ACTIVIDAD AA1-2

Evidencia 2: Características y Funciones de Seguridad del SMBD

seleccionado

Estudiante:
Luis David Morales Hernandez

CC:1085321652

Presentado a:
ANDRES JULIAN VALENCIA

SERVICIO NACIONAL DE APRENDIZAJE SENA

Abril, 2020
 INTRODUCCION

La auditoría y la protección de bases de datos (DAP) representan un avance evolutivo

importante con respecto a anteriores herramientas de monitoreo de actividad en bases de
datos (DAM). Los gerentes de seguridad, los administradores de bases de datos (DBAs) y
otros interesados, que estén preocupados con proteger datos sensibles en las bases de datos,
deben evaluar estas cada vez más maduras suites.
Actividad AA11-2: Herramientas de monitoreo de bases de datos
Para la realización de esta actividad de exploración de conocimiento deberá investigar
sobre el uso de herramientas de auditoría y protección de bases de datos (DAP), es
importante definir el concepto y forma de aplicación del mismo. Para esto se recomienda la
consulta de artículos de tecnológica donde podrá encontrar sobre tendencias en el uso de
estas herramientas, de tal forma que pueda responder interrogantes como:

Uso de herramientas de auditoria y protección de bases de datos (DAP)

Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los
accesos a la información en las bases de datos incluyendo la capacidad de
determinar: quién accede a los datos, cuándo se accedió a los datos, desde qué tipo
de dispositivo o aplicación, desde que ubicación en la red, cuál fue la sentencia SQL
ejecutada y cuál fue el efecto del acceso a la base de datos (Mangones).

La auditoría de base de datos no es más que un proceso de control de la información

que posee una organización, con fines estadísticos y sobre todo de seguridad, con
respecto a las transacciones (INSERT, UPDATE, DELETE) que se realizan, para
aquello se utiliza el lenguaje de manipulación de datos DML.
Los pasos para crear una auditoria son
 Capacidades esenciales DAP:

- Recolección de eventos, análisis e informe: Las herramientas DAP, como otras

tecnologías de monitoreo de seguridad como las herramientas de gestión de
información de seguridad y eventos (SIEM) y los sistemas de detección de
intrusión recolectan, engloban, regularizan y analizan información de un
número de bases de datos y fuentes de aplicaciones diversas, y proveen un
mecanismo de respuesta y flujo de trabajo (es decir, definen que debe suceder
cuando ocurre un potencial incidente de seguridad)

- Gestión y auditoria de la Política de Seguridad de la base de datos: La

gestión centralizada es una propuesta de valor importante para las herramientas
DAP en comparación con las soluciones del registro interno. Tal gestión provee
la capacidad de estandarizar las normas, la configuración y la notificación a
través de todas las plataformas compatibles, mientras que provee controles
basados en roles para la configuración e informe para apoyar la discriminación
de tareas.

- Monitoreo de usuario privilegiado:

Las interacciones con clientes de Gartner muestran claramente que la mayoría

de las inversiones en DAP están encaminadas por la necesidad de monitorear la
actividad de usuarios privilegiados. La meta principal es revisar la actividad del
administrador sobre una base periódica o como sea necesaria. Una meta
secundaria es llevar a cabo monitoreo y alerta en tiempo real para captar
actividad administrativa inapropiada, ya sea deliberada (por ejemplo, ver datos
protegidos) o accidental (por ejemplo, otorgar acceso excesivo a usuarios).

 Capacidades secundarias de DAP

- Prevención y bloqueo de acceso/ataques: Un caso de uso cada vez más

importante es la capacidad para proveer bloqueo en tiempo real de actividad
obviamente inapropiada o maliciosa. Algunos ejemplos incluyen prevenir que
un DBA lea los contenidos de una tabla con números de tarjetas de crédito en
ella, prevenir ataques de inyección SQL o desbordamientos del búfer, e
implementar parches virtuales en casos de vulnerabilidades conocidas pero no
cubiertas. El bloqueo se debe usar con gran cuidado, sin embargo, por el
potencial impacto de falsos positivos.
- Descubrimiento y clasificación Las empresas frecuentemente no tienen claro
cuáles RDBMSs existen en sus ambientes y qué datos se guardan en ellos. Esto
puede hacer que el llevar un registro de los cambios en las bases de datos y en
los datos que almacenan sea una tarea desafiante. La capacidad de las
herramientas DAP para "arrastrarse a través" de la infraestructura de la empresa,
descubrir bases de datos y clasificar los datos en ellas pueden ser una ayuda
significativa para los esfuerzos en programas de seguridad de datos.

- Vulnerabilidad y gestión de la configuración: Las herramientas de evaluación

de la vulnerabilidad son una parte integral de cualquier programa de gestión de
amenazas y vulnerabilidad. Muchas suites de DAP tienen capacidades de
escaneo más profundas que las herramientas de gestión de la vulnerabilidad en
red, incluyendo el escaneo de parches faltantes y otras malas configuraciones,
así como la capacidad de comparar la configuración actual con el punto de
referencia, y algunas veces con herramientas de gestión de cambios y
configuración, para asegurar que los cambios sean pre-aprobados.

- Auditoría y monitoreo de usuarios y aplicaciones: La capacidad para

recolectar y analizar los componentes de acceso de datos del tráfico de
aplicaciones es un desafío para la mayoría de las empresas. Se implementan
frecuentemente IDs y conexiones compartidas al nivel de la aplicación para
acelerar el funcionamiento, pero esto añade un nivel de abstracción. Una
conexión compartida englobará varias solicitudes en una consulta SQL para el
RDBMS; esta solicitud puede contener comandos SQL que violen una norma
mezclados con comandos SQL que no lo hagan. Las herramientas DAP siguen
añadiendo capacidades para mantener el contexto y mapear de vuelta comandos
SQL a solicitudes de usuarios individuales.

- Evaluación de usuarios y permisos: Las bases de datos mantienen sus propias

reservas de identidad y normas, y, como los permisos de usuario son
frecuentemente evaluados al nivel de la aplicación —en vez de en los
repositorios subyacentes—, el software de gestión de identidad general de
propósito no cubre bien las bases de datos. Algunos proveedores DAP pueden
extraer e informar sobre estos permisos de tal forma que equipos de seguridad,
conformidad, e incluso de aplicaciones y bases de datos puedan evaluar el
acceso al modelo de control.
  Beneficios y riesgos DAP

No ha alcanzado todavía su potencial completo, pero representa una inversión

que vale la pena para las empresas con bases de datos que contienen datos
confidenciales, propiedad intelectual, o cualquier dato sujeto a requerimientos
de protección legales y de regulación. Estas herramientas continuarán creciendo
en madurez, funciones y facilidad de uso, y continuarán entregando beneficios
como parte de un programa de seguridad de datos de la empresa. DAP puede
beneficiar también a programas de gestión de riesgos. Muchas instalaciones
comienzan siendo pequeñas y crecen en tamaño y complejidad con el tiempo
cuando las empresas ven un valor incrementado de sus inversiones.
¿Qué tipo de riesgos pueden ocasionar vulnerabilidades en las bases de datos?

Las infraestructuras de muchas de las bases de datos de las empresas, usualmente contienen
información relevante de una organización, estas bases de datos están sujetas a una amplia
gama de ataques contra seguridad de sus bases de datos. En Ona Systems hemos
enumerado los más críticos de estos, seguido de recomendaciones para mitigar el riesgo de
cada uno.

- 1. PRIVILEGIOS EXCESIVOS
- 2. ABUSO DE PRIVILEGIOS
- 3. ELEVACIÓN DE PRIVILEGIOS NO AUTORIZADOS
- 4. VULNERABILIDADES DE LA PLATAFORMA
- 5. INYECCIÓN DE SQL
- 6. AUDITORÍA DÉBIL
- 7. DENEGACIÓN DE SERVICIO
- 8. VULNERABILIDADES EN LOS PROTOCOLOS DE LAS BASES DE
DATOS
- 9. AUTENTICACIÓN DÉBIL
- 10. LA EXPOSICIÓN DE LOS DATOS DE BACKUP
 ¿Para qué es importante desarrollar una estrategia de seguridad que ayude a proteger las
bases de datos?
Las bases de datos se han convertido en uno de los principales objetivos de los ataques
informáticos. Se trata de un botín muy preciado para los ciberdelincuentes ya que la
información en la era de internet, es poder. Necesitamos dotar a nuestra empresa de una
estrategia coherente y efectiva contra los posibles ataques, pero también para mantener el
cumplimiento de la legislación en materia de seguridad y privacidad. Por eso, debemos
tomar todas las medidas necesarias para mantener a salvo la información de nuestra
empresa o lugar de trabajo.
¿Qué tipo de consideraciones se deben tener en cuenta en ese tipo de estrategias?
La información que todos consideramos sensible se encuentra almacenada en sistemas
gestores de bases de datos como Microsoft SQL, MySQL o los servidores de Oracle, entre
otros servicios similares. Esa información es la que mueve a los hackers a querer acceder a
esos servidores y tomar la información contenida. Para ello, hacen uso de las
vulnerabilidades que pueda tener nuestro sistema a causa de una mala contraseña, la falta
de actualización o bien la manera en que hemos configurado el acceso. Todo ello puede
provocar un ataque de tipo SQL Injection, el ataque más común cuando hablamos de bases
de datos.
Se debe tener en cuenta los siguientes factores débiles para proteger nuestros datos:
- Una contraseña débil
- Preferencia de privilegios de usuario por privilegios de grupo
- Características de bases de datos innecesariamente habilitadas
- Bases de datos desactualizadas y sin cifrar
- Inyecciones SQL
Las consideraciones para una buena estrategia son las siguientes:
- Identificar todas las vulnerabilidades: Debemos evaluar la configuración de
una base de datos y establecer la sensibilidad de nuestro sistema, la
configuración de la base para descartar agujeros en la seguridad o establecer los
privilegios de los diferentes usuarios que tienen acceso a ella
- Realizar una auditoría: Después de crear una configuración totalmente segura,
debemos realizar la auditoría para estar seguros de que seguimos la hoja de ruta
marcada para garantizar la seguridad de nuestras bases de datos.
- contraseñas robustas: capaces de resistir ataques informáticos. Un software
para descubrir contraseñas de forma automatizada es capaz de probar millones
de combinaciones en minutos, por lo que no debe subestimarse la función que
juega una buena contraseña en proteger nuestros datos.
- Ten el software siempre actualizado: Por eso, debemos instalar los parches de
seguridad de nuestro sistema, parches que permiten tapar posibles agujeros de
seguridad y garantizar que nunca suframos un ataque.
 - Poner bajo vigilancia todas las acciones sobre las bases de datos: Un sistema de
monitoreo de la base de datos nos servirá para saber si en algún momento si la
base está siendo usada sin autorización o alguien con autorización está
realizando alguna operación no programada.
- Supervisar los accesos: Ni todos los datos son iguales, ni todos los usuarios
están en el mismo lugar en la escala jerárquica de acceso a la base.
Hay que garantizar que sólo algunos usuarios tienen acceso completo y
que, incluso estos, tienen supervisados los accesos a las bases de datos,
en especial aquellas que son realmente sensibles.
Para la verificación de esta evidencia, deberá construir un documento donde responda
acorde a la información consultada las preguntas planteadas y además construya un mapa
conceptual que presente los diferentes conceptos y sus relaciones en referencia a las
herramientas DAP