GESTION DE LA SEGURIDAD INFORMATICA

INFORME: AMENAZAS A LAS BASES DE DATOS

Aprendiz:

Tutor: JAVIER PEREZ

Correo electrónico: Javierpc@misena.edu.co

Fecha: San Francisco de Quibdó - Choco

29 de abril del año 2019

3.4 Actividades de transferencia del conocimiento.

Informe: Amenazas a las bases de datos

1
Las bases de datos son el “corazón” del negocio. Es el activo más importante: Almacenan
registros de los clientes de la empresa y datos financieros confidenciales. Por lo tanto,
constituyen uno de los objetivos más codiciados para los hackers o para cualquier intruso.
¿Por qué son tan vulnerables las bases de datos? Las empresas no invierten en la
protección de éstas. Los piratas informáticos acceden a datos sensibles y pueden extraer
valores, causar daños o afectar las operaciones comerciales causando pérdidas
financieras. En el año 2015, la OTA (Online Trust Alliance) menciona que más del 97% de
estos ataques podrían haberse evitado si se aplicaban medidas simples, siguiendo “mejores
prácticas” y controles internos. La OTA menciona un top 10 de principales amenazas a las
bases de datos (ver la siguiente tabla):

Ranking Amenaza

1 Privilegios excesivos y privilegios no utilizados

2 Abuso de privilegios legítimos
3 Inyección SQL
4 Malware 5 Proceso de auditoría débil
6 Exposición de los medios de almacenamiento
7 Explotación de vulnerabilidades y bases de datos mal configuradas
8 Datos sensibles no administrados
9 Negación o denegación de servicios
10 Educación y experiencia limitada en seguridad

Usted como representante de la organización, debe dar a conocer al menos dos de las
amenazas que se muestran en la tabla y sus posibles controles o la disminución de estos
riesgos. Para ello, realice lo siguiente:

Desarrollo

Usted como representante de la organización, debe dar a conocer al menos dos de las
amenazas que se muestran en la tabla y sus posibles controles o la disminución de estos
riesgos.

1. Abuso de permisos excesivos

Cuando a los usuarios (o las aplicaciones) se les conceden permisos de acceso a la base
de datos que superan los requisitos de su función, es posible que exista abuso de estos
permisos con fines malintencionados. Por ejemplo, un administrador universitario cuya
responsabilidad sólo necesita la capacidad de cambiar la información de contacto de los

2
estudiantes puede aprovecharse de la concesión de permisos excesivos de actualización
de bases de datos para cambiar las calificaciones de los estudiantes.

Prevención del abuso de permisos excesivos: eliminación de derechos excesivos y

su aplicación a través del control de acceso a nivel de consulta.

La solución para la amenaza que representan los permisos excesivos es la eliminación de

éstos. Para ello, es necesario poder identificar los derechos excesivos, es decir, derechos
que el usuario no necesita para llevar a cabo su trabajo. Esto se logra mediante la extracción
de permisos de las bases de datos, correlación de permisos con el usuario de la
organización y análisis de estos permisos. Se trata de un proceso largo y complicado, que
si se hace manualmente absorbe grandes cantidades de tiempo y recursos. Una solución
automatizada puede reducir en gran medida el tiempo y recursos necesarios y acortar el
proceso de análisis.

2. Exposición de datos de copia de seguridad

Los medios de almacenamiento de las copias

de seguridad de las bases de datos quedan a
menudo sin protección contra los ataques.
Como resultado, varias violaciones de
seguridad de alto perfil han involucrado el
robo de cintas y discos con copias de
seguridad de bases de datos.

Prevención de la exposición de datos de copia de seguridad

Todas las copias de seguridad de las bases de datos deberían ser cifradas. En realidad,
varios proveedores han sugerido que los futuros productos de sistemas de gestión de bases
de datos no admitan la creación de copias de seguridad sin cifrar. A menudo se ha sugerido
el cifrado de la información de bases de datos de producción en línea, pero los problemas
de rendimiento y de gestión de las claves criptográficas a menudo hacen que esto no resulte
práctico y por lo general se considera como un sustituto deficiente para los controles
granulares de privilegios que se describen anteriormente.

3
3. Explotación de bases de datos vulnerables y mal configuradas

Es común encontrar bases de datos

vulnerables a las que no se han aplicado
parches, o bases de datos que todavía
tienen las cuentas y los parámetros de
configuración predeterminados. Un atacante
que busque aprovecharse de los puntos
débiles de la base de datos por lo general
probará los sistemas para detectar estas
vulnerabilidades, lo que puede comprometer
la seguridad, mientras los proveedores no
lanzan un parche para proteger a los sistemas contra una cierta vulnerabilidad, la base de
datos de la organización queda desprotegida.

Prevención: evaluación y parcheo de vulnerabilidades.

Para mitigar la amenaza sobre las bases de datos vulnerables y sin parches, en primer
lugar, es necesario evaluar la situación de seguridad de las bases de datos y cerrar todas
las vulnerabilidades y brechas de seguridad conocidas. La organización debe examinar
periódicamente la base de datos para detectar vulnerabilidades y parches no aplicados. Las
evaluaciones de configuración deben proporcionar una imagen clara del estado actual de
la configuración de los sistemas de datos.

Estas evaluaciones también deben identificar las bases de datos que no cumplan con las
políticas de configuración definidas. Cualquier parche de seguridad no aplicado debe
instalarse lo antes posible. Si se descubre una vulnerabilidad y el parche aún no está
disponible, ya sea porque el proveedor no lo ha proporcionado o porque todavía no se ha
instalado, se debe implementar una solución de parche virtual. Este tipo de solución
bloquea cualquier intento de explotar estas vulnerabilidades. Por lo tanto, al minimizar el
plazo de exposición con parches virtuales se protege a la base de datos contra los intentos
de explotación de sus vulnerabilidades hasta que se instala un parche.