Imperva, compañía con foco en la protección de datos y sitios web, ha
dado a conocer los resultados del estudio “Las diez principales
amenazas contra las Bases de Datos” (Top Ten Database Threats) el cual
revela, como principal conclusión, que las Bases de Datos son el
objetivo prioritario para hackers e insiders maliciosos.
Según dicho análisis, el motivo de que las bases de datos ostenten la tasa más alta de violaciones entre todos los activos de la empresa responde a que, éstas, representan el corazón de cualquier organización, al almacenar registros de clientes y otros datos confidenciales del negocio.
En esta línea, un Informe de Verizon, “Data Breach”, desvela que el 96% de todos los datos sustraídos durante 2012 procedieron de bases de datos. A su vez, la Open Security Foundation indica que, durante el año pasado, 242,6 millones de registros resultaron potencialmente comprometidos.
Para Imperva, la principal razón que explica la vulnerabilidad de las bases de datos es la falta de inversión en soluciones de seguridad adecuadas para protegerlas. Tal y como justifica IDC, menos del 5% de los 27.000 millones de dólares invertidos en 2011 en productos de seguridad se destinaron a la salvaguarda de los centros de datos.
No obstante, y a pesar del daño que puede suponer un acceso malintencionado a los datos sensibles de un negocio (pérdidas financieras o daños a la reputación, incumplimiento que puede dar lugar a violaciones de reglamentación y multas, entre otros) Imperva expone que el riesgo de abuso contra una base de datos puede ser mitigado mediante la implementación de controles internos y siguiendo las mejores prácticas de la industria. Sin embargo, antes es necesario entender cómo se rige y funciona el siempre cambiante panorama de amenazas.
Las diez principales amenazas
A pesar de que el panorama de amenazas sigue siendo igual al de 2010, el Centro de Defensa de Aplicaciones de Imperva estima que su clasificación ha variado, fruto de un paisaje dinámico.
Privilegios excesivos e inutilizados. Cuando a alguien se le otorgan privilegios de base de datos que exceden los requerimientos de su puesto de trabajo, se crea un riesgo innecesario. Esto ocurre cuando los mecanismos de control de privilegios de los roles de trabajo no han sido bien definidos o mantenidos, no aplicándose el deseable principio de privilegio mínimo.
Abuso de Privilegios. Los usuarios pueden llegar a abusar de los privilegios legítimos de bases de datos para fines no autorizados como la substracción de información confidencial. Una vez que los registros de información alcanzan una máquina cliente, los datos se exponen a diversos escenarios de violación.
Inyección por SQL. El éxito de un ataque de inyección SQL puede dar a alguien acceso sin restricciones a una base de datos completa. Si las secuencias inyectadas son ejecutadas a través de la base de datos, almacenes de datos críticos pueden ser visualizados, copiados o modificados.
Malware. Los cibercriminales, hackers patrocinados por estados o espías utilizan ataques avanzados que combinan múltiples tácticas, tales como spear phishing y malware para penetrar en las organizaciones y robar sus datos confidenciales.
Auditorías débiles. La grabación automática de las transacciones de bases de datos que implican datos sensibles debería ser parte de cualquier implementación de base de datos. No recopilar registros de auditoría detallados de esta actividad puede llegar a representar un riesgo muy serio para la organización en muchos niveles.
Exposición de los medios de almacenamiento. Los medios de almacenamiento para backup están a menudo desprotegidos, por lo que numerosas violaciones de seguridad han conllevado el robo de discos y de cintas. Por otra parte, el hecho de no auditar y monitorizar las actividades de acceso de bajo nivel por parte de los administradores sobre la información confidencial puede poner en riesgo los datos.
Explotación de vulnerabilidades, Bases de Datos mal configuradas. Es común encontrar bases de datos vulnerables y sin parches, o descubrir otras que poseen cuentas y parámetros de configuración por defecto. Los atacantes saben cómo explotar estas vulnerabilidades para lanzar ataques contra las empresas.
Datos sensibles mal gestionados. Muchas empresas luchan por mantener un inventario preciso de sus bases de datos y de los datos críticos contenidos en su interior. Los datos sensibles en estas bases de datos estarán expuestos a amenazas si no se aplican los controles y permisos necesarios.
Denegación de servicio. Denegación de Servicio (DoS) es una categoría de ataque en la que se le niega el acceso a las aplicaciones de red o datos a los usuarios previstos. Las motivaciones a menudo están vinculadas a fraudes de extorsión en el que un atacante remoto repetidamente atacará los servidores hasta que la víctima cumpla con sus exigencias.
Limitado Expertise en Seguridad y
Educación.-. Los controles internos de seguridad no están a la par con el crecimiento del volumen de los datos y muchas firmas están mal equipadas para lidiar con una brecha de seguridad, por la falta de conocimientos técnicos para poner en práctica controles de seguridad, políticas y capacitación.
Una estrategia de defensa multi-capa, esa es la clave
- Debido a que hay muchos tipos de vectores de ataque asociados con cada amenaza, una estrategia de defensa multi-capa es necesaria para proteger adecuadamente las bases de datos, debiendo permitir, además:
- Localizar y Evaluar dónde se ubican las vulnerabilidades en la base de datos y en qué sitio residen los datos críticos
- Gestionar los de Derechos de Usuario para identificar derechos excesivos sobre los datos sensibles
- Monitorización y bloqueo para proteger las bases de datos de ataques, pérdida de datos y robo
- Realización de una auditoría, necesaria para acatar el cumplimiento de las regulaciones de la industria
- Protección de Datos con el fin de garantizar la integridad de los datos y la confidencialidad
Una estrategia de seguridad no técnica inculca y refuerza una cultura de concienciación sobre la seguridad.
0 comentarios:
Publicar un comentario