View
216
Download
3
Embed Size (px)
DESCRIPTION
II Jornadas EGOVCI NEOSECURE
Citation preview
SEGURIDAD EN BASES DE
DATOS
Jaime Fernando ForeroSales Security Advisor Senior
Neosecure Colombia
Robos actuales
Robos por usuarios internos?
Resguardamos la Confidencialidad?
Se ve afectada nuestraReputación/Marca?
Si los controles fueron aplicados, entonces
debemos preguntarnos:
Por qué se produce perdida, modificación,
eliminación de datos en nuestras Bases de Datos?
Nos estamos dando cuenta?
El por qué del robo de informacionde nuestras BD?
La seguridad de las Bases de Datos se ve “probada” al momento de
proteger nuestros datos ante amenazas intencionadas o accidentales,
tales como:
Escenario: Las Amenazas.
Robo
Fraude
Perdida de Confidencialidad
Perdida de Privacidad.
Perdida de Integridad
• Se estima que 15%de los ataques ocurren sin siquiera
saber que hubo un ataque
•Solamente toma 30 segundos en robar la información
•78%de empresas no tienen un plan de seguridad de BBDD
•Solamente 20%tienen medidas de seguridad avanzadas
•70%están atrasados en la instalación parches de seguridad
•Los DBAs gastan menos del 5%en seguridad de BBDD
•75%creen que las top DBMS pueden, automáticamente
proteger los datos.
Fuente: Forrester
Los desafíos de seguridad de Base de Datos crecen…
•No se conoce la ubicación de todas las BBDD.
•Muchas organizaciones mantienen BBDD heterogéneas, lo
que hace difícil protegerlas de manera uniforme
•Existe falta de comprensión sobre los datos de negocio,
especialmente dónde están los datos confidenciales o
privados
•Se permite el acceso excesivo a los datos de diferentes
usuarios, esto es una práctica común en muchas
organizaciones
•Donde existen conexiones múltiples de aplicaciones, a
veces es difícil diferenciar a un usuario legítimo de un
hacker
•Los ambientes Virtualizados crean otros retos de
seguridad para la organización de TI
Retos de la Seguridad en Bases de Datos
Fuentes de los Registros que han sido catalogado como
Comprometidos.
Los Servidores de Base de Datos es la fuenteprimaria de fuga de datos - 2010
La tecnología nos proporciona controles deSeguridad para aplicar en las Bases de Datos
Autorización
Controles de Acceso
Vistas
Copias de Seguridad y Restauración
Integridad
Cifrado
Tecnología Raid
CiberCrimen:El impacto al negocio
Ataque :a la Disponibilidad de los datos.
Robo externo?
Cuál es el nivel de nuestra seguridad?
Perdida de Registros
McAfee investigó 386 incidentes estadounidenses de
pérdida de datos registrados durante el período de enero de
2009 a abril de 2011 que afectaron a 23 millones de
registros.
Los incidentes fueron divididos en tres categorías: ataques
externos, violaciones de seguridad internas y eventos de
naturaleza desconocida.
Los ataques externos correspondieron al 52% de los
incidentes y afectaron al 60% de los registros
comprometidos.
Un 44% de los incidentes se debió a fuentes internas.
En cuanto a los tipos de datos perdidos, las tres clases más
afectadas fueron: nombres y/o direcciones, números de
seguridad social y sus equivalentes, y números de tarjetas
de crédito.
Las interrogantes:
• Si están aplicados todos los controles, cómo se
producen los “robos” en las bases de datos?
• Son suficientes estos controles?
• Que es lo que desconocemos?
• Cómo debemos protegernos?
• Que debemos monitorear?
• Para que monitorear?
• Que enemigos enfrentamos?
Los amenazas afectan principalmentea la :
Disponibilidad.
Integridad
Confidencialidad.
¿Cuáles son los métodos de auditoría de Bases de Datos que se utilizan hoy?
Remediación Manual, despacho y seguimiento
Revisión Manual
Generar Reportes
Que nos dice la industria:
• Existe DAM, una tecnología de monitoreo y análisis deactividad de Bases de Datos que opera independiente delSistema de Administración de Bases De Datos.
• De de acuerdo con Gartner, "DAM proporciona monitoreo deusuarios privilegiados y accesos de aplicaciones que esindependiente del registro de base de datos nativa y funcionesde auditoría”.
• DAM realiza la separación de funciones: el que administra no audita.
• Genera reportes de cumplimientos de normas.
• Genera Alertas en caso de violaciones de seguridad o actividad inusual.
Qué nos recomienda la Industria?
Gartner:
Recomienda monitorear 10 actividades en las Bases de Datos,
agrupadas en 4 roles.
Rol Tipo 1 : Usuarios Privilegiados.
Rol Tipo 2 : Usuarios Finales.
Rol Tipo 3 : Desarrolladores, Administradores de sistemas.
Rol Tipo 4 : Operaciones TI
Rol Tipo 1: Usuarios Privilegiados
• Acceso, borrado o cambio de data. (DBA’s).
• Accesos usando canales inapropiados.
• Modificaciones de Esquemas
• Creación de nuevas cuentas o modificación de las cuentas existentes.
Rol Tipo 2: Usuarios Finales
• Acceso a montos de datos no necesarios para el legitimo trabajo.
• Acceso a data fuera del horario de trabajo.
• Acceso a data a través de canales inapropiados.
Rol Tipo 3: Desarrolladores & Administradores de Sistemas
• Accesos a sistemas en producción.
Rol Tipo 4: Operaciones de TI
• Cambios inapropiados a las Bases de Datos o a las aplicaciones que acceden a ellas.
• Parchado de sistemas fuera del ciclo.
Por qué monitorear la actividad de estos 4
roles?
Usuarios Privilegiados: Pueden acceder a “toda” la data, incluso a la data sensible del negocio, ej: DBA’s.
Usuarios Finales: Es normal que “consulten” más data de la que necesitan para su trabajo especifico?
Desarrolladores: No debieran tener acceso a los ambientes de producción, sobre todo los desarrolladores “Externos”.
Operaciones de TI: una BD no “parchada” presentara un gran número de vulnerabilidades disponibles para ser explotadas.
Características avanzadas que debe tener un DAM (Database Activity Monitor)
• Herramienta integrada de evaluación de vulnerabilidades.
• Creación de perfiles dinámicos basados en el acceso a la BD.
• Detección de cambios de comportamientos de usuarios.
• Detener las operaciones antes que se ejecuten en la BD.
• Poner usuarios/terminales en cuarentena hasta que se resuelva el incidente.
• Detectar patrones correspondientes a datos confidenciales.
Por qué la seguridad tradicional de las BD no es suficiente?
• Es costoso hacerlo a través de la habilitación de las auditoría nativas
de las Bases de Datos
• No ofrece separación de roles
• Existen ambientes heterogéneo de BD
• Falta de especialistas en seguridad de BD
• Hay información compleja de obtener y procesar
• Información que se colecta en la auditoria de BD no necesariamente
cumple con los requerimientos de auditoría
• No provee información de las aplicaciones se utilizaron para acceder
a la BD
• Cantidad de información que se recopila no es manejable y no
permite la toma de acciones
• No provee protección cuando el evento está ocurriendo.
Estructura Actual de la Seguridad
El riesgo
• Las bases de datos son vulnerables a ataques externos y a violaciones internas de usuarios privilegiados.
• Los Web Application Firewall proporcionan protección limitada.
Como funciona un DAM
Por qué un DAM ? (Database Activity Monitoring)
• Cumplimiento Ley Estatutaria Nº 1581 del 17 de octubre del 2012
sobre Protección de Datos Personales
• Cumplimiento de regulaciones y estándares internacionales como
PCI DSS y SOX
• Verificación de los “Controles de Seguridad” a nivel de Base de
Datos
• Se independiza la “seguridad” de la Base de Datos, del
Administrador (separación o segregación de roles)
• La información recolectada queda almacenada fuera de la BD
• Se puede concentrar data de múltiples Bases de Datos y auditar
• Monitoreo de Aplicaciones de terceros, identificando el usuario final
de la aplicación
• Monitoreo de Usuarios genéricos
Visibilidad obtenida con un DAM
•Identificación de SQL de acceso a BD (QUÉ, QUIÉN, CUÁNDO, COMO)
•Identificación de Aplicaciones de acceso a BD
•Bloqueo de acciones no autorizadas
•Monitoreo de aplicaciones
•Reglas de análisis de eventos
•Recolección de logs para auditoria y mineria de datos
•Integración con SIEM
•Búsqueda de data relevante dentro de las BD’s.
•Ejecución de Escaneos de Vulnerabilidades.
•Control de cambios en las configuraciones de las BD’s.
APOYO A CUMPLIMIENTO
ARTÍCULO ARGUMENTO AYUDA TECNOLÓGICA
“Artículo 14. Consultas. Los Titulares o sus causahabientespodrán consultar la información personal del Titular que
repose en cualquier base de datos, sea esta del sector público
o privado. El Responsable del Tratamiento o Encargado del
Tratamiento deberán suministrar a estos toda la información
contenida en el registro individual o que esté vinculada con la
identificación del Titular.”
Luego es indispensable poder identificar endonde está toda la información de los clientes,
donde están las bases de datos y donde está la
información sensible y poder atender muy
rápidamente dentro de los plazos establecidos
los reclamos presentados. La norma contempla
fuertes multas ante cualquier incumplimiento. El
plazo para adecuarse venció el 17 de abril de
2013.
Solución de seguridad en bases de datosque hace un análisis de en donde están
las bases de datos y una vez ubicadas
verificar qué información sensible
contienen. Puede ser adquirida como
tecnología o tercerizado el servicio.
“Artículo 15. Reclamos. El Titular o sus causahabientes queconsideren que la información contenida en una base de datos
debe ser objeto de corrección, actualización o supresión, o
cuando adviertan el presunto incumplimiento de cualquiera de
los deberes contenidos en esta ley, podrán presentar un
reclamo ante el Responsable del Tratamiento o el Encargado
del Tratamiento el cual será tramitado bajo las siguientes
reglas:”
Luego es indispensable poder identificar endonde está toda la información de los clientes,
donde están las bases de datos y donde está la
información sensible y poder atender muy
rápidamente dentro de los plazos establecidos
los reclamos presentados. La norma contempla
fuertes multas ante cualquier incumplimiento. El
plazo para adecuarse venció el 17 de abril de
2013.
Solución de seguridad en bases de datosque hace un análisis de en donde están
las bases de datos y qué información
sensible contienen.
SOBRE LA NORMA 1581 DE 2012
APOYO A CUMPLIMIENTO
ARTÍCULO ARGUMENTO AYUDA TECNOLÓGICA
“Artículo 17. Deberes de los Responsables del Tratamiento. Los
Responsables del Tratamiento deberán cumplir los siguientes
deberes, sin perjuicio de las demás disposiciones previstas en la
presente ley y en otras que rijan su actividad:………
d) Conservar la información bajo las condiciones de seguridad
necesarias para impedir su adulteración, pérdida, consulta, uso
o acceso no autorizado o fraudulento;
Se debe demostrar que la información no ha sido
adulterada o perdida o consultada por personal no
autorizado. Se requiere identificar individualmente al
usuario de la base de datos.
Solución de seguridad en bases de datos que
identifique plenamente al usuario y qué hace
exactamente en la base de datos.
e) Garantizar que la información que se suministre al Encargado
del Tratamiento sea veraz, completa, exacta, actualizada,
comprobable y comprensible;
La información original no puede ser cambiada sin las
autorizaciones. Debe asegurarse que nadie sin las
autorizaciones necesarias cambie la información y que
los que tengan las autorizaciones pueda hacerse un
seguimiento de qué exactamente han hecho.
Solución de seguridad en bases de datos que
identifique plenamente al usuario y qué hace
exactamente en la base de datos.
Solución de seguridad en bases de datos que
identifique plenamente al usuario y qué hace
exactamente en la base de datos.
Solución de enmascaramiento de datos para ser
usados en pruebas de funcionamiento, seguridad y/o
calidad del software.
Solución de seguridad en bases de datos que
identifique plenamente al usuario de la base de datos
y qué hace exactamente en la base de datos.
Aquí cabe la verificación de las necesidades de todo el
esquema de seguridad perimetral, seguridad de
usuarios, seguridad de aplicaciones. Tecnologías
como Firewals, IPS, Control de Navegación, Firewall
de aplicaciones y otras.
SOBRE LA NORMA 1581 DE 2012
El Encargado del Tratamiento debe tener las ayudas
necesarias para garantizar la seguridad y privacidad.
Por ejemplo, no pueden usarse datos originales de
Titulares en pruebas de software o en desarrollos de
terceros.
i) Exigir al Encargado del Tratamiento en todo momento, el
respeto a las condiciones de seguridad y privacidad de la
información del Titular;
n) Informar a la autoridad de protección de datos cuando se
presenten violaciones a los códigos de seguridad y existan
riesgos en la administración de la información de los Titulares”
Es indispensable tener las ayudas necesarias para evitar
las violaciones y disminuir los riesgos. Una vez que se
descubra una violación la obligación de informar va a
requerir el plan de mitigación o la explicación de las
acciones realizadas.
APOYO A CUMPLIMIENTO
ARTÍCULO ARGUMENTO AYUDA TECNOLÓGICA
“Artículo 18. Deberes de los Encargados del
Tratamiento. Los Encargados del Tratamiento
deberán cumplir los siguientes deberes, sin
perjuicio de las demás disposiciones previstas en la
presente ley y en otras que rijan su actividad:……
f) Adoptar un manual interno de políticas y
procedimientos para garantizar el adecuado
cumplimiento de la presente ley y en especial,
para la atención de consultas y reclamos por parte
de los Titulares;
Generar el procedimiento y políticas puede
ser apoyados en mejores prácticas de
seguridad de información como 27001
Puede apoyar un servicio de consultoría
que ayude al desarrollo del procedimiento,
incluido un blindaje jurídico.
i) Abstenerse de circular información que esté
siendo controvertida por el Titular y cuyo bloqueo
haya sido ordenado por la Superintendencia de
Industria y Comercio;
Se requiere tener la tecnología par
agarantizar este bloqueo.
Soluciones de DLP o de seguridad en bases
de datos proporcionan el bloqueo que se
está solicitando.
j) Permitir el acceso a la información únicamente a
las personas que pueden tener acceso a ella;
Se requiere identificar cada usuario de la
información y garantizar que solo ellos
tienen acceso a la información.
Soluciones de seguridad en bases de datos
y soluciones de monitoreo y control de las
actividades de usuarios privilegiados,
ayudan a garantizar que solo los
autorizados accedan a la información y
dejan evidencia de lo actuado.
Solución de seguridad en bases de datos
que identifique plenamente al usuario y
qué hace exactamente en la base de datos.
Aquí cabe también la verificación de la
necesidad de todo el esquema de
seguridad perimetral, seguridad de
usuarios, seguridad de aplicaciones.
Tecnologías como Firewals, IPS, Control de
Navegación, Firewall de aplicaciones y
otras.
SOBRE LA NORMA 1581 DE 2012
Igual que el numeral n) del Artículo 17. Es
indispensable tener las ayudas necesarias
para evitar las violaciones y disminuir los
riesgos. Una vez que se descubra una
violación la obligación de informar va a
requerir el plan de mitigación o la
explicación de las acciones realizadas.
k) Informar a la Superintendencia de Industria y
Comercio cuando se presenten violaciones a los
códigos de seguridad y existan riesgos en la
administración de la información de los Titulares;”
APOYO A CUMPLIMIENTO
ARTÍCULO ARGUMENTO AYUDA TECNOLÓGICA
Artículo 19. Autoridad de Protección de Datos. La
Superintendencia de Industria y Comercio, a través
de una Delegatura para la Protección de Datos
Personales, ejercerá la vigilancia para garantizar
que en el Tratamiento de datos personales se
respeten los principios, derechos, garantías y
procedimientos previstos en la presente ley.
Toda entidad de gobierno o empresa debe
demostrar que está haciendo lo necesario
para cubrir esta garantía que pide la norma.
Tener el procedimiento y las ayudas
tecnológicas que pueden demostrar que se
está actuando en consecuencia.
SOBRE LA NORMA 1581 DE 2012
APOYO A CUMPLIMIENTO
ARTÍCULO ARGUMENTO AYUDA TECNOLÓGICA
Artículo 9. Revocatoria de la autorización y/o
supresión del dato. Los Titulares podrán en todo
momento solicitar al Responsable o Encargado la
supresión de sus datos personales y/o revocar la
autorización otorgada para el Tratamiento de los
mismos, mediante la presentación de un reclamo,
de acuerdo con lo establecido en el artículo 15 de la
Ley 1581 de 2012.
Luego es indispensable poder identificar en
donde está toda la información de los
Titulares, en qué bases de datos y donde está
la información sensible y poder atender muy
rápidamente dentro de los plazos
establecidos los reclamos presentados.
Solución de seguridad en bases de datos
que hace un análisis de en donde están las
bases de datos y una vez ubicadas verificar
qué información sensible contienen. Puede
ser adquirida como tecnología o tercerizado
el servicio.
Artículo 18. Procedimientos para el adecuado
Tratamiento de los datos personales. Los
procedimientos de acceso, actualización, supresión
y rectificación de datos personales y de revocatoria
de la autorización deben darse a conocer o ser
fácilmente accesibles a los Titulares de la
información e incluirse en la política de Tratamiento
de la información.
El procedimiento requiere la utilización de
tecnologías de apoyo que tengan ubicada la
información, pueda ser procesada en los
tiempos requeridos y se tenga el control de
acceso que garantice que solo los
autorizados pueden entrar.
Solución de control de usuarios
privilegiados y solución de control de
seguridad para bases de datos.
Artículo 19. Medidas de seguridad. La
Superintendencia de Industria y Comercio impartirá
las instrucciones relacionadas con las medidas de
seguridad en el Tratamiento de datos personales.
En este punto se debe estar pendiente de
qué tiene previsto la Superintendencia de
Industria y Comercio en materia de
seguridad.
SOBRE LA NORMA 1581 DE 2012 LO PERTINENTE QUE INCLUYE EL DECRETO REGLAMENTARIO 1377 DE 2013
APOYO A CUMPLIMIENTO
ARTÍCULO ARGUMENTO AYUDA TECNOLÓGICA
Artículo 21. Del derecho de acceso. Los Responsables y Encargados del
Tratamiento deben establecer mecanismos sencillos y ágiles que se
encuentren permanentemente disponibles a los Titulares con el fin de que
estos puedan acceder a los datos personales que estén bajo el control de
aquéllos y ejercer sus derechos sobre los mismos.
El Titular podrá consultar de forma gratuita sus datos personales: (i) al
menos una vez cada mes calendario, y (ii) cada vez que existan
modificaciones sustanciales de las Políticas de Tratamiento de la
información que motiven nuevas consultas.
Se debe garantizar que el usuario que
accede a sus datos y puede modificarlos es
el Titular.
Se requieren soluciones de múltiples
formas de autenticación, que sirvan
igual para diferentes canales, fáciles
de implementar y de bajo costo o
costo cero para los Titulares.
Artículo 23. Medios para el ejercicio de los derechos. Todo Responsable y
Encargado deberá designar a una persona o área que asuma la función de
protección de datos personales, que dará trámite a las solicitudes de los
Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de
2012 y el presente Decreto.
Los Responsables y Encargados designan
personas o areas para que asuman las
funciones. Todos ellos deben estar
blindados en el sentido de tener la garantía
que las instituciones hacen lo debido y a su
vez los protegen de no tener las
herramientas y los procesos adecuados.
Debe verificarse mediante una
revisión interna o una consultoría
jurídica y tecnológica el
cumplimiento de lo solicitado en la
norma o lo que se requiere para llegar
a ese cumplimiento.
SOBRE LA NORMA 1581 DE 2012 LO PERTINENTE QUE INCLUYE EL DECRETO REGLAMENTARIO 1377 DE 2013
APOYO A CUMPLIMIENTO
ARTÍCULO ARGUMENTO AYUDA TECNOLÓGICA
Artículo 26. Demostración. Los Responsables del Tratamiento de datos
personales deben ser capaces de demostrar, a petición de la
Superintendencia de Industria y Comercio, que han implementado medidas
apropiadas y efectivas para cumplir con las obligaciones establecidas en la
Ley 1581 de 2012 y este Decreto, en una manera que sea proporcional a lo
siguiente:
1. La naturaleza jurídica del Responsable y, cuando sea del caso, su tamaño
empresarial, teniendo en cuenta si se trata de una micro, pequeña,
mediana o gran empresa, de acuerdo con la normativa vigente.
2. La naturaleza de los datos personales objeto del Tratamiento.
3. El tipo de Tratamiento.
4~ Los riesgos potenciales que el referido tratamiento podrían causar
sobre los derechos de los Titulares.
Las entidades y empresas deben poder
demostrar que están cumpliendo con la
norma.
Debe verificarse mediante una
revisión interna o una consultoría
jurídica y tecnológica el
cumplimiento de lo solicitado en la
norma o lo que se requiere para llegar
a ese cumplimiento.
SOBRE LA NORMA 1581 DE 2012 LO PERTINENTE QUE INCLUYE EL DECRETO REGLAMENTARIO 1377 DE 2013
¿Quiénes son los interesados?
OPERACION DE SEGURIDAD
Políticas Tiempo Real
Rastro seguro de auditoria
Bloqueo a informaciónsensible
Minería de datos & forense
Segregación de tareas
Reportes MejoresPracticas
ControlesAutomatizados
• Impacto Mínimo
• Administración de Cambios
• Optimización de Desempeño
• Parches y Configuración
CUMPLIMIENTO DE AUDITORIA
BASES DE DATOS Y APLICACIONES
43
Recomendacion para una Buena Implementación
visibilidad detección prevención
Comprender los accessos a los datos(quién, qué, cuándo, dónde, cómo)
Alertar en accesos no-autorizados en tiempo-real(cambios en esquemas, modificarprocedimientos almacenados,
errores, logins fallidos)
Detener accesos no autorizados(pasivo o en-linea)
Resumen & Conclusiones
• Manejo de logs tradicionales, escaneo de redes, SIEM & DLP son insuficientes para asegurar el valor de las bases de datos
– No existe monitoreo en tiempo real a nivel datos para detectar accesos no autorizados
– Inhabilidad de detección de fraude a nivel aplicación
– No hay conocimiento sobre comandos de DBMS, vulnerabilidades y estructuras
– El logging/auditing nativo requiere de cambios en la base e impacta el desempeño
• Guardium es las solución más utilizada, en centros de datos a nivel mundial de
gran demanda
– Arquitectura escalable
– Soporte múltiples plataformas
– 100% visibilidad y control granular
– Automatización para reducir la carga de trabajo
Gracias
MUCHAS GRACIAS!!!
Perú
Av. Providencia 1760, Of. 1601
Fonos: 562 – 22905900 - 26780400
Presencia Local en:
Argentina
Chile
Colombia