Las infraestructuras de las base de datos para
empresas, que a menudo contienen las joyas de la corona de una organización,
están sujetas a una amplia gama de ataques contra seguridad de base de datos.
Con ayuda de los expertos de seguridad web de
Instituto Internacional de seguridad cibernética IICS hemos enumerado los más
críticos de estos, seguido de recomendaciones para mitigar el riesgo de cada
uno.
1.LOS
PRIVILEGIOS EXCESIVOS
Cuando a los usuarios (o aplicaciones) se
conceden privilegios de base de datos que exceden los requerimientos de su
función de trabajo, estos privilegios se pueden utilizar para obtener acceso a
información confidencial. Por ejemplo, un administrador de una universidad cuyo
trabajo requiere acceso de sólo lectura a los archivos del estudiante puede
beneficiarse de los derechos de actualización para cambiar las calificaciones
explica experto de auditoría de base de datos y seguridad de base de datos.
La solución a este problema (además de buenas
políticas de contratación) es el control de acceso a nivel de consulta. El
control de acceso a nivel de consulta restringe los privilegios de las
operaciones a solo utilizar los datos mínimos requeridos. La mayoría de las
plataformas de seguridad de bases de datos nativas ofrecen algunas de estas
capacidades (triggers, RLS, y así sucesivamente), pero el diseño de estas
herramientas manuales las hacen impracticables en todo excepto en las
implementaciones más limitados según experiencia de expertos de seguridad web.
2.
ABUSO DE PRIVILEGIOS
Los usuarios pueden abusar de los privilegios
de acceso de datos legítimos para fines no autorizados acuerdo a los expertos
de auditoría de base de datos y seguridad web. Por ejemplo, un usuario con privilegios
para ver los registros de pacientes individuales a través de una aplicación de
la asistencia sanitaria personalizada puede abusar de ese privilegio para
recuperar todos los registros de los pacientes a través de un cliente MS-Excel.
La solución está en la política de control de
acceso que se aplican no sólo a lo que los datos son accesibles, pero ¿cómo se
accede a los datos? Al hacer cumplir las políticas de seguridad web, sobre
cosas como la ubicación, el tiempo, el cliente de aplicación y el volumen de
los datos recuperados, es posible identificar a los usuarios que están abusando
de los privilegios de acceso.
3.
ELEVACIÓN DE PRIVILEGIOS NO AUTORIZADOS
Los atacantes pueden aprovechar las
vulnerabilidades en el software de gestión en la base de datos para convertir los
privilegios de acceso de bajo nivel de privilegios de acceso de alto nivel. Por
ejemplo, sin seguridad de bases de datos, un atacante podría aprovechar una
vulnerabilidad de desbordamiento de búfer de base de datos para obtener
privilegios administrativos.
Exploits de elevación de privilegios pueden
ser derrotados con una combinación de control de acceso a nivel de consulta,
auditoría de base de datos y los sistemas de prevención de intrusiones (IPS)
tradicionales. Control de acceso a nivel de consulta puede detectar un usuario
que de repente utiliza una operación de SQL inusual, mientras que un IPS puede
identificar una amenaza específica de seguridad web documentada dentro de la
operación.
4.
VULNERABILIDADES DE LA PLATAFORMA
Las vulnerabilidades en los sistemas
operativos subyacentes pueden conducir al acceso no autorizado a datos y la
corrupción.
Acuerdo a cursos de seguridad web de
iicybersecurity IICS, herramientas de IPS son una buena manera de identificar y
/ o bloquear ataques diseñados para aprovechar las vulnerabilidades de la
plataforma de base de datos.
5.
INYECCIÓN DE SQL
Ataques de inyección SQL implican a un usuario
que se aprovecha de vulnerabilidades en aplicaciones web y procedimientos
almacenados para proceder a enviar consultas de bases de datos no autorizadas,
a menudo con privilegios elevados.
Soluciones de seguridad de bases de datos,
auditoría de base de datos, control de acceso a nivel de consulta detecta
consultas no autorizadas inyectadas a través de aplicaciones web y / o procedimientos
almacenados.
6.
AUDITORÍA DÉBIL
Las políticas débiles de auditoría de base de
datos representan riesgos en términos de cumplimiento, la disuasión, detección,
análisis forense y recuperación.
Por desgracia, el sistema de gestión de base
de datos nativa (DBMS) audita las capacidades que dan lugar a una degradación
del rendimiento inaceptable y son vulnerables a los ataques relacionados con el
privilegio– es decir, los desarrolladores o administradores de bases (DBA)
puede desactivar la auditoría de base de datos.
La mayoría de las soluciones de auditoría de
base de datos también carecen del detalle necesario. Por ejemplo, los productos
DBMS rara vez se registran qué aplicación se utiliza para acceder a la base de
datos, las direcciones IP de origen y falló de consultas.
Las soluciones de auditoría de base de datos
basados en la red son una buena opción. Tales soluciones de auditoría de base
de datos no deben tener ningún impacto en el rendimiento de base de datos,
operan de forma independiente de todos los usuarios y ofrecen la recopilación
de datos a detalle.
7.
DENEGACIÓN DE SERVICIO
La denegación de servicio (DoS) puede ser
invocada a través de muchas técnicas. Las técnicas más comunes de DOS incluyen
desbordamientos de búfer, corrupción de datos, la inundación de la red y el
consumo de recursos.
La prevención de DoS debería ocurrir en
múltiples capas que incluyendo los de red, aplicaciones y bases de datos según
recomendaciones de cursos de seguridad de bases de datos y seguridad web.
Recomendaciones sobre las bases de datos
incluyen el despliegue de un IPS y controles de la velocidad de conexión. Al
abrir rápidamente un gran número de conexiones, los controles de velocidad de
conexión pueden impedir que los usuarios individuales usan los recursos del
servidor de base de datos.
8.
VULNERABILIDADES EN LOS PROTOCOLOS DE LAS BASES DE DATOS
Las vulnerabilidades en los protocolos de
bases de datos pueden permitir el acceso no autorizado a datos, la corrupción o
la disponibilidad. Por ejemplo, SQL Slammer worm se aprovechó de una
vulnerabilidad de protocolo de Microsoft SQL Server para ejecutar código de
ataque en los servidores de base de datos destino.
Los protocolos de ataques pueden ser derrotados
mediante el análisis y validación de las comunicaciones de SQL para asegurarse
de que no están malformados. Pueden aprender más sobre este ataque durante
cursos de seguridad de bases de datos y seguridad web de iicybersecurity.
9.
AUTENTICACIÓN DÉBIL
Los esquemas de autenticación débiles permiten
a los atacantes asumir la identidad de los usuarios de bases de datos
legítimos. Estrategias de ataque específicas incluyen ataques de fuerza bruta,
la ingeniería social, y así sucesivamente.
La implementación de contraseñas o
autenticación de dos factores es una necesidad. Para la escalabilidad y
facilidad de uso, los mecanismos de autenticación deben integrarse con las
infraestructuras del directorio / gestión de usuarios de la empresa y seguridad
web.
10.
LA EXPOSICIÓN DE LOS DATOS DE BACKUP
Algunos ataques recientes de alto perfil han
involucrado el robo de cintas de backup de base de datos y discos duros.
Todas las copias de seguridad deben ser
cifradas. De hecho, algunos proveedores han sugerido que los futuros productos
DBMS no deberían admitir la creación de copias de seguridad sin cifrar. El
cifrado de base de datos en línea es un pobre sustituto de controles granulares
de privilegios acuerdo a expertos de seguridad de base de datos.
CONCLUSIÓN
Aunque las bases de datos y su contenido son
vulnerables a una serie de amenazas internas y externas, es posible reducir los
vectores de ataque casi hasta cero con ayuda de soluciones de seguridad web. Al abordar estas amenazas contra seguridad de base de datos
conocerás los requisitos de las industrias más reguladas en el mundo.
0 comments:
Post a Comment