jaime fernando forero sales - seguridad en bases de datos

SEGURIDAD EN BASES DE

DATOS

Jaime Fernando ForeroSales Security Advisor Senior

Neosecure Colombia

Robos actuales

Robos por usuarios internos?

Resguardamos la Confidencialidad?

Se ve afectada nuestraReputación/Marca?

Si los controles fueron aplicados, entonces

debemos preguntarnos:

Por qué se produce perdida, modificación,

eliminación de datos en nuestras Bases de Datos?

Nos estamos dando cuenta?

El por qué del robo de informacionde nuestras BD?

La seguridad de las Bases de Datos se ve “probada” al momento de

proteger nuestros datos ante amenazas intencionadas o accidentales,

tales como:

Escenario: Las Amenazas.

Robo

Fraude

Perdida de Confidencialidad

Perdida de Privacidad.

Perdida de Integridad

• Se estima que 15%de los ataques ocurren sin siquiera

saber que hubo un ataque

•Solamente toma 30 segundos en robar la información

•78%de empresas no tienen un plan de seguridad de BBDD

•Solamente 20%tienen medidas de seguridad avanzadas

•70%están atrasados en la instalación parches de seguridad

•Los DBAs gastan menos del 5%en seguridad de BBDD

•75%creen que las top DBMS pueden, automáticamente

proteger los datos.

Fuente: Forrester

Los desafíos de seguridad de Base de Datos crecen…

•No se conoce la ubicación de todas las BBDD.

•Muchas organizaciones mantienen BBDD heterogéneas, lo

que hace difícil protegerlas de manera uniforme

•Existe falta de comprensión sobre los datos de negocio,

especialmente dónde están los datos confidenciales o

privados

•Se permite el acceso excesivo a los datos de diferentes

usuarios, esto es una práctica común en muchas

organizaciones

•Donde existen conexiones múltiples de aplicaciones, a

veces es difícil diferenciar a un usuario legítimo de un

hacker

•Los ambientes Virtualizados crean otros retos de

seguridad para la organización de TI

Retos de la Seguridad en Bases de Datos

Fuentes de los Registros que han sido catalogado como

Comprometidos.

Los Servidores de Base de Datos es la fuenteprimaria de fuga de datos - 2010

La tecnología nos proporciona controles deSeguridad para aplicar en las Bases de Datos

Autorización

Controles de Acceso

Vistas

Copias de Seguridad y Restauración

Integridad

Cifrado

Tecnología Raid

CiberCrimen:El impacto al negocio

Ataque :a la Disponibilidad de los datos.

Robo externo?

Cuál es el nivel de nuestra seguridad?

Perdida de Registros

McAfee investigó 386 incidentes estadounidenses de

pérdida de datos registrados durante el período de enero de

2009 a abril de 2011 que afectaron a 23 millones de

registros.

Los incidentes fueron divididos en tres categorías: ataques

externos, violaciones de seguridad internas y eventos de

naturaleza desconocida.

Los ataques externos correspondieron al 52% de los

incidentes y afectaron al 60% de los registros

comprometidos.

Un 44% de los incidentes se debió a fuentes internas.

En cuanto a los tipos de datos perdidos, las tres clases más

afectadas fueron: nombres y/o direcciones, números de

seguridad social y sus equivalentes, y números de tarjetas

de crédito.

Las interrogantes:

• Si están aplicados todos los controles, cómo se

producen los “robos” en las bases de datos?

• Son suficientes estos controles?

• Que es lo que desconocemos?

• Cómo debemos protegernos?

• Que debemos monitorear?

• Para que monitorear?

• Que enemigos enfrentamos?

Los amenazas afectan principalmentea la :

Disponibilidad.

Integridad

Confidencialidad.

¿Cuáles son los métodos de auditoría de Bases de Datos que se utilizan hoy?

Remediación Manual, despacho y seguimiento

Revisión Manual

Generar Reportes

Que nos dice la industria:

• Existe DAM, una tecnología de monitoreo y análisis deactividad de Bases de Datos que opera independiente delSistema de Administración de Bases De Datos.

• De de acuerdo con Gartner, "DAM proporciona monitoreo deusuarios privilegiados y accesos de aplicaciones que esindependiente del registro de base de datos nativa y funcionesde auditoría”.

• DAM realiza la separación de funciones: el que administra no audita.

• Genera reportes de cumplimientos de normas.

• Genera Alertas en caso de violaciones de seguridad o actividad inusual.

Qué nos recomienda la Industria?

Gartner:

Recomienda monitorear 10 actividades en las Bases de Datos,

agrupadas en 4 roles.

Rol Tipo 1 : Usuarios Privilegiados.

Rol Tipo 2 : Usuarios Finales.

Rol Tipo 3 : Desarrolladores, Administradores de sistemas.

Rol Tipo 4 : Operaciones TI

Rol Tipo 1: Usuarios Privilegiados

• Acceso, borrado o cambio de data. (DBA’s).

• Accesos usando canales inapropiados.

• Modificaciones de Esquemas

• Creación de nuevas cuentas o modificación de las cuentas existentes.

Rol Tipo 2: Usuarios Finales

• Acceso a montos de datos no necesarios para el legitimo trabajo.

• Acceso a data fuera del horario de trabajo.

• Acceso a data a través de canales inapropiados.

Rol Tipo 3: Desarrolladores & Administradores de Sistemas

• Accesos a sistemas en producción.

Rol Tipo 4: Operaciones de TI

• Cambios inapropiados a las Bases de Datos o a las aplicaciones que acceden a ellas.

• Parchado de sistemas fuera del ciclo.

Por qué monitorear la actividad de estos 4

roles?

Usuarios Privilegiados: Pueden acceder a “toda” la data, incluso a la data sensible del negocio, ej: DBA’s.

Usuarios Finales: Es normal que “consulten” más data de la que necesitan para su trabajo especifico?

Desarrolladores: No debieran tener acceso a los ambientes de producción, sobre todo los desarrolladores “Externos”.

Operaciones de TI: una BD no “parchada” presentara un gran número de vulnerabilidades disponibles para ser explotadas.

Características avanzadas que debe tener un DAM (Database Activity Monitor)

• Herramienta integrada de evaluación de vulnerabilidades.

• Creación de perfiles dinámicos basados en el acceso a la BD.

• Detección de cambios de comportamientos de usuarios.

• Detener las operaciones antes que se ejecuten en la BD.

• Poner usuarios/terminales en cuarentena hasta que se resuelva el incidente.

• Detectar patrones correspondientes a datos confidenciales.

Por qué la seguridad tradicional de las BD no es suficiente?

• Es costoso hacerlo a través de la habilitación de las auditoría nativas

de las Bases de Datos

• No ofrece separación de roles

• Existen ambientes heterogéneo de BD

• Falta de especialistas en seguridad de BD

• Hay información compleja de obtener y procesar

• Información que se colecta en la auditoria de BD no necesariamente

cumple con los requerimientos de auditoría

• No provee información de las aplicaciones se utilizaron para acceder

a la BD

• Cantidad de información que se recopila no es manejable y no

permite la toma de acciones

• No provee protección cuando el evento está ocurriendo.

Estructura Actual de la Seguridad

El riesgo

• Las bases de datos son vulnerables a ataques externos y a violaciones internas de usuarios privilegiados.

• Los Web Application Firewall proporcionan protección limitada.

Como funciona un DAM

Por qué un DAM ? (Database Activity Monitoring)

• Cumplimiento Ley Estatutaria Nº 1581 del 17 de octubre del 2012

sobre Protección de Datos Personales

• Cumplimiento de regulaciones y estándares internacionales como

PCI DSS y SOX

• Verificación de los “Controles de Seguridad” a nivel de Base de

Datos

• Se independiza la “seguridad” de la Base de Datos, del

Administrador (separación o segregación de roles)

• La información recolectada queda almacenada fuera de la BD

• Se puede concentrar data de múltiples Bases de Datos y auditar

• Monitoreo de Aplicaciones de terceros, identificando el usuario final

de la aplicación

• Monitoreo de Usuarios genéricos

Visibilidad obtenida con un DAM

•Identificación de SQL de acceso a BD (QUÉ, QUIÉN, CUÁNDO, COMO)

•Identificación de Aplicaciones de acceso a BD

•Bloqueo de acciones no autorizadas

•Monitoreo de aplicaciones

•Reglas de análisis de eventos

•Recolección de logs para auditoria y mineria de datos

•Integración con SIEM

•Búsqueda de data relevante dentro de las BD’s.

•Ejecución de Escaneos de Vulnerabilidades.

•Control de cambios en las configuraciones de las BD’s.

APOYO A CUMPLIMIENTO

ARTÍCULO ARGUMENTO AYUDA TECNOLÓGICA

“Artículo 14. Consultas. Los Titulares o sus causahabientespodrán consultar la información personal del Titular que

repose en cualquier base de datos, sea esta del sector público

o privado. El Responsable del Tratamiento o Encargado del

Tratamiento deberán suministrar a estos toda la información

contenida en el registro individual o que esté vinculada con la

identificación del Titular.”

Luego es indispensable poder identificar endonde está toda la información de los clientes,

donde están las bases de datos y donde está la

información sensible y poder atender muy

rápidamente dentro de los plazos establecidos

los reclamos presentados. La norma contempla

fuertes multas ante cualquier incumplimiento. El

plazo para adecuarse venció el 17 de abril de

2013.

Solución de seguridad en bases de datosque hace un análisis de en donde están

las bases de datos y una vez ubicadas

verificar qué información sensible

contienen. Puede ser adquirida como

tecnología o tercerizado el servicio.

“Artículo 15. Reclamos. El Titular o sus causahabientes queconsideren que la información contenida en una base de datos

debe ser objeto de corrección, actualización o supresión, o

cuando adviertan el presunto incumplimiento de cualquiera de

los deberes contenidos en esta ley, podrán presentar un

reclamo ante el Responsable del Tratamiento o el Encargado

del Tratamiento el cual será tramitado bajo las siguientes

reglas:”

Luego es indispensable poder identificar endonde está toda la información de los clientes,

donde están las bases de datos y donde está la

información sensible y poder atender muy

rápidamente dentro de los plazos establecidos

los reclamos presentados. La norma contempla

fuertes multas ante cualquier incumplimiento. El

plazo para adecuarse venció el 17 de abril de

2013.

Solución de seguridad en bases de datosque hace un análisis de en donde están

las bases de datos y qué información

sensible contienen.

SOBRE LA NORMA 1581 DE 2012



“Artículo 17. Deberes de los Responsables del Tratamiento. Los

Responsables del Tratamiento deberán cumplir los siguientes

deberes, sin perjuicio de las demás disposiciones previstas en la

presente ley y en otras que rijan su actividad:………

d) Conservar la información bajo las condiciones de seguridad

necesarias para impedir su adulteración, pérdida, consulta, uso

o acceso no autorizado o fraudulento;

Se debe demostrar que la información no ha sido

adulterada o perdida o consultada por personal no

autorizado. Se requiere identificar individualmente al

usuario de la base de datos.

Solución de seguridad en bases de datos que

identifique plenamente al usuario y qué hace

exactamente en la base de datos.

e) Garantizar que la información que se suministre al Encargado

del Tratamiento sea veraz, completa, exacta, actualizada,

comprobable y comprensible;

La información original no puede ser cambiada sin las

autorizaciones. Debe asegurarse que nadie sin las

autorizaciones necesarias cambie la información y que

los que tengan las autorizaciones pueda hacerse un

seguimiento de qué exactamente han hecho.







Solución de enmascaramiento de datos para ser

usados en pruebas de funcionamiento, seguridad y/o

calidad del software.


identifique plenamente al usuario de la base de datos

y qué hace exactamente en la base de datos.

Aquí cabe la verificación de las necesidades de todo el

esquema de seguridad perimetral, seguridad de

usuarios, seguridad de aplicaciones. Tecnologías

como Firewals, IPS, Control de Navegación, Firewall

de aplicaciones y otras.


El Encargado del Tratamiento debe tener las ayudas

necesarias para garantizar la seguridad y privacidad.

Por ejemplo, no pueden usarse datos originales de

Titulares en pruebas de software o en desarrollos de

terceros.

i) Exigir al Encargado del Tratamiento en todo momento, el

respeto a las condiciones de seguridad y privacidad de la

información del Titular;

n) Informar a la autoridad de protección de datos cuando se

presenten violaciones a los códigos de seguridad y existan

riesgos en la administración de la información de los Titulares”

Es indispensable tener las ayudas necesarias para evitar

las violaciones y disminuir los riesgos. Una vez que se

descubra una violación la obligación de informar va a

requerir el plan de mitigación o la explicación de las

acciones realizadas.



“Artículo 18. Deberes de los Encargados del

Tratamiento. Los Encargados del Tratamiento

deberán cumplir los siguientes deberes, sin

perjuicio de las demás disposiciones previstas en la

presente ley y en otras que rijan su actividad:……

f) Adoptar un manual interno de políticas y

procedimientos para garantizar el adecuado

cumplimiento de la presente ley y en especial,

para la atención de consultas y reclamos por parte

de los Titulares;

Generar el procedimiento y políticas puede

ser apoyados en mejores prácticas de

seguridad de información como 27001

Puede apoyar un servicio de consultoría

que ayude al desarrollo del procedimiento,

incluido un blindaje jurídico.

i) Abstenerse de circular información que esté

siendo controvertida por el Titular y cuyo bloqueo

haya sido ordenado por la Superintendencia de

Industria y Comercio;

Se requiere tener la tecnología par

agarantizar este bloqueo.

Soluciones de DLP o de seguridad en bases

de datos proporcionan el bloqueo que se

está solicitando.

j) Permitir el acceso a la información únicamente a

las personas que pueden tener acceso a ella;

Se requiere identificar cada usuario de la

información y garantizar que solo ellos

tienen acceso a la información.

Soluciones de seguridad en bases de datos

y soluciones de monitoreo y control de las

actividades de usuarios privilegiados,

ayudan a garantizar que solo los

autorizados accedan a la información y

dejan evidencia de lo actuado.

Solución de seguridad en bases de datos

que identifique plenamente al usuario y

qué hace exactamente en la base de datos.

Aquí cabe también la verificación de la

necesidad de todo el esquema de

seguridad perimetral, seguridad de

usuarios, seguridad de aplicaciones.

Tecnologías como Firewals, IPS, Control de

Navegación, Firewall de aplicaciones y

otras.


Igual que el numeral n) del Artículo 17. Es

indispensable tener las ayudas necesarias

para evitar las violaciones y disminuir los

riesgos. Una vez que se descubra una

violación la obligación de informar va a

requerir el plan de mitigación o la

explicación de las acciones realizadas.

k) Informar a la Superintendencia de Industria y

Comercio cuando se presenten violaciones a los

códigos de seguridad y existan riesgos en la

administración de la información de los Titulares;”



Artículo 19. Autoridad de Protección de Datos. La

Superintendencia de Industria y Comercio, a través

de una Delegatura para la Protección de Datos

Personales, ejercerá la vigilancia para garantizar

que en el Tratamiento de datos personales se

respeten los principios, derechos, garantías y

procedimientos previstos en la presente ley.

Toda entidad de gobierno o empresa debe

demostrar que está haciendo lo necesario

para cubrir esta garantía que pide la norma.

Tener el procedimiento y las ayudas

tecnológicas que pueden demostrar que se

está actuando en consecuencia.




Artículo 9. Revocatoria de la autorización y/o

supresión del dato. Los Titulares podrán en todo

momento solicitar al Responsable o Encargado la

supresión de sus datos personales y/o revocar la

autorización otorgada para el Tratamiento de los

mismos, mediante la presentación de un reclamo,

de acuerdo con lo establecido en el artículo 15 de la

Ley 1581 de 2012.

Luego es indispensable poder identificar en

donde está toda la información de los

Titulares, en qué bases de datos y donde está

la información sensible y poder atender muy

rápidamente dentro de los plazos

establecidos los reclamos presentados.

Solución de seguridad en bases de datos

que hace un análisis de en donde están las

bases de datos y una vez ubicadas verificar

qué información sensible contienen. Puede

ser adquirida como tecnología o tercerizado

el servicio.

Artículo 18. Procedimientos para el adecuado

Tratamiento de los datos personales. Los

procedimientos de acceso, actualización, supresión

y rectificación de datos personales y de revocatoria

de la autorización deben darse a conocer o ser

fácilmente accesibles a los Titulares de la

información e incluirse en la política de Tratamiento

de la información.

El procedimiento requiere la utilización de

tecnologías de apoyo que tengan ubicada la

información, pueda ser procesada en los

tiempos requeridos y se tenga el control de

acceso que garantice que solo los

autorizados pueden entrar.

Solución de control de usuarios

privilegiados y solución de control de

seguridad para bases de datos.

Artículo 19. Medidas de seguridad. La

Superintendencia de Industria y Comercio impartirá

las instrucciones relacionadas con las medidas de

seguridad en el Tratamiento de datos personales.

En este punto se debe estar pendiente de

qué tiene previsto la Superintendencia de

Industria y Comercio en materia de

seguridad.

SOBRE LA NORMA 1581 DE 2012 LO PERTINENTE QUE INCLUYE EL DECRETO REGLAMENTARIO 1377 DE 2013



Artículo 21. Del derecho de acceso. Los Responsables y Encargados del

Tratamiento deben establecer mecanismos sencillos y ágiles que se

encuentren permanentemente disponibles a los Titulares con el fin de que

estos puedan acceder a los datos personales que estén bajo el control de

aquéllos y ejercer sus derechos sobre los mismos.

El Titular podrá consultar de forma gratuita sus datos personales: (i) al

menos una vez cada mes calendario, y (ii) cada vez que existan

modificaciones sustanciales de las Políticas de Tratamiento de la

información que motiven nuevas consultas.

Se debe garantizar que el usuario que

accede a sus datos y puede modificarlos es

el Titular.

Se requieren soluciones de múltiples

formas de autenticación, que sirvan

igual para diferentes canales, fáciles

de implementar y de bajo costo o

costo cero para los Titulares.

Artículo 23. Medios para el ejercicio de los derechos. Todo Responsable y

Encargado deberá designar a una persona o área que asuma la función de

protección de datos personales, que dará trámite a las solicitudes de los

Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de

2012 y el presente Decreto.

Los Responsables y Encargados designan

personas o areas para que asuman las

funciones. Todos ellos deben estar

blindados en el sentido de tener la garantía

que las instituciones hacen lo debido y a su

vez los protegen de no tener las

herramientas y los procesos adecuados.

Debe verificarse mediante una

revisión interna o una consultoría

jurídica y tecnológica el

cumplimiento de lo solicitado en la

norma o lo que se requiere para llegar

a ese cumplimiento.




Artículo 26. Demostración. Los Responsables del Tratamiento de datos

personales deben ser capaces de demostrar, a petición de la

Superintendencia de Industria y Comercio, que han implementado medidas

apropiadas y efectivas para cumplir con las obligaciones establecidas en la

Ley 1581 de 2012 y este Decreto, en una manera que sea proporcional a lo

siguiente:

1. La naturaleza jurídica del Responsable y, cuando sea del caso, su tamaño

empresarial, teniendo en cuenta si se trata de una micro, pequeña,

mediana o gran empresa, de acuerdo con la normativa vigente.

2. La naturaleza de los datos personales objeto del Tratamiento.

3. El tipo de Tratamiento.

4~ Los riesgos potenciales que el referido tratamiento podrían causar

sobre los derechos de los Titulares.

Las entidades y empresas deben poder

demostrar que están cumpliendo con la

norma.

Debe verificarse mediante una

revisión interna o una consultoría

jurídica y tecnológica el

cumplimiento de lo solicitado en la

norma o lo que se requiere para llegar

a ese cumplimiento.


¿Quiénes son los interesados?

OPERACION DE SEGURIDAD

Políticas Tiempo Real

Rastro seguro de auditoria

Bloqueo a informaciónsensible

Minería de datos & forense

Segregación de tareas

Reportes MejoresPracticas

ControlesAutomatizados

• Impacto Mínimo

• Administración de Cambios

• Optimización de Desempeño

• Parches y Configuración

CUMPLIMIENTO DE AUDITORIA

BASES DE DATOS Y APLICACIONES

43

Recomendacion para una Buena Implementación

visibilidad detección prevención

Comprender los accessos a los datos(quién, qué, cuándo, dónde, cómo)

Alertar en accesos no-autorizados en tiempo-real(cambios en esquemas, modificarprocedimientos almacenados,

errores, logins fallidos)

Detener accesos no autorizados(pasivo o en-linea)

Resumen & Conclusiones

• Manejo de logs tradicionales, escaneo de redes, SIEM & DLP son insuficientes para asegurar el valor de las bases de datos

– No existe monitoreo en tiempo real a nivel datos para detectar accesos no autorizados

– Inhabilidad de detección de fraude a nivel aplicación

– No hay conocimiento sobre comandos de DBMS, vulnerabilidades y estructuras

– El logging/auditing nativo requiere de cambios en la base e impacta el desempeño

• Guardium es las solución más utilizada, en centros de datos a nivel mundial de

gran demanda

– Arquitectura escalable

– Soporte múltiples plataformas

– 100% visibilidad y control granular

– Automatización para reducir la carga de trabajo

Gracias

MUCHAS GRACIAS!!!

Perú

Av. Providencia 1760, Of. 1601

Fonos: 562 – 22905900 - 26780400

Presencia Local en:

Argentina

Chile

Colombia

jaime fernando forero sales - seguridad en bases de datos

Documents