Bases de datos: El objetivo principal a proteger. Vulnerabilidades más habituales utilizadas para realizar un ataque.

En este mundo que nos toca vivir, todo absolutamente todo es información (o casi), millones de datos de orígenes distintos, que suponen conocimientos de interés, y lógicamente información relevante (valga la redundancia), sobre personas, empresas, y la relación entre ellas, y el entorno, y entre sí, pero que por si solos pueden parecer datos irrelevantes.

La importancia reside en la combinación de estos datos con otros distintos, pero con relación entre ellos, y de ahí surge lo que hoy conocemos como “big data”.

Todo es información, todo son “datos”, y tenemos un ejemplo bien claro y evidente en las páginas web, que almacenan y contienen infinidad de datos distintos, y que periódicamente se van actualizando con la interactuación de los usuarios.

Todos sabemos que “la información es poder (dinero)”, y por tanto es vital el tratamiento que hagamos con ella, y como manejemos los diferentes datos, que en ocasiones pueden ser “datos sensibles”, e incluso “secretos de empresa” etc.

Es por esto, que esa información se debe organizar y proteger, contra la manipulación o el acceso indebido o no autorizado, entre otras cosas, y para ello son necesarias las bases de datos, lo que convierte a estas “tablas de información” en uno de los objetivos principales de los ciberataques, y por tanto en uno de los objetivos principales de la seguridad informática.

Las bases de datos deben estar por consiguiente altamente protegidas y a salvo (en la medida de lo posible) de estos ataques, ya que, aunque parezca que no contienen información relevante, en combinación con otras informaciones de otras bases de datos pueden sacar a la luz información muy sensible sobre personas, empresas, tácticas de mercado, acontecimientos pasados o futuros, y por tanto “dar poder” al poseedor de esa información, conseguida de forma legal o no, por lo es absolutamente imprescindible proteger dichas bases de conocimiento.

Aquí no voy a deciros como proteger esta información, sería algo muy largo, técnico, y muy aburrido, y además, no tengo los conocimientos suficientes en mi modesta opinión, pero intentaré haceros un esbozo de las vulnerabilidades más habituales de las bases de datos, para que tengáis una aproximación de cómo protegerlas adecuadamente.

Las infraestructuras de las bases de datos para empresas, que a menudo contienen las joyas de la corona de una organización, están sujetas a una amplia gama de ataques contra seguridad de base de datos.

Con ayuda de los expertos de seguridad web de Instituto Internacional de seguridad cibernética IICS hemos enumerado los más críticos de estos, seguido de recomendaciones para mitigar el riesgo de cada uno.

1. Los privilegios excesivos

Cuando a los usuarios (o aplicaciones) se conceden privilegios de base de datos que exceden los requerimientos de su función de trabajo, estos privilegios se pueden utilizar para obtener acceso a información confidencial. Por ejemplo, un administrador de una universidad cuyo trabajo requiere acceso de sólo lectura a los archivos del estudiante puede beneficiarse de los derechos de actualización para cambiar las calificaciones explica experto de auditoría de base de datos y seguridad de base de datos.

La solución a este problema (además de buenas políticas de contratación) es el control de acceso a nivel de consulta. El control de acceso a nivel de consulta restringe los privilegios de las operaciones a solo utilizar los datos mínimos requeridos. La mayoría de las plataformas de seguridad de bases de datos nativas ofrecen algunas de estas capacidades (triggers, RLS, y así sucesivamente), pero el diseño de estas herramientas manuales las hace impracticables en todo excepto en las implementaciones más limitados según experiencia de expertos de seguridad web.

2. Abuso de privilegios

Los usuarios pueden abusar de los privilegios de acceso de datos legítimos para fines no autorizados acuerdo a los expertos de auditoría de base de datos y seguridad web. Por ejemplo, un usuario con privilegios para ver los registros de pacientes individuales a través de una aplicación de la asistencia sanitaria personalizada puede abusar de ese privilegio para recuperar todos los registros de los pacientes a través de un cliente MS-Excel.

La solución está en la política de control de acceso que se aplican no sólo a lo que los datos son accesibles, pero ¿cómo se accede a los datos? Al hacer cumplir las políticas de seguridad web, sobre cosas como la ubicación, el tiempo, el cliente de aplicación y el volumen de los datos recuperados, es posible identificar a los usuarios que están abusando de los privilegios de acceso.

3. Elevación de privilegios no autorizados

Los atacantes pueden aprovechar las vulnerabilidades en el software de gestión en la base de datos para convertir los privilegios de acceso de bajo nivel de privilegios de acceso de alto nivel. Por ejemplo, sin seguridad de bases de datos, un atacante podría aprovechar una vulnerabilidad de desbordamiento de búfer de base de datos para obtener privilegios administrativos.

Exploits de elevación de privilegios pueden ser derrotados con una combinación de control de acceso a nivel de consulta, auditoría de base de datos y los sistemas de prevención de intrusiones (IPS) tradicionales. Control de acceso a nivel de consulta puede detectar un usuario que de repente utiliza una operación de SQL inusual, mientras que un IPS puede identificar una amenaza específica de seguridad web documentada dentro de la operación.

4. Vulnerabilidades de la plataforma

Las vulnerabilidades en los sistemas operativos subyacentes pueden conducir al acceso no autorizado a datos y la corrupción.

Acuerdo a cursos de seguridad web de iicybersecurity IICS, herramientas de IPS son una buena manera de identificar y / o bloquear ataques diseñados para aprovechar las vulnerabilidades de la plataforma de base de datos.

5. Inyección de SQL

Ataques de inyección SQL implican a un usuario que se aprovecha de vulnerabilidades en aplicaciones web y procedimientos almacenados para proceder a enviar consultas de bases de datos no autorizadas, a menudo con privilegios elevados.

Soluciones de seguridad de bases de datos, auditoría de base de datos, control de acceso a nivel de consulta detecta consultas no autorizadas inyectadas a través de aplicaciones web y / o procedimientos almacenados.

6. Auditoría Débil

Las políticas débiles de auditoría de base de datos representan riesgos en términos de cumplimiento, la disuasión, detección, análisis forense y recuperación.

Por desgracia, el sistema de gestión de base de datos nativa (DBMS) audita las capacidades que dan lugar a una degradación del rendimiento inaceptable y son vulnerables a los ataques relacionados con el privilegio– es decir, los desarrolladores o administradores de bases (DBA) puede desactivar la auditoría de base de datos.

La mayoría de las soluciones de auditoría de base de datos también carecen del detalle necesario. Por ejemplo, los productos DBMS rara vez se registran qué aplicación se utiliza para acceder a la base de datos, las direcciones IP de origen y falló de consultas.

Las soluciones de auditoría de base de datos basados en la red son una buena opción. Tales soluciones de auditoría de base de datos no deben tener ningún impacto en el rendimiento de base de datos, operan de forma independiente de todos los usuarios y ofrecen la recopilación de datos a detalle.

7. Denegación de servicio

La denegación de servicio (DoS) puede ser invocada a través de muchas técnicas. Las técnicas más comunes de DOS incluyen desbordamientos de búfer, corrupción de datos, la inundación de la red y el consumo de recursos.

La prevención de DoS debería ocurrir en múltiples capas que incluyendo los de red, aplicaciones y bases de datos según recomendaciones de cursos de seguridad de bases de datos y seguridad web.

Recomendaciones sobre las bases de datos incluyen el despliegue de un IPS y controles de la velocidad de conexión. Al abrir rápidamente un gran número de conexiones, los controles de velocidad de conexión pueden impedir que los usuarios individuales usan los recursos del servidor de base de datos.

8. Vulnerabilidades en los protocolos de las bases de datos

Las vulnerabilidades en los protocolos de bases de datos pueden permitir el acceso no autorizado a datos, la corrupción o la disponibilidad. Por ejemplo, SQL Slammer worm se aprovechó de una vulnerabilidad de protocolo de Microsoft SQL Server para ejecutar código de ataque en los servidores de base de datos destino.

Los protocolos de ataques pueden ser derrotados mediante el análisis y validación de las comunicaciones de SQL para asegurarse de que no están malformados. Pueden aprender más sobre este ataque durante cursos de seguridad de bases de datos y seguridad web de iicybersecurity.

9. Autenticación débil

Los esquemas de autenticación débiles permiten a los atacantes asumir la identidad de los usuarios de bases de datos legítimos. Estrategias de ataque específicas incluyen ataques de fuerza bruta, la ingeniería social, y así sucesivamente.

La implementación de contraseñas o autenticación de dos factores es una necesidad. Para la escalabilidad y facilidad de uso, los mecanismos de autenticación deben integrarse con las infraestructuras del directorio / gestión de usuarios de la empresa y seguridad web.

10. La exposición de los datos de backup

Algunos ataques recientes de alto perfil han involucrado el robo de cintas de backup de base de datos y discos duros.

Todas las copias de seguridad deben ser cifradas. De hecho, algunos proveedores han sugerido que los futuros productos DBMS no deberían admitir la creación de copias de seguridad sin cifrar. El cifrado de base de datos en línea es un pobre sustituto de controles granulares de privilegios acuerdo a expertos de seguridad de base de datos.

Conclusión

Aunque las bases de datos y su contenido son vulnerables a una serie de amenazas internas y externas, es posible reducir los vectores de ataque casi hasta cero con ayuda de soluciones de seguridad web. Al abordar estas amenazas contra seguridad de base de datos conocerás los requisitos de las industrias más reguladas en el mundo. ES ABSOLUTAMENTE IMPRESCINDIBLE CONTROLAR LA PRIVACIDAD, Y LA SEGURIDAD Y ACCESO RESTRINGIDO A LAS BASES DE DATOS, así evitaremos daños que a veces no podamos llegar a imaginar.

Referencias

http://www.iicybersecurity.com/seguridad-auditoria-de-base-de-datos.html

http://www.iicybersecurity.com/seguridad-para-aplicaciones-web.html

https://en.wikipedia.org/wiki/SQL_Slammer

http://revista.seguridad.unam.mx/numero-12/principios-basicos-de-seguridad-en-bases-de-datos

http://www.monografias.com/trabajos908/oracle/oracle2.shtml

https://technet.microsoft.com/es-es/library/bb895180(v=sql.105).aspx

https://es.wikipedia.org/wiki/Trigger_(base_de_datos)