Introducción

Como profesionales de la seguridad, nos vemos constantemente bombardeados por amenazas. Los ciclos de noticias están llenos de historias sobre sofisticadas campañas de phishing, nuevas cepas de malware y las tácticas en constante evolución de los intrusos en la red. Aplicamos parches a nuestros puntos finales, implementamos firewalls robustos y formamos a nuestros usuarios para que desconfíen de las estratagemas de ingeniería social. Se trata de defensas vitales, la primera línea en nuestra batalla continua.

Pero pensemos en el resultado final. ¿Cuál es el premio definitivo para estos atacantes? ¿Qué es lo que realmente buscan? En la gran mayoría de las brechas de datos, la respuesta se encuentra en el corazón de nuestros ecosistemas digitales: la base de datos.

Piensa en los titulares que realmente duelen. Las brechas que exponen millones de registros de clientes, información financiera confidencial, tarjetas de crédito, direcciones de correo electrónico, contraseñas y mucho más. Ahora, profundiza un poco más. ¿De dónde proceden todos esos datos? ¿Cuál es el denominador común? En casi todos los casos, los atacantes, independientemente de su punto de entrada inicial, tuvieron que comprometer la base de datos.

La intrusión inicial (el correo electrónico de phishing que engañó a un empleado, la vulnerabilidad en una aplicación web, el dispositivo de red mal configurado) es equivalente a un ladrón que encuentra una ventana sin cerrar. Proporcionan acceso, pero el verdadero tesoro se encuentra dentro de la cámara acorazada. Y en nuestro mundo digital, esa cámara acorazada es la base de datos.

Podrías argumentar: «¡Pero tenemos seguridad perimetral! ¡Tenemos sistemas de detección de intrusiones!». Y eso es loable. Son capas de defensa esenciales. Sin embargo, centrarse únicamente en la seguridad perimetral es como espantar mosquitos mientras se pasea por el parque. Puede que tengas suerte y elimines algunos, pero la amenaza siempre está ahí y algunos se posarán en tu piel y te picarán.

Piense en la epidemia del ransomware. Para que un atacante pueda paralizar realmente una organización y obtener un rescate cuantioso, necesita robar y cifrar los datos de la base de datos. Penetrar en la máquina de la base de datos es un requisito previo para que un ataque de ransomware tenga éxito. Conectarse a esa base de datos es la única forma de extraer los datos para poder amenazar con exponerlos.

La verdad es que la sofisticación de los ataques de inyección SQL, la naturaleza insidiosa del robo de credenciales y el riesgo siempre presente de los empleados maliciosos representan la principal amenaza para la vida misma de nuestras organizaciones. No se trata de riesgos teóricos, sino de los mecanismos por los que se producen las brechas más dañinas.

Entonces, ¿por qué la seguridad de las bases de datos suele parecer una preocupación secundaria, eclipsada por amenazas más visibles y quizás más sensacionalistas? ¿Por qué las amenazas a las bases de datos no son su mayor preocupación? Quizás sea por la complejidad percibida y los conocimientos especializados que se requieren. Tal vez sea por la mentalidad de «ojos que no ven, corazón que no siente». La base de datos suele funcionar silenciosamente en lo más profundo del centro de datos, como una fortaleza aparentemente impenetrable.

Pero esta aparente impenetrabilidad es una ilusión peligrosa con consecuencias catastróficas. Los atacantes comprenden el valor de sus datos y eso es lo que buscan. Hace mucho tiempo que desarrollaron métodos para eludir las medidas de seguridad tradicionales de las bases de datos. Establecer el cifrado y aplicar el principio del privilegio mínimo, aunque es importante, no los detendrá. Debemos comprender cómo los atacantes acceden a sus datos y luego implementar medidas para detectarlos y detenerlos.

Necesitamos un cambio de paradigma. Debemos elevar la seguridad de las bases de datos de una preocupación secundaria a un pilar fundamental de nuestra estrategia de seguridad global. No se trata de descartar la importancia de la seguridad de la red o la protección de los puntos finales. Se trata de reconocer que, por lo general, estos son solo un trampolín para los atacantes. Los objetivos finales, las joyas de la corona, residen en la base de datos.

Amenazas a las Bases de Datos

Aunque es fantástico defender la seguridad de las bases de datos y abogar por abordar las amenazas del mundo real, la pregunta sigue siendo: ¿cuáles son esas amenazas y cómo podemos abordarlas? Empecemos por cómo los atacantes logran esta hazaña y acceden a la base de datos.

Hay tres cosas que hay que tener en cuenta al responder a esta pregunta:

• Examina casos reales de brechas importantes. No siempre se puede encontrar información publicada sobre lo que ocurrió exactamente, pero a veces hay pistas. Por ejemplo, un ataque de ransomware significa que el servidor se vio comprometido o los atacantes no podrían cifrar los archivos. Otro ejemplo es la amenaza interna siempre presente, que ronda el 20 % de las brechas desde hace años.
• Desafía a tu equipo de bases de datos a averiguar cómo violarían sus bases de datos. Es una especie de ejercicio teórico de equipo rojo.
• Reconoce los hechos. Aunque muchos proveedores intentan confundirnos con amenazas imaginarias, la realidad es que los atacantes no pueden conectarse a una base de datos sin un nombre de usuario y una contraseña válidos. Todas las bases de datos modernas han superado hace tiempo la etapa de los paquetes especiales que permiten a alguien burlar mágicamente la seguridad. No hay desbordamientos de pila ni puertas traseras no documentadas para obtener acceso.

Dicho esto, ¿cómo entran los atacantes? Sabemos que lo hacen, así que, ¿cuál es el truco? Bueno, no hay ninguna magia real y ya conoce la respuesta:

• Amenaza interna. No nos gusta admitirlo, pero las estadísticas muestran que los actores internos representan alrededor del 20 % de las brechas de datos. Cada año se muestra en el DBIR (Informe de investigación de brechas de datos) de Verizon. Las personas en las que confiamos y a las que les damos acceso abusan de sus privilegios.
• Cuentas individuales comprometidas. Muchas veces, los atacantes se hacen pasar por otras personas. Roban contraseñas o comprometen un ordenador de sobremesa y lo utilizan para conectarse. Si un atacante penetra en una máquina con acceso a la base de datos, como un ordenador de sobremesa DBA, acceder a los datos es muy sencillo.
• Cuentas compartidas comprometidas. Las credenciales de las cuentas privilegiadas compartidas (como SYS o SA) y las cuentas de aplicaciones se almacenan en archivos de configuración, hojas de cálculo y otros soportes. Nadie recuerda una contraseña segura de 12 caracteres, siempre se escribe en algún sitio.
• Acceso local. Obtener acceso al servidor de la base de datos le permitirá acceder a la base de datos. Esto ocurre en todos los ataques de ransomware. No solo se pueden robar los archivos de datos, sino que hay una cuenta del sistema operativo local que puede conectarse a la base de datos sin contraseña.
• Aplicación. Las vulnerabilidades de las aplicaciones son otra vía habitual. La inyección SQL es el vector de ataque a aplicaciones más conocido, pero muchos fallos de las aplicaciones permiten a los atacantes modificar o extraer datos de la base de datos.

Pero aunque sabemos que estas amenazas existen y somos conscientes de que se explotan, seguimos ignorándolas. Eso es ilógico. ¡Así es como se producen las brechas de datos! ¡Eso es lo que debemos detener!

Abordar las amenazas

Al analizar estas amenazas y pensar en la seguridad tradicional de las bases de datos, se dará cuenta de que las medidas tradicionales no sirven de nada. Sí, es importante cifrar los datos en tránsito y los datos en reposo. Pero los atacantes no se centran en el tráfico de red y no roban archivos físicos (aunque pueden cifrarlos para pedir un rescate). Sí, es importante aplicar los principios de privilegios mínimos y cerrar las cuentas que no se utilizan, pero no es así como un hacker suele acceder a sus datos.

Entonces, ¿cómo podemos defendernos? Quizás la razón por la que no nos centramos en la seguridad de las bases de datos es que no podemos protegerlas.

Las soluciones modernas de seguridad de bases de datos, como Core Audit, tienen muchas capacidades para hacer frente a estas amenazas:

• Informes de cumplimiento. Uno de los métodos más antiguos es el tipo de informes que se utilizan en todos los marcos de cumplimiento. Informes sobre la actividad de los administradores de bases de datos, DDL, etc. Aunque este tipo de informes puede llevar mucho tiempo, ofrece una buena visibilidad de ciertos aspectos de alto riesgo de la actividad de la base de datos. Esta es la forma tradicional de proteger las bases de datos contra amenazas internas, cuentas comprometidas y acceso local.
• Análisis de anomalías. Un enfoque moderno consiste en buscar cambios en los perfiles de actividad. Buscar una nueva combinación de usuarios y programas que se conectan a la base de datos. Buscar un nuevo SQL que acceda a datos confidenciales. Actividad a una hora inusual del día o un volumen de actividad superior al habitual. Las anomalías son herramientas poderosas para controlar la actividad repetitiva y de gran volumen, como la aplicación. Son eficaces contra todas las amenazas, incluidas las amenazas internas, las cuentas comprometidas, el acceso local y las vulnerabilidades de las aplicaciones, como la inyección de SQL.
• Análisis forense proactivo. Otra herramienta poderosa es proporcionar al personal de seguridad visibilidad de lo que ocurre en la base de datos. Al involucrar a las personas en el proceso de seguridad, se pueden identificar ataques, prácticas de seguridad deficientes y lagunas en los controles. Lo más importante es que el análisis forense proactivo ayuda a diseñar informes y alertas eficaces que se centran en el perfil de actividad de su base de datos concreta.
• Bloqueo SQL avanzado. Pasando de la detección a la prevención, el bloqueo SQL avanzado te permite limitar los privilegios de los administradores de bases de datos, controlar las fuentes de actividad, aplicar la separación de funciones y mucho más. Esto mejora la seguridad de la base de datos más allá de lo que ofrecen las capacidades integradas.

El zumbido de los mosquitos es molesto, pero lo que realmente molesta es la picadura. Del mismo modo, las intrusiones en el perímetro son preocupantes, pero inevitables, y lo que conduce a brechas catastróficas de datos es el compromiso de la base de datos.

No podemos permitirnos permanecer complacientes. Debemos comprender las amenazas reales a las bases de datos y defender la causa de la seguridad de las bases de datos para hacerles frente. Debemos hacerlo con el mismo vigor y urgencia que aplicamos a otras áreas de la ciberseguridad, si no más. La mayoría silenciosa, nuestras bases de datos y las amenazas a las que se enfrentan, son el secreto para derrotar a nuestros adversarios. Nuestros datos son el tesoro que ellos ansían y es hora de que demos a nuestras bases de datos la protección que se merecen.

Vos podes proteger tu base de datos. La solución está acá. ¡Ponte en contacto con nosotros hoy mismo!