martes, 26 de abril de 2011

Gestión de Seguridad de Bases de Datos

Hace una semana pude participar en el WebCast de Application Security empresa dedicada al test de seguridad de bases de datos en el cual se menciona una serie de pasos que un analista de seguridad o administrador de base de datos debe seguir para poder gestionar de manera segura las bases de datos. Cabe resaltar segun mi experiencia es muy parecida a los pasos para la gestión de vulnerabilidades descrita segun NIST SP800-40v2

El programa cuenta con los siguientes pasos:

1. Inventario de Bases de datos: El proceso inicia con un inventariado. Al rededor de 30 a 60% de las bases de datos no estan inventariadas en las organizaciones (MySQL, Oracle, Sybes, IBM DB2, MS SQL). Perdiendo muchas veces el control o mantenimiento de las mismas.

2. Clasificar los sistemas con data sensible: Los sistemas que alamacenan o procesan data sensible o regulada necesitan un trato especial y mucha atencion. Ejemplos de estos sistemas contienen data de tarjetas de credito o debito, salarios, salud, numeros telefónicos, nombres, direcciones, etc.

3. Escaneo de vulnerabilidades y malas configuraciones: Mantener al día los parches, reforzar los paswords y auditar configuraciones. Es una buena práctica verificar constantemente los parches que libera el fabricante, cambiar los passwords cada cierto tiempo se sugiere cada 6 meses con una extensión de 15 caracteres.

4. Identificar usuarios privilegiados: Inventariar todos los usuarios con privilegios de DBA. Este paso permite verificar si algun usuario tiene privilegios que no debería tener o si un usuario fue dado de baja cuando se retiro de la organización.


5. Validar el acceso a la data sensible: Se debe verificar los permisos en tablas con información sensible o prodecidimientos almacenados que solo deben ser accesados por DBAs.

6. Priorizar y corregir: Se tomará atención a los riesgos que superan la curva de distribución de riesgo arreglandolos primero ya que en organizaciones muy grandes esto es muy dificil, se sugiere remedia las vulnerbilidades de alto riesgo en el lapso de un mes como maximo y las de menos riesgo en un lapso de 3 meses. (Segun PCI DSS)

7. Monitorear las actividad de la base de datos: Habilitar los logs de auditoría del DBMS para tener una visión de las incidencias de la Base de Datos.

8. Cifrar la data importante: Se debe cifrar la data importante que no debe ser vista en texto plano por usuarios de menos privilegios o incluso por el mismo DBA como por ejemplo los password de usuario deben usar cifrado tipo AES, SHA-1, SHA-2.

En conclusión, cumplir con estos pasos de seguridad ayudaran a disminuir los riesgos ante posible ataques dentro como fuera de la organización.

No hay comentarios.:

Publicar un comentario