BAQUIA

Bases de datos e insiders: como la miel y las moscas

Sql

La compañia de seguridad Imperva ha presentado los resultados del estudio “Las diez principales amenazas contra las bases de datos” (Top Ten Database Threats), donde analiza las bases de datos como objetivo prioritario para hackers e insiders maliciosos.

Las bases de datos representan el corazón de cualquier organización, al almacenar registros de clientes y otros datos confidenciales del negocio, y por eso se convierten en la parte más vulnerable y amenazada: el 96% de todos los datos sustraídos en 2012 procedieron de bases de datos, según el informe de Verizon “Data Breach” A su vez, la Open Security Foundation indica que, durante el año pasado, 242,6 millones de registros resultaron potencialmente comprometidos.

Para Imperva, la principal razón que explica la vulnerabilidad de las bases de datos es la falta de inversión en soluciones de seguridad adecuadas para protegerlas. Tal y como justifica IDC, menos del 5% de los 27.000 millones de dólares invertidos en 2011 en productos de seguridad se destinaron a la salvaguarda de los centros de datos.

El acceso malintencionado a los datos sensibles de un negocio genera pérdidas financieras o daños en su reputación. Los riestos pueden ser mitigado mediante la implementación de controles internos y siguiendo las mejores prácticas de la industria. Sin embargo, antes es necesario entender cómo se rige y funciona el siempre cambiante panorama de amenazas.

Las diez principales amenazas sobre las bases de datos que Imperva destaca son:

1. Privilegios excesivos e inutilizados. Cuando a alguien se le otorgan privilegios de base de datos que exceden los requerimientos de su puesto de trabajo, se crea un riesgo innecesario. Esto ocurre cuando los mecanismos de control de privilegios de los roles de trabajo no han sido bien definidos o mantenidos, no aplicándose el deseable principio de privilegio mínimo.

2. Abuso de privilegios. Los usuarios pueden llegar a abusar de los privilegios legítimos de bases de datos para fines no autorizados como la substracción de información confidencial. Una vez que los registros de información alcanzan una máquina cliente, los datos se exponen a diversos escenarios de violación.

3. Inyección por SQL. Un ataque de inyección SQL exitoso puede dar a alguien acceso sin restricciones a una base de datos completa. Si las secuencias inyectadas son ejecutadas a través de la base de datos, almacenes de datos críticos pueden ser visualizados, copiados o modificados.

4. Malware. Los cibercriminales, hackers patrocinados por estados o espías utilizan ataques avanzados que combinan múltiples tácticas, tales como spear phishing y malware para penetrar en las organizaciones y robar sus datos confidenciales.

5. Auditorías débiles. La grabación automática de las transacciones de bases de datos que implican datos sensibles debería ser parte de cualquier implementación de base de datos. No recopilar registros de auditoría detallados de esta actividad puede llegar a representar un riesgo muy serio para la organización en muchos niveles.

6. Exposición de los medios de almacenamiento. Los medios de almacenamiento para backup están a menudo desprotegidos, por lo que numerosas violaciones de seguridad han conllevado el robo de discos y de cintas. Por otra parte, el hecho de no auditar y monitorizar las actividades de acceso de bajo nivel por parte de los administradores sobre la información confidencial puede poner en riesgo los datos.

7. Explotación de vulnerabilidades, Bases de Datos mal configuradas. Es común encontrar bases de datos vulnerables y sin parches, o descubrir otras que poseen cuentas y parámetros de configuración por defecto. Los atacantes saben cómo explotar estas vulnerabilidades para lanzar ataques contra las empresas.

8. Datos sensibles mal gestionados. Muchas empresas luchan por mantener un inventario preciso de sus bases de datos y de los datos críticos contenidos en su interior. Los datos sensibles en estas bases de datos estarán expuestos a amenazas si no se aplican los controles y permisos necesarios.

9. Denegación de servicio. DoS es una categoría de ataque en la que se le niega el acceso a las aplicaciones de red o datos a los usuarios previstos. Las motivaciones a menudo están vinculadas a extorsiones en las que un atacante remoto repetidamente atacará los servidores hasta que la víctima cumpla con sus exigencias.

10. Limitado Expertise en Seguridad y Educación. Los controles internos de seguridad no están a la par con el crecimiento del volumen de los datos, y muchas firmas están mal equipadas para lidiar con una brecha de seguridad por la falta de conocimientos técnicos para poner en práctica controles de seguridad, políticas y capacitación.

Una estrategia de defensa multi-capa, esa es la clave

Debido a que hay muchos tipos de vectores de ataque asociados con cada amenaza, una estrategia de defensa multi-capa es necesaria para proteger adecuadamente las bases de datos, debiendo permitir, además:

1. Localizar y Evaluar dónde se ubican las vulnerabilidades en la base de datos y en qué sitio residen los datos críticos

2. Gestionar los de Derechos de Usuario para identificar derechos excesivos sobre los datos sensibles

3. Monitorización y bloqueo para proteger las bases de datos de ataques, pérdida de datos y robo

4. Realización de una auditoría, necesaria para acatar el cumplimiento de las regulaciones de la industria

5. Protección de Datos con el fin de garantizar la integridad de los datos y la confidencialidad

6. Una estrategia de seguridad no técnica inculca y refuerza una cultura de concienciación sobre la seguridad.


Compartir en :


Noticias relacionadas

Recomendamos




Comentarios