Universidad Tecnológica de Panamá

Facultad de Ingeniería de Sistemas Computacionales

Maestría en Seguridad Informática

Seguridad de Base de Datos

Proyecto 2

Prof. Ing. Boris Landero

Ana Villarreal 8-917-2049

Abdiel Alveo 8-864-535
Alonso Pinto 2-728-227
Belisario Tejada 8-230-1447
Fermín Povaz 8-932-1661

08 de Mayo 2023
Índice
Auditoría de Base de datos................................................................................................................2
Objetivos Generales de la Auditoría de BD.......................................................................................2
¿Quién usa la auditoría de la base de datos?....................................................................................2
Reglas de auditoría............................................................................................................................3
¿En qué se basa la auditoria en MySQL?...........................................................................................4
Proceso de auditoria en MySQL.........................................................................................................5
Conclusión.............................................................................................................................................7
Bibliografía.............................................................................................................................................8
1

INTRODUCCIÓN

Auditar las operaciones de la base de datos es una parte esencial para mejorar la
seguridad de esta. Esto involucra la identificación de vulnerabilidades tales como
contraseñas débiles o predeterminadas, excesos de privilegios de usuarios y grupos,
así como bases de datos sin actualizaciones. Las vulnerabilidades son aprovechadas
por hackers para alcanzar sus propios objetivos, tales como la elevación de
privilegios, la inyección SQL, ataques DoS entre otros. Con esta razón de gran peso
además de las regulaciones y cargos judiciales que acarrean según las leyes de cada
país la fuga de información de clientes o información de operatividad de empresas.
Auditar las operaciones críticas de la base de datos nos ayuda a garantizar la
seguridad y el cumplimiento.
2

Auditoría de Base de datos

El proceso que nos permite mediante el empleo de varios controles y contrapesos para encontrar o
determinar cambios no autorizados o fallas que existen en una base de datos, donde tenemos tomar
en cuenta contar con las herramientas de auditoría que nos permitan medir, asegurar, demostrar,
monitorear y registrar los accesos a los datos alojados en las bases de datos determinando lo
siguiente:

 Quién puede o debe acceder a los datos.

 Cuando se accedió a los datos.
 Desde qué tipo de dispositivo/aplicación se tuvo acceso a ellos.
 Desde que ubicación en la Red.
 Cuál fue la sentencia SQL ejecutada.
 Cuál fue el efecto del acceso a la base de datos.

Objetivos Generales de la Auditoría de BD

Contar con los mecanismos para habilitar un registro de auditoría completo y automatizado
relacionado con el acceso a la base de datos, incluida la capacidad de generar alertas para:

 Mitigar cualesquiera riesgos asociados con el manejo inadecuado de los datos.

 Apoyar el cumplimiento regulatorio basados en los estándares establecidos vigentes.
 Satisfacer los requerimientos de los auditores.
 Evitar acciones criminales.
 Evitar multas por incumplimiento.

¿Quién usa la auditoría de la base de datos?

Hay tres tipos de usuarios que participan en la auditoría de la base de datos:

Administrador: Un usuario que administra la base de datos. Los administradores son

usuarios de monitoreo que son responsables de habilitar o deshabilitar el monitoreo en
instancias y crear nuevos usuarios. Además, conceda permisos de revisión a los revisores. Los
administradores también pueden crear, eliminar y actualizar reglas de monitoreo.
Auditores: un usuario con permiso para crear, eliminar y actualizar reglas de revisión. El
administrador otorga acceso.
Cliente: Un usuario cuya actividad está siendo monitoreada por una regla de monitoreo,
pero que no está monitoreando a un usuario y no tiene privilegios de administrador o de
monitoreo. Los administradores regulan su acceso.
3

Reglas de auditoría

La auditoría de la base de datos usa reglas de auditoría para definir combinaciones de

usuarios, bases de datos, objetos, operaciones y estados que deben activar la creación de un
registro de auditoría. Una regla de auditoría contiene la siguiente información:

 Id: Identificación automática de reglas. A cada regla de vigilancia se le asigna

automáticamente un ID de vigilancia cuando se crea la regla. Una vez creado, el ID de
auditoría no se puede cambiar.
 Nombre de usuario: Lista de usuarios separados por comas o patrones comodín.
Puede utilizar un asterisco (*) como comodín para el usuario y el host. Use un
asterisco como sufijo, prefijo o ambos. Además, los usuarios solo pueden usar el
comodín % para hosts. El máximo es de 2.048 caracteres.
 Dbname: Una lista separada por comas de nombres de bases de datos o patrones
comodín. Puede utilizar un asterisco (*) como comodín para el usuario y el host. Use
un asterisco como sufijo, prefijo o ambos. El máximo es de 2.048 caracteres.
 Objeto: Una lista separada por comas de objetos de la base de datos (tablas,
funciones, procedimientos almacenados, etc.) o patrones comodines. Puede utilizar un
asterisco (*) como comodín para el usuario y el host. Use un asterisco como sufijo,
prefijo o ambos. El máximo es de 2.048 caracteres.
 Operación: Lista de operaciones de base de datos separadas por comas. El
complemento admite operaciones de grupos (como DDL, DML, etc.), operaciones
individuales (como actualización, eliminación, etc.) y comodines (*) para todas las
operaciones.
 Op_result: Es el resultado de la operación.
 S para auditar las operaciones exitosas
 U para auditar las operaciones que no se realizaron de forma correcta
 B para hacer un seguimiento de las operaciones exitosas y fallidas
4

¿En qué se basa la auditoria en MySQL?

Auditar una base de datos MySQL conlleva la revisión y análisis de todos los registros y operaciones
realizadas con el fin de asegurar el cumplimiento de los estándares establecidos al igual que las
normas. Con todo esto también se tiene una perspectiva más clara y se logra identificar
vulnerabilidades, mala praxis o problemas encontrados en la base de datos. Podemos crear un
listado de los puntos a revisar como lo son a continuación:

 Revisión de permisos.(por medio de la utilización de comando SHOW GRANTS)

 Revisión de registros.( por medio de la utilización de comando SHOW LOGS o SHOW ERROR
LOGS)
 Revisión de las copias de seguridad.
 Realizar pruebas de penetración.
 Revisar si las configuraciones son adecuadas para el tipo y tamaño de la base de datos
manejada, esto implica revisar están de acuerdo con las líneas base establecidas para la
implementación en producción.
 Importante la revisión de las actualizaciones o parches recurrentes estén aplicados.
5

Proceso de auditoria en MySQL

Ilustración 1 - Proceso de auditoria con MySQL Enterprise Audit

MySQL Enterprise Audit ofrece una solución de examen que es fácil de usar en pautas que
son fáciles de usar, la compañía ayuda a implementar controles de seguridad más estrictos y
cumplir con las regulaciones.
Si está recopilado, los datos guardados y más confidenciales están en línea, la prueba de la
base de datos se convierte en una parte esencial de cada estrategia de seguridad. Para proteger
contra el uso inadecuado de la información, las reglas generales de regulaciones, incluidas
HIPAA, Sarbanes-Oxley y el estándar de seguridad de datos PCI, requieren acceso a la
información.
Implementada por el complemento del servidor llamado audit_log. MySQL Enterprise Audit
utiliza auditorías API Open MySQL para habilitar el monitoreo, el registro y el bloqueo
estándar, en función de la política de conexión y consulta ejecutada en un servidor MySQL
específico.Esto permite que MySQL Server genere archivos de registro que incluyen registros
de auditoría de actividad del servidor.
Esto incluye lo siguiente:
 User Defined Custom Audit Log Events: Permite agregar eventos personalizados al
registro de auditoría de MySQL, proporcionando información adicional relacionada
con las llamadas SQL. Por ejemplo, números de seguimiento y referencias de tickets
del helpdesk.
 Encryption: Los archivos de auditoría se pueden cifrar utilizando el estándar AES-
256.
 Compression: El uso de la compresión puede reducir el almacenamiento de auditoría
hasta 10 veces.
 JSON Audit Data Format: Puede decidir entre JSON o XML.
 Powerful Filtering to Protect Sensitive Data: Defina lo que audita mediante
plantillas o diseñe filtros altamente personalizados con una definición sencilla de
6

filtro JSON. Filtre por conexiones, usuarios, acceso a tablas, tipo de acceso, estado de
instrucción (éxito/error), contenido de consulta y más.
 Meet Regulatory compliance standards: Proporciona los datos que la organización
y los auditores necesitan para cumplir con los requisitos, incluidos PCI, HIPAA,
FERPA, SOX y más.
 Achieve Security Goals through Comprehensive Auditing: Verifica la actividad del
DBA, demuestra la validez de sus datos y realiza análisis forenses para investigar o
descubrir violaciones de datos.
 Easy Integration with Audit Vaults and Stores: Archiva y analiza externamente
registros de auditoría basados en XML con facilidad utilizando Oracle Audit Vault y
otras soluciones de terceros, incluido Splunk.
 Dynamic and Easy to Manage: Habilite/deshabilite dinámicamente el flujo de
auditoría, el filtrado de cambios y mucho más sin tiempo de inactividad. Rota
automáticamente los archivos de registro de auditoría en función del tamaño.
 Low Overhead: Recopila datos de auditoría críticos sin un impacto mínimo en el
rendimiento. Utilice el filtrado de grano fino para minimizar el tamaño del registro de
auditoría y el impacto de E/S.
 Remove Sensitive Data: Permite la eliminación de datos confidenciales de
instrucciones SQL en el log de auditoría.
7

Niveles de auditoria
8

Conclusión
 9

Bibliografía

 Deymar, A. (2022). Cómo Crear un Usuario MySQL y Otorgar Privilegios. Cómo Crear Un Usuario
MySQL y Otorgar Privilegios: Una Guía Para Principiantes.
https://www.hostinger.es/tutoriales/como-crear-usuario-mysql
MySQL :: MySQL 8.0 Reference Manual :: 6.2.10 Using Roles. (2023).
https://dev.mysql.com/doc/refman/8.0/en/roles.html