¿Cómo auditar una base de datos SQL Server?

Conoce las diferentes opciones tecnológicas para auditar SQL Server y cómo obtener valor de los datos que recopila.

Introducción

La auditoría de SQL Server es un tema amplio y complejo que implica muchas tecnologías y posibilidades. Intentaremos desmitificar todo lo posible sin excedernos. Esperamos guiarte hacia la solución correcta mientras tomas decisiones tecnológicas informadas.

Captura

La captura es la recopilación de datos en bruto. Toda auditoría comienza con la recopilación de información. Después, hay que procesar los datos, almacenarlos, elaborar informes, etc. Estos aspectos se tratarán más adelante en este artículo, en la sección Obtener valor.

Aunque obtener valor de la información es un reto, conseguir la información para empezar es aún más difícil y tiene implicaciones de gran alcance sobre lo que está disponible para procesar.

Desafíos

¿Por qué es difícil recopilar datos de auditoría? Parece que debería ser fácil.

El problema subyacente es que las bases de datos ejecutan una enorme cantidad de actividad a velocidades increíbles. Cualquier interferencia con esta máquina altamente afinada puede paralizar el rendimiento y ralentizar la base de datos hasta hacerla ir a rastras. Por tanto, el impacto en el rendimiento es el mayor reto en la captura.

Un segundo reto son las cuentas privilegiadas, incluidos los DBA y la cuenta «sa». Normalmente, necesitamos auditar estas cuentas, pero son estas cuentas privilegiadas las que controlan las tecnologías de captura integradas en la base de datos.

Otro reto es el uso habitual de procedimientos en SQL Server. Muchas aplicaciones en SQL Server no ejecutan SQL contra la base de datos, sino que ejecutan procedimientos. Estos procedimientos ejecutan SQL dentro del motor de la base de datos. Esto es importante porque algunas tecnologías de captura sólo pueden ver la actividad fuera de la base de datos, y para ver las SQL, tablas y columnas es necesario capturar dentro de la base de datos.

Discutiremos estas limitaciones a medida que revisemos cada tecnología.

¿Qué datos podrías recopilar?

Hay varios tipos de información que puede recopilar al auditar una base de datos SQL Server.

El requisito más sencillo es capturar los inicios de sesión y los inicios de sesión fallidos. Eso es monitorizar las conexiones a la base de datos (o sesiones) y dónde se originan. La información incluye la hora de inicio de sesión, la hora de cierre de sesión, el nombre de usuario, el programa, la dirección IP, etc.

Otro requisito habitual son los SQL. Los SQL son los comandos ejecutados en las sesiones de inicio de sesión. Se dividen en tres categorías: DDL, DML y Consultas (select). Este desglose es importante porque las consultas son difíciles de capturar y limitan las tecnologías de captura que podemos utilizar. La captura de consultas es fundamental para detectar el robo de datos, la captura de DML sirve para identificar cambios no autorizados y los DDL están relacionados con el control de cambios. Si el robo de datos es un riesgo, hay que capturar las consultas y eso permitiría capturar todo lo demás.

La Captura Selectiva es una solución para reducir el impacto en el rendimiento al no capturar todas las SQL. También simplifica el procesamiento porque hay muchos menos datos con los que tratar. No es ni mucho menos lo ideal, porque se pierde mucha información, pero con algunas tecnologías de auditoría es la única solución. También debes considerar qué harás con los datos capturados, ya que si pretendes descartar la mayor parte y sólo registrar algunas SQL, la captura selectiva podría ser una buena opción.

La captura de valores antes y después no es un requisito común, excepto en algunos sectores (especialmente banca y finanzas), donde es importante para el cumplimiento de la normativa. Antes y después de los valores significa auditar los valores que cambian en la base de datos. Por ejemplo, si alguien actualiza «salario = salario * 2», esta captura registrará todos los salarios originales y los salarios después del cambio. Como se ve en este ejemplo, el SQL puede no contener ninguno de estos valores, por lo que la captura SQL no responde a esta necesidad.

Otra función que no es de auditoría pero que está relacionada con la tecnología de captura es el bloqueo. El bloqueo permite impedir la ejecución de determinadas sentencias SQL. Es una potente medida preventiva que existe en algunas soluciones y está integrada en el motor de captura.

Por último, existe un tipo simplificado de auditoría que utiliza Metadata Snapshots (capturas de metadatos). Por ejemplo, se pueden identificar los cambios entre la lista de usuarios de ayer y la de hoy. Es un tipo de seguimiento del control de cambios y puede implementarse para la configuración, los usuarios, los permisos y los objetos (por ejemplo, tablas, vistas, etc.).

Tecnologías Disponibles

Esta tabla resumen muestra qué tecnología de auditoría es relevante para qué captura de datos. Como puedes ver, casi nada es perfecto. Estas tecnologías también tienen limitaciones y desventajas, así que lee los detalles a continuación.

	Inicios de Sesión	SQLs			Antes y Después de Valores	Metadata Snapshot	Bloqueo
	Inicios de Sesión	DDL	DML	Consultas	Antes y Después de Valores	Metadata Snapshot	Bloqueo
Hágalo usted mismo (DIY)						✓
C2 Modo de auditoría	✓	✓	✓	✓
Auditoría SQL Server	✓	✓	✓	✓
Perfilador/Rastreo	✓	✓	✓	✓
Eventos Ampliados	✓	✓	✓	✓
Triggers	✓	✓			✓
Registros de logs					✓
Inspección de paquetes	✓	✓	✓	✓			✓
Full Capture	✓	✓	✓	✓	✓	✓	✓

Hágalo usted mismo (DIY)

El «hágalo usted mismo» (DIY) es una solución sencilla que se puede construir internamente sin tecnología especial ni procesamiento complejo. Por ejemplo, puedes tomar una instantánea diaria de los usuarios de la base de datos e identificar los cambios del día anterior. No es muy potente desde el punto de vista de la seguridad, pero puede ayudar a validar el control de cambios. Aparte de sus capacidades limitadas, el principal inconveniente es el tiempo que le llevará a su equipo de DBA implantarlo, mantenerlo y hacerlo funcionar.

Auditoría de SQL Server

Hay varias tecnologías diferentes asociadas con el concepto de Auditoría de SQL Server. Algunas están relacionadas entre sí y otras no. Puede ser confuso, así que las hemos enumerado todas.

SQL Server C2 Audit es un parámetro de configuración en SQL Server (sp_configure ‘c2 audit mode’) que registra automáticamente toda la actividad de la base de datos. Tiene una sobrecarga extremadamente alta y crea archivos masivos. No es una opción realista para auditar SQL Server.

Auditoría SQL Server utiliza Eventos Ampliados. Es una envoltura para la misma cosa con pros y contras similares.

SQL Server Profiler o Trace es una característica anterior de SQL Server que fue reemplazada por Extended Events. SQL Server trace tiene un mayor impacto en el rendimiento y está obsoleto (lo que significa que Microsoft dejará de darle soporte en algún momento). No hay razón para usarla hoy en día.

Extended Events o Eventos Ampliados es una capacidad de captura de SQL Server incorporada. Es la mejor opción de captura sin costes adicionales de licencia. Es adecuada para un proyecto DIY y común en soluciones de bajo coste (ver más adelante). Sin embargo, tiene limitaciones que incluyen:

No registra la dirección IP del cliente. Si las direcciones IP son un requisito, esta no es la solución.
Los DBA y las cuentas con privilegios pueden desactivar esta captura, por lo que su eficacia para supervisarlos es limitada.
La sobrecarga puede ser elevada y depende del perfil de actividad de la base de datos. Incluso utilizando únicamente el búfer en anillo (una captura en memoria de alto rendimiento), en el peor de los casos puede llegar a superar el 1.200%. Aunque una sobrecarga tan elevada es poco probable, una significativa es muy plausible. Sólo en bases de datos de baja actividad el impacto sería insignificante.
El registro de la actividad puede requerir archivos de gran tamaño. Dependiendo del tipo de almacenamiento, esto puede aumentar aún más el impacto en el rendimiento.
Considere la posibilidad de realizar una auditoría selectiva. Al auditar sólo determinadas actividades, puede reducir significativamente el tamaño de los archivos. Desde el punto de vista del rendimiento, esto podría reducir la sobrecarga a no más de la mitad, ya que la comprobación de las condiciones de filtrado también tiene un impacto. El inconveniente es que la configuración de los filtros selectivos es tediosa y requiere mucho tiempo.

La conclusión es que los Eventos Ampliados pueden ser una buena solución de captura para bases de datos de baja actividad. Esto es especialmente cierto cuando se utiliza la auditoría selectiva para registrar un puñado de SQLs para cumplir con los requisitos de cumplimiento de menor importancia (ver más adelante).

Triggers

Los Triggers son pequeños fragmentos de código que la base de datos puede ejecutar en respuesta a una actividad.

Hay disparadores de inicio de sesión que pueden dispararse cuando alguien inicia sesión y disparadores DDL que pueden dispararse cuando se ejecuta un DDL. Puede utilizarlos para auditar este tipo de actividad. Estos eventos también son poco frecuentes y es poco probable que causen una sobrecarga de rendimiento significativa. Aunque es posible, este no es un enfoque de auditoría común para sesiones y DDLs.

También hay disparadores DML que se activan cuando los datos cambian en la base de datos. Sin embargo, no pueden ver el SQL y sólo son capaces de registrar los valores antes y después.

El problema de los triggers es que se ejecutan como parte del SQL y, por tanto, aumentan el tiempo que tarda en finalizar. Como los triggers suelen registrar información en otra tabla, suelen tener una sobrecarga elevada. En otras palabras, los triggers DML en tablas altamente transaccionales crearán un impacto significativo en el rendimiento.

Más allá de la sobrecarga, el inconveniente de los triggers es que están controlados por los DBA y otras personas con los permisos adecuados y pueden ser desactivados por cualquiera que desee saltárselos.

También es importante señalar que no existen disparadores o triggers para las consultas. Los desencadenantes son irrelevantes cuando se trata del riesgo de robo de datos.

Registros de Logs

Los registros de logs forman parte del funcionamiento de SQL Server. Contienen todos los cambios en la base de datos y se utilizan para la recuperación de fallos. Al margen de su función principal en la recuperación de fallos, SQL Server puede procesar estos registros para extraer todos los valores anteriores y posteriores. Esto es útil para la seguridad, la replicación y otros fines.

Hay tres mecanismos en SQL Server que procesan los registros de traducción de forma relevante para la seguridad:

El seguimiento de cambios es el mecanismo antiguo. Utiliza el CDC más reciente.
La captura de datos de cambios (CDC) almacena información sobre valores anteriores y posteriores. Requiere cierta administración y un mantenimiento regular, y la salida no es trivial de entender. Sin embargo, es probablemente el mejor de los tres.
Las tablas temporales son un método de seguimiento del contenido de las tablas a lo largo del tiempo. La idea es añadir una dimensión temporal a la tabla para poder realizar consultas referidas al cuándo. Por ejemplo, ¿cuál era el salario de Juan el 17 de enero, o qué aspecto tenía la tabla en un día y hora determinados? El inconveniente es que, dependiendo del tamaño de la tabla y de la frecuencia de los cambios, esto puede requerir mucho espacio y recursos.

Lo bueno de aprovechar los registros de transacciones es que su procesamiento no está «en línea» con la actividad de la base de datos. Aunque el procesamiento consume recursos de la máquina, se produce en paralelo y no ralentiza las transacciones de la base de datos.

Aunque todos estos mecanismos forman parte de SQL Server y no requieren licencias adicionales, están controlados por los administradores de bases de datos (DBA) y es probable que necesite la ayuda de éstos para acceder a ellos. La información de cualquiera de estos mecanismos requiere esfuerzo para consumirla y actualmente no está integrada en su aplicación ni en ninguna otra interfaz de usuario.

Inspección de Paquetes

La tecnología de inspección de paquetes descifra la comunicación que entra y sale de la base de datos para identificar los SQL. Hay dos implementaciones: como sniffer de red fuera de la máquina o con un agente del kernel dentro de ella.

Como sniffer de red, esta tecnología no afecta al rendimiento de la base de datos, pero no puede ver la comunicación local. Eso suele ser inaceptable. El despliegue común utiliza el agente local, y de esta forma se puede ver la comunicación local, pero genera una elevada sobrecarga de red.

Ambos métodos de despliegue tienen retos con el cifrado de red, pero una de las mayores limitaciones es la falta de visibilidad dentro de la base de datos. El uso común de procedimientos almacenados en SQL Server significa que a menudo es imposible conocer el SQL, la tabla o la columna.

La falta de visibilidad interna también es un reto porque SQL Server recibe lotes, no SQLs. Un lote es un bloque TSQL con múltiples SQLs o un pequeño programa. Desglosar los lotes e inferir lo que hacen dentro de la base de datos va de difícil a imposible.

Algunas soluciones basadas en la inspección de paquetes también pueden bloquear la actividad no deseada. Sin embargo, suele haber un problema de sincronización que permite que las peticiones ofensivas pasen.

Full Capture

Core Audit Full Capture es una tecnología de auditoría de nueva generación que se conecta directamente al motor SQL. Se diseñó desde cero para abordar los retos exclusivos de la seguridad y la auditoría de SQL Server. La calidad de la información es similar a la de Extended Events, pero sin la sobrecarga y los DBA no pueden desactivarla.

Full Capture hace exactamente lo que se espera de una tecnología de captura: ver todo sin afectar a la base de datos. Esto le proporciona una visibilidad del 100% con menos del 3% de sobrecarga.

Full Capture también puede proporcionarle valores anteriores y posteriores mediante la integración con disparadores de baja sobrecarga o con la replicación de SQL Server (utilizando registros de transacciones). Así que tiene ambas alternativas con diferentes pros y contras.

Por último, la captura completa tiene capacidades de bloqueo que pueden devolver errores o advertencias a los SQL ofensivos. A diferencia de la inspección de paquetes, en esta medida preventiva no existen lagunas de tiempo ni de otro tipo.

Conclusión sobre la Captura

La parte más difícil de la captura son las consultas, y a menudo es la parte más importante en lo que se refiere al robo de datos. Una vez que se dispone de las consultas, se tiene la mayor parte del resto de la información. Si además necesita los valores antes y después, puede obtenerlos en SQL Server sin interfaz de usuario o como parte de una solución.

Esto significa que tenes cuatro opciones básicas:

Hágalo usted mismo (DIY) – Utilice Eventos Extendidos para capturar los datos y procesarlos usted mismo (ver más abajo). También puede añadir disparadores o CDC para valores anteriores y posteriores. No hay costes de licencia, pero lleva mucho tiempo construirlo y mantenerlo. No lo recomendamos porque suele ser un proyecto interminable con resultados insatisfactorios.
Solución de bajo coste – Una solución que utiliza Extended Events o el Profiler. Estas soluciones se encargan del almacenamiento y la generación de informes, pero dependen de la base de datos para realizar la captura. La auditoría DBA es ineficaz debido al método de captura y no pueden escalar para registrar un gran número de SQLs. Esto puede ser aceptable para algunos requisitos de cumplimiento, pero nada más. Si no se supervisan los DBA, la aplicación, el acceso a datos confidenciales, etc., no pueden proporcionar una seguridad de alta calidad.
Solución de inspección de paquetes – Una solución de auditoría de gama alta que examina los paquetes de la base de datos. Puede manejar mucho más volumen que las soluciones de bajo coste, pero proporciona informes en la misma línea. En cierto modo son peores que las soluciones de bajo coste, ya que éstas también pueden ver el interior del motor de la base de datos, mientras que los inspectores de paquetes no pueden. Estas soluciones son buenas para el cumplimiento, pero ofrecen una seguridad limitada.
Core Audit – una solución de gama alta que puede capturar cualquier cosa que pueda necesitar y proporcionar potentes informes, alertas y análisis. No hay limitaciones ni agujeros y es la seguridad más completa.

Obteneniendo valor

Captar datos de auditoría es sólo la primera mitad del problema. Una vez que se tienen los datos, hay que convertirlos en información significativa. Un repositorio con miles de millones de SQL es inútil por sí mismo. Esta sección analiza brevemente lo que se puede hacer para obtener valor de todos estos datos.

Informes de cumplimiento. Una expectativa básica de la auditoría de bases de datos es lograr la conformidad. Para ello, se necesitan informes sobre inicios de sesión, inicios de sesión fallidos, actividad privilegiada, acceso a datos confidenciales y mucho más. El reto consiste en decidir qué registrar y cómo crear informes significativos a partir de ello. Los informes eficaces se basan en tres principios básicos:

El tema del informe debe ser realista en su entorno. Este tipo de informe funciona para subconjuntos de actividad de alto riesgo y bajo volumen. Como DDLs, DBAs ejecutando DMLs, etc.
Encuentre la forma correcta de informar sobre ello. Muchas veces de forma agregada, como contar el número de inicios de sesión de cada usuario en lugar de enumerarlos.
Afinar los informes sin perder valor de seguridad. Por ejemplo, excluir la actividad de un script de monitorización, pero asegurarse de que lo que se excluye no puede suponer un riesgo para la seguridad.

La elaboración de informes de cumplimiento no es difícil, sólo requiere un repositorio, un motor de elaboración de informes y un poco de tiempo. En Core Audit dispone de un repositorio altamente escalable, un motor de generación de informes fácil de usar y asistentes con políticas e informes incorporados para empezar.

Análisis de anomalías. La mayor parte de la actividad de las bases de datos no se presta a la elaboración de informes de cumplimiento y requiere algo que pueda escalar a volúmenes masivos. Eso requiere un tipo especial de repositorio y automatización que pueda localizar actividad inusual en él. Esto sólo existe en las soluciones de gama alta.

Core Audit puede alertar cuando nuevos usuarios están activos en la base de datos cuando se conectan desde diferentes aplicaciones o IPs o están activos en momentos inusuales, cuando SQLs inusuales acceden a información sensible, de volúmenes SQL inusuales, de potenciales ataques de inyección SQL, y mucho más. Hay muchas formas de trocear, comparar y contrastar la actividad para encontrar comportamientos anómalos.

Análisis forense reactivo. El análisis forense reactivo consiste en obtener detalles adicionales sobre los eventos de seguridad. Estos eventos pueden ser una línea sospechosa en un informe, una infracción potencial, una indicación de otra fuente, y más. Sea cual sea el suceso, siempre se necesita saber más sobre lo ocurrido.

El reto es disponer de un repositorio con la información. En la mayoría de las soluciones, está limitado a los eventos que decide registrar. En Core Audit, aparte del repositorio de cumplimiento, también tiene el repositorio de seguridad que almacena automáticamente información sobre cada SQL en su base de datos. Aunque el repositorio de seguridad es menos detallado, garantiza que siempre podrá saber lo que ha ocurrido.

Análisis forense proactivo. Este tipo de análisis forense le ofrece visibilidad de toda la actividad de la base de datos. Tiene múltiples objetivos, pero el más importante es desarrollar controles. Sin una comprensión sólida de lo que ocurre en la base de datos, es imposible diseñar informes de cumplimiento, alertas de anomalías o incluso comprender las amenazas a las que se enfrenta.

No se puede proteger lo que no se puede ver, y el análisis forense proactivo es un primer paso muy recomendable para proteger la base de datos de SQL Server. Pero también es importante identificar las malas prácticas de seguridad, los ataques y las infracciones, los cambios en los patrones de comportamiento, las lagunas en los controles desplegados y mucho más.

Core Audit Forense Proactivo incluye herramientas de análisis gráfico para visualizar los perfiles de actividad desde varias dimensiones e incluye pilas basadas en el tiempo, gráficos de árbol, gráficos Sunburst, un Sankey, gráficos de red y mucho más.

Prácticas Recomendadas

A continuación te dejamos algunos pasos básicos de buenas prácticas que te ayudarán a empezar:

Defina sus objetivos. ¿Quiere cumplir determinadas normativas o proteger su base de datos frente a ciertas amenazas? ¿Por qué está realizando este proyecto y qué pretende conseguir? Es difícil tener éxito sin unos objetivos claros.
Identifique los recursos disponibles y defina el marco. ¿Hay un plazo de ejecución? ¿Existe un presupuesto? ¿Quién formará parte del proyecto y está familiarizado con SQL Server? Conocer sus recursos le permite definir objetivos realistas.
¿Cuáles son sus requisitos de captura? ¿Es el robo de datos un riesgo y necesita capturar consultas? ¿Le preocupan los cambios no autorizados en los datos? ¿Necesita capturar valores anteriores y posteriores? ¿Le preocupa el abuso de privilegios? Esto se deriva de sus riesgos, necesidades de seguridad y requisitos de conformidad.
¿Qué valor espera obtener de los datos? ¿Necesita informes de conformidad o alertas de anomalías? ¿Le preocupa la inyección SQL? Todo depende del nivel de seguridad y conformidad que quiera alcanzar.
Elija un enfoque. Sus recursos y objetivos le orientarán rápidamente entre un producto de bricolaje y bajo coste o una solución de gama alta. Póngase en contacto con algunos proveedores para obtener demostraciones y presupuestos que le permitan cuantificar los costes y calibrar el valor potencial. Póngase en contacto con nosotros y le proporcionaremos más información y asistencia de forma gratuita.
Si se trata de un proyecto de bricolaje o si va a adquirir una solución de bajo coste, tendrá que experimentar en producción para asegurarse de que el impacto en el rendimiento es aceptable y para definir los filtros que necesita para una huella de almacenamiento razonable.
Cuando utilice Core Audit, comience con Proactive Forensics para comprender el perfil de actividad de su base de datos y diseñar sus controles.
Audite el acceso local, los DBA y las cuentas privilegiadas. El acceso local es un vector de ataque popular en el robo de datos y ataques de ransomware. Las cuentas DBA también son un vector de alto riesgo para el robo de credenciales y el abuso de privilegios.
Con Core Audit, controle la cuenta de aplicación. Las cuentas de aplicación son el objetivo de la inyección SQL y otras vulnerabilidades de las aplicaciones. Auditarlas requiere una captura y un análisis de anomalías de alto nivel.
Examine otras cuentas que necesite controlar. Tenga en cuenta las cuentas nuevas, no aprobadas e inactivas.
Mejore la eficacia del control. Realice un análisis de deficiencias para determinar la eficacia de sus controles. Eso incluye estimar los falsos negativos (eventos no detectados) y el potencial de ataques desconocidos (como los de día cero). Existen varios métodos para hacerlo.

Reflexión Final

Existen múltiples tecnologías y soluciones para proteger una base de datos SQL Server. Van desde el bricolaje a los productos de bajo coste, pasando por las soluciones de gama alta. Todo depende de sus necesidades y de los recursos disponibles. Póngase en contacto con nosotros y le ayudaremos a encontrar el enfoque que mejor se adapte a su situación particular.

February 17, 2025February 17, 2025

Cómo elegir la solución de enmascaramiento de datos más adecuada para ti

Cómo elegir la solución de enmascaramiento de datos más adecuada para usted

Obten información sobre el enmascaramiento de datos y qué tener en cuenta al comprar una solución.

Introducción

En el mundo actual, impulsado por los datos, la privacidad y la seguridad son más cruciales que nunca. Las soluciones de enmascaramiento de datos ayudan a proteger la información personal, financiera y crítica para la empresa. Seleccionar la solución adecuada es esencial para el éxito de un proyecto de enmascaramiento y la protección eficaz de su información confidencial.

Terminología Errónea

Muchos proveedores utilizan términos como anonimización, seudonimización, tokenización, hashing, cifrado, reducción y otros. El problema es que cada uno tiene una definición diferente de lo que significan.

Estos términos suenan bien porque están relacionados con la privacidad o la seguridad y parecen características deseables. Sin embargo, no son descriptivos en términos de funcionalidad y pueden significar cualquier cosa. A menudo se utilizan como palabras de moda para atraer a posibles compradores.

Cuando alguien te venda una función como Anonimización, deberías preguntar para obtener detalles sobre lo que hace.

El Problema

¿Por qué necesitamos el enmascaramiento de datos? El problema subyacente es que muchas organizaciones copian datos fuera del entorno de producción seguro, y es difícil, si no imposible, proteger los datos una vez que están fuera de producción. Hay muchas razones posibles para copiar datos fuera, pero la más común es para probar y desarrollar aplicaciones. Otras razones son el análisis, la formación, el suministro a terceros, etc.

Los datos de producción son valiosos y útiles para muchos propósitos. Sin embargo, fuera de producción, los datos residen en sistemas inseguros, a los que pueden acceder personas no autorizadas, y crean una exposición innecesaria con un mayor riesgo para la seguridad.

La Solución y Objetivos

La solución consiste en eliminar los datos sensibles de las copias de no producción. Es lo que se llama enmascaramiento estático de datos. Y una vez enmascarados los datos, se pueden utilizar en muchos entornos menos seguros.

Sin embargo, no basta con eliminar los datos sensibles. Los datos enmascarados también deben ser de alta calidad para seguir siendo valiosos. Tanto si los necesita para pruebas como para otros fines, deben seguir arrojando resultados similares a los datos originales. Si los datos enmascarados no proporcionan resultados equivalentes, los equipos que los utilicen exigirán acceso a la información sensible original. Esa es una de las formas en que un proyecto de enmascaramiento puede fracasar.

Otros objetivos son que los datos conserven su validez y la integridad de la aplicación. Estos objetivos son importantes para que la aplicación funcione correctamente.

El problema es que la eliminación de datos sensibles y la conservación de la calidad de las pruebas pueden entrar en conflicto directo. Cuanto mejor se elimine la información sensible, menos queda para el equipo de pruebas. Aunque el enmascaramiento de datos no es una tarea trivial, tampoco es demasiado difícil. Se necesita la solución adecuada y tomarse el tiempo necesario para hacerlo bien.

También existe el enmascaramiento dinámico de datos, pero hablaremos de él más adelante, ya que es una solución diferente para un problema diferente. Otra parte de la confusa terminología.

Aspectos Críticos

Es fundamental evaluar estas funciones de enmascaramiento de datos, ya que pueden hacer fracasar su proyecto. Estas características son la base de lo que necesitas del enmascaramiento de datos, así que asegúrate de comprobarlas.

1. Soporte de plataformas

El primer requisito de una solución es que sea compatible con las bases de datos que necesita enmascarar. Ya sean bases de datos Oracle, bases de datos SQL Server, archivos CSV, etc., la solución de enmascaramiento de datos debe poder conectarse al sistema pertinente y enmascarar los datos que contiene.

La dificultad de este requisito tan obvio radica en que es posible que no conozca todos los sistemas que necesita soportar ahora y en el futuro. Además, es probable que con el tiempo los proveedores introduzcan compatibilidad con bases de datos adicionales. Esto crea una situación fluida.

Práctica recomendada: Evalúe las soluciones en función de sus necesidades actuales y discuta con el proveedor sus posibles necesidades futuras y cómo encajan en su hoja de ruta.

2. Algoritmos y técnicas

Los algoritmos y técnicas disponibles en una solución son fundamentales para la calidad de los datos enmascarados. Determinarán la calidad del enmascaramiento desde el punto de vista de la seguridad y su realismo a la hora de proporcionar pruebas de calidad. También es fundamental para la validez de los datos y la integridad de la aplicación.

En otras palabras, los algoritmos de la solución de enmascaramiento son la característica principal que afecta a todos los objetivos.

Los algoritmos de enmascaramiento son un tema extenso, y tenemos muchos artículos sólo sobre este punto. Sin embargo, en términos generales, los algoritmos se dividen en tres categorías principales. Los algoritmos de Generación de Datos crean datos sintéticos no relacionados con los datos originales. Los algoritmos de manipulación de valores modifican de algún modo los valores originales y conservan algunas de sus propiedades. Los algoritmos de creación de perfiles son un punto intermedio, ya que generan datos, pero la generación utiliza un perfil de los datos originales. También existen perfiles personalizados y otras variaciones que pueden llevar las cosas aún más lejos.

También hay que tener en cuenta el tipo de datos que se van a enmascarar, ya que las distintas clases de algoritmos tienen distinta compatibilidad con los distintos tipos de datos. Por ejemplo, no se puede manipular el valor de una columna Sexo, ya que sólo hay un número limitado de valores válidos. Lo mejor es enmascarar Género utilizando un perfil de los datos originales.

Práctica recomendada: Experimente durante un POC. Defina algunos casos de prueba realistas y solicite al proveedor varias alternativas de enmascaramiento. Por ejemplo, una opción para mejorar la seguridad, otra para mejorar la calidad de las pruebas y otra para equilibrar la calidad de los datos.

3. Rendimiento y escalabilidad

El rendimiento ocupa el tercer lugar en la lista de características críticas porque es una de las principales razones del fracaso de los proyectos de enmascaramiento.

El rendimiento del enmascaramiento de datos implica múltiples elementos, desde la tecnología utilizada por la solución hasta el ajuste de la base de datos para la actividad de escritura intensiva (a diferencia del ajuste habitual optimizado para la lectura).

Sin embargo, el mayor problema en el enmascaramiento de datos son los disparadores. Los disparadores son pequeños fragmentos de código que se ejecutan en la base de datos cuando se actualizan las tablas. Sólo tienen una pequeña sobrecarga en cada actualización. Sin embargo, el enmascaramiento de datos ejecuta millones de actualizaciones, y estos pequeños gastos generales se acumulan hasta provocar una ralentización masiva. Pueden hacer que un proceso de enmascaramiento dure días o más, haciéndolo inviable. La solución tampoco es sencilla, ya que los disparadores suelen ser críticos para la integridad de los datos y no deberían desactivarse sin una forma de compensar su funcionalidad.

Práctica recomendada: Consulte a su equipo de DBA si las bases de datos que pretende enmascarar tienen triggers en tablas con datos sensibles. Además, durante el POC, debería insistir en enmascarar una de sus tablas grandes de principio a fin. Si el rendimiento del enmascaramiento parece inaceptable por cualquier motivo (desencadenantes u otros), asegúrese de que se resuelva durante el POC o, si la resolución es compleja (en el caso de los desencadenantes), que el proveedor le ayude a resolverlo como parte de la implantación.

4. Apoyo del proveedor

El apoyo de los proveedores puede ser fundamental en los proyectos de enmascaramiento de datos. Ya sea para superar problemas de rendimiento o para ayudar a personalizar una política de enmascaramiento que proporcione datos de calidad sin exponer información confidencial. Los proveedores pueden marcar la diferencia entre el fracaso y el éxito de un proyecto.

Práctica recomendada: Durante el POC, pida al proveedor que ofrezca algo más que soluciones enlatadas. Solicite varias alternativas de enmascaramiento para los datos que está probando. Enmascare grandes volúmenes de datos y espere que el rendimiento sea razonable. No siga el camino del proveedor para un POC, sino trace el suyo propio de forma que se sienta seguro de que está equipado y dispuesto a ayudarle cuando lo necesite.

5. Facilidad de aplicación y uso

Normalmente, no utilizará una solución de enmascaramiento de datos todos los días. Además, estas soluciones son utilizadas por personal que tiene muchas otras tareas y que procede de distintos ámbitos (DBA, QA, personal de seguridad, etc.). En otras palabras, una solución que requiera conocimientos específicos, que tenga una curva de aprendizaje pronunciada o que tenga una interfaz poco intuitiva será difícil de asimilar y es menos probable que se utilice.

Práctica recomendada: Durante el POC, asegúrese de que es su personal el que dirige, no el proveedor. Tras una reunión inicial con el proveedor para que le enseñe el sistema, pida a su personal que pase unos días intentando realizar algunas tareas de enmascaramiento sin ayuda.

6. Evaluación del enmascaramiento

Uno de los retos es saber si las políticas de enmascaramiento están haciendo su trabajo. Sobre todo, querrá saber si todos los datos están bien enmascarados. No es una cuestión trivial. Depende tanto de los datos que se enmascaran como de la política que los enmascara. Core Masking dispone de una función que le ayudará a responder a esta pregunta crítica.

Por ejemplo, la sustitución de dígitos por otros dígitos sólo es eficaz si todos los valores contienen dígitos y un número suficiente de ellos. Otro ejemplo: en muchos productos de enmascaramiento, fijar la semilla o garantizar la coherencia tiene el coste no documentado de no enmascarar algunos de los valores. Estos son sólo algunos ejemplos, pero ¿cómo saber si se han enmascarado todos los datos sensibles?

Práctica recomendada: Durante un POC, la seguridad se comprueba a menudo tomando muestras de algunos valores y comparándolos antes y después. Esto no es una buena prueba. Busque una forma de asegurarse de que todos los valores están bien enmascarados. Esto puede ser difícil debido a las diferencias estadísticas entre ejecuciones de enmascaramiento consecutivas. De nuevo, si la solución puede resolverle este problema, será mucho más fácil.

Elementos de Distracción

Las siguientes capacidades pueden ser valiosas en algunos casos, pero suelen utilizarse para distraer a los clientes de lo que importa. Explicaremos cada una de ellas y por qué le distraen de sus objetivos.

7. Enmascaramiento Dinámico

El enmascaramiento dinámico no modifica los datos de la base de datos y devuelve datos enmascarados no para todas las consultas a la base de datos, sino para algunas de ellas. El caso de uso es bastante limitado. Es para cuando algunas aplicaciones que se conectan a la base de datos de producción necesitan acceder a columnas con datos sensibles pero sólo a una versión enmascarada de esas columnas. El enmascaramiento suele ser sólo para una aplicación completa, no para usuarios finales concretos.

El enmascaramiento dinámico sólo es relevante para las bases de datos de producción. Debe seguir protegiendo la base de datos, ya que los datos confidenciales siguen estando dentro de ella.

Además, como el enmascaramiento dinámico es una operación en tiempo real, ofrece un pequeño número de algoritmos con capacidades limitadas. Por ejemplo, la sustitución de caracteres por estrellas. Estos algoritmos no pueden crear datos falsos realistas.

El enmascaramiento dinámico es una solución complicada y cara que no está relacionada con las bases de datos de no producción, y no elimina la necesidad de proteger la base de datos.

8. Descubrimiento

El descubrimiento suele girar en torno a la búsqueda de datos sensibles en la base de datos. Es una buena función que incluyen la mayoría de los productos. Sin embargo, su capacidad para identificar correctamente todos los datos es bastante limitada.

Un método utilizado por el descubrimiento es escanear los datos en la base de datos y buscar datos que se parezcan a patrones específicos. Esto tiene dos limitaciones. En primer lugar, la información sensible debe seguir patrones específicos. Los salarios, por ejemplo, son sólo números que no pueden identificarse de esta manera. En segundo lugar, tiene un elevado número de falsos positivos.

Otro método utilizado consiste en examinar los nombres de las columnas. Este método tiene muchas probabilidades de omitir datos sensibles y también puede dar lugar a muchos falsos positivos.

Aunque la detección es una buena función, no es crítica y no puede confiar en ella para localizar sus datos.

9. Aprovisionamiento y Despliegue

Algunas soluciones permiten copiar datos de producción a no producción o entre sistemas no productivos.

Aunque parece una característica valiosa, todo DBA sabe cómo desplegar una copia de una base de datos de producción. Los administradores de bases de datos tienen métodos más rápidos y probados, como restaurar una copia de seguridad o utilizar funciones específicas de la base de datos. Según nuestra experiencia, los DBA no confían en las funciones de enmascaramiento de datos para realizar copias de bases de datos.

Otra razón por la que esta función distrae la atención es que existen soluciones especializadas en una canalización de datos, el aprovisionamiento del sistema u otros tipos de gestión de datos. No se trata de herramientas de seguridad con un alcance y una finalidad distintos del enmascaramiento de datos.

En otras palabras, la copia de datos está relacionada con las operaciones, no con la seguridad, y por lo tanto, distrae de los requisitos críticos relacionados con el enmascaramiento.

10. Cumplimiento

La conformidad parece la característica perfecta. ¿No sería maravilloso que la solución de enmascaramiento fuera compatible con su requisito de cumplimiento específico? La realidad es que todas las soluciones de enmascaramiento de datos son igualmente adecuadas para el cumplimiento de normativas y las soluciones que afirman ser compatibles con un requisito u otro no hacen nada diferente. Es más, ningún requisito de conformidad, salvo la PCI, especifica cómo enmascarar los datos. Incluso en el caso de la PCI, la buena práctica consiste en enmascarar de forma más agresiva que el requisito mínimo de enmascaramiento establecido en la normativa.

En otras palabras, el cumplimiento es un argumento de marketing, no una característica real.

Prácticas Recomendadas

Hemos enumerado las mejores prácticas de evaluación para cada característica crítica, pero lo fundamental es realizar un POC adecuado. Realice las pruebas usted mismo y evite las reseñas o clasificaciones de Internet. Su POC debe validar que la solución hace lo que usted necesita de principio a fin sin escatimar esfuerzos. Desconfíe de los proveedores que intenten convencerle de lo contrario, independientemente de su reputación.

Tendrá que enmascarar casos de prueba complicados que impliquen, por ejemplo, la coherencia entre columnas o la conservación de la distribución estadística de valores como el sexo o el estado. Tendrá que validar que todos los valores están enmascarados, comprobar el rendimiento y mucho más. Y lo que es más importante, asegúrese de que puede utilizar los datos enmascarados y de que el cliente final está satisfecho con la calidad de los datos.

Reflexión final

Elegir la solución de enmascaramiento de datos adecuada es crucial para el éxito de un proyecto de enmascaramiento. Una que pueda utilizar con regularidad y que mantenga la seguridad y privacidad de su información sensible. El enmascaramiento de datos le permitirá hacer mucho más con los datos que ya tiene sin aumentar el riesgo.

January 21, 2025February 12, 2025

Auditoría de bases de datos e IDS: Una guía completa para la protección de datos

Auditoría de Bases de Datos e IDS: Una guía completa para la protección de datos

Aprenda por qué es importante la auditoría de bases de datos y los IDS, cómo combatir los ataques y las infracciones, herramientas y tecnologías, buenas prácticas y mucho más.

Introducción

Las empresas modernas funcionan con datos. Desde los datos de los clientes hasta la información financiera, las bases de datos almacenan gran cantidad de información confidencial. Estos datos facilitan las operaciones de la empresa e impulsan la toma de decisiones. Sin embargo, esta dependencia de los datos expone a las organizaciones a riesgos significativos. Los ciberataques y las filtraciones de datos pueden poner en peligro la información confidencial, provocando pérdidas económicas, sanciones normativas, demandas judiciales y daños irreparables a la reputación de la marca. Para mitigar estos riesgos, las organizaciones deben tomar medidas para proteger sus datos. Esto significa proteger el acceso a las bases de datos que los almacenan.

Que es la auditoría de bases de datos

La auditoría de bases de datos, o Database Activity Monitoring (DAM), es un sistema de detección de intrusiones en bases de datos (IDS). Supervisa las conexiones a las bases de datos y los SQL ejecutados en esas conexiones. Aunque pueda parecer un ejercicio sin sentido, cuando se hace bien, es la defensa de bases de datos más crítica y una de las medidas de seguridad más importantes para proteger tus datos.

El reto de la auditoría de bases de datos es el volumen de actividad. Hay miles de millones de SQL al mes, y nadie puede revisarlo todo manualmente. En realidad, el reto empieza antes de procesar los datos, ya que capturar esta cantidad de actividad es difícil sin crear una sobrecarga de rendimiento y ralentizar la base de datos.

Para que la auditoría de bases de datos esté a la altura de su potencial y proporcione una defensa sólida, requiere un potente mecanismo de captura que pueda verlo todo sin sobrecarga y potentes capacidades de procesamiento que le permitan obtener valor de todos estos datos. Eso es mucha tecnología y saber cómo utilizarla, y de eso trata este artículo.

Auditoría de bases de datos: Un viejo término equivocado

La auditoría de bases de datos suele traer a la mente métodos tradicionales y declarativos para supervisar la actividad de las bases de datos. Normalmente, se trata de activar funciones de auditoría en la base de datos, registrar la actividad y elaborar informes. Aunque estos métodos tienen su lugar, no abordan los retos de seguridad de los entornos de bases de datos modernos. Hoy en día, la atención se centra en sistemas de detección de intrusiones en bases de datos (IDS) más completos, el componente principal de una solución de seguridad de bases de datos moderna y avanzada. Con una visibilidad y un control superiores sobre la actividad de las bases de datos, permiten a las organizaciones detectar y responder a las amenazas actuales.

El poder de IDS de bases de datos

Aunque los sistemas de prevención de intrusiones (IPS) pueden desempeñar un papel en la seguridad de las bases de datos, los IDS son más eficaces debido a la naturaleza única del acceso a las bases de datos y a la forma en que se realizan los ataques a las mismas.

Las bases de datos suelen tener un número limitado de cuentas. Conectarse a una base de datos sin credenciales válidas o un método de acceso aprobado (como una conexión local) es casi imposible. El reto es, por tanto, controlar la actividad que llega a través de estos canales aprobados. El problema es el enorme volumen de actividad. Con miles de millones de SQL válidos al mes, resulta extremadamente difícil identificar el puñado de SQL maliciosos que podrían constituir un ataque.

Los sistemas preventivos deben tener un bajo índice de falsos positivos. Cuanto menor sea la tasa de falsos positivos, mayor será la tasa de falsos negativos. En las bases de datos, bloquear un SQL válido a mitad de una transacción puede tener consecuencias catastróficas, por lo que los IPS de bases de datos tienen una tolerancia especialmente baja a los falsos positivos (y, por tanto, a muchos eventos no prevenidos). El otro problema en las bases de datos es distinguir la actividad buena de la maliciosa. Así que, cuando se combina con las limitaciones inherentes de IPS, la prevención sólo es eficaz para un pequeño número de vectores de ataque.

Por el contrario, los sistemas detectives tienen una mayor tolerancia a los falsos positivos. Una solución IDS de bases de datos moderna puede ayudar a las organizaciones a obtener visibilidad de la actividad de sus bases de datos e identificar la mayoría de los ataques con un número razonable de falsos positivos.

Visibilidad: Una condición previa

Tanto si pretende desplegar un IPS como un IDS, primero debe obtener visibilidad de la actividad de su base de datos. No se puede proteger lo que no se ve. Es imposible diseñar políticas, reglas o informes eficaces sin un conocimiento sólido de la actividad que se intenta controlar.

By gaining visibility into your database activity, you could:

Controles de diseño: Comprender el perfil de la actividad te ayudará a determinar cómo controlarla. Debes identificar, por ejemplo, las cosas que ocurren, y debes estar atento a ellas. Otras cosas ocurren raramente, y deberías alertarlas o bloquearlas. Establecer la seguridad basándose en una suposición teórica de la actividad es ineficaz. Es imposible asegurar lo que no se puede ver.
Identificar prácticas riesgosas: En muchos entornos, los usuarios y administradores han adoptado prácticas que son inseguras. Cosas como compartir cuentas, utilizar cuentas de administrador por la aplicación, exportar datos sensibles fuera de la base de datos, etc.
Identificar actividades sospechosas: Una revisión humana ocasional de la actividad de la base de datos puede detectar actividades sospechosas que han pasado desapercibidas por otros medios.
Identificar brechas: Identifique actividades o posibles actividades no controladas por sus medidas actuales y con potencial para comprometer los datos.

La visibilidad es una característica clave de una solución de seguridad de bases de datos. En Core Audit, la llamamos análisis forense proactivo. Pero independientemente del nombre, debería permitirle responder a preguntas como quién se conecta a la base de datos, utilizando qué programas, desde qué máquinas/IPs, y qué están haciendo dentro. Deberías tener respuestas a preguntas como quién accede a tu información sensible, cuándo, desde qué programas y utilizando qué SQLs. Pero esto son sólo ejemplos. Las preguntas dependen del perfil de actividad de la base de datos, y eso es lo que hay que entender para poder controlar.

Aspectos de la seguridad de las bases de datos

Las soluciones de seguridad de bases de datos, las capacidades integradas de bases de datos, la auditoría de bases de datos, IDS, IPS y otras capacidades necesarias están todas interrelacionadas. Así pues, echemos un vistazo a la seguridad de las bases de datos para comprender qué es importante, qué necesitamos y cómo protegemos una base de datos.

Seguridad Básica

La seguridad básica de las bases de datos está integrada en ellas e incluye la autenticación (usuarios, contraseñas, etc.) y la autorización (privilegios, permisos, etc.). También puede incluir el cifrado de la red (datos en tránsito) y el cifrado de archivos o discos (datos en reposo). Además, puede haber parámetros de configuración relacionados con la seguridad que deban controlarse.

Todos estos elementos requieren una configuración adecuada y una revisión periódica. Un proceso de control de cambios es crucial para mantener el control sobre las configuraciones básicas de seguridad, y una solución de seguridad de bases de datos debe permitirte supervisarlas.

Control de Cambios

El control de cambios se basa en el principio de que el control de los cambios en la base de datos (incluida la seguridad básica) garantiza un entorno seguro permanente. El control de cambios de la base de datos tiene por objeto controlar la configuración, los objetos, los usuarios, los privilegios y los permisos.

El control se ejerce mediante dos mecanismos: un proceso de aprobación de las solicitudes de cambio antes de realizar los cambios y un proceso de auditoría que identifica todos los cambios para verificar su aprobación. Puedes implementar el proceso de auditoría a través de instantáneas de metadatos o utilizando el control de actividades. Éstos deben formar parte de una solución de seguridad de bases de datos.

Vulnerabilidades y Parches

Las vulnerabilidades desempeñan un papel menor en la seguridad de las bases de datos. La mayoría de las bases de datos son sistemas maduros con pocas vulnerabilidades por descubrir. Aunque los proveedores publican parches con regularidad, éstos suelen abordar vulnerabilidades difíciles de explotar y que rara vez son remotas. Casi todas las violaciones se producen por medios distintos a las vulnerabilidades no parcheadas o de día cero.

La exploración de vulnerabilidades no suele formar parte de las soluciones de seguridad de bases de datos, sino de soluciones que buscan vulnerabilidades en muchos tipos de sistemas, no sólo en bases de datos.

Cumplimiento de la Normativa

El cumplimiento se refiere a la adhesión a leyes y normativas diseñadas para proteger datos específicos, como información personal, tarjetas de crédito, datos financieros, información sanitaria y médica, etc. Para evitar la divulgación o manipulación no autorizadas, la ley (y los reglamentos derivados) exige a las empresas que protejan este tipo de información.

En última instancia, las normas de cumplimiento exigen aplicar una estrategia de seguridad. Más allá de centrarse en tipos específicos de información, los requisitos de cumplimiento difieren de la seguridad habitual en que exigen una estructura formal con documentación. La documentación sirve como prueba de las medidas adoptadas por la organización para proteger los datos, y los auditores pueden revisarla. La conformidad suele abarcar todos los demás tipos de seguridad, pero hace hincapié en el cumplimiento de un proceso y el mantenimiento de registros.

Dado que la conformidad es, esencialmente, seguridad, es algo que proporcionan la mayoría de las soluciones de seguridad para bases de datos. El cumplimiento no es una característica de una solución de seguridad, pero ciertas características son importantes para el cumplimiento. Por ejemplo, la elaboración de informes, el seguimiento de los cambios en las políticas y los informes, un repositorio a prueba de manipulaciones (un repositorio en el que los registros no se pueden actualizar ni eliminar), un largo periodo de conservación con una huella de almacenamiento mínima, etc.

Control de actividad y auditoría de bases de datos

El control de la actividad de la base de datos consiste principalmente en la auditoría (supervisión), pero también puede incluir la prevención avanzada (IPS). El control de actividad y la auditoría son cruciales para la seguridad de las bases de datos porque la mayoría de los ataques utilizan cuentas legítimas. Como control principal de las cuentas reales, el control de actividad es la defensa principal contra la mayoría de las violaciones de datos. Por ejemplo, el abuso de privilegios, el robo de credenciales y la inyección SQL son ejemplos de ataques que sólo el control de actividad puede abordar.

El control de la actividad incluye cuatro medidas principales:

Visibilidad – Comprender el perfil de actividad de la base de datos utilizando análisis forenses proactivos y reactivos. Se trata de un control importante en sí mismo, pero también es esencial para diseñar el resto de los controles.
Auditoría tradicional – Establecer políticas, reglas e informes sobre subconjuntos de la actividad de la base de datos que son de alto riesgo y bajo volumen. También se conoce como auditoría declarativa, y es un control central en el cumplimiento normativo.
Análisis de anomalías – Identificar cambios en los perfiles de comportamiento de usuarios, aplicaciones, etc. Se trata de un control crítico para subconjuntos de gran volumen de la actividad, así como para reducir su inversión de tiempo.
Preventivo (IPS) – Aplicar restricciones bloqueando la actividad de SQL. Por ejemplo, impedir que usuarios con privilegios accedan a datos confidenciales, aplicar la separación de funciones, etc.

Auditoría de cambios en los datos

Algunas normativas obligan a llevar un registro de todos los cambios realizados en determinados tipos de datos sensibles. Esto va más allá del seguimiento de quién hizo el cambio, cuándo y cómo… y se extiende al registro de los valores exactos que cambiaron. A veces se denomina imágenes antes y después. Por ejemplo, cuando una sentencia SQL cambia un salario de 1.000 a 2.000, la auditoría de cambio de datos registra tanto el valor original o la «imagen antes» (1.000) como el nuevo valor o la «imagen después» (2.000).

Este tipo de auditoría puede requerir un almacenamiento significativo en función de los datos que necesite auditar, la frecuencia con la que cambian y el periodo de retención. Hay diferentes maneras de implementar este requisito, incluidos los cambios en el código de la aplicación, los disparadores de la base de datos, los registros de rehacer y las tecnologías de auditoría avanzadas. Cada método conlleva un coste, una complejidad y una sobrecarga de rendimiento diferentes que debe tener en cuenta.

Aunque auditar los cambios en los datos es algo que se puede hacer utilizando el código de la aplicación o las funciones de la base de datos, utilizar las capacidades incluidas en una solución de seguridad de la base de datos es más fácil, más completo y tiene una menor sobrecarga.

Tecnologías

Capacidades de la base de datos: Todas las bases de datos contienen algún tipo de funcionalidad de auditoría. La ventaja es que es gratuita. Los inconvenientes son la falta de informes, la retención a largo plazo, los elevados gastos generales y las limitadas capacidades de captura. En sí misma, es una función de apoyo, no una solución.
Herramientas que utilizan la auditoría nativa: Existen soluciones baratas basadas en las capacidades integradas de las bases de datos. Su único valor es ofrecer la funcionalidad de elaboración de informes y retención que falta en las capacidades integradas de la base de datos. Sin embargo, adolecen de la misma sobrecarga y limitaciones de captura. Pueden ser aceptables para simples necesidades de cumplimiento, pero no ofrecen casi ninguna seguridad o protección contra amenazas realistas.
Soluciones basadas en la red: Estas herramientas de gama alta infieren la actividad de la base de datos a partir de la captura del tráfico de red. Suelen utilizar controladores locales del kernel para capturar la actividad local, pero su captura es incompleta, por lo que siguen siendo fáciles de eludir. La captura local también crea una alta carga de red al transmitir el tráfico local a su servidor. Su objetivo principal suele ser el cumplimiento, por lo que tienden a tener una visibilidad y unas capacidades de análisis limitadas. En otras palabras, tienen capacidades limitadas contra amenazas realistas (abuso de privilegios, inyección SQL, etc.).
Soluciones basadas en agentes: Las soluciones de gama alta como Core Audit se conectan directamente al motor de la base de datos y ven todo lo que ocurre en la base de datos con poca sobrecarga (conexiones cifradas, actividad local y actividad interna de la base de datos). Core Audit también incluye una visibilidad en profundidad, potentes repositorios y sólidas capacidades de análisis, lo que se traduce en una seguridad superior frente a cualquier amenaza.
Rendimiento, APM y otras soluciones: Se trata de soluciones pensadas para el rendimiento y otros fines que, en ocasiones, se reutilizan para la seguridad. Son inadecuadas porque están diseñadas para centrarse en actividades que generan carga en la base de datos en lugar de en actividades que suponen un riesgo para la seguridad. Los SQL maliciosos no suelen generar casi ninguna carga en la base de datos, rara vez son captados por la tecnología subyacente y, aunque se capten, es probable que las soluciones los ignoren.

Buenas prácticas de auditoría de bases de datos e IDS

Estas mejores prácticas para IDS de bases de datos y soluciones de auditoría le ayudarán a lograr una postura de seguridad fuerte. Es importante tener en cuenta que, si bien Core Audit puede cumplir fácilmente todas estas recomendaciones, otras soluciones podrían carecer de algunas de las capacidades.

Clasificar los riesgos por tipo de cuenta: Las bases de datos tienen diferentes tipos de cuentas como DBAs, cuentas de aplicaciones, cuentas de analistas, cuentas para herramientas y más. Cada tipo de cuenta tiene un perfil de actividad diferente y está sujeta a vectores de ataque distintos. Eso significa que para conseguir una seguridad eficaz, cada tipo de cuenta requerirá informes, anomalías, medidas preventivas, etc. diferentes.
Comience con Forense Proactiva: Antes de diseñar controles, utilice Proactive Forensics para comprender el perfil de actividad de su base de datos y el perfil de actividad de cada tipo de cuenta.
Implemente controles superpuestos y compensatorios: Siempre que sea posible, utilice varios controles de distintos tipos para aprovechar sus puntos fuertes y mitigar sus puntos débiles. Por ejemplo, los informes de cumplimiento proporcionan un tipo de seguridad diferente del análisis de anomalías, que difiere de las revisiones forenses ocasionales. Utilizar los tres tipos contra una amenaza dará como resultado una mejor protección.
Proteger las cuentas DBA y de usuarios con privilegios: Estas cuentas presentan una amenaza significativa debido a su poder ilimitado. Están sujetas a amenazas internas (abuso de privilegios) y externas (credenciales robadas). Implemente controles de sesión para detectar cuentas comprometidas y controles de actividad para supervisar los DDL, los DML, el acceso a datos confidenciales y la hora del día de actividad. Considerar medidas preventivas (IPS) para limitar el acceso de los DBA al esquema de datos y aplicar la separación de funciones.
Cuentas de aplicación seguras: Las cuentas de aplicaciones tienen acceso a todos los datos y son difíciles de supervisar debido al alto volumen de actividad. Utilice controles de sesión para detectar el uso no autorizado y controles de actividad como el análisis de anomalías para identificar la actividad sospechosa. Considere la supervisión del control de cambios para validar la aprobación de cambios y medidas preventivas para limitar las fuentes de actividad.
Abordar los riesgos de acceso local: Mitigar los riesgos asociados al acceso local al servidor de base de datos. Se trata de un vector de ataque popular en el robo de datos y los ataques de ransomware. Implemente controles de sesión para supervisar las conexiones locales y controles de actividad para identificar actividades sospechosas.
Controle otras cuentas: Identifique y evalúe los riesgos que plantean las cuentas utilizadas por analistas, gestores, etc. Implemente controles de sesión, controles de actividad y otros en función de los permisos de la cuenta y el perfil de actividad.
Mitigar las cuentas nuevas, no aprobadas e inactivas: Detecte y controle la creación y el uso de cuentas nuevas, los cambios de privilegios y, en general, la actividad de cuentas que antes no se veían (como las cuentas inactivas). El control tiene dos vertientes: En primer lugar, utilizando controles de sesión para supervisar las conexiones desde cuentas poco frecuentes y cualquier actividad que realicen. En segundo lugar, informando sobre los DDL relacionados con cuentas y privilegios.
Copias y extracciones de datos seguras: Es difícil, si no imposible, asegurar los datos una vez que salen de la base de datos. Gestione los riesgos asociados a los datos sensibles copiados fuera de la base de datos. Las operaciones de producción, como las réplicas y las copias de seguridad, requieren defensas equivalentes a las de todas las bases de datos sensibles. Las copias que no son de producción, como los datos para pruebas y desarrollo, requieren enmascaramiento de datos. Sin embargo, la extracción de datos para análisis externos en Excel y otras herramientas es motivo de preocupación. Si es posible, intente evitarlos. Si no, los datos deben enmascararse o protegerse de otra forma. Implemente controles de actividad para identificar los accesos a datos de gran volumen y una revisión forense ocasional para identificar las prácticas de riesgo.
Mejorar la eficacia de los controles: Realice un análisis de las deficiencias en la eficacia de los controles. Eso incluye estimar los falsos negativos (eventos no detectados) y el potencial de ataque desconocido (como el día cero). Hay tres métodos para el análisis de brechas: (a) basarse en los eventos marcados por una medida de seguridad y no por otra (ver controles compensatorios). (b) utilizar el análisis del perfil de actividad en la medicina forense proactiva para identificar posibles puntos débiles de los controles. (c) con un equipo rojo (o equipo DBA) que intente penetrar las defensas.

Estas prácticas garantizarán una postura de seguridad sólida. Pero tenga en cuenta que las organizaciones suelen seguir un camino de madurez, y adoptar un enfoque gradual suele ser más realista. Si desea más información, póngase en contacto con nosotros para obtener la Guía de Controles completa. La guía incluye muchos más detalles y recomendaciones.

November 19, 2024November 19, 2024

Tienes control sobre tus datos

¿Tienes control sobre tus datos?

Muchas organizaciones se quedan cortas en lo que a control y visibilidad se refiere. ¿Tienes control sobre tus datos?

El control de los datos es la base de la seguridad de los datos. Es la esencia de todos los requisitos de cumplimiento y establecer el control es el núcleo de lo que hacemos.

Mientras navegamos por el final de este año y nos preparamos para el siguiente, examinemos este requisito básico. Nuestra experiencia nos dice que muchas organizaciones tienen dificultades con los fundamentos, pero siga leyendo y vea cuál es su situación.

¿Qué es el control?

Controlar los datos significa controlar el acceso a ellos. En otras palabras, controlar la actividad. Pero, ¿qué significa en la práctica y cómo lo hacemos?

Lo que todo el mundo sabe es que gestionar el acceso a los datos implica dos actividades:

Usuarios y permisos – ¿Quiénes son los usuarios y qué acceso necesitan?
Supervisión – ¿Qué está ocurriendo en la realidad?

Todo el mundo tiende a centrarse en la primera e ignorar la segunda. Pero la aplicación correcta tiene que ser diferente, porque es imposible asegurar los datos sin saber lo que está ocurriendo con ellos. No se puede proteger lo que no se ve.

Establecer controles sobre los usuarios y el acceso sin saber lo que ocurre en realidad carece de sentido. No sólo carece de visibilidad sobre si los controles están funcionando según lo previsto, sino que ni siquiera sabe qué cosas están sucediendo que necesita detener. Usted está asumiendo que sus usuarios y permisos se comportan como imaginaba, pero esa suposición suele ser errónea.

El conocimiento es poder

Saber lo que ocurre es la base de cualquier seguridad. Un guardia de seguridad ciego y sordo deambulando por los pasillos no podrá detener a los delincuentes. La visibilidad es la clave del éxito.

¿Tienes el control?

Por desgracia, muchas organizaciones se quedan cortas en lo que a visibilidad se refiere. Carecen de las herramientas necesarias para responder a preguntas básicas como:

¿Quién accedió a mis datos la semana pasada?
¿Qué programas se utilizaron para acceder a los datos?
¿A cuántos datos se accedió?

Sin respuestas a estas y otras preguntas similares, es imposible establecer controles eficaces. ¿Cómo puede determinar sobre qué debe informar o alertar? ¿Qué hay que evitar?

Cuando preguntamos a los clientes por qué configuran determinadas alertas, solemos obtener respuestas vagas como “me lo recomendaron”, “es una buena práctica”, “me parece una buena idea”, etcétera.

Por tanto, no es sorprendente que estos controles rara vez produzcan incidentes de seguridad. La falta de falsas alertas positivas es indicativa de una seguridad ineficaz, porque significa que hay muchos falsos negativos (sucesos no detectados).

Visualiza tu actividad como nunca antes

La seguridad ha cambiado mucho en los últimos 20 años y las tecnologías y soluciones nacidas a principios de la década de 2000 se consideran hoy en día obsoletas. Las soluciones modernas como Core Audit pueden dar una visibilidad sin precedentes de la actividad utilizando Proactive Forensics y ese es el primer paso recomendado en las implementaciones.

Con Core Audit Proactive Forensics, usted puede:

Visualizar fuentes de actividad para entender quién ejecuta actividad, cuánta, desde dónde y cuándo.
Investigar los patrones de actividad para comprender quién accede, a qué datos, cuándo y cuánto.
Profundizar en los subconjuntos de actividad y visualizar cada uno para determinar la mejor manera de controlarlo.

El análisis forense proactivo es una de las muchas funciones de Core Audit, como el análisis de anomalías, las auditorías declarativas, los controles preventivos y muchas más. Sin embargo, Proactive Forensics es el primer paso en las implementaciones que le ayuda a entender el perfil de actividad y determinar qué otros controles debe implementar.

No te conformes con menos

Si cree que comprende bien lo que ocurre dentro de sus bases de datos y aplicaciones, ¡enhorabuena! Pero si no es así, es hora de considerar una alternativa. Programe una demostración para ver lo que Core Audit puede ofrecerle y, a continuación, pruébelo en sus propios sistemas para experimentar una visibilidad real.

Póngase en contacto con nosotros hoy mismo y adopte el futuro de la seguridad de las bases de datos.

November 11, 2024November 12, 2024

Presupuestos para un futuro seguro: Optimiza el tuyo para 2025

Presupuestos para un futuro seguro
Optimiza el tuyo para 2025

A medida que nos adentramos en 2025, el panorama digital sigue evolucionando, trayendo consigo inmensas oportunidades e importantes riesgos. Las ciberamenazas son cada vez más sofisticadas y se dirigen a empresas de todos los tamaños. Para que las organizaciones prosperen, una estrategia de ciberseguridad sólida ya no es un lujo; es una necesidad básica.

Escasa inversión en ciberseguridad

En relación a su PIB, Latinoamérica invierte entre 4 y 5 veces menos en Ciberseguridad que Norteamérica. El crecimiento previsto de los presupuestos de Ciberseguridad en Latam también es inferior al de NA.

Al mismo tiempo, las brechas de datos en Latinoamérica están en su punto más alto. Diferentes estudios muestran cifras diferentes en cuanto a los países más atacados, y los primeros de la lista suelen ser México, Brasil, Colombia y Perú. Sin embargo, toda Latinoamérica está bajo ataque, con muchas brechas de datos exitosas.

Con mayores riesgos y menor inversión, América Latina debe invertir de forma MÁS INTELIGENTE. Es la única manera de luchar contra las olas de ataques si se tiene recursos limitados.

Una inversión más inteligente

Lo ideal sería poder comprar y utilizar muchas soluciones que aborden todos los riesgos posibles, pero eso no es realista. Nadie tiene presupuesto ni personal suficientes para hacer realidad esa fantasía.

La solución consiste en identificar unos pocos elementos críticos que impidan una filtración de datos y crear una inversión equilibrada en todos ellos. Hable con nosotros para obtener más información sobre cómo equilibrar el perímetro frente a los datos, los IPS frente a los IDS y mucho más. Permítanos ayudarle a crear en conjunto una defensa ganadora.

Ciberseguridad con un presupuesto optimizado

En Blue Core Research comprendemos la importancia de equilibrar las necesidades de seguridad con las limitaciones presupuestarias. Nuestro equipo de expertos trabaja en estrecha colaboración con los clientes para crear enfoques personalizados que se ajusten a su presupuesto y, al mismo tiempo, maximicen la protección de sus datos.

Cómo podemos ayudarle a optimizar su presupuesto de ciberseguridad

Comienza con una conversación para entender tus necesidades: Queremos entenderte a vos y tu situación particular. Tus motores, necesidades, expectativas, entorno, etc. Cuanto más sepamos sobre vos y tu organización, mejor podremos elaborar un plan que responda a tus necesidades y se ajuste a tu presupuesto.

Crear un enfoque personalizado: Nuestras soluciones pueden utilizarse de muchas maneras en función de los recursos disponibles. Sugeriremos un enfoque diferente para la implantación en función del número de sistemas, el personal disponible, el nivel de seguridad previsto, etc. Encontraremos la forma de sacar el máximo partido a sus recursos.

Precios agresivos: Queremos cuidar de tu negocio y vamos a trabajar en conjunto con vos para encontrar la manera. Podemos sugerirte diferentes niveles de seguridad y encontrar la forma de cubrir todo lo que necesites. Tenemos precios agresivos para ayudarle a cumplir sus objetivos presupuestarios.

Invertí en tranquilidad

Trabaja con nosotros para asegurarte de que tu presupuesto para 2025 incluya las soluciones de primera categoría que necesitas para luchar contra los ciberataques, las filtraciones de datos y mucho más.

Recordá que un plan presupuestario sólido no es un gasto, sino que es una inversión en el futuro de tu empresa.

Ponte en contacto con nosotros hoy mismo para hablar de tus necesidades específicas y saber cómo podemos ayudarte a protegerte de las inminentes amenazas.

August 19, 2024August 22, 2024

Defensas Centradas en Datos

Más Allá del Perímetro: La Necesidad de Defensas Centradas en los Datos

Una reciente campaña masiva de phishing puso al descubierto una vulnerabilidad crítica en Proofpoint, uno de los principales proveedores de seguridad de correo electrónico basada en la nube.

El incidente plantea importantes cuestiones sobre los ataques a la cadena de suministro, la eficacia de la seguridad del correo electrónico y la necesidad de una defensa en capas contra los ataques.

Lo que ocurrió

Los hackers encontraron un exploit en organizaciones que utilizan Office 365 y Proofpoint. El exploit permitió a los hackers enviar correos electrónicos autenticados con firmas digitales idénticas a los correos electrónicos enviados por esas organizaciones. La lista de organizaciones explotadas incluye Disney, Coca-Cola, IBM, Nike, Best Buy y muchas otras.

Utilizando este exploit, los hackers enviaron durante al menos siete meses una media estimada de 3 millones de correos electrónicos al día, con picos que alcanzaron los 14 millones de correos electrónicos diarios. Es decir, entre 500 y 1.000 millones de correos electrónicos de phishing perfectamente falsificados.

Desconocemos el número de tarjetas de crédito, credenciales, identidades y demás información robada por los hackers. Sin embargo, algunos ataques se aprovecharon de los servicios vendidos por las empresas que falsificaban, enviando a los clientes a páginas de compra con cargos recurrentes en sus tarjetas de crédito.

Importancia

Los correos electrónicos autenticados enviados a través de Office 365 y Proofpoint son idénticos a los correos electrónicos enviados por las empresas auténticas, y los clientes no pueden notar la diferencia. Sin embargo, los ataques de phishing suelen embaucar a los clientes sin recurrir a falsificaciones de alta calidad, por lo que el mayor problema es otro.

Estos correos electrónicos tienen tasas de entregabilidad y de envío muy elevadas. Todos los proveedores de correo electrónico y filtros de spam admiten millones de correos electrónicos por minuto de esas organizaciones, y no entran en la carpeta de spam. Esto, unido a su autenticidad, crea potentes ataques de phishing.

Además, muchas organizaciones etiquetan los correos electrónicos externos para alertar a los empleados de posibles intentos de phishing. Estos correos autenticados eludirán estas advertencias, ya que son idénticos a los enviados por la organización. Esto hace que sea muy probable que los empleados sean presa de un ataque de phishing dirigido.

Ataques a la cadena de suministro y servicios en la nube

Los ataques a la cadena de suministro son motivo de gran preocupación, ya que exponen a las organizaciones a amenazas que desconocen y a las que no pueden hacer frente. Los ataques a la cadena de suministro también tienen un potencial aterrador, ya que los piratas informáticos pueden explotar las vulnerabilidades de cualquier organización que recurra a ese proveedor.

El problema de la cadena de suministro aumenta exponencialmente en los servicios basados en la nube. Los piratas informáticos pueden explotar las vulnerabilidades de la cadena de suministro en la nube sin acceder a la red corporativa ni hacer saltar las alarmas. Como demostró este ataque, muchas grandes organizaciones fueron víctimas de un ataque a gran escala del que no tenían conocimiento.

Seguridad del correo electrónico

La seguridad del correo electrónico es casi un oxímoron, y este ataque es otra prueba de nuestra incapacidad para protegerlo. Autenticar y firmar los correos electrónicos con DKIM, SPF y DMARC es beneficioso y valioso, pero es un esfuerzo que no puede evitar ni siquiera los simples ataques de phishing. Mejora las cosas, pero dista mucho de ser perfecto.

Las organizaciones deben aceptar que el correo electrónico es inseguro, que muchos empleados y clientes son presa del phishing y, en consecuencia, que se producen ataques de phishing con éxito de forma regular.

Debemos hacer esfuerzos razonables para proteger el perímetro. Es significativo porque reduce el número de ataques. Sin embargo, no se puede evitar que los intrusos lo penetren y accedan a la red corporativa. Por lo tanto, el aumento de las inversiones en la protección del perímetro tiene rendimientos decrecientes, especialmente los ineficaces como la seguridad del correo electrónico.

Enfoque por capas con defensas centradas en los datos

Dada nuestra limitada capacidad para proteger la red corporativa, debemos aplicar un enfoque de seguridad por capas con defensas centradas en los datos que impidan una violación de los datos cuando un hacker inevitablemente penetre en el perímetro.

Comprendiendo cómo se produce una violación de datos y aplicando una estrategia de seguridad adecuada, las organizaciones pueden reducir significativamente el riesgo de ser víctimas de ataques.

Core Audit es un componente fundamental en la batalla contra las brechas de datos, ya que proporciona la visibilidad y el control necesarios para proteger a su organización contra los ataques y las amenazas emergentes. Póngase en contacto con nosotros para obtener más información, analizar el entorno único de su organización y comprender sus necesidades de seguridad. Permitinos ayudarte a tener éxito.

August 12, 2024November 4, 2024

Descargar Guía Completa

Descargar Guía Completa

August 12, 2024August 13, 2024

Endpoints: seguridad y riesgos potenciales

Endpoints: ¿Seguridad garantizada o riesgo potencial?

Las recientes interrupciones de servicio en todo el mundo debidas a una actualización de CrowdStrike plantean una pregunta inevitable: ¿los beneficios de la seguridad en los dispositivos individuales superan los riesgos? ¿Cuáles son las alternativas?

Lo que ocurrió

Como hemos visto, un error en una actualización de CrowdStrike causó estragos en todo el mundo. Aproximadamente 8 millones de ordenadores con Windows se bloquearon en muchas empresas, desde aerolíneas a noticieros y hospitales. Los usuarios desesperados acudieron a los foros, algunas organizaciones enteras se paralizaron y algunos problemas persistieron durante uno o más días.

Aunque CrowdStrike pudo solucionar el problema rápidamente, la recuperación llevó mucho tiempo. Este incidente pone de manifiesto la fragilidad y los riesgos que entraña la seguridad basada en endpoints. Se derivan de un problema simple: tenemos muchos ordenadores de sobremesa y portátiles repartidos por todo el mundo, y se necesita mucho tiempo y esfuerzo para llegar a cada uno de ellos. Incluso con la gestión centralizada remota, alguien debe llegar físicamente a los sistemas que no arrancan.

Seguridad de endpoints: ventajas e inconvenientes

La seguridad de endpoints forma parte de la seguridad perimetral y, junto con los cortafuegos, la seguridad del correo electrónico, la seguridad física, etc., intenta mantener a los hackers fuera de la red corporativa. Aunque proteger todos los dispositivos de la red parece una estrategia sólida, no está exenta de serios inconvenientes.

Manejabilidad

Proteger un gran número de dispositivos puede ser una tarea compleja y laboriosa. Cada dispositivo varía en muchos aspectos, como el hardware, el sistema operativo, el software instalado y el uso. Hay que realizar muchas tareas en cada dispositivo de forma individual, como actualizaciones, configuración, parches, rendimiento y estabilidad, supervisión de la seguridad, resolución de problemas y mucho más. La gestión centralizada y remota ayuda mucho, pero los dispositivos se desincronizan a menudo. Y como demostró el incidente de CrowdStrike, los problemas pueden ser difíciles de resolver y llevar mucho tiempo, con repercusiones catastróficas para la empresa.

Costo

La seguridad de los endpoints puede resultar cara a medida que crecen la organización y el número de dispositivos en ella. Los costos de licencia por dispositivo pueden ser elevados, pero los recursos necesarios para gestionarla y mantenerla adecuadamente son significativos.

Eficacia

La seguridad de los endpoints no siempre es eficaz a la hora de proteger contra los ataques. Algunos ejemplos obvios son la amenaza interna que representa el 20% de las filtraciones de datos, los dispositivos inseguros en la red (inicios de sesión VPN, dispositivos conectados físicamente, sistemas operativos no compatibles, etc.) o los ataques que no comprometen un endpoint (como XSS). Sin embargo, los ciberdelincuentes son cada vez más sofisticados y descubren medios para penetrar incluso en dispositivos protegidos.

Soluciones alternativas

Aunque la seguridad perimetral en todos sus componentes es valiosa para reducir el número de ataques, no puede detenerlos todos. Un enfoque más sencillo consiste en centrar nuestros esfuerzos en unos pocos servidores clave en lugar de en el interminable mar de endpoints vulnerables. La gestión del rendimiento lleva décadas utilizando este paradigma, y la tendencia equivalente en seguridad es el paso de la seguridad perimetral a la seguridad centrada en los datos.

Ahí es donde entra en juego nuestra tecnología. Al centrarnos en la seguridad de bases de datos y aplicaciones, ofrecemos una seguridad más eficaz que es más fácil de gestionar y mantener. Aunque la seguridad centrada en los datos no está exenta de dificultades, ofrece una protección más sólida a un coste menor y con una mejor capacidad de gestión.

El incidente de CrowdStrike demuestra que la seguridad de endpoints conlleva riesgos inherentes. La seguridad centrada en los datos ofrece una buena alternativa, permitiéndole centrar sus recursos en lo que realmente importa: proteger sus datos críticos.

¿Estás listo para el cambio?

Si está buscando una forma más segura y eficiente de proteger sus datos, póngase en contacto con nosotros hoy mismo para obtener más información sobre cómo podemos ayudarlo a implementar una solución de seguridad centrada en los datos que satisfaga las necesidades de su empresa.

July 2, 2024July 11, 2024

Agosto 2024 – Beneficios Exclusivos BCR

Blue Core Research
Beneficios Exclusivos

Agosto 2024

Disfruta de nuestra promoción exclusiva

Por formar parte de nuestra comunidad, tenemos un beneficio muy importante para ofrecerte.

Completa el formulario para ser contactado por nuestros expertos.

No te pierdas esta oportunidad
ÍNSCRIBETE AQUÍ

July 1, 2024July 1, 2024

Cómo convertir un ataque en una oportunidad de aprendizaje

Historia de un Ciberataque

¿Cómo puede un día que parece ser el peor de tu carrera resultar positivo? Esta historia ficticia describe acontecimientos realistas sobre una brecha de datos en el que las cosas salieron bien. Mira lo que hay que hacer para que ocurra.

Comienza el ataque

El sonido de un nuevo correo electrónico parpadeó en la pantalla de Cora. Era otra alerta de Core Audit, y no era la primera del día. Pero tomó un vistazo rápido a las SQL y la adrenalina la despertó. Sintió como si le hubieran inyectado cafeína directamente en el cerebro. Esto no es un falso positivo, es un ataque. Alguien está ejecutando con éxito un ataque de inyección SQL a través de la aplicación y en la base de datos.

Cora Blue es un DBA en el equipo de seguridad y entendió exactamente lo que estaba pasando. Esa es la primera etapa del ataque, ya que el intruso está intentando determinar si la aplicación es vulnerable y reunir información sobre el tipo de base de datos y las tablas que contiene. Hasta ahora, es probable que sólo sea un script recopilando información, pero dependiendo de lo bueno que sea este atacante, pronto se convertirá en una brecha de datos. Podría llevar días, a veces horas, pero en el peor de los casos, pueden pasar unos minutos antes de que empiecen a filtrar datos: no hay tiempo que perder.

Deteniendo la brecha

Cora sabe lo que tiene que hacer. Aunque desconectar la aplicación probablemente sea suficiente en este caso, la política exige cerrar tanto la aplicación como la base de datos. Como miembro senior del equipo de seguridad, tiene los permisos necesarios para hacerlo. Más vale prevenir que curar, y unos minutos más tarde, todo está fuera de línea. Mientras los sistemas se desconectan, envía un mensaje al grupo de notificación. Eso llegará al equipo de respuesta y a todos los que necesiten saberlo.

Cuando se reunió el equipo, Cora pudo echar un vistazo a la información forense de la auditoría central. Parece que los hackers todavía estaban en la fase de descubrimiento, y no se llevaron nada. Encontró el servidor de aplicaciones del que procedía el ataque y la hora, y a partir de los SQL, incluso pudo adivinar el área comprometida de la aplicación: la primera parte del SQL es el código original con la tabla y las columnas de la consulta original.

Ahora que todo el equipo está en una reunión de Zoom hay dos objetivos inmediatos. Conseguir que la aplicación y la base de datos vuelvan a estar en línea de forma segura es importante, ya que el servicio de asistencia probablemente ya esté recibiendo llamadas (menos mal que formaban parte de la cadena de notificación). Pero lo más apremiante es cómo entraron en la red, si siguen dentro y qué más hay que hacer de inmediato para detener este ataque en seco.

El pequeño equipo de respuesta incluye a Cora Blue, que identificó el suceso y es también la experta en bases de datos del equipo. Brandon Reese, el administrador de sistemas sabelotodo. Randall Shield, que controla la red. Y Audrey Cortez, que representa a la alta dirección.

¿Qué fue lo que pasó?

Cora explica rápidamente lo sucedido: un ataque de inyección SQL afectó a la base de datos a través del servidor de aplicaciones CBR002 a partir de las 14:35, pero el servidor de aplicaciones y la base de datos se cerraron antes de que se tomara algo. Audrey la felicita por su diligencia y rápida respuesta. No es la primera vez que el equipo se reúne y todos saben que Audrey puede hablar un rato. Pero también saben que no le importa que la interrumpan, sobre todo cuando el tiempo es oro, y antes de que pueda continuar, Brandon la interrumpe de manera cortés compartiendo su pantalla en la que muestra un grep de los registros de Apache.

Los registros muestran claramente el rápido disparo de las peticiones HTTP que causaron la inyección SQL y la IP que las envió. Parece que el ataque provino del rango de IP de la VPN. Mientras Brandon continuaba en Core Audit para ver las pantallas forenses de auditoría de aplicaciones, Randall, el administrador de red, encontró la asignación de IP DHCP que mostraba que el ataque procedía del ordenador personal de Holly Ackerman, la asistente administrativa de uno de los vicepresidentes.

Unos segundos más tarde, Brandon también encontró el ataque en el análisis forense de Core Audit, confirmando que se trataba del inicio de sesión de Holly en la aplicación. Aunque nadie del equipo conoce bien a Holly, no parece tener muchos conocimientos informáticos y probablemente nunca haya oído el término SQL Injection. Alguien debió apoderarse de su ordenador personal y utilizarlo para lanzar el ataque.

Se neutraliza la amenaza

En cualquier caso, el equipo desactiva la cuenta de Holly y la desconecta de la VPN. El equipo de asistencia técnica la llamará para explicárselo, el equipo de seguridad empezará más tarde a investigar su ordenador y el equipo de Windows acabará ayudándola a reinstalarlo. Brandon envía un breve correo electrónico de actualización al grupo de notificación de infracciones que pondrá todo en marcha.

El equipo cree que en este punto el ataque está prácticamente contenido. Necesitan ver si el usuario de Holly se utilizó en algún otro lugar, poner la base de datos en línea, encontrar el problema en la aplicación y averiguar cómo ponerla en línea de forma segura. También tienen que investigar la PC de Holly para averiguar cómo entró alguien, aunque probablemente sólo hizo clic en el correo electrónico equivocado.

El día no ha terminado, pero parece que han evitado lo peor.

¿Cómo lo lograron?

Repasemos algunos de los puntos clave que hicieron de esta historia un éxito para el equipo de seguridad.

En primer lugar, a pesar de una brecha del perímetro que probablemente era inevitable, contaban con una solución IDS de base de datos que reconoció el acceso anómalo a los datos y envió una alerta. Sin esa alerta, esta historia habría sido muy diferente. Pasarían meses antes de que se enteraran del ataque, y probablemente sólo como resultado de una notificación de las fuerzas de seguridad. El equipo de respuesta estaría entonces analizando una violación de datos de meses de duración, tratando de determinar cuántos sistemas se vieron comprometidos y a quién debían notificar que sus datos habían sido robados.

En segundo lugar, Cora Blue, una DBA con conocimientos y formación en ciberseguridad, recibió la alerta. Sabía qué buscar y reconoció el ataque. También disponía de información forense sobre la actividad de la base de datos que le permitía actuar de inmediato. Sin una solución como Core Audit, no hay información forense sobre cada SQL ni forma de determinar lo que ocurrió en la base de datos.

También había políticas sencillas que indicaban a Cora cómo responder, y ella tenía los permisos necesarios para actuar y detener el ataque en seco.

El equipo se reunió rápidamente, era lo suficientemente pequeño como para operar con eficacia y contaba con personas bien informadas con acceso a todos los sistemas. El equipo se había reunido muchas veces y tenía una buena relación de trabajo. Tampoco era la primera vez que intentaban responder a un ataque, ya que todos sabían exactamente qué hacer.

Todo puede salir bien cuando se reciben las alertas, se dispone de información de apoyo y se cuenta con personas con talento y formación que saben lo que tienen que hacer.

Nombre
Apellido
Correo electrónico corporativo
Número telefónico
Empresa donde trabaja
País
CAPTCHA

Nombre
Apellido
Correo electrónico corporativo
Número telefónico
Empresa donde trabaja
País

¿Cómo auditar una base de datos SQL Server?

Introducción

Captura

Desafíos

¿Qué datos podrías recopilar?

Tecnologías Disponibles

Hágalo usted mismo (DIY)

Auditoría de SQL Server

Triggers

Registros de Logs

Inspección de Paquetes

Full Capture

Conclusión sobre la Captura

Obteneniendo valor

Prácticas Recomendadas

Reflexión Final

Haz una Pregunta

Cómo elegir la solución de enmascaramiento de datos más adecuada para usted

Introducción

Terminología Errónea

El Problema

La Solución y Objetivos

Aspectos Críticos

1. Soporte de plataformas

2. Algoritmos y técnicas

3. Rendimiento y escalabilidad

4. Apoyo del proveedor

5. Facilidad de aplicación y uso

6. Evaluación del enmascaramiento

Elementos de Distracción

7. Enmascaramiento Dinámico

8. Descubrimiento

9. Aprovisionamiento y Despliegue

10. Cumplimiento

Prácticas Recomendadas

Reflexión final

Haz una Pregunta

Auditoría de Bases de Datos e IDS: Una guía completa para la protección de datos

Introducción

Que es la auditoría de bases de datos

Auditoría de bases de datos: Un viejo término equivocado

El poder de IDS de bases de datos

Visibilidad: Una condición previa

Aspectos de la seguridad de las bases de datos

Seguridad Básica

Control de Cambios

Vulnerabilidades y Parches

Cumplimiento de la Normativa

Control de actividad y auditoría de bases de datos

Auditoría de cambios en los datos

Tecnologías

Buenas prácticas de auditoría de bases de datos e IDS

Haz una Pregunta

¿Tienes control sobre tus datos?

¿Qué es el control?

El conocimiento es poder

¿Tienes el control?

Visualiza tu actividad como nunca antes

No te conformes con menos

Presupuestos para un futuro seguroOptimiza el tuyo para 2025

Escasa inversión en ciberseguridad

Una inversión más inteligente

Ciberseguridad con un presupuesto optimizado

Cómo podemos ayudarle a optimizar su presupuesto de ciberseguridad

Invertí en tranquilidad

Más Allá del Perímetro: La Necesidad de Defensas Centradas en los Datos

Lo que ocurrió

Importancia

Ataques a la cadena de suministro y servicios en la nube

Seguridad del correo electrónico

Enfoque por capas con defensas centradas en los datos

Descargar Guía Completa

Endpoints: ¿Seguridad garantizada o riesgo potencial?

Lo que ocurrió

Seguridad de endpoints: ventajas e inconvenientes

Manejabilidad

Costo

Eficacia

Soluciones alternativas

¿Estás listo para el cambio?

Presupuestos para un futuro seguro
Optimiza el tuyo para 2025

Blue Core Research
Beneficios Exclusivos

No te pierdas esta oportunidad
ÍNSCRIBETE AQUÍ