bases-de-datos-vulnerabilidad

 

Las infraestructuras de muchas de las  bases de datos de las empresas, usualmente contienen información relevante de una organización, estas bases de datos están sujetas a una amplia gama de ataques contra seguridad de sus bases de datos.

En Ona Systems  hemos enumerado los más críticos de estos, seguido de recomendaciones para mitigar el riesgo de cada uno.

1. PRIVILEGIOS EXCESIVOS

Cuando a un usuario se le entregan privilegios de la base de datos que excedan los requerimientos de su puesto de trabajo, el riesgo que se crea puede ser innecesario.

La solución a este problema (además de buenas políticas de contratación) es el control de acceso a nivel de consulta. El control de acceso a nivel de consulta restringe los privilegios de las operaciones a solo utilizar los datos mínimos requeridos. La mayoría de las plataformas de seguridad de bases de datos nativas ofrecen algunas de estas capacidades (triggers, RLS, y así sucesivamente), pero el diseño de estas herramientas manuales las hacen impracticables en todo excepto en las implementaciones más limitados según experiencia de expertos de seguridad web.

2. ABUSO DE PRIVILEGIOS

Muchos de los usuarios pueden llegara a  abusar de los privilegios de acceso de datos legítimos para fines no autorizados. Por ejemplo: suministrar información confidencial de un cliente, sustraer información de la compañía para su propio lucro.

La estrategia para lograr esta solución esta relacionada con la política de control de acceso que se aplican no sólo a lo que los datos son accesibles, pero ¿cómo se accede a los datos? Al hacer cumplir las políticas de seguridad web, sobre cosas como la ubicación, el tiempo, el cliente de aplicación y el volumen de los datos recuperados, es posible identificar a los usuarios que están abusando de los privilegios de acceso.

3. ELEVACIÓN DE PRIVILEGIOS NO AUTORIZADOS

Los atacantes pueden aprovechar las vulnerabilidades en el software de gestión en la base de datos para convertir los privilegios de acceso de bajo nivel de privilegios de acceso de alto nivel. Por ejemplo, sin seguridad de bases de datos, un atacante podría aprovechar una vulnerabilidad de desbordamiento de búfer de base de datos para obtener privilegios administrativos.

Exploits de elevación de privilegios pueden ser derrotados con una combinación de control de acceso a nivel de consulta, auditoría de base de datos y los sistemas de prevención de intrusiones (IPS) tradicionales. Control de acceso a nivel de consulta puede detectar un usuario que de repente utiliza una operación de SQL inusual, mientras que un IPS puede identificar una amenaza específica de seguridad web documentada dentro de la operación.

4. VULNERABILIDADES DE LA PLATAFORMA

Las vulnerabilidades en los sistemas operativos  pueden conducir al acceso no autorizado a datos y la corrupción.

Las  herramientas de IPS son una buena manera de identificar y / o bloquear ataques diseñados para aprovechar las vulnerabilidades de la plataforma de base de datos.

 

5. INYECCIÓN DE SQL

La mayoría de las aplicaciones web desarrolladas hoy en día hacen uso de una base de datos para ofrecer páginas dinámicas y almacenar información tanto de los usuarios como de la propia herramienta,  el uso de este tipo de lenguaje ha traido consigo la aparición de numerosas vulnerabilidades. Los Ataques de inyección SQL implican a un usuario que se aprovecha de vulnerabilidades en aplicaciones web y procedimientos almacenados para proceder a enviar consultas de bases de datos no autorizadas, a menudo con privilegios elevados.

Soluciones de seguridad de bases de datos, auditoría de base de datos, control de acceso a nivel de consulta detecta consultas no autorizadas inyectadas a través de aplicaciones web y / o procedimientos almacenados.

 

6. AUDITORÍA DÉBIL

En los últimos años, las redes empresariales han evolucionado considerablemente. Todo, desde el computo móvil hasta la nube, todos los sistemas están haciendo que las redes actuales sean más complejas que nunca, incluso las mismas herramientas que son utilizadas para administrar la seguridad de red pueden expandir el ataque y crear vulnerabilidades.  Las políticas débiles de auditoría de base de datos representan riesgos en términos de cumplimiento, la disuasión, detección, análisis forense y recuperación.

Por desgracia, el sistema de gestión de base de datos nativa (DBMS) audita las capacidades que dan lugar a una degradación del rendimiento inaceptable y son vulnerables a los ataques relacionados con el privilegio– es decir, los desarrolladores o administradores de bases (DBA) puede desactivar la auditoría de base de datos.

La mayoría de las soluciones de auditoría de base de datos también carecen del detalle necesario. Por ejemplo, los productos DBMS rara vez se registran qué aplicación se utiliza para acceder a la base de datos, las direcciones IP de origen y falló de consultas.

Las soluciones de auditoría de base de datos basados en la red son una buena opción. Tales soluciones de auditoría de base de datos no deben tener ningún impacto en el rendimiento de base de datos, operan de forma independiente de todos los usuarios y ofrecen la recopilación de datos a detalle.

 

7. DENEGACIÓN DE SERVICIO

En internet, un ataque de denegación de servicios ( DDOS) es el que se realiza cuando una cantidad considerable de sistemas atacan a un objetivo único, provocando La denegación de servicio (DoS, aunque  puede ser invocadas  muchas técnicas. Las técnicas más comunes de DOS incluyen desbordamientos de búfer, corrupción de datos, la inundación de la red y el consumo de recursos.

La prevención de DoS debería ocurrir en múltiples capas que incluyendo los de red, aplicaciones y bases de datos según recomendaciones de cursos de seguridad de bases de datos y seguridad web.

Recomendaciones sobre las bases de datos incluyen el despliegue de un IPS y controles de la velocidad de conexión. Al abrir rápidamente un gran número de conexiones, los controles de velocidad de conexión pueden impedir que los usuarios individuales usan los recursos del servidor de base de datos.

 

8. VULNERABILIDADES EN LOS PROTOCOLOS DE LAS BASES DE DATOS

Existe una constante preocupación por la seguridad de la base de datos: Muchas veces la seguridad se ve afectada por la configuración de los procesos de conexión.  Las vulnerabilidades en los protocolos de bases de datos pueden permitir el acceso no autorizado a datos, la corrupción o la disponibilidad. Por ejemplo, SQL Slammer worm se aprovechó de una vulnerabilidad de protocolo de Microsoft SQL Server para ejecutar código de ataque en los servidores de base de datos destino.

Los protocolos de ataques pueden ser derrotados mediante el análisis y validación de las comunicaciones de SQL para asegurarse de que no están malformados. Pueden aprender más sobre este ataque durante cursos de seguridad suministrados por Ona Systems,

 

9. AUTENTICACIÓN DÉBIL

La autenticación basada en contraseña es probablemente una de las funciones más importantes que se usan todos los días, sin embargo no se ha evolucionado mucho desde los primeros sistemas informáticos de usuarios múltiples, incluso cuando se desarrollan métodos más seguros.  Los esquemas de autenticación débiles permiten a los atacantes asumir la identidad de los usuarios de bases de datos legítimos. Estrategias de ataque específicas incluyen ataques de fuerza bruta, la ingeniería social, y así sucesivamente.

La implementación de contraseñas o autenticación de dos factores es una necesidad. Para la escalabilidad y facilidad de uso, los mecanismos de autenticación deben integrarse con las infraestructuras del directorio / gestión de usuarios de la empresa y seguridad web.

 

10. LA EXPOSICIÓN DE LOS DATOS DE BACKUP

El robo de información y la filtración de datos confidenciales son noticias del día a día, Algunos ataques recientes de alto perfil han involucrado el robo de cintas de backup de base de datos y discos duros.

Es importante que todas las copias de seguridad deben ser cifradas. De hecho, algunos proveedores han sugerido que los futuros productos DBMS no deberían admitir la creación de copias de seguridad sin cifrar. El cifrado de base de datos en línea es un pobre sustituto de controles granulares de privilegios acuerdo a expertos de seguridad de base de datos.

CONCLUSIÓN

Aunque muchas de las bases de datos y sus contenidos puedes ser vulnerables a muchas series de amenazas internas y externas, es posible reducir muchos de los ataques hasta casi  a cero con ayuda de las soluciones y estrategias de seguridad sumnistradas por Ona Systems.