No es nada raro conseguir en el día a día pares de usuario/password como sa/1234, esta el la primera línea de defensa y un punto fundamental de la armadura de nuestras bases de datos.
sol. hacer revisiones periódicas de credenciales.
Características de base de datos innecesariamente habilitadas.
Cada instalación de base de datos viene con paquetes adicionales de todas las formas y tamaños que en su mayoría rara vez son utilizados por una sola organización. Dado que el nombre del juego en materia de seguridad de base de datos es el de reducir las superficies de ataque.
sol.las empresas necesitan buscar los paquetes que no utilizan y desactivarlos. Esto no sólo reduce los riesgos de ataques a través de estos vectores, sino que también simplifica la gestión de parches.
Configuración de seguridad ineficiente.
Del mismo modo, las bases de datos tienen una gran cantidad opciones de configuración y consideraciones diferentes a disposición de los administradores para ajustar el rendimiento y funcionalidades mejoradas.
sol.Las organizaciones necesitan conseguir y desactivar aquellas configuraciones inseguras que podrían estar activadas por defecto para mayor comodidad de los DBA o desarrolladores de aplicaciones. Las configuraciones de bases de datos en producción y desarrollo deben ser radicalmente diferentes.
Desbordamientos de búfer.
Bases de datos sin actualizar.
Seguridad contra el acceso no autorizado
Existen dos tipos de mecanismos de seguridad contra
el acceso no autorizado:Discrecionales, se usan para otorgar privilegios a los usuarios.
Obligatorios, sirven para imponer seguridad de múltiplesniveles clasificando los datos los usuarios en varias clases deseguridad e implementando después la política de seguridadapropiada de la organización. Además se pueden crear cuentas de acceso a la basede datos para los distintos usuarios, las cuales sepodrían agrupar en roles.
En una base de datos estadística no se deber permitir tener acceso a información confidencial detallada sobre individuos específicos. En ocasiones es posible deducir ciertos hechos relativos a los individuos apartir de consultas, lo que tampoco debe permitirse.
Otra técnica de seguridad es el cifrado de datos.
Un favorito de los piratas cibernéticos, las vulnerabilidades de desbordamiento de búfer, son explotadas por las inundaciones de las fuentes de entrada con valores diferentes o muy superiores a los que aplicación espera - por ejemplo, mediante la adición de 100 caracteres en un cuadro de entrada pidiendo un número de Seguro Social.
Los proveedores de bases de datos han trabajado duro para solucionar los problemas técnicos que permiten estos ataques se produzcan. Esta es otra razón por la cual los parches son tan importantes.
sol. actualizar constantemente con parches para evitar estos desbordamientos.
Esto podría sonar repetitivo, pero vale la pena repetirlo. Los administradores de base de datos a veces no aplican un parche en el momento oportuno porque tienen miedo de este dañe sus bases de datos. Pero el riesgo de ser hackeado hoy es mucho más alto que el riesgo de aplicar un parche que descomponga la base de datos. Además existen ante esos temores los backups y las réplicas. Quizás este punto pudo haber sido válido hace cinco años,pero hoy en dia no.
sol.actualizar siempre que sea posible.
Inyecciones SQL.
Cuando la plataforma de base de datos falla para desinfectar las entradas, los atacantes son capaces de ejecutar las inyecciones SQL de forma similar a como lo hacen en los ataques basados en Web, lo que les permite elevar sus privilegios y obtener acceso a una amplia gama de funcionalidades.
Muchos de los proveedores han dado a conocer soluciones para evitar estos problemas, pero no servirá de mucho si los parches no se aplican o no se toman los correctivos correspondientes.
Seguridad contra el acceso no autorizado
Existen dos tipos de mecanismos de seguridad contra
el acceso no autorizado:Discrecionales, se usan para otorgar privilegios a los usuarios.
Obligatorios, sirven para imponer seguridad de múltiplesniveles clasificando los datos los usuarios en varias clases deseguridad e implementando después la política de seguridadapropiada de la organización. Además se pueden crear cuentas de acceso a la basede datos para los distintos usuarios, las cuales sepodrían agrupar en roles.
En una base de datos estadística no se deber permitir tener acceso a información confidencial detallada sobre individuos específicos. En ocasiones es posible deducir ciertos hechos relativos a los individuos apartir de consultas, lo que tampoco debe permitirse.
Otra técnica de seguridad es el cifrado de datos.
fuentes
No hay comentarios:
Publicar un comentario