Muchas organizaciones diseñan sus estrategias de ciberseguridad y deciden qué soluciones comprar en función de las tendencias y mejores prácticas de la industria. El resultado suele ser desequilibrado e inapropiado para el perfil de riesgo y las necesidades de seguridad de la organización.

Las implementaciones de mejores prácticas suelen ser de talla única y no se adaptan al entorno específico. Al ser predecibles, generalmente existen herramientas y guías en Internet que pueden vencerlos. Un enfoque genérico de esta naturaleza tampoco logra aprovechar las ventajas fácilmente disponibles cuando se examinan los aspectos específicos del entorno.

Muchas soluciones vienen con seguridad lista para usar. Contienen políticas integradas y firmas diseñadas para una baja tasa de falsos positivos en cualquier entorno. Estos tienen dificultades para identificar variaciones de ataque y nunca pueden identificar otros vectores, lo que resulta en una defensa más débil.

Este documento trata sobre cómo hacer la seguridad de manera diferente.

Perímetro vs. Centrado en datos

La mayoría de las soluciones de seguridad se clasifican en una de dos categorías: seguridad perimetral o seguridad centrada en los datos.

La seguridad perimetral tiene como objetivo evitar que los atacantes ingresen a la red y accedan a los sistemas internos. Un escritorio comprometido no es una violación de datos, pero una vez que los atacantes tienen este acceso, pueden dar el siguiente paso e intentar obtener acceso a la aplicación o la base de datos. Una violación de datos solo ocurriría si los atacantes pueden navegar desde ese escritorio comprometido hasta los datos.

La seguridad perimetral tiene dos limitaciones estratégicas:

• Amenazas internas: cuando una amenaza ya está dentro de la red y detrás del perímetro, no puede protegerse con este tipo de defensas. Lo mismo se aplica a las amenazas fuera de la red con acceso VPN (por ejemplo, socios, consultores y más).
• Defensa estadística: las protecciones perimetrales casi siempre tienen como objetivo reducir el número de penetraciones, pero no evitarlas por completo. Independientemente de lo buenos que sean nuestros filtros de spam, seguimos recibiendo correos electrónicos no deseados. No importa cuán buena sea la capacitación de nuestro personal, la gente aún hace click en esos correos electrónicos de phishing.

Data-centric es una metodología que gira en torno a los datos. Comienza con el lugar donde se almacenan los datos: la base de datos y se expande hacia las aplicaciones que procesan esos datos.

La seguridad centrada en datos incluye seguridad de bases de datos, seguridad de aplicaciones, IAM y más. Una sólida postura centrada en los datos puede evitar una filtración de datos independientemente de cuántos atacantes hayan penetrado en el perímetro. Por ejemplo, las aplicaciones basadas en la nube se basan principalmente en medidas centradas en datos.

La seguridad perimetral es una defensa paralela donde los atacantes solo necesitan violar una de las medidas para ingresar. Los atacantes que no logran penetrar el firewall pueden probar el sistema de correo, la ingeniería social, etc. La seguridad perimetral es tan fuerte como su eslabón más débil.

La seguridad centrada en datos es una seguridad en capas que da como resultado una defensa en serie donde los atacantes deben penetrar todas las capas. Una violación exitosa de la aplicación que no puede ejecutar un ataque contra la base de datos es un ataque fallido. La seguridad centrada en los datos es la última línea de defensa y pretende ser lo más hermética posible.

Las defensas perimetrales y centradas en datos no se excluyen mutuamente, y las estrategias bien equilibradas incluirán ambas.

Consideraciones generales

Al construir una estrategia de seguridad, debemos considerar las amenazas que percibimos como relevantes. Por ejemplo, ¿nos preocupan las amenazas externas, las amenazas internas, o ambas? Si las amenazas internas son una preocupación importante, la seguridad del perímetro no será eficaz contra ellas y debemos reforzar los componentes centrados en los datos.

También debemos considerar la efectividad de diferentes medidas en el panorama actual. Por ejemplo, a medida que más y más personas trabajan de forma remota, la seguridad de la red y la seguridad de los terminales son menos efectivas. Una vez que las personas trabajan desde casa, están fuera del firewall corporativo y usan las computadoras de su hogar. Con un control mínimo sobre todas estas minioficinas remotas con conexiones VPN, nuestra defensa perimetral se vuelve más débil de lo esperado.

BYOD (Bring-Your-Own-Device) plantea un desafío similar en el que muchos teléfonos y tabletas descontrolados e inseguros deambulan por la red corporativa dentro de nuestro perímetro.

A medida que cambia el panorama moderno y disminuye la efectividad de los controles perimetrales, hay un cambio creciente hacia las defensas internas. Parte de este cambio incluye una redefinición de la línea perimetral: proteger la red del centro de datos es más importante que la red corporativa.

Consideraciones de activos

Hay varias consideraciones a la hora de elegir en qué sistemas centrar nuestras defensas y cómo asignar los recursos:

• Riesgo: algunos sistemas presentan un mayor riesgo que otros. Por ejemplo, es necesario un firewall porque, sin él, tendremos infinidad de atacantes dentro de nuestra red. Necesitamos defender la aplicación porque todas las personas que la usan, o tienen acceso a la red, forman una gran superficie. También debemos proteger nuestra base de datos porque almacena todos los datos y una violación sería catastrófica.
• Efectividad: algunos sistemas son más fáciles de asegurar con mejores resultados, mientras que otros pueden ser costosos de proteger o tener beneficios de seguridad limitados. Por ejemplo, los firewalls son una medida efectiva y son baratos y fáciles de implementar; esa es una opción fácil. La seguridad de la aplicación o la base de datos (según la solución utilizada) puede ser difícil o costosa de implementar, pero con buenos resultados. IAM puede ser costoso de implementar pero con un valor limitado.
• Caminos de ataque: algunos sistemas se encuentran en una ruta crítica entre los atacantes y los datos. Otros están en caminos que los atacantes podrían eludir. Por ejemplo, un atacante debe comunicarse con la base de datos para extraer los datos. Es poco probable que un ataque tenga éxito sin él. Sin embargo, si una aplicación está en esa ruta depende del entorno. A veces, la ruta principal a los datos es a través de una sola aplicación. En otros casos, varias aplicaciones o conexiones directas a bases de datos ofrecen rutas alternativas.

Equilibrar las rutas de riesgo, eficacia y ataque es una consideración central en la estrategia de ciberseguridad, y existen múltiples métodos de equilibrio. Sin embargo, es importante recordar que hay muchas variables. Por ejemplo, la efectividad de la seguridad depende de la solución y la tecnología que esté evaluando, ya que las diferentes soluciones diferirán en costo y efectividad.

IDS e IPS

Los sistemas de detección de intrusiones (IDS) y los sistemas de prevención de intrusiones (IPS) son metodologías fundamentalmente diferentes en seguridad.

IPS tiene como objetivo prevenir ataques e infracciones. Estos son sistemas de seguridad clásicos como firewalls, usuarios y contraseñas, etc. Los IPS son componentes críticos en cualquier estrategia de seguridad.

Por el contrario, IDS busca detectar ataques y alertar o informar sobre ellos. Estos incluyen medidas como auditoría, SIEM, etc. Los IDS también son un componente crítico en cualquier estrategia de seguridad, ya que informan al personal de seguridad, les permiten iniciar una respuesta y brindan información forense.

Es importante comprender las diferencias fundamentales entre IPS e IDS:

• Tolerancia a los falsos positivos.
  Los falsos positivos en IPS significan que el sistema impide que los usuarios realicen actividades legítimas. Por lo tanto, IPS no puede tolerar falsos positivos.
  Los falsos positivos en IDS significan que los informes o alertas requieren que el personal de seguridad los investigue mientras los usuarios continúan haciendo su trabajo. Si bien no queremos demasiados falsos positivos, la mayoría de los IDS están diseñados y calibrados para tener un cierto nivel de falsos positivos.
• Tiempo de respuesta.
  IPS debe determinar si las actividades son válidas antes de dejarlas pasar. Un IPS lento significa que los sistemas de TI tienen tiempos de respuesta más largos y los usuarios se quejan. Por lo tanto, un IPS siempre está diseñado para usar algoritmos en tiempo real capaces de tomar decisiones en una fracción de segundo.
  IDS, por otro lado, puede tomarse su tiempo para informar o alertar. Los IDS suelen utilizar algoritmos más complejos y pueden analizar grandes volúmenes de datos para identificar intrusiones. Pueden hacer referencia a información histórica o esperar a que ocurran eventos futuros.
• Burla.
  Cuando un sistema IPS previene un ataque, el atacante es inevitablemente consciente del intento fallido y puede volver a intentarlo. Por lo tanto, los atacantes desafían constantemente los sistemas IPS hasta que encuentran la manera de penetrarlos.
  Los IDS informan al personal de seguridad del ataque permitiéndoles responder de varias maneras. Las respuestas pueden incluir desconectar los sistemas, desviar los ataques a los honeypots, rastrear el ataque hasta su fuente y más. En todos los casos, los atacantes no tienen una segunda oportunidad de volver a intentarlo contra una defensa idéntica. Los sistemas IDS son, por lo tanto, mucho más difíciles de eludir.

En consecuencia, mientras que IPS podría prevenir una intrusión, es más probable que IDS la detecte y es menos probable que se eluda. Siempre se recomienda, cuando sea posible, implementar ambos tipos de sistemas. Implemente un IPS para bloquear la mayoría de los ataques e implemente un IDS para detectar los que pasaron.

Seguridad a medida

Cada entorno es diferente. Las diferencias incluyen la arquitectura de la aplicación, la pila de tecnología, la cantidad de usuarios, el acceso del administrador y más. Otros parámetros incluyen los roles de usuario, los programas en uso, los segmentos de red, los tipos de datos, los perfiles de actividad, etc.

Aprovechar dichos parámetros mientras se implementan medidas preventivas y de detección produce resultados más efectivos. Tal seguridad personalizada no puede estar lista para usar, ya que requiere evaluación, consideración y planificación. Sin embargo, es vital para lograr una alta efectividad en la detección de ataques y una baja tasa de falsos positivos.

Personalizar la seguridad de esta manera requiere tiempo y esfuerzo, y no existe una varita mágica. Pero es mucho más probable que los resultados resistan un ataque y prevengan una violación de datos.

DCSA

La evaluación de seguridad centrada en datos es un servicio que ofrece Blue Core Research para ayudar a los departamentos de seguridad a cuantificar el riesgo de cada uno de sus sistemas y evaluar la eficacia de diferentes controles y estrategias.

DCSA es una evaluación basada en entrevistas que utiliza su opinión sobre sus sistemas. Combinará múltiples parámetros sobre cada sistema en su entorno y producirá su nivel de riesgo.

DCSA tiene como objetivo ayudarlo a elegir las soluciones y estrategias con el mayor impacto en su seguridad para minimizar el riesgo.

Pensamientos finales

La calidad y la solidez de su estrategia de seguridad dependen del tiempo y el esfuerzo que se dediquen a ella. Tendrá una buena postura de seguridad si tiene un buen equilibrio entre su perímetro y su centro de datos, creó seguridad en capas, combinó IPS e IDS en cada sistema con una estrategia de respuesta adecuada, adaptó sus soluciones a cada entorno, y distribuye sus recursos de acuerdo con el riesgo, la eficacia y las rutas de ataque que es probable que sigan los atacantes.

Suena a mucho, pero no es tan difícil. Sin embargo, significa no seguir las tendencias y comprar soluciones solo porque están de moda. Significa poner esfuerzos en las implementaciones y no solo buscar seguir las mejores prácticas. Eso requiere esfuerzo y una reflexión cuidadosa, pero es la mejor manera de reducir el riesgo de una filtración de datos.

AGENDA UNA CONSULTA SIN COSTO

---

Únete a nuestro próximo
WEBINARIO

Inscríbete

---

Recibí un alerta dos días antes de año nuevo. Fue poco antes de la media noche el 30 de diciembre de 2021. Era una alerta de una anomalía diaria relacionada al backend de la base de datos de un viejo sitio web, pero claramente un ataque.

Como se vio luego, este fue el primero de muchos intentos de ataques. Hubo tres más en enero de 2022, dos más en febrero, y uno más en agosto, octubre, y noviembre. Considerándolo todo, nueve ataques similares en el curso de un año.

Antecedentes

Usamos WordPress (un sistema de gestión de contenidos de código abierto) en muchos de nuestros sitios webs y siempre con un backend MySQL (la configuración más popular). El sitio web en questión era viejo, y debido a problemas de compatibilidad, no habíamos actualizado algunos de los componentes de software en un tiempo. Entonces cuando vi esta alerta, pareció altamente plausible que había una vulnerabilidad que derivó en un ataque exitoso.

Como luego resultó, esto era un falso positivo. La razón de este falso positivo fue que adicional a una vieja versión de WordPress y plugins, este sitio web también usaba una vieja versión de Core Audit. Pero más de esto luego.

Ninguno de nuestros sitios web contiene información confidencial, pero como mostrará este documento, proteger la base de datos de cualquier aplicación con Core Audit es un medio muy eficaz para detectar ataques y proteguer la aplicación.

La Anomalía

El alerta de anomalía tiene 168 líneas, y la primera línea fue esta:

SELECT * FROM wp_users WHERE user_login = 
'') UNION ALL SELECT NULL-- HupP'

Mientras cada línea fue diferente, cada línea empezó con uno de estos:

SELECT * FROM wp_users WHERE user_login =''

SELECT * FROM wp_users
 INNER JOIN wp_usermeta ON user_id = ID WHERE meta_key = '' AND user_login = ''

Lo que hizo claro que se trataba de un ataque fueron las muchas variaciones de SQLs que lucen como esto:

;SELECT SLEEP(9)#' LIMIT 9

) AND SLEEP(9) AND (\\\''=\\\''

WAITFOR DELAY \\\'' AND \\\''=\\\'' LIMIT 9

;SELECT SLEEP(9)#'

);SELECT PG_SLEEP(9)--'

;SELECT PG_SLEEP(9)--' LIMIT 9

);WAITFOR DELAY \\\''--'

;WAITFOR DELAY \\\''--' LIMIT 9

) AND 9=(SELECT 9 FROM PG_SLEEP(9))

UNION ALL SELECT NULL-- HupP'

) UNION ALL SELECT NULL-- HupP' LIMIT 9

UNION ALL SELECT NULL,NULL,NULL-- iIWs'

UNION ALL SELECT NULL,NULL,NULL,NULL-- ynbe'

Tener en cuenta que las cuerdas vacías ('') y los 9s no son parte del SQL original. Ellos se relacionan en cómo la seguridad del repositorio de Core Audit opera. Este repositorio automáticamente colecciona todos los SQLs en la base de datos, entonces para reducir espacio y eliminar anomalías de literales embebidos, automaticamente elimina todos los números y cuerdas.

Los SQLs vistos anteriormente son el resultado de un atacante que intentó escanear la aplicación en búsqueda de una vulnerabilidad de inyección de SQL. Intentaban detectar si la inyección SQL era posible en esta aplicación y encontrar información adicional que facilitara el ataque:

• Cada instrucción SLEEP/DELAY solo funcionaría en un tipo de base de datos. Así que un retraso en la respuesta le dice al atacante que la inyección fue exitosa y el tipo de base de datos utilizada.
• Las diversas permutaciones UNION y NULL estaban tratando de determinar el número de campos en la query y si podrían agregar datos de otras tablas.

Adicional a muchas más variaciones de SLEEP y UNION, hubo expresiones llenas de color como:

) AND (SELECT 9 FROM(SELECT COUNT(*),CONCAT(0x7178707671,(SELECT (ELT(9=9,9))),0x7171767171,FLOOR(RAND(9)*9))x FROM INFORMATION_SCHEMA.CHARAC

) AND 9=CAST((CHR(9)||CHR(9)||CHR(9)||CHR(9)||CHR(9))||(SELECT (CASE WHEN (9=9) THEN 9 ELSE 9 END))::text||(CHR(9)||CHR(9)||CHR(9)||CHR(9)||C

) AND 9=CAST((CHR(9)||CHR(9)||CHR(9)||CHR(9)||CHR(9))||(SELECT (CASE WHEN (9=9) THEN 9 ELSE 9 END))::text||(CHR(9)||CHR(9)||CHR(9 )||CHR(9)||CHR(9)) AS NUMERIC) AND (\\\''= \\\''

;SELECT DBMS_PIPE.RECEIVE_MESSAGE(CHR(9)||CHR(9)||CHR(9)||CHR(9),9) FROM DUAL--'

AND 9=CONVERT(INT,(SELECT CHAR(9)+CHAR(9)+CHAR(9)+CHAR(9)+CHAR(9)+(SELECT (CASE WHEN (9=9) THEN CHAR(9) ELSE CHAR(9) END))+CHA R(9)+CHAR(9)+C

) AND (SELECT 9 FROM(SELECT COUNT(*),CONCAT(0x7178707671,(SELECT (ELT(9=9,9))),0x7171767171,FLOOR(RAND(9)*9))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND (\\\''=\\\''

) AND 9=CONVERT(INT,(SELECT CHAR(9)+CHAR(9)+CHAR(9)+CHAR(9)+CHAR(9)+(SELECT (CASE WHEN (9=9) THEN CHAR(9) ELSE CHAR(9) END))+CHAR(9)+CHAR(9)+CHAR(9)+CHAR(9)+CHAR(9))) AND (\\\''=\\\''

Estos SQLs eran claramente inusuales y parecen intentar eludir un sistema de protección de inyección de SQL como un WAF.

Forences

Experimentamos un ataque. El alerta no deja ninguna duda sobre esto. Las dos preguntas remanentes fueron:

• ¿Fue exitoso el ataque?
• ¿Qué parte de la aplicación fue objetivo?

Base de datos forences

La primera pregunta fue fácil de responder. Empecé por localizar las queries en la vista forense de SQL reducida. El repositorio reducido de SQL tiene una resolución de 5 minutos, y todos estos SQLs fueron ejecutados en la ventana de 8:20 am a 8:25 am.

Una vez que localicé las queries, también vi las buenas noticias – todos fueron exitosos (sin errores), y los números de las filas recuperadas fueron cero para todas.

¿Por qué son buenas noticias las ejecuciones exitosas? Porque este ataque estaba tratando de testar si la aplicación era vulnerable a una inyección de SQL. En este escaneo, se supone que muchas de estas queries fallen, y pocas exitosas indicando el método para explotar una vulnerabilidad. Por ejemplo, los SQLs con PG_SLEEP() nunca pueden ser exitosos en nuestra base de datos MySQL desde que esta función solo existe en base de datos PostgreSQL. Por lo tanto, ejecuciones exitosas significan el intento de inyección fallido de modificar la SQL.

Adicionalmente, estas SQLs no recuperan datos, entonces allí no hubo filtración. Mientras la mayoría de estos SQLs no estaban intentando extraer nada, es confortante saber que nada fue recuperado.

En otras palabras – este ataque no logró romper el límite literal. Volveremos a este asunto después y también responder la pregunta más interesante de porqué recibimos el alerta de anomalía en primer lugar.

Aplicaciones Forences

Ahora que tenemos más información, es fácil buscar los logs de Apache para más detalles en el ataque y a qué dirigió.

El ataque fue entre las 8:20 am y 8:25 am, y accedió a la tabla wp_users. Mirando al log de Apache, podemos ver que este ataque empezó exactamente a las 8:20 am:

[29/Dec/2021:08:20:00] "GET /wp-login.php?log=1&pwd=-9696%20UNION%20ALL%20SELECT%2024%2C24--%20ptzf"

Este ataque fue una pregunta GET al script wp-login.php. Esta es la página de logueo de WordPress. El ataque entregó su intento de inyección a través del campo de contraseña que, en este primer intento, incluyó:

-9696 UNION ALL SELECT 24,24-- ptzf

El último intento de ataque fue usando este requerimiento POST a las 8:21:51 am:

[29/Dec/2021:08:21:51] "POST /wp-login.php?Phws%3D5963%20AND%201%3D1%20UNION%20ALL%20SELECT%201%2CNULL%2C%27%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%27%2Ctable_name%20FROM%20information_schema.tables%20WHERE%202%3E1--%2F%2A%2A%2F%3B%20EXEC%20xp_cmdshell%28%27cat%20..%2F..%2F..%2Fetc%2Fpasswd%27%29%23"

Los logs de Apache no graban los parámetros POST, pero podemos ver esta carga en el requerimiento:

Phws=5963 AND 1=1 UNION ALL SELECT 1,NULL,'<script>alert("XSS")</script>',table_name FROM information_schema.tables WHERE 2>1--/**/; EXEC xp_cmdshell('cat ../../../etc/passwd')#

Esta carga útil es un poco graciosa dado que contiene una inyección de SQL con un escaneo de secuencias de comandos entre sitios (alert(“XSS”)) y un intento de que SQL Server ejecute un comando de shell (EXEC xp_cmdshell) con un comando Unix/Linux imprimiendo el contenido de un archivo de contraseña Unix/Linux (cat …/passwd).

Este es una mezcla de ataques fragmentados que podrían nunca funcionar juntos. Y hay muchas otras cosas mal con el último requerimiento.

Esto indica que la persona corriendo el ataque tiene poco entendimiento de lo que está haciendo. Combinada con el hecho de que todo el escaneo duró menos de 2 minutos, sugiere esto fue un script o, más probable, muchos scripts ellos descargaron fuera de Internet y ejecutaron contra varios sitios.

Falso Positivo

Entonces, ¿por qué falló el ataque?, ¿y por qué recibimos una alerta de anomalía de cualquier forma?

Un ataque de inyección de SQL intenta modificar la estructura SQL al quebrar a través de los límites literales. En otras palabras, cuando un SQL contiene un literal como este:

SELECT * FROM wp_users WHERE user_login = 'JOHN'

Un ataque de inyección de SQL intenta mandar una cadena otra que “JOHN” entonces la estructura SQL cambia. Por ejemplo, la cadena “X' or 'Y'='Y” resultará in este SQL:

SELECT * FROM wp_users WHERE user_login ='X' or 'Y'='Y'

Al cambiar el SQL estructura y agrega “or 'Y'='Y'“, la base de datos correrá algo no intencionado por el desarrollador que escribió este código. Colocando una etiqueta (') en el aporte rompió a través de límites literales y permitió al atacante alterar la estructura SQL. Escapar los literales antes de incrustarlos en un SQL previene esta vulnerabilidad.

En el SQL estandard, puedes escapar etiquetas (') al usar etiquetas dobles (''). Cuando se escapa, el ejemplo de más arriba producirá:

SELECT * FROM wp_users WHERE user_login = 'X'' or ''Y''=''Y'

En este caso, la base de datos comparará el campo user_login a la cadena entera, con la palabra OR es solo parte de un nombre de usuario, no parte de una estructura SQL.

WordPress debe haber escapado de la entrada correctamente en nuestro ataque, y la estructura SQL no fue modificada. Es por esto que los SQLs se ejecutaron sin error, y el ataque falló.

Pero, ¿por qué recibimos un alerta de anomalía si el ataque no quebró los límites literales?

A diferencia de otras bases de datos, en MySQL, hay 2 formas de escapar de las etiquetas en las cadenas. La primera es con etiquetas dobles ('') de acuerdo con el SQL estándard. Pero hay un segundo método de preceder la etiqueta con un backslash (\'). WordPress usa el segundo método.

Acá es donde la vieja versión de Core Audit entra a jugar. Aquella vieja versión fue liberada cortamente luego de la liberación del soporte de MySQL, y la eliminación literal en el repositorio de SQL reducido no admitía el método de escape de barra invertida para bases de datos MySQL.

Una vez que descubrimos el consecuente no intencionado de detectar falsamante estos ataques de inyección de SQL, nosotros mantenemos a propósito la vieja versión de Core Audit en ese sitio web. Queríamos ver cómo muchos más ataques fallido experimentaríamos. Como comentamos antes, este viejo sitio web experimentó nueve intentos a lo largo del siguiente año. Una vez que actualizamos la versión de Core Audit, paramos de recibir estas alertas de falso positivo.

Area de superficie de ataque de la aplicación

Tal vez te preguntes por qué alguien intentó un ataque de inyección de SQL que no funcionó contra WordPress. Los atacantes, como cualquier otro, tenían acceso a WordPress. Entonces, ¿por qué no sabían que este ataque fallaría?

Esta es una pregunta interesante que resalta los complejidad de la cadena de suministro en algunas aplicaciones de terceros, como WordPress.

El primer pensamiento que viene a mi mente es que quizás algunas versiones de WordPress son susceptibles de ataque. Como sea, la inyección de SQL es una amenaza bien conocida, y el equipo de desarrollo de WordPress es estricto sobre escapando entradas antes de literales incrustados en SQLs. Mientras usar variables incrustadas sería más seguro, desarrolladores web tienen una inclinación por literales embebidos.

Como sea, es mundialmente conocido que múltiples versiones y parches significativamente aumentan el área de la superficie de ataque. La razón es que muchas organizaciones actualizan y emparchan aplicaciones de tanto en tanto y nunca pueden estar seguras qué vulnerabilidades eliminaron o introdujeron y en qué punto.

Pero desde que es poco probable que ninguna versión de WordPress fue susceptible a una inyección de SQL en la pantalla de login, que lleva otra interesante característica de WordPress – Plugins.

Una gran parte del poder y flexibilidad de WordPress son más de decenas de miles de plugins que pueden extenderlo. Estos plugins son código que puede adjuntarse a varios lugares en WordPress y modificar su comportamiento en casi cualquier manera inimaginable.

Plugins ofrece poder y flexibilidad a los usuarios, pero también muestran un riesgo de seguridad. WordPress plugins introducen proveedores adicionales, códigos estándar, cambios al modelo de la base de datos, nuevos caminos en la ejecución de la aplicación, y, por lo tanto, nuevas vulnerabilidades.

El riesgo en plugins no es solo vulnerabilidades en software de terceros pero también el riesgo de ataques en la cadena de suministro. Estos ataques pueden ser iniciados por el autor del plugin o por un hacker que alteró el código fuente.

Es poco probable que WordPress fuera susceptible de este ataque, pero es altamente plausible que algunos de los plugins lo sean. El atacante estaba apuntando a un plugin que no fue instalado en nuestro WordPress.

Ideas finales

Las inyecciones de SQL son notoriamente difíciles de detectar y, aún más, de prevenir. Como sea, el análisis de anomalías de Core Audit fue capaz de alertar sobre estos ataques.

No solo fue un análisis de anomalías capaz de detectar un ataque, pero se hizo sin ninguna firma de ataque o soporte para PHP o WordPress. Y, realmente, sin siquiera buscar un ataque de inyección de SQL.

Y esta es la razón por la que el análisis de anomalías es tan efectivo contra la inyección de SQL – no es buscando especialmente por esto. Es buscando por SQLs que son nuevos a la aplicación, por lo tanto, sospechosos. La inyección de SQL puede mascarar en muchas formas pero, por definición, no es parte del vocabulario SQL de la aplicación. Por lo tanto, el análisis de anomalías siempre detectará el ataque.

Enmascaramiento estático de datos
¿Por Qué?

Introducción

Cuando hablamos de bases de datos no productivas nos referimos a aquellas bases de datos utilizadas para educación, pruebas, desarrollo, entre otras. ¿Por qué es importante enfocarnos en estas bases de datos? ¿Cuál es el riesgo?  Muy simple: por lo general los equipos de desarrollo utilizan datos reales sacados de los sistemas de producción para mejorar la calidad del software que desarrollan y así acortar los ciclos de desarrollo.

El uso de datos reales en las primeras fases de los ciclos de desarrollo ayuda a mejorar la calidad del software. Al realizar más pruebas con los datos reales, se pueden detectar fallas antes, para así reparar más rápido dichas fallas, reducir el costo de desarrollo y reducir el tiempo total de despliegue, lo cual permite una mejor respuesta a usuarios y clientes, y por consiguiente al negocio. Vivimos en un mundo en el que el despliegue de nuevos modelos o funcionalidades pueden representar el alcanzar o no los objetivos requeridos por el negocio.

¿Qué vectores de seguridad representan una amenaza real?

El almacenamiento y utilización de datos sensibles fuera de los entornos productivos expone dichos datos a usuarios que no deberían tener acceso a ellos. Esto agranda la brecha de seguridad en tres áreas principalmente:

• Ejecución de consultas y extracción de información sensible almacenada en su interior.
• Utilización de la aplicación para acceso a cualquier dato sensible gestionado sin ninguna trazabilidad.
• La seguridad de estos ambientes carecen de los controles de seguridad. Esto permite el acceso a personal a los datos sensibles por personal no autorizado.

El panorama de amenazas al que los sistemas no productivos están expuestos es enorme, desde abuso interno de privilegios hasta hackeos externos. En general, los sistemas que no son de producción tienen niveles de seguridad más bajos o están mal protegidos.

Las amenazas a ambientes no productivo incluyen:

• Un gran número de individuos sin autorización con acceso ilimitado a datos sensibles.
• Autorizaciones mal gestionadas y contraseñas inseguras o triviales, que proveen acceso a muchos individuos desconocidos.
• Controles de accesos mal gestionados que proveen acceso elevado o de administrador a muchos individuos.
• Software mal gestionado con parches faltantes, configuraciones inseguras, vulnerabilidades conocidas, y más, permitiendo a intrusos un fácil acceso.
• Seguridad física mal gestionada que permite acceso a servidores y los datos allí almacenados. En ocasiones, el hardware portátil, como el almacenamiento externo que se utiliza en estos entornos.
• No hay medidas de seguridad significativas como firewalls. La segmentación de red es casi inexistente, no se manejan trazas de auditoría sobre la actividad realizada, etc.

¿Cómo solucionamos este gran reto?

La solución más sencilla es de-sensibilizar los entornos no productivos eliminando los datos sensibles. Cualquier otro intento para asegurar adecuadamente todos estos entornos será costoso y requerirá mucho tiempo y recursos. Esta de-sensibilización se conoce como enmascaramiento estático de datos.

Una vez realizada esta actividad es imposible revertir el cambio. El enmascaramiento cambia los datos en los múltiples entornos no productivos por datos parecidos que no puedan ser asociados a los datos reales.

En pocas palabras, el objetivo es sustituir los datos sensibles por datos falsos e inofensivos. La idea es que los ambientes no productivos no manejen datos sensibles para evitar abrir brechas de seguridad.

Sin embargo, tenemos un gran reto. ¿Cómo hacemos para que los datos enmascarados utilizados se consideren buenos? Dichos datos deben satisfacer tres principios fundamentales:

• El proceso debe eliminar toda información sensible, debe eliminar cualquier posibilidad de reconstrucción de los datos originales a partir de los datos enmascarados.
• Los datos enmascarados deben ser válidos y coherentes. Los campos que tienen reglas especiales o sumas de comprobación deben mantenerse. Las claves primarias enmascaradas deben ser únicas. Las claves externas enmascaradas (o referencias equivalentes) deben coincidir. La ciudad, el estado y el código postal deben ser consistentes,
• Los datos enmascarados deben conservar o mejorar la calidad de las pruebas. Esto significa que los datos enmascarados deben “parecer” reales. Por ejemplo, debe conservar la frecuencia de los datos como la proporción entre hombres y mujeres. Debe seguir utilizando los mismos patrones, si existiesen valores válidos y no válidos deberían seguir existiendo.

Estrategias de enmascaramiento

Hay cuatro estrategias principales para el enmascaramiento de datos estático:

• Manipulación de valores: modifica cada campo independientemente. Los datos enmascarados son una función aplicada a los datos originales. Dependiendo de la función de enmascaramiento, los datos enmascarados pueden conservar algunos aspectos de los datos originales.
• Generación de datos: crea nuevos datos no relacionados con la información sensible original. Aunque la información enmascarada no revelará nada sobre los datos originales, también será completamente ajena. Por lo tanto, las columnas enmascaradas con la generación de datos no deberán ser importantes para la prueba.
• Perfilado automático – tiene tres pasos: analizar los datos originales, crear un perfil de datos y generar datos basados en ese perfil. Esta estrategia es un tipo de generación de datos basado en los datos originales, proporciona datos realistas de alta calidad que no exponen los datos e incluso rompe la asociación de filas.
• Perfiles personalizados: se trata de una forma avanzada de elaboración automática de perfilado. Se permite crear datos que se ajustan a escenarios particulares, se asemejan a perfiles de datos anteriores, o que sean similares a otros conjuntos de datos. También es un medio eficaz para crear conjuntos de datos de cualquier tamaño, tanto más grandes como más pequeños.

Dado que cada enfoque tiene diferentes ventajas e inconvenientes, una buena solución de enmascaramiento de datos ofrecerá todas estas estrategias permitiendo utilizar el método más adecuado para cada situación.

Reflexiones finales

El enmascaramiento de datos es un concepto sencillo, pero la implementación no lo es. Cualquier persona puede lograr ofuscar datos pero hacer que mantengan la consistencia requerida es otra cosa. Cada vez más nos encontramos con que un número creciente de clientes que se enfrenta a retos no triviales a la hora de enmascarar datos. Cada vez es más importante poder enmascarar los datos manteniendo las características necesarias para replicar la operación de las aplicaciones. Mientras más rápido puedan liberar aplicaciones confiables, mayor será el retorno para la empresa y mayor su reconocimiento.

Hable con nosotros para que le ayudemos a entender mejor los retos existentes que visualiza y recibir guía sobre cómo utilizar mejor las herramientas adecuadas para mantener sus datos sensibles fuera de las manos incorrectas.

Core Masking es la solución de enmascaramiento de datos más potente en el mercado, y este documento pretende darle una pequeña muestra de eso. Si quieres recibir más información, escríbenos a marketing@bluecoreresearch.com