GESTION DE LA SEGURIDAD

INFORMATICA

INFORME: AMENAZAS A LAS BASES DE

DATOS

POR : REINALDO JOSE PEREZ SIERRA

 Las bases de datos son el “corazón” del negocio. Es el activo más
importante: Almacenan
registros de los clientes de la empresa y datos financieros confidenciales. Por lo
tanto, constituyen uno de los objetivos más codiciados para los hackers o para
cualquier intruso. ¿Por qué son tan vulnerables las bases de datos? Las empresas
no invierten en la protección de éstas. Los piratas informáticos acceden a datos
sensibles y pueden extraer valores, causar daños o afectar las operaciones
comerciales causando pérdidas financieras. En el año 2015, la OTA (Online Trust
Alliance) menciona que más del 97% de
estos ataques podrían haberse evitado si se aplicaban medidas simples, siguiendo
“mejores
prácticas” y controles internos. La OTA menciona un top 10 de principales
amenazas a las
bases de datos (ver la siguiente tabla):
Ranking Amenaza
1 Privilegios excesivos y privilegios no utilizados
2 Abuso de privilegios legítimos
3 Inyección SQL
4 Malware
5 Proceso de auditoría débil
6 Exposición de los medios de almacenamiento
7 Explotación de vulnerabilidades y bases de datos mal
configuradas
8 Datos sensibles no administrados
9 Negación o denegación de servicios
10 Educación y experiencia limitada en seguridad

Usted como representante de la organización, debe dar a conocer al menos dos

de las amenazas que se muestran en la tabla y sus posibles controles o la
disminución de estos riesgos. Para ello, realice lo siguiente:
Desarrollo
Usted como representante de la organización, debe dar a conocer al menos dos
de las amenazas que se muestran en la tabla y sus posibles controles o la
disminución de estos riesgos.
 1. Abuso de permisos excesivos
Cuando a los usuarios (o las aplicaciones) se les conceden
permisos de acceso a la base de datos que superan los requisitos de su función,
es posible que exista abuso de estos permisos con fines malintencionados. Por
ejemplo, un administrador universitario cuya responsabilidad sólo necesita la
capacidad de cambiar la información de contacto de los estudiantes puede
aprovecharse de la concesión de permisos excesivos de actualización de bases
de datos para cambiar las calificaciones de los estudiantes.
Prevención del abuso de permisos excesivos: eliminación de derechos excesivos y
su aplicación a través del control de acceso a nivel de consulta.
La solución para la amenaza que representan los permisos excesivos es la
eliminación de éstos. Para ello, es necesario poder identificar los derechos
excesivos, es decir, derechos que el usuario no necesita para llevar a cabo su
trabajo. Esto se logra mediante la extracción de permisos de las bases de datos,
correlación de permisos con el usuario de la organización y análisis de estos
permisos. Se trata de un proceso largo y complicado, que si se hace manualmente
absorbe grandes cantidades de tiempo y recursos. Una solución automatizada
puede reducir en gran medida el tiempo y recursos necesarios y acortar el proceso
de análisis.
2. Exposición de datos de copia de seguridad
Los medios de almacenamiento de las copias de seguridad de las bases de datos
quedan a menudo sin protección contra los ataques. Como resultado, varias
violaciones de seguridad de alto perfil han involucrado el robo de cintas y discos
con copias de seguridad de bases de datos.
Prevención de la exposición de datos de copia de seguridad
Todas las copias de seguridad de las bases de datos deberían ser cifradas. En
realidad, varios proveedores han sugerido que los futuros productos de sistemas
de gestión de bases de datos no admitan la creación de copias de seguridad sin
cifrar. A menudo se ha sugerido el cifrado de la información de bases de datos de
producción en línea, pero los problemas de rendimiento y de gestión de las claves
criptográficas a menudo hacen que esto no resulte práctico y por lo general se
considera como un sustituto deficiente para los controles granulares de privilegios
que se describen anteriormente.
 3. Explotación de bases de datos vulnerables y mal
configuradas
Es común encontrar bases de datos vulnerables a las que no se han aplicado
parches, o bases de datos que todavía tienen las cuentas y los parámetros de
configuración predeterminados. Un atacante que busque aprovecharse de los
puntos débiles de la base de datos por lo general probará los sistemas para
detectar estas vulnerabilidades, lo que puede comprometer la seguridad, mientras
los proveedores no lanzan un parche para proteger a los sistemas contra una
cierta vulnerabilidad, la base de datos de la organización queda desprotegida.
Prevención: evaluación y parcheo de vulnerabilidades
. Para mitigar la amenaza sobre las bases de datos vulnerables y sin parches, en
primer lugar, es necesario evaluar la situación de seguridad de las bases de datos
y cerrar todas las vulnerabilidades y brechas de seguridad conocidas. La
organización debe examinar periódicamente la base de datos para detectar
vulnerabilidades y parches no aplicados. Las evaluaciones de configuración deben
proporcionar una imagen clara del estado actual de la configuración de los
sistemas de datos. Estas evaluaciones también deben identificar las bases de
datos que no cumplan con las políticas de configuración definidas. Cualquier
parche de seguridad no aplicado debe instalarse lo antes posible. Si se descubre
una vulnerabilidad y el parche aún no está disponible, ya sea porque el proveedor
no lo ha proporcionado o porque todavía no se ha instalado, se debe implementar
una solución de parche virtual. Este tipo de solución bloquea cualquier intento de
explotar estas vulnerabilidades. Por lo tanto, al minimizar el plazo de exposición
con parches virtuales se protege a la base de datos contra los intentos de
explotación de sus vulnerabilidades hasta que se instala un parche.