Seguridad de las Bases de Datos
La seguridad de las bases de datos se refiere a la gama de herramientas, controles y medidas diseñadas para establecer y preservar la confidencialidad, integridad y disponibilidad de las bases de datos. Este artículo se centrará principalmente en la confidencialidad, ya que es el elemento que se ve comprometido en la mayoría de las violaciones de datos.
La seguridad de las bases de datos debe abordar y proteger lo siguiente:
- Los datos de la base de datos
- El sistema de gestión de bases de datos (DBMS)
- Cualquier aplicación asociada
- El servidor de base de datos (físico y/o virtual) y el hardware subyacente.
- La infraestructura informática y/o de red utilizada para acceder a la base de datos.
La seguridad de las bases de datos es una tarea compleja y difícil que implica todos los aspectos de las tecnologías y prácticas de seguridad de la información. También está naturalmente reñida con la usabilidad de la base de datos. Cuanto más accesible y utilizable sea la base de datos, más vulnerable será a las amenazas de seguridad; cuanto más invulnerable sea la base de datos a las amenazas, más difícil será acceder a ella y utilizarla.
Según la regla de Anderson, no es posible construir una base de datos que sea a la vez escalable, funcional y segura, porque si se diseña un gran sistema para facilitar el acceso, deja de ser seguro, mientras que si se hace estanco, se vuelve imposible de utilizar.
Los Impactos
Por definición, una violación de datos es un fallo en el mantenimiento de la confidencialidad de los datos de una base de datos. El daño que una violación de datos inflige a su empresa depende de una serie de consecuencias o factores:
- Propiedad intelectual comprometida: Su propiedad intelectual -secretos comerciales, inventos, prácticas patentadas- puede ser fundamental para mantener una ventaja competitiva en su mercado. Si esa propiedad intelectual es robada o expuesta, su ventaja competitiva puede ser difícil o imposible de mantener o recuperar.
- Daño a la reputación de la marca: Los clientes o socios pueden no estar dispuestos a comprar sus productos o servicios (o a hacer negocios con su empresa) si no sienten que pueden confiar en que usted protege sus datos o los de ellos.
- Continuidad del negocio (o falta de ella): Algunas empresas no pueden seguir funcionando hasta que se resuelva una infracción.
- Multas o sanciones por incumplimiento: El impacto financiero por no cumplir con regulaciones globales como la Ley Sarbannes-Oxley (SOX) o el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), regulaciones de privacidad de datos específicas de la industria como HIPAA, o regulaciones regionales de privacidad de datos, como el Reglamento General de Protección de Datos (RGPD) de Europa puede ser devastador, con multas que en el peor de los casos superan varios millones de dólares por violación.
- Costes de reparación de las violaciones y de notificación a los clientes: Además del coste de comunicar una violación al cliente, una organización afectada debe pagar por las actividades forenses y de investigación, la gestión de crisis, el triaje, la reparación de los sistemas afectados, y más.
Amenazas y retos comunes
Muchos errores de configuración del software, vulnerabilidades o patrones de descuido o mal uso pueden dar lugar a brechas. A continuación se enumeran los tipos o causas más comunes de ataques a la seguridad de las bases de datos y sus causas.
Amenazas internas
- Una amenaza interna es una amenaza a la seguridad procedente de cualquiera de las tres fuentes con acceso privilegiado a la base de datos:
- Un intruso malintencionado que pretende hacer daño.
- Un usuario interno negligente que comete errores que hacen que la base de datos sea vulnerable a un ataque.
- Un infiltrado: una persona ajena que obtiene credenciales de algún modo mediante un esquema como el phishing o accediendo a la propia base de datos de credenciales.
Las amenazas internas se encuentran entre las causas más comunes de las violaciones de seguridad de las bases de datos y suelen ser el resultado de permitir que demasiados empleados posean credenciales de acceso de usuarios privilegiados.
Errores humanos
Los accidentes, las contraseñas débiles, el uso compartido de contraseñas y otros comportamientos imprudentes o desinformados de los usuarios siguen siendo la causa de casi la mitad (49%) de todas las violaciones de datos notificadas.
Explotación de las vulnerabilidades del software de bases de datos
Los piratas informáticos se ganan la vida encontrando y aprovechando vulnerabilidades en todo tipo de software, incluido el de gestión de bases de datos. Todos los principales proveedores de software de bases de datos comerciales y plataformas de gestión de bases de datos de código abierto emiten parches de seguridad periódicos para solucionar estas vulnerabilidades, pero si no se aplican estos parches a tiempo puede aumentar su exposición.
Ataques de inyección SQL/NoSQL
Se trata de una amenaza específica de las bases de datos que consiste en la inserción de cadenas de ataque SQL o no SQL arbitrarias en consultas a bases de datos servidas por aplicaciones web o cabeceras HTTP. Las organizaciones que no siguen prácticas seguras de codificación de aplicaciones web ni realizan pruebas de vulnerabilidad periódicas están expuestas a estos ataques.
Desbordamiento del búfer
El desbordamiento del búfer se produce cuando un proceso intenta escribir más datos en un bloque de memoria de longitud fija de los que puede contener. Los atacantes pueden utilizar el exceso de datos, almacenados en direcciones de memoria adyacentes, como base desde la que lanzar ataques.
Malware
El malware es software escrito específicamente para explotar vulnerabilidades o causar daños a la base de datos. El malware puede llegar a través de cualquier dispositivo de punto final que se conecte a la red de la base de datos.
Ataques a las copias de seguridad
Las organizaciones que no protegen los datos de las copias de seguridad con los mismos controles estrictos utilizados para proteger la propia base de datos pueden ser vulnerables a ataques contra las copias de seguridad.
Estas amenazas se ven exacerbadas por lo siguiente:
- Volúmenes de datos crecientes: La captura, almacenamiento y procesamiento de datos sigue creciendo exponencialmente en casi todas las organizaciones. Cualquier herramienta o práctica de seguridad de datos debe ser altamente escalable para satisfacer las necesidades próximas y futuras.
- Despliegue de la infraestructura: Los entornos de red son cada vez más complejos, sobre todo a medida que las empresas trasladan las cargas de trabajo a arquitecturas multicloud o de nube híbrida, lo que dificulta aún más la elección, implantación y gestión de soluciones de seguridad.
- Requisitos normativos cada vez más estrictos: El panorama mundial de cumplimiento normativo sigue creciendo en complejidad, lo que hace que adherirse a todos los mandatos sea más difícil.
Ataques de denegación de servicio (DoS/DDoS)
En un ataque de denegación de servicio (DoS), el atacante inunda el servidor objetivo -en este caso, el servidor de la base de datos- con tantas peticiones que el servidor ya no puede satisfacer las peticiones legítimas de los usuarios reales y, en muchos casos, el servidor se vuelve inestable o se bloquea.
En un ataque de denegación de servicio distribuido (DDoS), la avalancha proviene de múltiples servidores, lo que hace más difícil detener el ataque.
Buenas Prácticas
Dado que las bases de datos son casi siempre accesibles a través de la red, cualquier amenaza a la seguridad de cualquier componente o parte de la infraestructura de red es también una amenaza para la base de datos, y cualquier ataque que afecte al dispositivo o estación de trabajo de un usuario puede amenazar a la base de datos. Por lo tanto, la seguridad de la base de datos debe extenderse mucho más allá de los confines de la base de datos.
Cuando evalúe la seguridad de la base de datos en su entorno para decidir cuáles son las principales prioridades de su equipo, tenga en cuenta cada una de las siguientes áreas:
- Seguridad física: Tanto si tu servidor de base de datos está en las instalaciones como en un centro de datos en la nube, debe estar ubicado en un entorno seguro y climatizado. (Si su servidor de base de datos está en un centro de datos en nube, su proveedor de nube se encargará de esto por usted).
- Controles administrativos y de acceso a la red: El número mínimo de usuarios debe tener acceso a la base de datos y sus permisos deben estar restringidos a los niveles mínimos necesarios para realizar su trabajo. Del mismo modo, el acceso a la red debe limitarse al nivel mínimo de permisos necesario.
- Seguridad de cuentas/dispositivos de usuarios finales: Hay que saber siempre quién accede a la base de datos y cuándo y cómo se utilizan los datos. Las soluciones de supervisión de datos pueden alertarle si las actividades de datos son inusuales o parecen arriesgadas. Todos los dispositivos de usuario que se conecten a la red que aloja la base de datos deben estar físicamente seguros (sólo en manos del usuario adecuado) y sujetos a controles de seguridad en todo momento.
- Cifrado: TODOS los datos -incluidos los de la base de datos y los de las credenciales- deben estar protegidos con el mejor cifrado de su clase tanto en reposo como en tránsito. Todas las claves de cifrado deben manejarse de acuerdo con las directrices de mejores prácticas.
- Seguridad del software de la base de datos: Utilice siempre la última versión de su software de gestión de bases de datos comprobado en la fase previa y aplique todos los parches en cuanto se publiquen.
- Seguridad de aplicaciones y servidores web: Cualquier aplicación o servidor web que interactúe con la base de datos puede ser un canal de ataque y debe someterse a pruebas de seguridad continuas y a una gestión basada en las mejores prácticas.
- Seguridad de las copias de seguridad: Todas las copias de seguridad, copias o imágenes de la base de datos deben estar sujetas a los mismos controles de seguridad (o igual de estrictos) que la propia base de datos.
- Auditoría: Registre todos los inicios de sesión en el servidor de la base de datos y en el sistema operativo, y registre también todas las operaciones realizadas con datos sensibles. Las auditorías de las normas de seguridad de las bases de datos deben realizarse con regularidad.
Controles y políticas
Además de implementar controles de seguridad por capas en todo su entorno de red, la seguridad de la base de datos requiere que establezca los controles y políticas correctos para el acceso a la propia base de datos. Estos controles incluyen:
- Controles administrativos para gestionar la instalación, los cambios y la configuración de la base de datos.
- Controles preventivos para regular el acceso, el cifrado, la tokenización y el enmascaramiento.
- Controles de detección para supervisar la actividad de la base de datos y las herramientas de prevención de pérdida de datos. Estas soluciones permiten identificar y alertar sobre actividades anómalas o sospechosas.
Las políticas de seguridad de las bases de datos deben integrarse y apoyar los objetivos empresariales generales, como la protección de la propiedad intelectual crítica y las políticas de seguridad de los systemas de informacion y de seguridad en la nube.