BAQUIA

Cómo proteger los datos sensibles de los ataques internos

Hoy en dia la gran parte de las organizaciones están de acuerdo en que la mayoría de sus activos residen en bases de datos, y en que la via más habitual de acceso a ellos es a través de aplicaciones web.
Imperva, como firma puntera en seguridad, ha elaborado un informe en el que se recogen diez consejos para proteger los datos sensibles de los accesos internos fraudulentos .
A continuación se resumen esta lista de recomendaciones
1.- Identificar los datos sensibles
Puesto que la protección de todo el conjunto de datos de una compañía puede se muy costoso, es más eficiente proteger aquellos que son de vital importancia para el negocio, como los referentes a datos personales, información médica, salarios, planes de negocio, datos financieros, o datos referentes a la propiedad intelectual. Una vez que se conoce qué información se quiere proteger, se debe identificar dónde está ubicada dentro del conjunto de sistemas informáticos, es decir, en qué sistemas de ficheros, o en qué bases de datos, y en qué tipos de objetos almacenan.
2.- No confiar en las herramientas nativas de base de datos
En un sistema que ha sido atacado no se puede confiar en las herramientas propias de la base de datos porque también pueden estar alteradas. Además los ficheros de auditoría generados por la base de datos presentan algunos inconvenientes. Por ejemplo, que al ser su activación manual, muchas veces no están habilitados, o pueden producir un impacto negativo en el rendimiento del sistema.
3.- Monitorizar los accesos legales, los sospechosos y los de los usuarios privilegiados
Es importante vigilar los accesos legales porque los atacantes pueden acceder a los sistemas haciéndose pasar por usuarios autorizados. Los accesos sospechosos deben seguir monitorizándose porque el riesgo de ataque externo siempre existe. Y los comportamientos de los usuarios privilegiados deben ser vigilados porque no sólo son responsables de tareas críticas, sino muchas veces también de la seguridad de los sistemas.
4.- Aplicar perfiles de aplicación y base de datos
Es conveniente analizar la actividad de los usuarios para determinar cuando sus procedimientos se desvían del uso habitual y así poder detectar comportamientos anómalos. Y para ello es fundamental observar las interacciones con las aplicaciones web y las bases de datos. Dado que las aplicaciones y las bases de datos son entes dinámicos, se recomienda implementar procesos que aprendan de sus comportamientos y actualicen sus perfiles.
5.- Hacer un seguimiento exhaustivo de las sesiones de usuario
La mayoría de las aplicaciones web gestionan las sesiones de usuario agrupándolas; de tal forma que no hay una relación directa entre sesión de aplicación y sesión de base de datos; sino que lo habitual es que se aprovechen sesiones abiertas de base datos. Este agrupamiento de sesiones mejora el rendimiento de la aplicación, pero hace muy difícil el rastreo de los usuarios. En este sentido Imperva recomienda realizar el seguimiento de los usuarios de forma externa a las aplicaciones y  a las base de datos; y de forma independiente del tipo y versión de la base de datos. Se aconseja rastrear tanto las consultas a la base de datos, como el resultado de de las mismas.
6.- Añadir la intuición humana a las analíticas obtenidas de los sistemas
Es aconsejable que los informes obtenidos por las herramientas de seguridad sean analizados por distintos puntos de vista dentro de la empresa, como administradores no técnicos, personal de recursos humanos, y asesores legales. Estas personas aportan otro tipo de variables al análisis que los sistemas por si mismos no pueden obtener, como por ejemplo si se rumorea que un empleado se quiere ir a la competencia.
7.- Aplicar herramientas de visualización de los registros de auditoría
Imperva recomienda investigar los ataques usando herramientas que permitan visualizar los registros de auditoría, mediante técnicas de filtrado que permitan profundizar en los detalles de los eventos. sospechosos. Mediante este tipo de técnicas el tiempo de detección de actividades anómalas puede bajar de días o semanas hasta unos minutos.
8.- Proteger las Bases de Datos
Los datos más críticos de las empresas están almacenados en su gran mayoría en bases de datos; por lo que es uno de los principales objetivos de los ataques desde el interior. Dos soluciones que funcionan bastante bien para proteger las bases de datos son el Firewall de Base de Datos (DBFW) y la Monitorización de Actividad de Base de Datos (DAM). El Firewall aporta distintas ventajas como el bloqueo de ataques, la visibilidad de cómo los usuarios acceden a la base de datos, el análisis de auditoría, y los parches virtuales. Mientras que el DAM proporciona una auditoría robusta capturando tráfico bidireccional entre los usuarios y la base de datos independientemente de la base de datos y de su administrador.
9.- Proteger las Aplicaciones Web
Dado que el acceso a las bases de datos se realiza a través de las aplicaciones web, es necesario también protegerlas. Imperva destaca dos aspectos fundamentales en este aspecto. En primer lugar recomienda formar a los desarrolladores en técnicas de codificación segura, para que puedan aplicar la seguridad en el ciclo de vida de las aplicaciones (SDLC). Por otro lado, en los entornos de producción aconseja emplear los Firewall de Aplicaciones (WAF); cuyas ventajas más relevantes son la identificación, el bloqueo de eventos sospechosos, la detección de intrusiones, y la documentación de incidentes
10.- Aplicar correlación
El relacionar la información de las aplicaciones con la de la base de datos aporta claridad a la seguridad de los activos de las empresas, ya que proporciona una perspectiva más amplia de de todo el conjunto de datos de la organización


Compartir en :


Noticias relacionadas

Recomendamos




Comentarios