Serie de Webinars Educativos Gratuitos Seguridad Avanzada de Bases de Datos
En esta serie de webinars educativos gratuitos aprenderás de la mano de expertos en la materia sobre cómo proteger las bases de datos, desde conceptos hasta ejemplos.
Serie de Webinars Educativos Gratuitos: Seguridad Avanzada de Bases de Datos
Esta serie de seminarios web educativos gratuitos proporciona una comprensión en profundidad de cómo proteger las bases de datos. Te guiaremos a través de conceptos, proporcionaremos ejemplos y, a menudo, llegaremos a mostrarle cómo es una implementación.
Los seminarios web se programarán aproximadamente cada 4 semanas y cada uno de ellos será breve y estará diseñado para explorar uno o varios temas pequeños desde múltiples aspectos.
Esta serie de seminarios web será impartida por expertos en la materia de DBLandIT con el apoyo de la división de Investigación y Desarrollo del BCR.
Únete a nosotros y juntos aseguraremos tus bases de datos a un nivel incomparable.
El primer seminario web de la serie está previsto para el jueves 30 de enero.
Aprende más sobre el rendimiento del enmascaramiento de datos, un aspecto crítico de las soluciones actuales.
El enmascaramiento de datos no es una tarea cotidiana, así que ¿por qué es vital tener en cuenta el rendimiento?
Mientras que es de poca importancia si un proceso de enmascaramiento de datos tarda 5 segundos o 5 minutos, es crítico si tarda cinco días o no termina nunca. Los tiempos de ejecución imposiblemente largos no son inusuales y hacen que el producto sea inútil. Muchos proyectos de enmascaramiento fracasan por este motivo.
Aspectos del Rendimiento
Entonces, ¿qué hace que una solución de enmascaramiento de datos funcione rápida o lentamente? Hay tres factores que influyen significativamente en el rendimiento del enmascaramiento:
Ajuste de la base de datos
Implementación de la solución de enmascaramiento de datos
“Triggers”, o disparadores de la base de datos
Implementación
Cuando se ejecuta una solución de enmascaramiento de datos, se actualizan millones de valores de datos en la base de datos. Hay dos aspectos críticos relacionados con la implementación de la solución que pueden hacer que un trabajo se ejecute muy rápido o dolorosamente lento:
Tiempo de ejecución de SQL
Los viajes de ida y vuelta por la red
Los viajes de ida y vuelta por la red son el aspecto más crítico de la aplicación. El trabajo de enmascaramiento será insoportablemente lento si cada actualización de cada uno de los millones de valores se ejecuta por separado. Cada ejecución es un viaje de ida y vuelta, y un buen viaje de ida y vuelta para aplicaciones LAN es de unos 2-5ms. Eso significa que si se envían actualizaciones durante 24 horas en un bucle, se podría obtener una media de entre 17 y 43 millones de actualizaciones al día. No es tanto como podría parecer si se multiplica el número de filas de la base de datos por el número de columnas que requieren enmascaramiento.
Sin embargo, si el producto de enmascaramiento de datos utiliza la vinculación de matrices (con sentencias preparadas), puede enviar miles de actualizaciones en un solo viaje de ida y vuelta. Al eliminar la mayoría de los viajes de ida y vuelta, el tiempo de ejecución se reducirá de un día a menos de un minuto. Tenga en cuenta que una vez que el round-trip se vuelve insignificante, otros aspectos se convierten en el cuello de botella, por lo que el tiempo de ejecución no suele ser tan corto.
El tiempo de ejecución de SQL también depende de la implementación de la solución de enmascaramiento de datos. Cada base de datos tiene capacidades diferentes, y las implementaciones deben optimizarse para cada base de datos. Además de las sentencias preparadas y la vinculación de matrices mencionadas anteriormente, algunas bases de datos ofrecen un direccionamiento de filas más rápido que los índices. Oracle, por ejemplo, tiene ROWIDs que permiten el acceso directo a las filas. SQL Server tiene SQLBulkOperations. Del mismo modo, cada base de datos requiere una implementación única para maximizar la velocidad.
Triggers
Los “triggers” son fragmentos de código en la base de datos que se ejecutan cada vez que se modifican los datos. Tienen muchas finalidades, como validar datos, ajustar valores, sincronizar datos entre tablas y columnas, etc. La mayoría de las tablas de bases de datos no tienen triggers, pero cuando existen, se consideran parte integrante de la base de datos, vitales para su correcto funcionamiento.
Aunque el tiempo de ejecución de un único trigger suele ser corto, estos intervalos se acumulan cuando se actualizan millones de valores. Dado que el enmascaramiento de datos realiza millones de actualizaciones, los triggers de las tablas que requieren enmascaramiento suelen provocar que el tiempo de ejecución sea imposiblemente largo.
No es sencillo resolver el problema de los triggers, ya que su desactivación puede causar muchos problemas. Resolver el problema de los triggers, por tanto, requiere un mecanismo alternativo para replicar la funcionalidad de los triggers sin triggers. ¿Cómo podemos hacerlo?
Los triggers funcionan fila a fila. Esto tiene sentido para el código que se ejecuta cada vez que cambia un único valor. Sin embargo, las bases de datos pueden realizar actualizaciones verticales y cambiar todas las filas de la tabla con un único SQL. Convertir los triggers en un procedimiento con actualizaciones verticales le permitirá desactivar temporalmente los disparadores durante el enmascaramiento y mantener la funcionalidad del trigger ejecutando ese procedimiento.
Recodificar los triggers como actualizaciones verticales es un proceso manual. Sin embargo, el principal reto suele ser identificar todos aquellos que se disparan y el código que ejecutan. Core Audit, nuestra solución de auditoría de bases de datos, le muestra cualquier SQL que se ejecute en la base de datos, incluidos los SQL que se ejecutan dentro de los triggers. Es la solución perfecta para identificarlos, y a menudo la utilizamos durante las instalaciones de enmascaramiento con este fin.
Sintonización
El último aspecto del rendimiento del enmascaramiento es el ajuste de la base de datos. Con soluciones bien implementadas como Core Masking, no suele ser necesario. Sin embargo, es posible mejorar aún más.
La mayoría de las bases de datos hacen un uso intensivo de la lectura y se ajustan en función del rendimiento de lectura. La consulta de datos es, con diferencia, la actividad más habitual en las bases de datos. Sin embargo, el enmascaramiento de datos es una operación de escritura intensiva y se beneficiará de un ajuste diseñado para mejorar la velocidad de escritura.
Los administradores de bases de datos están bien equipados para ajustar una base de datos para que escriba más rápido, pero aquí hay un par de sugerencias que pueden ayudar:
Eliminación de índices en columnas enmascaradas. El objetivo de los índices es mejorar las consultas, pero cada cambio en una columna indexada requiere una actualización del índice. Eliminar los índices antes de enmascarar y volver a crearlos después es mucho más rápido.
Rehacer registros y archivar registros. Sólo enmascaramos las bases de datos que no son de producción, por lo que nunca es necesario recuperarlas en caso de fallo. Los registros de repetición y los registros de archivo son funciones de la base de datos que trabajan duro durante la actividad de escritura para garantizar que una base de datos pueda recuperarse. Deshabilitar o limitar esta funcionalidad de la base de datos durante el enmascaramiento mejorará significativamente el rendimiento de escritura.
Las bases de datos tienen muchos otros parámetros ajustables que pueden ayudar a mejorar el rendimiento, pero, como se mencionó anteriormente, rara vez es necesario ajustar la base de datos para el enmascaramiento.
El cambio de la base de datos a y desde una configuración de escritura intensiva puede automatizarse con acciones previas y posteriores al enmascaramiento. Éstas pueden eliminar índices o cambiar la configuración de la base de datos, volviendo a la configuración de lectura intensiva una vez finalizado el proceso de enmascaramiento.
Consejos
Entonces, ¿cómo deben abordar los clientes un proyecto de enmascaramiento?
Si ya dispone de una solución, intente identificar los cuellos de botella de rendimiento y solucionarlos. También puede considerar servicios profesionales como los que ofrecen nuestros socios. Otra posibilidad es adquirir una solución diferente, como Core Masking.
Si aún no ha adquirido una solución, tenga en cuenta las sugerencias siguientes. Sin embargo, el aspecto más importante a la hora de adquirir una solución de enmascaramiento de datos es asegurarse de contar con un proveedor y un socio que respalden sus soluciones y garanticen que todo funciona. Ninguna evaluación puede sustituir las capacidades que los proveedores pueden esgrimir para resolver problemas si se preocupan lo suficiente por usted como cliente.
Evaluación teórica
Es bueno evaluar la base teórica de una solución de enmascaramiento. Por ejemplo, los algoritmos de coherencia, las metodologías admitidas, los pros y los contras para la seguridad y la usabilidad de los datos, etc. La evaluación teórica y la comparación entre soluciones pueden revelar debilidades tecnológicas difíciles de identificar mediante pruebas. Estos puntos débiles rara vez se resuelven mediante actualizaciones o parches y es probable que permanezcan durante el resto de la vida útil del producto.
Evaluación práctica
Muchas evaluaciones de enmascaramiento dan rodeos. Intentan asegurarse de que algo funciona, pero no son inflexibles a la hora de analizar todos los casos de uso de principio a fin.
Por falta de tiempo, los clientes tienden a posponer la cuestión del desencadenante a la implementación posterior a la compra. Esto tiene cierta lógica, ya que los disparadores no son un problema en el software de enmascaramiento. Sin embargo, su capacidad para resolverlo es un requisito para utilizar el software. Así que, tanto si puede resolverlo usted mismo como si necesita que el proveedor o el socio le ayuden, es valioso realizar el ejercicio durante la evaluación.
A veces, las evaluaciones ni siquiera enmascaran las tablas por completo. Es simplemente una cuestión de tiempo, porque puede llevar demasiado tiempo. Pero así es como el rendimiento acaba siendo un problema sólo después de la compra. Además, las evaluaciones suelen probar los datos enmascarados comparando unas pocas filas. Sin embargo, nunca validan que todas las filas de la tabla estaban enmascaradas. Aunque no es un ejercicio trivial, tampoco es tan difícil.
En resumen, las evaluaciones prácticas son vitales, y los clientes deben ser inflexibles a la hora de repasar sus casos de uso de principio a fin. Hay que asegurarse de que el enmascaramiento termina en un tiempo aceptable y de que todos los datos están bien enmascarados.
Identifica tus necesidades
Toda selección de productos debe empezar por identificar las necesidades actuales y futuras. Esto es especialmente importante en el enmascaramiento de datos, ya que las posibilidades de los datos que se quieren enmascarar y las posibles aplicaciones de los datos enmascarados son infinitas. Cada producto tiene diferentes puntos fuertes, pero sus puntos débiles serán debilitantes para determinados casos de uso.
Sin embargo, los requisitos son algo que la mayoría de los clientes no tienen. Eso hace que la compra sea un juego de adivinanzas mientras se siguen las recomendaciones del proveedor. Le recomendamos que identifique algunos casos de uso difíciles y pida a los proveedores que los cumplan de principio a fin. Los proveedores pueden distinguirse por su capacidad para superar estos retos y no ofrecer soluciones uniformes.
Incluye a las partes interesadas
Muchas evaluaciones de enmascaramiento son realizadas por administradores de bases de datos. Es lógico, ya que el enmascaramiento es un producto de base de datos. Sin embargo, puede ser útil incluir a representantes de otros dos equipos. Una persona del equipo de seguridad para garantizar un enmascaramiento adecuado. Y lo que es más importante, al menos una persona de los usuarios destinatarios de los datos enmascarados. En otras palabras, representantes de los equipos de control de calidad o desarrollo previstos que puedan validar que los datos enmascarados les son útiles.
La razón de estas inclusiones es que si los clientes de los datos no han validado su utilidad, es probable que los rechacen y sigan utilizando datos sin enmascarar.
Incluir a varias partes interesadas de distintos equipos puede complicar el proceso de evaluación. Así que hay que intentar identificar a las personas adecuadas que puedan trabajar juntas, cooperar y hacer las cosas con rapidez.
Conclusión
El enmascaramiento de datos es, en muchos sentidos, un proceso sencillo, y la mayoría de los clientes lo consideran una compra sencilla. Aunque es sencillo, no es trivial, y saltarse algunos detalles puede suponer malgastar dinero en un software inútil.
Muchos proveedores de enmascaramiento de datos ven el enmascaramiento de datos de la misma manera que los clientes: un producto sencillo y menor sin barreras tecnológicas significativas. De nuevo, esto no es del todo falso, pero esta actitud da lugar a soluciones que sólo funcionan en algunos casos de uso y son inutilizables en otros. Esto ocurre tanto en los grandes vendedores como en los pequeños. Los grandes proveedores descuidan los productos más pequeños de la cartera, y los pequeños reducen costes recurriendo a desarrolladores baratos en países del Tercer Mundo.
Nuestro consejo es que pruebe a fondo la solución que pretende comprar y se asegure de que trabaja con un socio y un proveedor que resolverá sus problemas posteriores a la compra y hará que todo funcione.
Muchos proyectos de enmascaramiento fracasan. Trabaje con nosotros y le garantizaremos el éxito.
Descubre los problemas más comunes y las mejores soluciones de casos reales que tratan sobre el enmascaramiento de datos en nuestro próximo webinar en vivo.
Oct 10, 2024
Webinar Gratuito: Domina el Enmascaramiento de Datos
¿Estas cansado de pensar cómo aplicar una solución de enmascaramiento de datos exitosa, pero no encontrás la respuesta correcta a tus problemas? Sieste es tu caso, seguí leyendo y te contamos cómo podes mejorar el enmascaramiento de tus datos.
Si estas pensando en comenzar un proyecto de enmascaramiento de datos, o intentaste emprender anteriormente sin resultados, en Blue Core Research te podemos ayudar y brindarte una solución a tus problemas.
Únete a nuestro webinar gratuito y descubre cómo el enmascaramiento de datos puede transformar tu estrategia de seguridad. A través de la exposición de nuestros expertos, vas a poder conocer cuáles son los problemas más comunes en el enmascaramiento de datos y cómo resolverlos.
No te pierdas el evento ÍNSCRIBETE AQUÍ
Además, durante el webinar trataremos otros puntos claves, como el rendimiento de las soluciones, la calidad del enmascaramiento de datos, cómo superar imprevistos y poder solucionarlos exitosamente, y mucho más.
A partir de nuestro evento, obtendrás:
Conocimientos prácticos: Aprende de los expertos en seguridad de datos de Blue Core Research junto con DBLand IT.
Ejemplos del mundo real: Descubre cómo otras empresas han utilizado el enmascaramiento de datos para resolver sus desafíos.
La oportunidad de hacer preguntas: Resuelve todas tus dudas con nuestros expertos.
Echa un vistazo a este breve cómic sobre un ataque realista y lee las explicaciones a continuación en las que se describen los métodos, se ofrecen estadísticas y se comentan posibles técnicas de defensa.
Análisis y Explicación de los Ataques
Este artículo analiza los tipos de ataques utilizados en los cómics y ofrece estadísticas sobre su popularidad y posibles medidas de defensa. Esta brecha, como cualquier otra, requirió una combinación de varios pasos. Aunque puede que no sea posible detenerlos todos, deberías intentar detener varios y solo necesitas tener éxito en prevenir uno.
BEC y Ataques de Pretexto
Los ataques de pretexto son similares a los de phishing, pero mucho más eficaces. Los ataques de pretexto suelen suplantar la identidad de alguien para generar confianza y tienen un alto índice de éxito en la manipulación de las personas.
Según el DBIR de Verizon, en 2023, el pretexting fue el ataque de ingeniería social más frecuente y eficaz. El Business Email Compromise (BEC) aumenta aún más la eficacia de los ataques y va en aumento.
Credenciales Robadas
El 86% de los accesos iniciales en 2023 utilizaron credenciales robadas (Verizon DBIR). Es uno de los medios más comunes y altamente efectivos de obtener acceso a la organización y es cada vez más difícil de detener a causa de los empleados que trabajan de forma remota.
La MFA (Multi Factor Authentication o Autenticación Multifactor) es una forma de ayudar a combatir las credenciales robadas, pero tiene múltiples limitaciones, como demuestran las altas tasas de éxito de estos ataques.
Contraseñas
Todos los administradores tienen un archivo con las credenciales de los muchos sistemas que administran. Es la única manera de «recordar» docenas de contraseñas seguras.
Si un hacker encuentra la manera de llegar al escritorio de un administrador o a este archivo, puede llegar a cualquier parte que el administrador pueda.
Una bóveda de contraseñas tiene un éxito limitado en la protección de tales credenciales por varias razones, incluyendo porque el acceso al escritorio del administrador comprometerá cualquier sistema al que accedan.
Compromiso de la Base de Datos
Con una contraseña de administrador del servidor o de la base de datos, sólo hay una forma de detener este ataque: la seguridad de la base de datos. Las defensas centradas en los datos, especialmente las defensas de bases de datos, pueden ser muy eficaces.
Esta organización no tenía seguridad de base de datos, por lo que el personal de seguridad no estaba al tanto del ataque y no pudo detenerlo.
En este caso, el atacante robó los datos y los cifró. El ransomware garantizó que la organización descubriera la brecha. Si el atacante hubiera optado sólo por robar, la organización no habría sido consciente del ataque, y seguiría sin saberlo hasta que un tercero descubriera los datos y los cotejara para determinar su origen.
Reflexiones finales
Este ataque utiliza los medios más comunes y más eficaces para una brecha de datos. No utiliza vulnerabilidades de día cero, conocimientos únicos o talento excepcional. Es un escenario muy realista para un ataque con el que te puedes encontrar y probablemente pasará desapercibido.
Es posible que pueda mejorar aún más las defensas perimetrales, pero sigue siendo probable que ataques eficaces como éste tengan éxito. Por eso estos ataques son los más comunes y sobre todo funcionan.
Sin defensas eficaces centradas en los datos para protegerlos, este escenario será probablemente una brecha exitosa. El perímetro es fácil de penetrar, y sólo unas defensas internas eficaces en la aplicación y la base de datos pueden detener estos ataques tan comunes.
Si estás interesado, descarga la guía “Seguridad Perimetral Vs. Centrada en Datos” para obtener más información.
El análisis de anomalías es una potente herramienta que te permite ahorrar tiempo a la vez que amplía su control a grandes volúmenes de actividad. Esto es posible gracias a la exclusiva tecnología de repositorio de seguridad de Core Audit.
El motor de análisis de anomalías crea dinámicamente perfiles de comportamiento basados en el repositorio de seguridad para comparar el presente con el pasado. Al contrastar la actividad actual con la histórica, es fácil destacar los cambios de comportamiento que son indicativos de problemas de seguridad.
Esto le permite romper la idea preconcebida de que no puede controlar grandes volúmenes de actividad como la aplicación. El análisis de anomalías le permite detectar la aguja en el pajar para encontrar un único SQL ofensivo entre miles de millones.
¿Cómo funciona?
Como todos los sistemas informáticos, la actividad de las bases de datos es repetitiva, ya que aunque los valores cambian, los patrones persisten. El motor de análisis de anomalías es capaz de mucho más, pero los análisis suelen centrarse en cinco aspectos:
Actividad nueva – Algo visto hoy pero no en el pasado. Como un nuevo usuario, programa, SQL, entre otros.
Alto volumen de actividad – Actividad que existe ahora y en el pasado pero que ahora ocurre aún más.
Hora del día – Actividad que en la actualidad ocurre a una hora diferente al pasado.
Dimensiones combinadas – En lugar de un cambio en una sola dimensión (como un nuevo usuario) ocurre un cambio en múltiples dimensiones (como la combinación de un usuario y una IP). Tanto el usuario como la IP podrían ser conocidos, pero ese usuario podría no haber utilizado nunca esa IP.
Filtros – Reduzca la búsqueda de anomalías a las áreas de interés, como las tablas sensibles, la aplicación, usuarios concretos, etc. Es probable que diversos subconjuntos de la actividad muestren comportamientos diferentes y se beneficien de otros tipos de anomalías.
Hay muchas formas de seleccionar el tipo de anomalías a utilizar. Podrían ser comportamientos que usted espera, patrones vistos en análisis forenses proactivos, los asistentes de Core Audit, la guía de control de Core Audit, o simplemente prueba y error. Pero una de las características cruciales del motor de anomalías es que puede probar inmediatamente una anomalía y encontrar los resultados. Eso hace que elegir y ajustar estas irregularidades sea un proceso relativamente sencillo.
Ventajas
Inicialmente creamos el motor de anomalías para responder a una petición habitual de los clientes. Al considerar la auditoría declarativa tradicional, algunos clientes solían decir: “No quiero decirle a Core Audit sobre qué informar, quiero que Core Audit me diga qué mirar”.
A medida que la tecnología evolucionaba, ayudaba a proteger subconjuntos de la actividad que antes se consideraban imposibles de controlar. Por ejemplo, para proteger la aplicación con sus miles de millones de SQL.
Las anomalías también han demostrado su eficacia para detectar la inyección SQL e incluso los intentos de inyección. La inyección SQL, inevitablemente, hace que la aplicación haga algo que se supone que no debe hacer, creando así una nueva construcción SQL fácil de identificar.
Hoy en día, las anomalías son una poderosa herramienta para reducir el volumen de informes, asegurando grandes subconjuntos de la actividad con un ratio de falsos positivos relativamente bajo.
Conclusión
El análisis de anomalías es vital para la seguridad moderna, ya que permite hacer más controles con menos recursos, como por ejemplo controlar mayores volúmenes procedentes de más fuentes con menos personal, menos tiempo y un conjunto de habilidades más reducido.
En lugar de revisar informes interminables, las anomalías hacen gran parte del trabajo pesado, indicando rápidamente los problemas potenciales. Aunque no son una solución mágica que lo resuelva todo, las anomalías pueden y deben ser un elemento clave en cualquier estrategia de seguridad.
Hable con nosotros para obtener más información y experimentar la diferencia de Core Audit.
¿Qué es la investigación forense proactiva? Aprenda sobre esta actividad fundamental que está en el corazón de todas las iniciativas de seguridad.
Uno de los mitos populares sobre la seguridad es que se puede obtener de una caja. Basta con instalar algo y ¡voilá! Estás mágicamente protegido. Pero en realidad eso nunca funciona así.
Independientemente de lo que intentes proteger, tu primer paso debe ser siempre comprender la actividad. Debes saber cómo se utiliza el sistema, quién lo utiliza, cómo, etc. Obtener este tipo de visibilidad en un sistema de producción en vivo es fundamental para averiguar cómo protegerlo.
Visibilidad
No se puede proteger lo que no se ve.
Aunque es importante, obtener visibilidad de los sistemas informáticos no es sencillo, y resulta cada vez más difícil para los sistemas que procesan grandes volúmenes de actividad. Las bases de datos pueden procesar miles de SQL cada segundo, por lo que toda esta actividad es imposible de entender sin las herramientas adecuadas.
Core Audit es una solución de seguridad integral que incluye, entre sus muchas capacidades, la posibilidad de realizar investigaciones forenses proactivas. Éstas le darán una idea de lo que está ocurriendo en su base de datos. Es el primer paso que recomendamos a la hora de configurar su seguridad.
Una vez que sepa lo que ocurre, podrá diseñar informes eficaces, configurar alertas que tengan sentido, definir análisis prácticos de anomalías, etc.
Beneficios Adicionales
El análisis forense proactivo no se limita a configurar la seguridad, sino que es esencial para identificar las lagunas en las medidas de seguridad. A medida que la actividad evoluciona, debemos ajustar los controles para adaptarlos a los nuevos patrones de actividad, y es imposible hacerlo sin visibilidad. De lo contrario, tus controles quedarán gradualmente desfasados y, con el tiempo, obsoletos.
El análisis forense proactivo también permite identificar malas prácticas de seguridad. Personas que comparten cuentas, que se conectan desde ubicaciones inseguras, que descargan tablas de la base de datos, etcétera. Aunque no se trate de una violación, estas prácticas populares aumentan su exposición y hacen más probable una filtración de datos.
Conclusión
Hay muchas razones para revisar regularmente la actividad de la base de datos, pero la razón subyacente puede ser que necesitamos incluir a las personas en el proceso de seguridad. Independientemente de los informes, alertas o automatizaciones que creemos, una revisión humana periódica puede detectar fácilmente comportamientos y necesidades de seguridad que una máquina nunca detectaría.
Hable con nosotros para obtener más información y pruebe Core Audit para comprobar la diferencia.
Un checklist rápido de los temas principales que deberás cubrir en el 2024, en orden de prioridades para ayudarte determinar qué viene primero.
Introducción
Al considerar las prioridades para el 2024, deben identificarse las brechas críticas entre lo que ya se está realizando y dónde debería estar. Para ayudar a lograrlo rápidamente, creamos una lista de las principales prioridades a abordar.
Una reciente encuesta mostró que aproximadamente la mitad del personal de seguridad incluye entre sus prioridades la automatización y la inteligencia artificial, para que le ayuden a ahorrar tiempo y mejorar la eficiencia. Todas las recomendaciones en las principales prioridades de perímetro y centrado en datos involucran áreas donde la automatización es posible y permiten alcanzar, de manera realista, esas altas eficiencias.
1. Perímetro básico
Cortafuegos: Cualquier cortafuegos básico servirá. El objetivo principal es garantizar que las conexiones entrantes estén bloqueadas, excepto IP y puertos específicos. Estos suelen estar aislados en una zona desmilitarizada para crear una segunda barrera de entrada.
Antivirus: Cualquier antivirus básico servirá. El objetivo principal es reducir el riesgo de virus y diversos programas maliciosos. Ningún antivirus es perfecto y casi todos los antivirus, incluidos los integrados en los sistemas operativos, proporcionan una protección razonable.
Antispam y DMARC: Cualquier sistema de filtro antispam básico funcionará, incluidos los gratuitos integrados en los clientes de correo electrónico. También debe validar las firmas DMARC en todo el correo entrante (tanto SPF como DKIM) y firmar todo el correo electrónico saliente con una política DMARC configurada para rechazar. Esto, por sí solo, reducirá significativamente la carga de spam y el riesgo de suplantaciones.
2. Centrado-en-datos: lineamientos básicos
Esto es algo de lo que carecen muchas organizaciones. Si actualmente no hace esto, debería ser su segunda prioridad. El objetivo centrado-en-datos es defenderse contra ataques que penetran el perímetro poroso antes de llegar a los datos.
Seguridad de la base de datos: Hay muchos aspectos de la seguridad de la base de datos, desde la configuración de permisos hasta el control de cambios, pero dado que la mayoría de las infracciones utilizan cuentas válidas, la medida más eficaz son las alertas sobre actividades anómalas o sospechosas.
Seguridad de las aplicaciones: Existen muchas medidas que incluyen revisiones de código, análisis de vulnerabilidades y más. Sin embargo, la cobertura más amplia en esta superficie de ataque extremadamente grande son las alertas de anomalías y los perfiles de actividad de aplicaciones y usuarios finales.
Enmascaramiento de datos: Esta es la forma más sencilla y eficaz de proteger los datos fuera de producción. Si copia datos de producción a entornos inseguros, debe enmascararlos.
3. Personal
Esto es algo que la mayoría de las organizaciones hacen hasta cierto punto, pero que normalmente pueden mejorar. El objetivo es reducir el riesgo de la mayor vulnerabilidad: las personas. Las dos prioridades anteriores abordan este riesgo, pero es bueno abordarlo de frente.
Capacitación: La capacitación en seguridad de los empleados puede ayudar a reducir el riesgo de un ataque de ingeniería social exitoso. Si bien es imposible reducir este riesgo a un solo dígito, un buen programa de capacitación con ejemplos e interacción del usuario puede ser una inversión que vale la pena. Los programas simples con presentaciones y videos tienen un impacto mínimo y es posible que no valga la pena la inversión.
Gestión de identidad: Si bien los proyectos de IAM pueden ser grandes y costosos, al menos debería tener medidas simples para rastrear al personal, cerrar cuentas innecesarias y tener un control básico de quiénes son sus usuarios y a qué tienen acceso.
Pentesting: Muchas empresas ofrecen escaneos e informes automatizados. Sin embargo, son inútiles cuando se trata de la verdadera vulnerabilidad: las personas. Un verdadero equipo rojo que intente violar la seguridad utilizando cualquier medio, incluida la ingeniería social, le dará una idea mucho mejor de su postura de seguridad. Evite informes sin sentido sobre vulnerabilidades teóricas que no pueden explotarse.
4. Respuestas de análisis forenses
Una vez que haya cubierto sus bases principales, debe pensar en lo que sucede cuando ocurre una infracción o un evento de seguridad.
Plan: Cree un plan de respuesta para manejar varios eventos. Los planes comienzan con quién identificó el evento, cómo se determina la gravedad, cuál es la respuesta inmediata, a quién se debe notificar, cómo se manejan las investigaciones y más. Tenga en cuenta que los eventos pueden ser generados por personal de seguridad, personal de TI o por terceros, como las fuerzas del orden.
Validar: Que el plan sea realista. Muchos planes se basan en información y datos forenses que no existen o que son difíciles de extraer y analizar. Algunos planes suponen que el personal tiene habilidades o que los sistemas de TI tienen capacidades que en la realidad faltan. Revise el plan con el personal adecuado para asegurarse de que cada paso sea realizable.
Práctica: Incluso los mejores planes fracasan cuando las personas no los ejecutan correctamente. Cree eventos realistas y deje que el personal haga su trabajo. Durante el evento, desempeña el papel del atacante, considera sus próximos movimientos e identifica cuándo se da cuenta de que el personal está respondiendo a la intrusión.
5. Análisis de brechas
Finalmente, debe asegurarse de que todo esté bien implementado, identificar las debilidades y reforzar estratégicamente la seguridad.
Exploración de vulnerabilidades: Las herramientas automatizadas que exploran en busca de vulnerabilidades pueden identificar rápidamente posibles brechas de seguridad. Ya sean sistemas sin parches, configuraciones incorrectas, contraseñas predeterminadas o muchos otros problemas.
Análisis centrado en datos: Como principal y última línea de defensa, las medidas centradas en datos deben ser lo más herméticas posible. El análisis de posibles rutas de ataque puede resaltar los puntos débiles donde la seguridad merece una atención adicional.
Análisis de sistemas individuales: El análisis de la actividad de diferentes sistemas en cada silo es vital para obtener visibilidad del comportamiento en el mundo real. Saber lo que sucede puede ayudar a diseñar e implementar una seguridad más estricta, identificar prácticas de seguridad deficientes y más.
Pensamientos finales
Una estrategia de seguridad equilibrada y bien pensada puede ayudarle a maximizar su postura de seguridad y optimizar su presupuesto. Los puntos anteriores son esenciales para cualquier estrategia, pero cada entorno es diferente y se beneficiará de una asignación de inversión ligeramente diferente. Contáctanos para tener una consulta sin cargo sobre tu estrategia y ver cómo podemos ayudarte a maximizar tu presupuesto.
El objetivo es maximizar la seguridad con los recursos disponibles, incluidos dinero, personal y habilidades. Tomar la regla del 80/20 y las defensas secuenciales equilibradas y cómo implementar.
OpEx Vs. CapEx
Una encuesta reciente mostró que más del 50% de las empresas tienen un presupuesto que es principalmente OpEx (el resto se dividió entre CapEx, Mix y Otros). En LATAM, casi el 80% de las empresas tienen un presupuesto que es mayoritariamente OpEx.
En OpEx las empresas alquilan soluciones y servicios, por lo que cada año pagan por todo. En CapEx, las organizaciones compran productos, por lo que cada año seleccionan proyectos específicos en los que centrarse e invertir. La línea es un poco borrosa ya que incluso en CapEx hay que pagar por el soporte, e incluso en OpEx, las nuevas inversiones toman tiempo para implementarse. Entonces, ¿por qué es importante la distinción?
La flexibilidad de OpEx permite, en teoría, crear una distribución óptima de recursos cada año. Es más caro y puede requerir mucho tiempo, pero puedes redistribuir los recursos más libremente. Eso es parte del atractivo que lo hace tan popular. Por lo tanto, debería aprovechar parte de esa libertad en sus objetivos y planificación presupuestaria. No tienes que hacer el año que viene lo que hiciste el año pasado. Esto plantea la pregunta no trivial de cuál es la distribución óptima de recursos en su organización.
El CapEx también debería comenzar buscando la distribución óptima, pero luego requiere una pregunta adicional sobre cómo llegar allí. El camino puede durar varios años, entonces, ¿cuáles son los mejores proyectos a realizar este año que mejorarán la seguridad más rápidamente?
Primero, debemos considerar OpEx o CapEx: en OpEx alquilamos soluciones y servicios, por lo que cada año pagamos por todo. En CapEx, compramos productos, por lo que cada año tenemos proyectos en los que elegimos centrarnos e invertir. Pero incluso en CapEx tenemos que pagar por el soporte, e incluso en OpEx, tenemos que invertir tiempo en nuevas implementaciones. Entonces, ¿por qué la distinción?
La flexibilidad de OpEx permite, en teoría, crear la distribución óptima de recursos cada año. Es más caro y puede requerir mucho tiempo, pero podemos redistribuir nuestros recursos con mayor libertad. Eso significa que debemos ejercer esta libertad en nuestra planificación y objetivos. Entonces la pregunta importante es: ¿cuál es la distribución óptima de recursos en nuestra organización?
CapEx también debería comenzar preguntando cuál es la distribución óptima, pero luego agregar otra pregunta sobre cuál es el mejor camino para llegar allí. ¿Qué proyectos mejorarán la seguridad más rápidamente para que mejoremos nuestra postura lo más rápido posible?
80/20
Para entender la distribución óptima debemos recordar la regla 80/20. Dice que podemos lograr el 80% de los resultados con el 20% del costo/esfuerzo/tiempo y se necesita el resto del 80% de los recursos para lograr el último 20% de los resultados. 80/20 es una buena regla general en muchas áreas y en algunos casos resulta tener una proporción más extrema como 90/10.
Es decir, siempre debemos empezar por hacer ese 10%-20% de la inversión para conseguir el 80%-90% de los resultados. No necesitamos comprar el mejor firewall porque incluso un firewall simple o gratuito nos permitirá alcanzar el 80%-90% del camino. No necesitamos comprar el mejor antivirus porque incluso un antivirus simple o gratuito nos permitirá alcanzar entre el 80% y el 90% del camino. Y para ser honesto, ningún antivirus o firewall nos solucionará el 100% del camino porque ningún producto de seguridad ofrece una protección del 100%.
Lo mismo ocurre con la formación del personal, los filtros de spam y cualquier otro producto/servicio de seguridad: incluso los productos simples ofrecen una buena protección y ninguna solución es 100% efectiva.
Defensas en series
Ahora debes preguntarte cómo cubrimos ese último 10%-20%. ¿Qué compensa esas soluciones más simples y cómo esto nos lleva a una mayor seguridad?
Aquí es donde necesitamos introducir otro concepto de defensas paralelas y en serie. Las defensas paralelas son lo que conocemos como el eslabón más débil. Un pirata informático puede atravesar el firewall, el correo electrónico no deseado, la seguridad física, es posible que ya esté empleado en la empresa, etc. Cualquier brecha en el perímetro permitirá que el pirata informático ingrese a la red corporativa.
Por el contrario, las defensas seriales se refuerzan entre sí. Con las defensas en serie, un atacante tiene que romper múltiples capas de defensa para tener éxito. Entonces, ¿qué defensa debe traspasar un atacante después de traspasar el perímetro? Estas son las defensas internas alrededor de la base de datos y la aplicación que tendemos a llamar centradas en datos. No habrá una violación de datos si no se accede a la base de datos y/o a la aplicación de alguna manera.
Un cálculo probabilístico simple muestra que si logramos un 80% de protección en el perímetro y un 80% de protección alrededor de los datos, tendremos una protección combinada del 96%. Si el perímetro y el centrado en datos están ambos al 90%, la protección combinada será del 99%. Se trata de niveles de protección que son imposibles de alcanzar con defensas paralelas, independientemente de la inversión.
En otras palabras, lograr niveles de protección similares en el perímetro y centrado en los datos logrará una postura de seguridad óptima.
Presupuesto
¿Cuáles son entonces las mejores asignaciones presupuestarias?
Es difícil dar una cifra exacta porque cada entorno es diferente y tiene un perfil de riesgo único. ¿Cuántos puntos finales, cuántas bases de datos y aplicaciones, qué tan capacitados están los empleados, etc.?
Sin embargo, como referencia, considere una asignación general de:
40% para Perímetro
Esto incluye seguridad de red, puntos finales, seguridad del correo electrónico, capacitación de empleados y más.
40% para Centrado en Datos
Esto incluye seguridad de bases de datos, seguridad de aplicaciones, enmascaramiento de datos, gestión de identidades, autenticación, cifrado, cadena de suministro y más.
20% para Otros esfuerzos
Esto incluye respuesta a incidentes, inteligencia sobre amenazas, SIEM, etc.
Dentro de cada categoría, las asignaciones deben hacerse de manera diferente:
En el perímetro, el objetivo es conseguir un nivel de protección similar en todas las categorías. Dado que es casi imposible lograr más del 90% en la capacitación de los empleados, el 90% es un objetivo bueno y razonable para todos los proyectos: bloquear 9 de cada 10 intentos.
En el ámbito centrado en datos, el objetivo es centrarse más en categorías que tienen más probabilidades de ofrecer protecciones internas contra ese 1 de cada 10 que traspasó el perímetro. La aplicación y la base de datos tienden a clasificarse como las más importantes.
En otros esfuerzos, la atención suele centrarse en proyectos específicos que se ajustan al enfoque de seguridad de la organización, y las organizaciones rara vez invierten en todos los ámbitos.
Su organización puede ser diferente y requerir asignaciones diferentes. Por ejemplo, las empresas más pequeñas con presupuestos más reducidos podrían reducir o eliminar por completo la categoría “otros” y centrar sus esfuerzos en el perímetro y centrados en los datos.
Pensamientos finales
Con una buena planificación y asignación, es posible alcanzar niveles extremadamente altos de protección con una inversión modesta. Si bien todos queremos un presupuesto mayor, se puede lograr mucho con mucho menos de lo que gastamos actualmente. Se trata simplemente de recordar que ningún esfuerzo por sí solo puede llevarnos al 100% y siempre debemos compensar con defensas superpuestas o en serie.
Contáctenos para obtener más información sobre cómo podemos ayudarlo a proteger su aplicación y sus datos.
Las aplicaciones tienen una gran superficie de ataque difícil de proteger. Es imposible encontrar y abordar todas las vulnerabilidades. ¿La solución? Utilizar tecnologías que puedan detectar cualquier ataque.
Las aplicaciones tienen una gran superficie de ataque debido a la contribución de muchos factores:
Cuentas de aplicaciones con acceso directo a datos sensibles.
Otras cuentas de aplicaciones que pueden requerir explotar una vulnerabilidad como la inyección SQL.
Susceptibilidad del usuario final a ataques de ingeniería social como correos electrónicos de phishing, XSS y más.
También existen muchas causas para las vulnerabilidades, formas de acceder a las cuentas, etc.
El problema con una superficie de ataque tan grande es que no sabes por dónde empezar y parece imposible cubrirlo todo. Pero eso es sólo porque estás viendo el problema de manera equivocada.
Intentar encontrar y abordar cada agujero y vulnerabilidad es imposible e inevitablemente fracasará. Si bien es un esfuerzo importante y que vale la pena, no se puede lograr una cobertura suficiente para reducir el riesgo a niveles aceptables.
La solución no es perseguir cada vector de ataque individualmente, sino reconocer que cualquier ataque provocará un cambio en el perfil de comportamiento de la aplicación. Por tanto, monitorear la aplicación y sus usuarios nos permitirá identificar ataques y responder.
Capturar la actividad es el primer desafío para lograr este monitoreo, y depende de la tecnología de la stack de la aplicación. Core Audit contiene múltiples agentes que pueden capturar actividad en diferentes partes del stack:
El navegador web del cliente de la aplicación.
La aplicación que se ejecuta en el servidor.
La base de datos
Independientemente de si la infracción se debe a un abuso de privilegios, una escalada de privilegios, actores externos u otras causas, el perfil de comportamiento del usuario y de la aplicación a menudo mostrará cambios en más de una parte del stack.
Core Audit ofrece múltiples enfoques para permitirle comprender el perfil de comportamiento y reconocer los cambios de manera eficiente. Cada uno es útil en diferentes circunstancias y, en general, se recomienda utilizar una combinación de metodologías. Las metodologías pueden ser, por ejemplo, análisis de anomalías, auditoría declarativa, alertas, análisis forense proactivo y reactivo, y más.
Además de las medidas de detección, Core Audit también ofrece capacidades preventivas. Estas capacidades pueden proteger la aplicación y el cliente web bloqueando comportamientos ilegítimos de ciertos tipos. Por ejemplo, los filtros del cliente web pueden restringir el navegador web para que se comunique únicamente con el servidor de aplicaciones, evitando así ataques XSS y similares.
Contáctenos para obtener más información sobre cómo podemos ayudarlo a proteger su aplicación y sus datos.
Reduce el riesgo del robo de bases de datos en producción por quiebres del perímetro, con visibilidad de la actividad en las bases de datos y pruebas de falsos positivos en tu sistema de seguridad.
Es posible traspasar el perímetro corporativo. Los correos electrónicos de phishing y las amenazas internas son responsables de casi todas las filtraciones de datos. Sabemos que ambas cosas pueden ocurrir en nuestras organizaciones. Entonces, de una forma u otra, es probable que alguien dentro de nuestro perímetro esté intentando robar nuestros datos.
Pero ¿cómo podemos evitar una infracción? ¿Cómo podemos evitar que tenga éxito el actor dentro del perímetro que intenta robar nuestros datos? Un sistema de seguridad crucial que siempre se interpone entre ese actor y nuestros datos es el sistema de defensa de la base de datos.
Hay dos buenos indicadores que le ayudarán a determinar si la defensa de su base de datos está funcionando:
La prueba de visibilidad
La prueba de falso positivo
Prueba de visibilidad
¿Está al tanto de lo que sucede dentro de sus bases de datos? No puede proteger sus datos si no conoce los usuarios y programas activos dentro de su base de datos, desde dónde se conectan y qué hacen dentro de ella.
Es imposible defenderse de un enemigo que no puedes ver. Cuando las acciones de tu oponente son invisibles, no sabrás si tus datos ya fueron robados. En la mayoría de las violaciones de datos, las organizaciones no se dan cuenta del robo hasta que reciben una notificación de un tercero.
Para ponerse a prueba, haga preguntas sencillas como ¿Quién se conectó hoy a mi base de datos y desde dónde? ¿Qué programas utilizaron la base de datos en la última semana? ¿Quién accedió a datos confidenciales en el último mes?
Si aún no conoces las respuestas, tienes un problema. Tienes un problema aún mayor si no puedes averiguarlo porque la información no se recopila. Si cree que tener estos datos no es práctico, evalúe Core Audit y permítanos mostrarle que esto es solo la punta del iceberg.
Prueba de falsos positivos
¿Obtiene falsos positivos? Ningún sistema de seguridad puede lograr cero falsos positivos y cero falsos negativos. Si no obtiene falsos positivos, su seguridad probablemente sea ineficaz y no sabrá cuándo se produce una filtración de datos.
Los falsos negativos son difíciles de cuantificar: contar aquellos eventos sobre los que el sistema no le alertó. Sin embargo, la ausencia de falsos positivos es una señal segura de que el número de falsos negativos es elevado.
Si el número de falsos positivos no es razonable, ya sea demasiado alto o bajo, el problema puede ser la calibración: ajustar los filtros para cambiar la sensibilidad. Sin embargo, en muchos casos el problema no es la calibración sino el enfoque. Existen diferentes mecanismos de seguridad como informes, alertas, anomalías, análisis forense proactivo y más. Cada uno de estos enfoques tiene diferentes puntos fuertes y es más adecuado en diferentes situaciones.
Core Audit tiene una amplia gama de enfoques que se adaptan a cualquier escenario. Contáctenos para obtener más información sobre cómo proteger sus datos.
