Las amenazas de bases de datos más peligrosas y cómo prevenirlas

Todas las organizaciones usan bases de datos hasta cierto punto, ya sea para manejar conjuntos de datos simples y de bajo volumen, como la libreta de direcciones de una secretaria, o grandes repositorios de Big Data para el análisis de información estratégica.

El denominador común de todas estas bases de datos es que necesitan ser protegidas de los múltiples riesgos a los que se enfrentan, siendo los principales la pérdida, alteración y robo de información. Otros riesgos, no tan críticos pero también peligrosos, incluyen la degradación del rendimiento y el incumplimiento de los acuerdos de confidencialidad o privacidad.

Los mecanismos de seguridad utilizados para proteger las redes de una organización pueden repeler algunos intentos de ataques a las bases de datos. Aún así, algunos riesgos son exclusivos de los sistemas de bases de datos (DBMS) y requieren medidas, técnicas y herramientas de seguridad específicas.

Amenazas que afectan a las bases de datos

La siguiente es una lista de las amenazas más comunes que afectan a las bases de datos en la actualidad y que deben mitigarse fortaleciendo los servidores de bases de datos y agregando algunos procedimientos a las técnicas comunes de seguridad y auditoría.

Gestión de permisos inadecuada

Más a menudo de lo que nos gustaría admitir, los servidores de bases de datos se instalan en organizaciones con su configuración de seguridad predeterminada y esta configuración nunca se cambia. Esto hace que las bases de datos queden expuestas a atacantes que conocen los permisos predeterminados y saben cómo explotarlos.

También está el caso de abuso de permisos legítimos: usuarios que utilizan sus privilegios de base de datos para hacer uso no autorizado de ella, por ejemplo, divulgando información confidencial.

La existencia de cuentas inactivas también supone un riesgo de seguridad que muchas veces se pasa por alto, ya que personas malintencionadas pueden conocer la existencia de estas cuentas y aprovecharlas para acceder a bases de datos sin autorización.

Ataques de inyección de base de datos

La principal forma de ataques de inyección de bases de datos son los ataques de inyección SQL, que atacan servidores de bases de datos relacionales (RDBMS) que utilizan lenguaje SQL. Las bases de datos NoSQL, como MongoDB, RavenDB o Couchbase, son inmunes a los ataques de inyección SQL pero son susceptibles a los ataques de inyección NoSQL. Los ataques de inyección NoSQL son menos comunes pero igualmente peligrosos.

Tanto los ataques de inyección SQL como los de inyección NoSQL operan omitiendo los controles de entrada de datos de las aplicaciones web para obtener comandos a través del motor de la base de datos para exponer sus datos y estructuras. En casos extremos, un ataque de inyección exitoso puede dar al atacante acceso sin restricciones al corazón de una base de datos.

Vulnerabilidades de bases de datos explotables

Es común que los departamentos de TI corporativos no apliquen parches a su software principal de DBMS con regularidad. Por lo tanto, incluso si se descubre una vulnerabilidad y el proveedor lanza un parche para eliminarla, pueden pasar meses antes de que las empresas parcheen sus sistemas. El resultado es que las vulnerabilidades quedan expuestas durante largos períodos, lo que puede ser aprovechado por los ciberdelincuentes.

Las razones principales por las que los DBMS no están parcheados incluyen dificultades para encontrar una ventana de tiempo para apagar el servidor y realizar el mantenimiento; requisitos complejos y lentos para probar parches; vaguedad en cuanto a quién es responsable de mantener el DBMS; excesiva carga de trabajo de los administradores de sistemas, entre otros.

Existencia de servidores de bases de datos ocultos

El incumplimiento de las políticas de instalación de software en una organización (o la falta de tales políticas) hace que los usuarios instalen servidores de bases de datos a su discreción para resolver necesidades particulares. El resultado es que aparecen servidores en la red de la organización, algo que los administradores de seguridad desconocen. Estos servidores exponen datos confidenciales a la organización o exponen vulnerabilidades que los atacantes pueden aprovechar.

Copias de seguridad accesibles

Aunque los servidores de bases de datos están protegidos por una capa de seguridad, los usuarios sin privilegios pueden acceder a las copias de seguridad de estas bases de datos. En tal situación, existe el riesgo de que usuarios no autorizados puedan hacer copias de las copias de seguridad y montarlas en sus propios servidores para extraer la información confidencial que contienen.

Técnicas y Estrategias para Proteger Bases de Datos

Para brindar una protección adecuada a las bases de datos de una organización, se necesita una matriz defensiva de mejores prácticas, combinada con controles internos regulares. La matriz de mejores prácticas incluye los siguientes elementos:

Administre los derechos de acceso de los usuarios y elimine los privilegios excesivos y los usuarios inactivos. Capacite a los empleados en técnicas de mitigación de riesgos, incluido el reconocimiento de amenazas cibernéticas comunes, como ataques de phishing selectivo, mejores prácticas en torno al uso de Internet y correo electrónico, y administración de contraseñas. Evalúe las vulnerabilidades de la base de datos, identifique los puntos finales comprometidos y clasifique los datos confidenciales. Supervise toda la actividad de acceso a la base de datos y los patrones de uso en tiempo real para detectar fugas de datos, transacciones no autorizadas de SQL y Big Data y ataques de protocolo/sistema. Automatice la auditoría con una plataforma de auditoría y protección de bases de datos. Bloquee las solicitudes web maliciosas. Archive datos externos, cifre bases de datos y enmascare campos de bases de datos para ocultar información confidencial.

Herramientas de seguridad de bases de datos

Las técnicas anteriores requieren una gran cantidad de esfuerzo por parte del departamento de TI de la organización, y muchas veces el personal de TI no puede mantenerse al día con todas sus tareas, por lo que las tareas que deben realizarse para mantener las bases de datos seguras quedan sin hacer. Afortunadamente, algunas herramientas facilitan estas tareas para que los peligros que acechan a las bases de datos no las afecten.

Escáner de vulnerabilidades de la base de datos de Scuba

Scuba es una herramienta gratuita y fácil de usar que proporciona visibilidad de los riesgos de seguridad ocultos en las bases de datos de una organización. Ofrece más de 2.300 pruebas de evaluación para bases de datos Oracle, Microsoft SQL, Sybase, IBM DB2 y MySQL, que detectan todo tipo de vulnerabilidades y errores de configuración.

Con sus informes claros y concisos, Scuba revela qué bases de datos están en riesgo y qué riesgos acechan en cada una de ellas. También proporciona recomendaciones sobre cómo mitigar los riesgos identificados.

Los escaneos de buceo se pueden realizar desde cualquier cliente de Windows, Mac o Linux. Un escaneo típico con esta herramienta toma entre 2 y 3 minutos, dependiendo del tamaño de las bases de datos, la cantidad de usuarios y grupos, y la velocidad de la conexión de red. No hay requisitos previos de instalación más que tener el sistema operativo actualizado.

Aunque Scuba es una herramienta independiente y gratuita, Imperva la incluye en su gama de productos específicos para la seguridad de datos, ofreciendo protección y seguridad de datos en la nube, privacidad de datos y análisis del comportamiento de los usuarios.

Centro de control de DBWatch

dbWatch es una solución completa de administración y monitoreo de bases de datos compatible con Microsoft SQL Server, Oracle, PostgreSQL, Sybase, MySQL y Azure SQL. Está diseñado para realizar un monitoreo proactivo y automatizar la mayor cantidad posible de mantenimiento de rutina en entornos de base de datos locales, híbridos o en la nube a gran escala.

dbWatch es altamente personalizable y cubre el flujo de trabajo de DBA desde el monitoreo hasta la administración, el análisis y la generación de informes. Los usuarios de la herramienta destacan su capacidad para descubrir fácilmente servidores, incluidos los virtuales. Esta es una excelente ventaja para la gestión y el seguimiento de activos de TI, ya que facilita la determinación de costos y la evaluación de riesgos.

Si bien ofrece una gran funcionalidad, la curva de aprendizaje de dbWatch es pronunciada, así que espere que, después de comprar la herramienta, los procedimientos de instalación y la capacitación tomen algún tiempo antes de que la herramienta esté en funcionamiento al 100%. Una versión de evaluación gratuita por tiempo limitado está disponible para descargar.

AppDetectivePRO

AppDetectivePRO es una base de datos y un escáner de Big Data que puede descubrir de inmediato errores de configuración, problemas de identificación/control de acceso, parches faltantes o cualquier combinación tóxica de configuraciones que podría causar fuga de datos, modificación no autorizada de información o ataques de denegación de servicio (DoS).

A través de su configuración simple y su interfaz fácil de usar, AppDetectivePRO puede descubrir, evaluar e informar de inmediato sobre la seguridad, los riesgos y la postura de seguridad de cualquier base de datos o repositorio de Big Data dentro de la infraestructura de una organización, ya sea en las instalaciones o en la nube, en un cuestión de minutos.

AppDetectivePRO se puede utilizar como complemento de los escáneres para sistemas operativos host o de red y aplicaciones estáticas o dinámicas. Su gama de opciones ofrece más de 50 políticas de configuración y cumplimiento listas para usar sin necesidad de mantener scripts SQL para la recopilación de datos.

DbDefensa

DbDefence es una herramienta de seguridad para bases de datos que residen en Microsoft SQL Server. Se caracteriza por ser fácil de usar, accesible y eficaz para cifrar bases de datos completas y proteger sus esquemas, impidiendo por completo el acceso a las bases de datos, incluso para los usuarios con los más altos privilegios.

El cifrado funciona en el lado del servidor, lo que permite que un administrador autorizado cifre y descifre las bases de datos de forma segura, sin necesidad de cambiar las aplicaciones que acceden a ellas. La herramienta funciona con cualquier versión de SQL Server posterior a 2005.

DbDefense funciona a nivel de archivo y objeto SQL, lo que lo diferencia de otro software de cifrado de SQL Server. Puede distinguir a qué objetos se ha intentado acceder y a qué objetos se ha denegado o permitido el acceso.

Para incluir DbDefence como parte de una solución, no es necesario adquirir licencias para cada aplicación cliente. Una sola licencia de redistribución es suficiente para instalarlo en cualquier número de clientes.

Escáner OS

OScanner es una herramienta de análisis y evaluación de bases de datos Oracle desarrollada en Java. Tiene una arquitectura basada en complementos, que actualmente tiene complementos para las siguientes funciones:

Enumeración de SID Prueba de contraseñas (común y diccionario) Enumeración de versiones de Oracle Enumeración de roles, privilegios y hashes de cuentas de usuario Enumeración de información de auditoría Enumeración de políticas de contraseñas Enumeración de enlaces de bases de datos

Los resultados se presentan en un árbol gráfico de Java. También proporciona un formato de informe XML sucinto y un visor XML integrado para ver el informe. La instalación de la herramienta solo requiere un entorno de tiempo de ejecución Java y el archivo de instalación (zip) de OScanner.

OScanner funciona de manera similar a la función de adivinación de contraseñas de Oracle Auditing Tool (OAT opwg), utilizando el archivo .default de las cuentas para obtener los pares de nombre de usuario/contraseña predeterminados. Se diferencia de la herramienta de Oracle en que también intenta adivinar cuentas con el mismo nombre de usuario y contraseña.

Administrador de seguridad de dbForge

Security Manager forma parte de la suite dbForge Studio para MySQL, añadiéndole una potente herramienta para la gestión de la seguridad en las bases de datos MySQL. Con una funcionalidad ampliada y una interfaz de usuario práctica y amigable, tiene como objetivo facilitar las tareas rutinarias de administración de seguridad, como la gestión de cuentas y privilegios de usuario de MySQL.

El uso de un administrador de seguridad mejora la productividad del personal de TI. También brinda otros beneficios, como reemplazar las operaciones complejas de la línea de comandos con una administración visual más simple de las cuentas de usuario de MySQL y sus privilegios. La herramienta también ayuda a aumentar la seguridad de la base de datos, gracias a los procedimientos de gestión simplificados que minimizan los errores y reducen el tiempo requerido por el personal de administración.

Con las cinco pestañas de la ventana del administrador de seguridad, puede crear cuentas de usuario con solo unos pocos clics, otorgando a cada uno privilegios globales y de objeto. Una vez que se crean las cuentas, puede revisar su configuración de un vistazo para asegurarse de que no cometió errores.

Puede descargar una versión completamente gratuita de dbForge Studio para MySQL, que ofrece una funcionalidad básica. Luego están las versiones Standard, Professional y Enterprise, con precios que van hasta los $400.

Palabras finales: bases de datos verdaderamente seguras

Es común que las organizaciones crean que sus datos están seguros solo porque tienen copias de seguridad y firewalls. Pero hay muchos otros aspectos de la seguridad de la base de datos que van más allá de esas medidas de seguridad. Al seleccionar un servidor de base de datos, la organización debe considerar los aspectos enumerados anteriormente, todos los cuales implican darle a los servidores de base de datos la importancia que tienen en la gestión estratégica de los datos críticos de una organización.

Publicaciones relacionadas

Botón volver arriba