Actividad 2

Informe: Amenazas a las bases de datos

Daniel Eduardo Saya Serrano

Servicio Nacional de Aprendizaje SENA

 Informe: Amenazas a las bases de datos

Las bases de datos son el “corazón” del negocio. Es el activo más importante:

Almacenan registros de los clientes de la empresa y datos financieros

confidenciales. Por lo tanto, constituyen uno de los objetivos más codiciados para

los hackers o para cualquier intruso.

¿Por qué son tan vulnerables las bases de datos? Las empresas no invierten en la

protección de éstas. Los piratas informáticos acceden a datos sensibles y pueden

extraer valores, causar daños o afectar las operaciones comerciales causando

pérdidas financieras.

En el año 2015, la OTA (Online Trust Alliance) menciona que más del 97% de

estos ataques podrían haberse evitado si se aplicaban medidas simples, siguiendo

“mejoresprácticas” y controles internos. La OTA menciona un top 10 de principales

amenazas a las bases de datos (ver la siguiente tabla):

Ranking Amenaza
1 Privilegios excesivos y privilegios no utilizados
2 Abuso de privilegios legítimos
3 Inyección SQL
4 Malware
5 Proceso de auditoría débil
6 Exposición de los medios de almacenamiento
7 Explotación de vulnerabilidades y bases de datos mal configuradas
8 Datos sensibles no administrados
9 Negación o denegación de servicios
10 Educación y experiencia limitada en seguridad
 Introducción

Hoy día las empresas medianas, pequeñas o grandes enfrentan riesgos

tecnológicos a diario, muchas alternativas para combatirlos, el costo y presupuesto

de cada quien limita o permite elegir la solución más adecuada.

Uno de los riesgos o uno de los más impactantes son los ataques a las base de

datos, debido a las vulnerabilidades que ellas presentan, por ejemplo, al Microsoft

SQL Server se le debe actualizar con frecuencia para cubrir las vulnerabilidades

que siempre presenta, y estas actualizaciones con tan periódicas e interminables,

solo hasta que es liberada una nueva versión y haces upgrade, y nuevamente se

repite el ciclo de actualizaciones.

En el ejemplo anterior, nos surge una interrogante, ¿Es SQL server menos

inseguro que otros manejadores, incluyendo los de código abierto? La respuesta

es no, todos tienen vulnerabilidades que pueden ser explotadas, solo que el

método de proteger es distinto.

Por eso este informe encontraremos algunas respuestas de que hacer para

proteger las bases de datos.

 Privilegios excesivos y privilegios no utilizados

Cuando a un usuario se le entregan privilegios de la base de datos que excedan

los requerimientos de su puesto de trabajo, el riesgo que se crea puede ser

innecesario.

¿Cómo le daría solución a estas amenazas?

La solución a esta amenaza es el control de acceso a nivel de consulta, para

restringir los privilegios de las operaciones a solo utilizar los datos mínimos

requerido.

Se limitar los usuarios con privilegios de administrador local (caso Windows), o

root (Caso Linux o Unix), los usuario finales no debe ser miembros en esta clase

de grupo.

¿Qué controles implementaría para disminuir los riesgos ocasionados por las

posibles amenazas?

 Establecer formatos de creación y aplicación de permisos.

 Crear los perfiles y aplicar permisos según el rol del usuario.

 Deshabilitar los usuarios que se encuentren de vacaciones o reposos

médicos.
  Eliminar los usuarios que ya no tengan relación laboral con la organización

Inyección SQL

Implica que un usuario se aprovecha de vulnerabilidades en aplicaciones web y

procedimientos almacenados para proceder a enviar consultas de bases de datos

no autorizadas, a menudo con privilegios elevados.

¿Cómo le daría solución a estas amenazas?

Para solucionar esta amenaza aplicar controles de acceso a nivel de consulta,

para detectar consultas no autorizadas inyectadas a través de aplicaciones web y /

o procedimientos almacenados.

¿Qué controles implementaría para disminuir los riesgos ocasionados por las

posibles amenazas?

 Programar auditorías de base de datos.

 Definir los control de acceso a control de acceso según el rol del usuario
 Negación o denegación de servicios

Es el que se realiza cuando una cantidad considerable de sistemas atacan a un

objetivo único, provocando La denegación de servicio (DoS), aunque puede ser

invocada muchas técnicas.

¿Cómo le daría solución a estas amenazas?

Como solución instalación de un sistema de prevención de intrusos sobre y

aplicación de controles de la velocidad de conexión sobre las base de datos.

¿Qué controles implementaría para disminuir los riesgos ocasionados por las

posibles amenazas?

 Aplicar prevención de negación o denegación de servicios a nivel de

múltiples capas que incluyendo los de red, aplicaciones y bases de datos.

 Conclusiones

Dentro de este informe definimos el tres tipos de vulnerabilidades, en el cual

aplicaríamos soluciones que van desde controles de accesos a instalación de

sistemas de prevención de intrusos, para problemas como permisos excesivos,

inyección sql y denegación de servicios.

Las recomendaciones que se indicaron, aplicaciones de auditoria, protección a

nivel de capas de red, aplicaciones y base de datos, así como auditorias

periódicas. Esto no deja un sistema 100% seguro, sin embargo nos disminuye el

riesgo y nos brinda confiabilidad en los datos.