库 IP 呈均匀分布，在另外一些 , 如 US-DOD 则不存在数据 库 IP。在各大数据库中 MySQL 的使用量最多有 1 千多万。在各数报告主要内容：2020 Global Networked Database Risk Analysis Report 文中部分信息直接如有侵权或异议请联系 quake@360.cn 4 2020年全球联网数据库风险分析报告 据库的全球分布中美国和中国都位于前两位，MySQL、PostgreSql、Redis、DB2 和 CouchDB 使用量最多的为美国，SqlServr、Oracle、MongoDB、ElasticSearch 和 Memcache 使用量最 多的为中国。波兰在数据库总量位于第三，在 PostgreSQL 数据库使用量中位于第二位。同时把数 据库探测得到的版本与各个版本发行日期和结束维护日期进行比较，发现全网仍有大量官方不在支 持维护的数据库运行，如 Mysql 5.1 系列于 2013 年 12 月官方停止支持后，仍有 60 万个 5.1.73 和 16 万个 5.1.26 版本在使用。 3、对数据库存在泄露的情况进行分析，并提出数据库加固建议。 通过分析发现，数据泄露仍是数据 库安全的一大隐患，网中仍有超 8 万个数据库存在未授权访问漏洞。ElasticSearch 泄露数据量达 到 3,402TB、MongoDB 泄露量为 611TB、Redis 泄露数据量为 10TB 和 Memcache 为 5.3TB。 互联网约 30% 的 Memcache 数据库存未授权访问问题，ElasticSearch 存在未授权访问的数量 占该数据库总量的 20% 左右。 4、将存在泄露的数据库 IP 进行归属地划分，我们发现在各个数据库泄露全球排名中，中国在数 据库泄露数量排名全球第一具有近 4 万个数据库存在未授权访问漏洞 ，其中在 ElasticSearch、 MongoDB 和 Redis 数据库类型中存在该漏洞的数量居全球第一，分别为 ElasticSearch 数据库 11,952 个、MongoDB 数据库 11,974 个和 Redis 7,127 个。南非在存在未授权访问的 Memcache 数据库排名第一，为 4890 个。 5、我们针对数据库勒索中出现的 BTC 地址做了统计 ，发现“1FYqD4YtPpcnHyyMiFFigG53s5 1dob6xx1”在勒索事件中出现次数最多高达 3,472 次，该数据反映出针对数据库的大规模、批量式 勒索攻击依旧存在。 2020 Global Networked Database Risk Analysis Report 文中部分信息直接如有侵权或异议请联系 quake@360.cn 5 2020年全球联网数据库风险分析报告 一、背景介绍 随着互联网的飞速发展，越来越多的设备接入互联网中形成网络空间。网络空间作为人类活动新的 空间形态， 是人和信息的共同载体 [1]。 数据库作为网络空间数据的承载基础设施， 扮演了重要的角色， 存储着人类在网络空间活动过程中产生的各级各类数据，有很多数据重要且敏感，涉及国家安全或 个人隐私。这些数据一旦泄露将直接或间接造成重大经济损失。Quake 网络空间测绘系统是 360 网络安全响应中心（360-CERT）自主研发设计的全网空间测绘系统，能够对全球全量 IPv4、 IPv6 地址进行持续性测绘工作， 依托 360 全网海量大数据资源， 具备全球网络空间测绘、 监测能力。 2020年8月Ponemon Institute和IBM Security联合发布的 《2020年数据泄露成本报告》 [2]显示， 2019 年 8 月至 2020 年 4 月间全球 17 个主要国家 / 地区 17 个行业共有 524 个组织报告发生了数 据泄露事件，这些行业涵盖了医疗、金融、教育、能源、工业、通信等主要领域。数据泄露的平均 总成本达到 386 万美元，该数字自 2014 年至今一直在 350 万到 400 万美元间波动，并没有显著 改善。报告指出，当泄露数据条数在 100 万至 1000 万条时，平均总成本将达到 5000 万美元，而 泄露数据条数超过 5000 万条时，平均总成本将飙升至 3.92 亿美元。数据泄露造成最严重的后果就 是使组织的业务失效，由此遭受的损失占到平均总成本的 40%。下面 3 起 2020 年公开报道的事 件显示了在线数据泄露的严峻形势。 2020 Global Networked Database Risk Analysis Report 文中部分信息直接如有侵权或异议请联系 quake@360.cn 6 2020年全球联网数据库风险分析报告 背景事件一：美国超过 2 亿条人口信息泄露 2020 年 1 月 27 日 Comparitech 的安全研究员 Bob Diachenko 发现了一个未经任何权限验证的 ElasticSearch 数据库服务器暴露在网络上 [3]。该次数据泄露的样例数据如图 1-1 所示。 此次暴露的数据包括个人信息、人口统计信息和财产信息等共 201,162,598 条。这些数据在互联网 中暴露时间长达一个多月，直到 2020 年 3 月 4 日该数据库服务器被关闭。在这一个多月时间里任 何人都能够通过网络访问此数据库。由于泄露的