Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 66 vistas

    Vulnerabilidades Base de Datos

    Cargado por

    Carlos Guerrero
    Las 10 vulnerabilidades más importantes que afectan a la seguridad de las bases de datos empresariales incluyen los privilegios excesivos otorgados a los usuarios, el abuso de privilegios legítimos por parte de los usuarios, y la elevación no autorizada de privilegios por parte de atacantes que aprovechan vulnerabilidades en el software de gestión de base de datos.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Vulnerabilidades Base de Datos

    Cargado por

    Carlos Guerrero
    66 vistas4 páginas
    Las 10 vulnerabilidades más importantes que afectan a la seguridad de las bases de datos empresariales incluyen los privilegios excesivos otorgados a los usuarios, el abuso de privilegios legítimos por parte de los usuarios, y la elevación no autorizada de privilegios por parte de atacantes que aprovechan vulnerabilidades en el software de gestión de base de datos.

    Título original

    Vulnerabilidades-Base-de-Datos

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Las 10 vulnerabilidades más importantes que afectan a la seguridad de las bases de datos empresariales incluyen los privilegios excesivos otorgados a los usuarios, el abuso de privilegios legítimos por parte de los usuarios, y la elevación no autorizada de privilegios por parte de atacantes que aprovechan vulnerabilidades en el software de gestión de base de datos.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    66 vistas4 páginas

    Vulnerabilidades Base de Datos

    Cargado por

    Carlos Guerrero
    Las 10 vulnerabilidades más importantes que afectan a la seguridad de las bases de datos empresariales incluyen los privilegios excesivos otorgados a los usuarios, el abuso de privilegios legítimos por parte de los usuarios, y la elevación no autorizada de privilegios por parte de atacantes que aprovechan vulnerabilidades en el software de gestión de base de datos.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    Está en la página 1de 4

    10 vulnerabilidades importantes que afectan a la seguridad de

    base de datos empresariales


    Las infraestructuras de las base de datos para empresas, que a menudo contienen las joyas
    de la corona de una organización, están sujetas a una amplia gama de ataques contra
    seguridad de base de datos.

    A continuación se han enumerado las vulnerabilidades más críticas, seguido de


    recomendaciones para mitigar el riesgo de cada uno.

    1.Los privilegios excesivos.

    Cuando a los usuarios (o aplicaciones) se conceden privilegios de base de datos que


    exceden los requerimientos de su función de trabajo, estos privilegios se pueden utilizar para
    obtener acceso a información confidencial. Por ejemplo, un administrador de una universidad
    cuyo trabajo requiere acceso de sólo lectura a los archivos del estudiante puede beneficiarse
    de los derechos de actualización para cambiar las calificaciones explica experto de auditoría
    de base de datos y seguridad de base de datos.

    La solución a este problema (además de buenas políticas de contratación). El control de


    acceso a nivel de consulta restringe los privilegios de las operaciones a solo utilizar los datos
    mínimos requeridos. La mayoría de las plataformas de seguridad de bases de datos nátivas
    ofrecen algunas de estas capacidades (triggers, RLS, y así sucesivamente), pero el diseño
    de estas herramientas manuales las hacen impracticables en todo excepto en las
    implementaciones más limitados según experiencia de expertos de seguridad web.

    2. Abuso de privilegios.

    Los usuarios pueden abusar de los privilegios de acceso de datos legítimos para fines no
    autorizados, acuerdan los expertos de auditoría de base de datos y seguridad Web. Por
    ejemplo, un usuario con privilegios para ver los registros de pacientes individuales a través
    de una aplicación de la asistencia sanitaria personalizada puede abusar de ese privilegio
    para recuperar todos los registros de los pacientes a través de un cliente MS-Excel.

    La solución está en la política de control de acceso que se aplica no sólo a lo que tienen
    acceso a los datos, pero ¿cómo se accede a los datos? Al hacer cumplir las políticas de
    seguridad web, sobre cosas como la ubicación, el tiempo, el cliente de aplicación y el
    volumen de los datos recuperados, es posible identificar a los usuarios que están abusando
    de los privilegios de acceso.

    3. Elevación de privilegios no autorizados.

    Los atacantes pueden aprovechar las vulnerabilidades en el software de gestión en la base


    de datos para convertir los privilegios de acceso de bajo nivel de privilegios de acceso de alto
    nivel. Por ejemplo, sin seguridad de bases de datos, un atacante puede aprovechar una
    vulnerabilidad de desbordamiento de buffer de base de datos para obtener privilegios
    administrativos.

    Exploits de elevación de privilegios pueden ser derrotados con una combinación de control
    de acceso a nivel de consulta, auditoría de base de datos y los sistemas de prevención de
    intrusiones (IPS) tradicionales. El control de acceso a nivel de consulta puede detectar un
    usuario que de repente utiliza una operación de SQL inusual, mientras que un IPS puede
    identificar una amenaza específica de seguridad web documentada dentro de la operación.

    4. Vulnerabilidades de la plataforma.

    Las vulnerabilidades en los sistemas operativos subyacentes pueden conducir al acceso no


    autorizado a datos y la corrupción.

    Acuerdo a cursos de seguridad web de iicybersecurity IICS, las herramientas de IPS son una
    buena manera de identificar y/o bloquear ataques diseñados para aprovechar las
    vulnerabilidades de la plataforma de base de datos.

    5. Inyección de SQL.

    Los ataques de inyección SQL implican a un usuario que se aprovecha de vulnerabilidades


    en aplicaciones web y procedimientos almacenados para proceder a enviar consultas de
    bases de datos no autorizadas, a menudo con privilegios elevados.

    Soluciones de seguridad de bases de datos, auditoría de base de datos y control de acceso a


    nivel de consultas detectan consultas no autorizadas inyectadas a través de aplicaciones
    web y/o procedimientos almacenados.
    6. Auditoría Débil.

    Las políticas débiles de auditoría de Base de Datos representan riesgos en términos de


    cumplimiento, la disuasión, detección, análisis forense y recuperación.

    Por desgracia, el sistema de gestión de base de datos nativa (DBMS) audita las capacidades
    que dan lugar a una degradación del rendimiento inaceptable del sistema y son vulnerables a
    los ataques relacionados con sus privilegios, es decir, los desarrolladores o administradores
    de Base de Datos (DBA) pueden desactivar la auditoría de las bases de datos.

    La mayoría de las soluciones de auditoría de Base de Datos también carecen del detalle
    necesario. Por ejemplo, en los productos DBMS, rara vez se registran qué aplicación se
    utiliza para acceder a la base de datos, las direcciones IP de origen y falló de consultas.

    Las soluciones de auditoría de base de datos basados en la red son una buena opción. Tales
    soluciones de auditoría de base de datos no deben tener ningún impacto en el rendimiento
    de base de datos, operan de forma independiente de todos los usuarios y ofrecen la
    recopilación de datos a detalle.

    7. Denegación de servicio.

    La denegación de servicio (DoS) puede ser invocada a través de muchas técnicas. Las
    técnicas más comunes de DoS incluyen desbordamientos de buffer, corrupción de datos, la
    inundación de la red y el consumo de recursos.

    La prevención de DoS debería ocurrir en múltiples capas, incluyendo la red, aplicaciones y


    bases de datos según recomendaciones de cursos de seguridad de bases de datos y
    seguridad web.

    Recomendaciones sobre las bases de datos incluyen el despliegue de un IPS y controles de


    la velocidad de conexión. Al abrir rápidamente un gran número de conexiones, los controles
    de velocidad de conexión pueden impedir que los usuarios individuales usan los recursos del
    servidor de base de datos.
    8. Vulnerabilidades en los protocolos de las bases de datos.

    Las vulnerabilidades en los protocolos de bases de datos pueden permitir el acceso no


    autorizado a datos, la corrupción o la disponibilidad. Por ejemplo, SQL Slammer worm se
    aprovechó de una vulnerabilidad de protocolo de Microsoft SQL Server para ejecutar código
    de ataque en los servidores de base de datos destino.

    Los protocolos de ataques pueden ser derrotados mediante el análisis y validación de las
    comunicaciones de SQL para asegurarse de que no están malformados.

    9. Autenticación débil.

    Los esquemas de autenticación débiles permiten a los atacantes asumir la identidad de los
    usuarios de bases de datos legítimos. Estrategias de ataque específicas incluyen ataques de
    fuerza bruta, la ingeniería social, y así sucesivamente.

    La implementación de contraseñas o autenticación de dos factores es una necesidad. Para la


    escalabilidad y facilidad de uso, los mecanismos de autenticación deben integrarse con las
    infraestructuras del directorio y gestión de usuarios de la empresa.

    10. La exposición de los datos de backup.

    Algunos ataques recientes de alto perfil han involucrado el robo de cintas de backup de base
    de datos y discos duros.

    Todas las copias de seguridad deben ser cifradas. De hecho, algunos proveedores han
    sugerido que los futuros productos DBMS no deberían admitir la creación de copias de
    seguridad sin cifrar. El cifrado de base de datos en línea es un pobre sustituto de controles
    granulares de privilegios de acuerdo a expertos de seguridad de base de datos.

    También podría gustarte