Seguridad en bases de datos
-
Upload
jose-alvarado-robles -
Category
Technology
-
view
254 -
download
5
Transcript of Seguridad en bases de datos
![Page 1: Seguridad en bases de datos](https://reader036.fdocuments.mx/reader036/viewer/2022082405/55740d4cd8b42a3a628b4795/html5/thumbnails/1.jpg)
Seguridad en Bases de DatosPrincipios básicos
![Page 2: Seguridad en bases de datos](https://reader036.fdocuments.mx/reader036/viewer/2022082405/55740d4cd8b42a3a628b4795/html5/thumbnails/2.jpg)
La gran mayoría de los datos sensibles del mundo están almacenados en sistemas gestores de bases de datos comerciales tales como Oracle, Microsoft SQL Server entre otros, y atacar una bases de datos es uno de los objetivos favoritos para los criminales.
Introducción
![Page 3: Seguridad en bases de datos](https://reader036.fdocuments.mx/reader036/viewer/2022082405/55740d4cd8b42a3a628b4795/html5/thumbnails/3.jpg)
Esto puede explicar por qué los ataques externos, tales como inyección de SQL, subieron 345% en 2009.
Según un estudio publicado en febrero de 2009 The Independent Oracle Users Group, casi la mitad de todos los usuarios de Oracle tienen al menos dos parches sin aplicar en sus manejadores de bases de datos.
Introducción
![Page 4: Seguridad en bases de datos](https://reader036.fdocuments.mx/reader036/viewer/2022082405/55740d4cd8b42a3a628b4795/html5/thumbnails/4.jpg)
Mientras que la atención generalmente se ha centrado en asegurar los perímetros de las redes por medio de, firewalls, IDS / IPS y antivirus, cada vez más las organizaciones se están enfocando en la seguridad de las bases de datos con datos críticos, protegiéndolos de intrusiones y cambios no autorizados.
Seguridad típica empresarial
![Page 5: Seguridad en bases de datos](https://reader036.fdocuments.mx/reader036/viewer/2022082405/55740d4cd8b42a3a628b4795/html5/thumbnails/5.jpg)
Identifique su sensibilidad Evaluación de la vulnerabilidad y la
configuración Endurecimiento Audite Monitoreo Pistas de auditoria Autenticación, control de acceso, y Gestión
de derechos
Principios básicos de seguridad de bases de datos
![Page 6: Seguridad en bases de datos](https://reader036.fdocuments.mx/reader036/viewer/2022082405/55740d4cd8b42a3a628b4795/html5/thumbnails/6.jpg)
Confeccione un buen catálogo de tablas o datos sensibles de sus instancias de base de datos.
Desarrolle o adquiera herramientas de identificación de ataques, es decir, implementar mecanismos de control detectivos.
Ejemplo: detectar “inyección SQL”.
Identifique su sensibilidad
![Page 7: Seguridad en bases de datos](https://reader036.fdocuments.mx/reader036/viewer/2022082405/55740d4cd8b42a3a628b4795/html5/thumbnails/7.jpg)
Evalúe su configuración de bases de datos, para asegurarse que no tiene huecos de seguridad.
Esto incluye la verificación de la forma en que se instaló la base de datos y su sistema operativo (por ejemplo, la comprobación privilegios de grupos de archivo -lectura, escritura y ejecución- de base de datos y bitácoras de transacciones).
Evaluación de la vulnerabilidad y la configuración
![Page 8: Seguridad en bases de datos](https://reader036.fdocuments.mx/reader036/viewer/2022082405/55740d4cd8b42a3a628b4795/html5/thumbnails/8.jpg)
Acciones a implementar para reducir la vulnerabilidad:◦ Limitar el acceso a los procedimientos a ciertos
usuarios.◦ Delimitar el acceso a los datos para ciertos
usuarios, procedimientos y/o datos.◦ Declinar la coincidencia de horarios entre
usuarios que coincidan.
Evaluación de la vulnerabilidad y la configuración
![Page 9: Seguridad en bases de datos](https://reader036.fdocuments.mx/reader036/viewer/2022082405/55740d4cd8b42a3a628b4795/html5/thumbnails/9.jpg)
Resolver las deficiencias encontradas de la etapa anterior.
Implementar la eliminación de todas las funciones y opciones que se no utilicen. Aplique una política estricta sobre que se puede y que no se puede hacer, pero asegúrese de desactivar lo que no necesita.
Ejemplo: privilegios de administrador y usuario final.
Endurecimiento
![Page 10: Seguridad en bases de datos](https://reader036.fdocuments.mx/reader036/viewer/2022082405/55740d4cd8b42a3a628b4795/html5/thumbnails/10.jpg)
Una vez que haya creado una configuración y controles de endurecimiento, realice auto evaluaciones y seguimiento a las recomendaciones de auditoría para asegurar que no se desvíe de su objetivo (la seguridad).
Automatice el control de la configuración de tal forma que se registre cualquier cambio en la misma.
Implemente alertas sobre cambios en la configuración.
Audite
![Page 11: Seguridad en bases de datos](https://reader036.fdocuments.mx/reader036/viewer/2022082405/55740d4cd8b42a3a628b4795/html5/thumbnails/11.jpg)
Monitoreo en tiempo real de la actividad de base de datos es clave para limitar su exposición, aplique o adquiera agentes inteligentes [5] de monitoreo, detección de intrusiones y uso indebido.
Por ejemplo, alertas sobre patrones inusuales de acceso, que podrían indicar la presencia de un ataque de inyección SQL, cambios no autorizados a los datos, cambios en privilegios de las cuentas, y los cambios de configuración que se ejecutan a mediante de comandos de SQL.
Monitoreo
![Page 12: Seguridad en bases de datos](https://reader036.fdocuments.mx/reader036/viewer/2022082405/55740d4cd8b42a3a628b4795/html5/thumbnails/12.jpg)
Idera SQL Compliance Manager
Auditoria a SQL Server
![Page 13: Seguridad en bases de datos](https://reader036.fdocuments.mx/reader036/viewer/2022082405/55740d4cd8b42a3a628b4795/html5/thumbnails/13.jpg)
Aplique pistas de auditoría y genere trazabilidad de las actividades que afectan la integridad de los datos, o la visualización los datos sensibles.
Recuerde que es un requisito de auditoría, y también es importante para las investigaciones forenses.
Ejemplos: Triggers y tablas de registro, logs.
Pistas de auditoria
![Page 14: Seguridad en bases de datos](https://reader036.fdocuments.mx/reader036/viewer/2022082405/55740d4cd8b42a3a628b4795/html5/thumbnails/14.jpg)
No todos los datos y no todos los usuarios son creados iguales. Usted debe autenticar a los usuarios, garantizar la rendición de cuentas por usuario, y administrar los privilegios para de limitar el acceso a los datos.
Implemente y revise periódicamente los informes sobre de derechos de usuarios, como parte de un proceso de formal de auditoría.
Autenticación, control de acceso, y Gestión de derechos
![Page 15: Seguridad en bases de datos](https://reader036.fdocuments.mx/reader036/viewer/2022082405/55740d4cd8b42a3a628b4795/html5/thumbnails/15.jpg)
Practica de seguridad con SQL Server.
Gracias