7 PUNTOS PARA REDUCIR EL RIESGO DE UNA BRECHA EN TU BASE DE DATOS

No es ningún secreto que las bases de datos son un terreno fértil para actividades maliciosas. En esta entrada hablaremos de siete puntos clave asociados a una brecha que te permitirán reducir el riesgo al identificarlos.

El ciberataque recientemente anunciado a Yahoo,  donde 500 millones de cuentas de usuarios se vieron comprometidas durante varios meses, es una prueba irrefutable de una realidad alarmante donde las bases de datos son un blanco atractivo para el cibercrimen y muchas organizaciones son incapaces de protegerlas.

Ya sea a través de una credencial de administrador de sistema robada, un exploit personalizado, un tercero irresponsable o personal interno, las bases de datos permanecen en riesgo inminente de un acceso no autorizado. A pesar de que estos repositorios contienen datos relacionados a salud, empleo, crédito, información financiera, educación, propiedad intelectual y demás información de gran valor, muchas organizaciónes son incapaces de identificar visitantes no deseados una vez que han obtenido acceso. Esta es la causa del porque la base de datos de Yahoo llevaba meses comprometida y sin haberse detectado la brecha.

Nadie esta exento, ya sea en un ataque dirigido o aleatorio los cibercriminales están conscientes que es de los recursos informáticos mas vulnerables y donde pocas empresas han invertido en seguridad.

LA ALARMANTE FALTA DE VISIBILIDAD Y MONITOREO

Una encuesta Osterman Research, llevada a cabo en aproximadamente 200 organizaciones con promedio total de 22,000 empleados revela una sorprendente falta de seguridad en el rubro. Entre las estadísticas más preocupantes del informe, sólo el 20% de los encuestados indicó que supervisan continuamente las bases de datos críticas para detectar actividades no autorizadas. En otras palabras, cuatro de cada cinco no realizan ningún tipo de vigilancia o lo hacen de forma intermitente.

El monitoreo de bases de datos es un proceso en el cual una organización capta de forma continua, analiza, prueba y verifica las transacciones, este el único mecanismo por el cual se puede detectar accesos no autorizados. Sin embargo un error común es considerar un programa de monitoreo poseer logs de la misma. Este tópico requiere enfásis ya que los logs son un componente crítico del proceso de seguimiento, pero la acumulación de datos de registro no tiene ningún sentido sin un análisis en curso, pruebas y verificación de la actividad del sistema que nos permita detectar e interrumpir ataques.

IMPLEMENTACION DE UNA ESTRATEGIA

Un elemento fundamental en un programa eficaz de supervisión es la implementación de un mecanismo de alerta automatizado. Sin un proceso para generar alertas en tiempo real, solo acumularemos un enorme volumen de transacciones donde el tráfico “usual” no permitirá centrarnos en el análisis profundo que nos permita identificar posibles brechas.

La alerta puede ser en forma de un correo electrónico, mensaje de texto o llamada telefónica automatizada para el auditor de seguridad de la información a cargo. Al recibir una alerta, es imperativo que el responsable posea un plan de respuesta a incidentes  ante cualquier posible amenaza. Hay ciertas condiciones identificadas como signos clave de un ataque y debemos tener conocimiento de ellos cuando ocurren, el proceso debe generar una alerta y proceder a una investigación en tiempo real; los signos son:

  • Modificación de una tabla, columna o fila: indicativo de un ataque de manipulación de datos;
  • Desactivación del log : usualmente precede a un ataque de la base de datos
  • Acceso a la base de datos desde una dirección IP no reconocida: indica acceso desde un lugar sospechoso.
  • Intento de acceder a un segmento restringido de la base de datos: indica elevación de privilegios
  • Acceso en horas y fechas no convencionales: indica una credencial de usuario robada utilizada en horarios sospechosos.
  • Copia de la información: indica intento de robo de la información
  • Intentos de transferir o exportar grandes cantidades de información: Esto indica el robo de datos.

Todos estos eventos son a menudo asociados con acceso no autorizado, por lo tanto, cada uno deben verficarse y analizarse.

Deja un comentario