Todas las organizaciones utilizan bases de datos en cierta medida, ya sea para manejar conjuntos de datos sencillos y de bajo volumen, como la agenda de direcciones de una secretaria, o grandes repositorios de Big Data para el análisis estratégico de la información.

El denominador común de todas estas bases de datos es que deben protegerse de los numerosos riesgos a los que se enfrentan, siendo los principales la pérdida, la alteración y el robo de información. Otros riesgos, no tan críticos pero también peligrosos, son la degradación del rendimiento y el incumplimiento de los acuerdos de confidencialidad o privacidad.

Los mecanismos de seguridad utilizados para proteger las redes de una organización pueden repeler algunos intentos de ataque a las bases de datos. Aun así, algunos riesgos son exclusivos de los sistemas de bases de datos (SGBD ) y requieren medidas, técnicas y herramientas de seguridad específicas.

Amenazas que afectan a las bases de datos

La siguiente es una lista de las amenazas más comunes que afectan a las bases de datos en la actualidad y que deben mitigarse endureciendo los servidores de bases de datos y añadiendo algunos procedimientos a las técnicas comunes de seguridad y auditoría.

Gestión inadecuada de los permisos

Más a menudo de lo que nos gustaría admitir, los servidores de bases de datos se instalan en las organizaciones con su configuración de seguridad por defecto, y esta configuración nunca se cambia. Esto hace que las bases de datos estén expuestas a atacantes que conocen los permisos por defecto y saben cómo explotarlos.

También está el caso del abuso de los permisos legítimos: usuarios que utilizan sus privilegios sobre la base de datos para hacer un uso no autorizado de ella, por ejemplo, divulgando información confidencial.

La existencia de cuentas inactivas también supone un riesgo para la seguridad que a menudo se pasa por alto, ya que personas malintencionadas pueden conocer la existencia de estas cuentas y aprovecharse de ellas para acceder a las bases de datos sin autorización.

Ataques de inyección de bases de datos

La principal forma de ataques de inyección a bases de datos son los ataques de inyección SQL, que atacan a los servidores de bases de datos relacionales (RDBMS) que utilizan el lenguaje SQL. Las bases de datos NoSQL, como MongoDB, RavenDB o Couchbase, son inmunes a los ataques de inyección SQL pero son susceptibles a los ataques de inyección NoSQL. Los ataques de inyección NoSQL son menos comunes pero igualmente peligrosos.

Tanto los ataques de inyección SQL como los de inyección NoSQL operan eludiendo los controles de entrada de datos de las aplicaciones web para hacer llegar los comandos al motor de la base de datos y exponer sus datos y estructuras. En casos extremos, un ataque de inyección exitoso puede dar al atacante acceso sin restricciones al corazón de una base de datos.

Vulnerabilidades explotables de bases de datos

Es habitual que los departamentos de TI de las empresas no parcheen regularmente el software central de sus SGBD. Así, aunque se descubra una vulnerabilidad y el proveedor publique un parche para eliminarla, pueden pasar meses antes de que las empresas parcheen sus sistemas. El resultado es que las vulnerabilidades quedan expuestas durante largos periodos, lo que puede ser aprovechado por los ciberdelincuentes.

Las principales razones por las que los SGBD no se parchean incluyen las dificultades para encontrar una ventana de tiempo para hacer caer el servidor y realizar el mantenimiento; los complejos y lentos requisitos para probar los parches; la vaguedad en cuanto a quién es responsable del mantenimiento del SGBD; la excesiva carga de trabajo de los administradores del sistema, entre otras.

Existencia de servidores de bases de datos ocultos

El incumplimiento de las políticas de instalación de software en una organización (o la falta de tales políticas) hace que los usuarios instalen servidores de bases de datos a su discreción para resolver necesidades particulares. El resultado es que aparecen servidores en la red de la organización de los que los administradores de seguridad no son conscientes. Estos servidores exponen datos confidenciales de la organización o dejan al descubierto vulnerabilidades que pueden ser aprovechadas por los atacantes.

Copias de seguridad accesibles

Aunque los servidores de bases de datos están protegidos tras una capa de seguridad, las copias de seguridad de estas bases de datos pueden ser accesibles a usuarios sin privilegios. En tal situación, existe el riesgo de que usuarios no autorizados puedan hacer copias de las copias de seguridad y montarlas en sus propios servidores para extraer la información sensible que contienen.

Técnicas y estrategias para proteger las bases de datos

Para proporcionar una protección adecuada a las bases de datos de una organización, se necesita una matriz defensiva de mejores prácticas, combinada con controles internos regulares. La matriz de mejores prácticas incluye los siguientes elementos:

  • Gestione los derechos de acceso de los usuarios y elimine los privilegios excesivos y los usuarios inactivos.
  • Forme a los empleados en técnicas de mitigación de riesgos, incluido el reconocimiento de ciberamenazas comunes como los ataques de spear-phishing, las mejores prácticas en torno al uso de Internet y el correo electrónico, y la gestión de contraseñas.
  • Evalúe cualquier vulnerabilidad de la base de datos, identifique los puntos finales comprometidos y clasifique los datos sensibles.
  • Supervise toda la actividad de acceso a la base de datos y los patrones de uso en tiempo real para detectar fugas de datos, transacciones SQL y Big Data no autorizadas y ataques a protocolos y sistemas.
  • Automatice la auditoría con una plataforma de protección y auditoría de bases de datos.
  • Bloquee las solicitudes web maliciosas.
  • Archive datos externos, cifre bases de datos y enmascare campos de bases de datos para ocultar información confidencial.

Herramientas de seguridad de bases de datos

Las técnicas anteriores requieren un gran esfuerzo por parte del departamento informático de la organización, y muchas veces el personal informático no puede seguir el ritmo de todas sus tareas, por lo que las tareas que deben realizarse para mantener seguras las bases de datos se quedan sin hacer. Afortunadamente, algunas herramientas facilitan estas tareas para que los peligros que amenazan a las bases de datos no les afecten.

Escáner de vulnerabilidad de bases de datos Scuba

Scuba es una herramienta gratuita y fácil de usar que proporciona visibilidad de los riesgos de seguridad ocultos en las bases de datos de una organización. Ofrece más de 2.300 pruebas de evaluación para bases de datos Oracle, Microsoft SQL, Sybase, IBM DB2 y MySQL, que detectan todo tipo de vulnerabilidades y errores de configuración.

Con sus informes claros y concisos, Scuba revela qué bases de datos están en peligro y qué riesgos acechan a cada una de ellas. También proporciona recomendaciones sobre cómo mitigar los riesgos identificados.

Los escaneos con Scuba pueden realizarse desde cualquier cliente Windows, Mac o Linux. Un escaneado típico con esta herramienta tarda entre 2 y 3 minutos, dependiendo del tamaño de las bases de datos, el número de usuarios y grupos, y la velocidad de la conexión de red. No hay requisitos previos de instalación, aparte de tener el sistema operativo actualizado.

Aunque Scuba es una herramienta independiente gratuita, Imperva la incluye en su gama de productos específicos para la seguridad de los datos, ofreciendo protección y seguridad de los datos en la nube, privacidad de los datos y análisis del comportamiento de los usuarios.

centro de control dbWatch

dbWatch es una solución completa de supervisión y gestión de bases de datos compatible con Microsoft SQL Server, Oracle, PostgreSQL, Sybase, MySQL y Azure SQL. Está diseñada para realizar una supervisión proactiva y automatizar al máximo el mantenimiento rutinario en entornos de bases de datos a gran escala en las instalaciones, híbridos o en la nube.

dbWatch-Control-Center

dbWatch es altamente personalizable y cubre el flujo de trabajo del DBA, desde la supervisión hasta la administración, el análisis y la elaboración de informes. Los usuarios de la herramienta destacan su capacidad para descubrir fácilmente servidores, incluidos los virtuales. Se trata de una ventaja excelente para la gestión y el seguimiento de activos informáticos, que facilita la determinación de costes y la evaluación de riesgos.

Aunque ofrece una gran funcionalidad, la curva de aprendizaje de dbWatch es pronunciada, por lo que prevea que, tras adquirir la herramienta, los procedimientos de instalación y la formación le llevarán algún tiempo antes de que la herramienta funcione al 100%. Puede descargarse una versión de evaluación gratuita por tiempo limitado.

AppDetectivePRO

AppDetectivePRO es un escáner de bases de datos y Big Data que puede descubrir de forma inmediata errores de configuración, problemas de identificación/control de acceso, parches que faltan o cualquier combinación tóxica de configuraciones que podrían causar fugas de datos, modificación no autorizada de la información o ataques de denegación de servicio (DoS).

Gracias a su sencilla configuración y a su interfaz fácil de usar, AppDetectivePRO puede descubrir, evaluar e informar inmediatamente sobre la seguridad, los riesgos y la postura de seguridad de cualquier base de datos o repositorio de Big Data dentro de la infraestructura de una organización, ya sea en las instalaciones o en la nube, en cuestión de minutos.

AppDetectivePRO puede utilizarse como complemento de escáneres para sistemas operativos de host o de red y aplicaciones estáticas o dinámicas. Su gama de opciones ofrece más de 50 políticas de cumplimiento y configuración listas para usar sin necesidad de mantener secuencias de comandos SQL para la recopilación de datos.

DbDefence

DbDefence es una herramienta de seguridad para bases de datos residentes en Microsoft SQL Server. Se caracteriza por ser fácil de usar, accesible y eficaz para cifrar bases de datos completas y proteger sus esquemas, impidiendo por completo el acceso a las bases de datos, incluso a los usuarios con mayores privilegios.

El cifrado funciona del lado del servidor, lo que permite a un administrador autorizado cifrar y descifrar las bases de datos de forma segura, sin necesidad de cambiar las aplicaciones que acceden a ellas. La herramienta funciona con cualquier versión de SQL Server posterior a 2005.

DbDefence funciona a nivel de archivos y objetos SQL, lo que lo diferencia de otros programas de encriptaciónde SQL Server. Puede distinguir a qué objetos se ha intentado acceder y a cuáles se ha denegado o permitido el acceso.

Para incluir DbDefence como parte de una solución, no es necesario adquirir licencias para cada aplicación cliente. Una única licencia de redistribución es suficiente para instalarlo en cualquier número de clientes.

OScanner

OScanner es una herramienta de análisis y evaluación de bases de datos Oracle desarrollada en Java. Tiene una arquitectura basada en plugins, que actualmente cuenta con plugins para las siguientes funciones:

  • Enumeración Sid
  • Comprobación de contraseñas (comunes y de diccionario)
  • Enumeración de la versión de Oracle
  • Enumeración de roles, privilegios y hashes de cuentas de usuario
  • Enumeración de la información de auditoría
  • Enumeración de políticas de contraseñas
  • Enumeración de enlaces de bases de datos

Los resultados se presentan en un árbol gráfico Java. También proporciona un formato de informe XML sucinto y un visor XML integrado para visualizar el informe. La instalación de la herramienta sólo requiere un entorno de ejecución java y el archivo de instalación (zip) de OScanner.

OScanner funciona de forma similar a la función de adivinación de contraseñas de la herramienta de auditoría de Oracle (OAT opwg), utilizando el archivo .default de cuentas para obtener los pares predeterminados de nombre de usuario/contraseña. Se diferencia de la herramienta de Oracle en que también intenta adivinar cuentas con el mismo nombre de usuario y contraseña.

gestor de seguridad de dbForge

Security Manager forma parte de la suite dbForge Studio para MySQL, añadiendo a ésta una potente herramienta para la gestión de la seguridad en bases de datos MySQL. Con una funcionalidad ampliada y una interfaz de usuario práctica y amigable, su objetivo es facilitar las tareas rutinarias de administración de la seguridad, como la gestión de cuentas de usuario y privilegios de MySQL.

dbForge-Studio

El uso de un gestor de seguridad mejora la productividad del personal informático. También proporciona otras ventajas, como la sustitución de las complejas operaciones de línea de comandos por una gestión visual más sencilla de las cuentas de usuario de MySQL y sus privilegios. La herramienta también ayuda a aumentar la seguridad de la base de datos, gracias a unos procedimientos de gestión simplificados que minimizan los errores y reducen el tiempo necesario del personal de administración.

Con las cinco pestañas de la ventana del gestor de seguridad, podrá crear cuentas de usuario con sólo unos clics, concediendo a cada una de ellas privilegios tanto globales como de objeto. Una vez creadas las cuentas, puede revisar su configuración de un vistazo para asegurarse de que no ha cometido ningún error.

Puede descargar una versión completamente gratuita de dbForge Studio para MySQL, que ofrece una funcionalidad básica. Luego están las versiones Standard, Professional y Enterprise, con precios que oscilan en torno a los 400 dólares.

Palabras finales: Bases de datos realmente seguras

Es habitual que las organizaciones crean que sus datos están seguros sólo porque tienen copias de seguridad y cortafuegos. Pero hay muchos otros aspectos de la seguridad de las bases de datos que van más allá de esas medidas de seguridad. Al seleccionar un servidor de bases de datos, la organización debe tener en cuenta los aspectos enumerados anteriormente, todos los cuales implican dar a los servidores de bases de datos la importancia que tienen en la gestión estratégica de los datos críticos de una organización.