虽然数据库有数据被窃的风险，但是，就目前来说在结构化数据存储和访问时缺乏可视性才是它的最大问题。

 根据 Osterman Research对200多个企业的最新调查，目前大多数企业仍对数据库活动不进行评估，缺乏及时识别数据库漏洞的能力。网络数据库研究表明：现在三大数据库都因为发现企业跟踪凭证、重要数据泄露潜在危险、其它组织识数据泄露风险太晚而造成安全问题。

就基础方面来说，59%的企业承认他们在用户和客户端访问数据库时缺乏认证。另外有43%的企业甚至对他们数据库的类型和数量都没有进行了解统计。

仅仅只有五分之一的企业在积极对数据库活动进行监控，而38%的企业都没有设立类似的部门。有超过一半的受访者说他们进行数据库活动的评估很少，甚至每季度只有一次或更少。事实上，很多企业都缺少这样负责数据库安全的机构。调查显示，47%的受访者没有这样的一个团队或个人来监督他们数据库的安全性。

“企业需要进行彻底了解他们所有数据的位置，数据访问权限，具体的法律和监管的义务，数据利益相关者的身份和其他相关信息，这个工作系统的建立，将有助于决策者了解他们所面临的风险以及如何把存在安全漏洞的资源关闭。” Osterman写道。

这种对数据库缺乏可见性和可控性的治理办法将使得企业在数据泄露之前对数据的跟踪难度升级。据调查，有44%的企业在一周或更长的时间才发现数据库被不合法凭证访问并且造成了数据泄露。甚至有15%的人表示他们不知道需要多长时间才能检测到这种异常。

报告认为：“如果企业不能在数据泄露发生之前，发现它的安全隐患，那么就已经于事无补了，但是，如果决策者能够正确认识其中的安全问题，提前预防，那么就不会造成严重后果。”

原文出处：

http://www.darkreading.com/application-security/database-security/databases-remain-soft-underbelly-of-cybersecurity/d/d-id/1325216?