Onderzoek van cybersecuritybedrijf Trustwave wijst uit dat Microsofts populaire MSSQL-dienst steeds meer wordt aangevallen.
SQL-diensten bevatten ‘relationele databases’, die van nut zijn voor allerlei applicaties om data op te roepen. Het zijn eveneens populaire doelwitten voor cybercriminelen omdat ze gevoelige gegevens kunnen bevatten, van intellectuele eigendommen tot klantinformatie. Binnen deze markt zijn Oracle, MySQL en Microsoft SQL de meest gebruikte database management-diensten.
Honeypots
Het Trustwave-onderzoek besloeg een beperkt aantal landen. Het koos ervoor om de VS, het VK, Polen, Oekraïne, Rusland en China te monitoren. De achterliggende gedachte voor deze selectie was dat het hier ging om geopolitiek gespannen staten, met een rijk aanbod aan kwaadwillenden die op jacht zouden zijn naar gevoelige data.
Specifiek hanteerde Trustwave zogeheten “low-interaction honeypots”. Dat houdt in dat het ging om nep-doelwitten op SQL-diensten waar verder geen systeem voor op poten was gezet waarin aanvallers terechtkwamen. Het was puur een sensor om te zien of er een aanval plaatsvond, maar niet hoe deze criminelen te werk gingen.
Voor het Verenigd Koninkrijk en China geldt dat deze landen een soort datahubs zijn, met veel gegevens die men huisvest voor andere landen. Wellicht dat dat verklaart waarom deze twee landen konden rekenen op de meeste MSSQL-aanvallen. Wat betreft Oekraïne en Rusland is wegens hun huidige conflict niet echt lang te twijfelen over de motivatie om databases te bestoken.
MSSQL verreweg het meest aangevallen
Men viel al gauw een trend op: de Microsoft SQL-dienst werd verdacht veel aangesproken. Binnen de testperiode (4 maanden vanaf 6 december 2022) vonden er meer dan 50 miljoen inlogpogingen plaats bij die service, dat gelijk 93 procent van alle aanvallen representeerde. Dermate opvallend dat Trustwave nog bezig is met verder onderzoek, dat later deze maand moet verschijnen.
De aanvallen op MSSQL karakteriseert Trustwave als ‘zeer intens’. Ook was de verdeling van aanvallen erg anders dan bij MySQL en Redis. In deze twee gevallen vormde het VK de meerderheid van de gemeten inlogpogingen (54,72 procent bij MySQL en 59,97 procent bij Redis).
Databases beschermen
Vrij onverrassend is het advies dat Trustwave nog even geeft: namelijk dat het belangrijk is om databases goed te beschermen. Ook de bekende adviezen om bijvoorbeeld unieke wachtwoorden en MFA erop na te houden komen voorbij.
Wel van cruciaal belang is om bij te zijn met database-security als het gaat om kwetsbaarheidsscanners. Trustwave haalt het eigen AppDetectivePro aan, iets dat natuurlijk te verwachten is, maar niet onterecht.
Het is vooral erg opvallend hoe afwijkend het beeld is per database-vendor. Zo zagen Oracle en IBM veel minder toegangspogingen in de honeypots van Trustwave. Men suggereert hier dat het verklaard kan worden door de soort data die er opgeslagen worden of dat aanvallers zich minder bewust zijn van enige kwetsbaarheden. Hoe dan ook zijn we erg benieuwd wat er zo bijzonder is aan MSSQL, dus wordt vervolgd.
Lees ook: ‘Databases zijn de grootste aanjager van uitgaven aan hardware’
2 dagen geleden
