SEGURIDAD EN BASES DE DATOS
Jaime Fernando Forero Sales Security Advisor Senior Neosecure Colombia
Robos actuales
Robos por usuarios internos?
Resguardamos la Confidencialidad?
Se ve afectada nuestra Reputaci贸n/Marca?
El por qu茅 del robo de informacion de nuestras BD? Si los controles fueron aplicados, entonces debemos preguntarnos: Por qu茅 se produce perdida, modificaci贸n, eliminaci贸n de datos en nuestras Bases de Datos?
Nos estamos dando cuenta?
Escenario: Las Amenazas. La seguridad de las Bases de Datos se ve “probada� al momento de proteger nuestros datos ante amenazas intencionadas o accidentales, tales como:
Robo Fraude
Perdida de Confidencialidad Perdida de Privacidad. Perdida de Integridad
Los desafíos de seguridad de Base de Datos crecen… • Se estima que 15%de los ataques ocurren sin siquiera saber que hubo un ataque •Solamente toma 30 segundos en robar la información •78%de empresas no tienen un plan de seguridad de BBDD •Solamente 20%tienen medidas de seguridad avanzadas •70%están atrasados en la instalación parches de seguridad •Los DBAs gastan menos del 5%en seguridad de BBDD •75%creen que las top DBMS pueden, automáticamente proteger los datos. Fuente: Forrester
Retos de la Seguridad en Bases de Datos •No se conoce la ubicación de todas las BBDD. •Muchas organizaciones mantienen BBDD heterogéneas, lo que hace difícil protegerlas de manera uniforme •Existe falta de comprensión sobre los datos de negocio, especialmente dónde están los datos confidenciales o privados •Se permite el acceso excesivo a los datos de diferentes usuarios, esto es una práctica común en muchas organizaciones •Donde existen conexiones múltiples de aplicaciones, a veces es difícil diferenciar a un usuario legítimo de un hacker •Los ambientes Virtualizados crean otros retos de seguridad para la organización de TI
Los Servidores de Base de Datos es la fuente primaria de fuga de datos - 2010 Fuentes de los Registros que han sido catalogado como Comprometidos.
La tecnolog铆a nos proporciona controles de Seguridad para aplicar en las Bases de Datos Autorizaci贸n Controles de Acceso Vistas Copias de Seguridad y Restauraci贸n
Integridad Cifrado
Tecnolog铆a Raid
CiberCrimen: El impacto al negocio
Ataque : a la Disponibilidad de los datos.
Robo externo?
Cuรกl es el nivel de nuestra seguridad?
Perdida de Registros McAfee investigó 386 incidentes estadounidenses de pérdida de datos registrados durante el período de enero de 2009 a abril de 2011 que afectaron a 23 millones de registros. Los incidentes fueron divididos en tres categorías: ataques externos, violaciones de seguridad internas y eventos de naturaleza desconocida. Los ataques externos correspondieron al 52% de los incidentes y afectaron al 60% de los registros comprometidos. Un 44% de los incidentes se debió a fuentes internas. En cuanto a los tipos de datos perdidos, las tres clases más afectadas fueron: nombres y/o direcciones, números de seguridad social y sus equivalentes, y números de tarjetas de crédito.
Las interrogantes: • Si están aplicados todos los controles, cómo se producen los “robos” en las bases de datos? • Son suficientes estos controles? • Que es lo que desconocemos? • Cómo debemos protegernos? • Que debemos monitorear? • Para que monitorear? • Que enemigos enfrentamos?
Los amenazas afectan principalmente a la :
Disponibilidad. Integridad Confidencialidad.
¿Cuáles son los métodos de auditoría de Bases de Datos que se utilizan hoy?
Generar Reportes
Revisión Manual
Remediación Manual, despacho y seguimiento
Que nos dice la industria: • Existe DAM, una tecnología de monitoreo y análisis de actividad de Bases de Datos que opera independiente del Sistema de Administración de Bases De Datos. • De de acuerdo con Gartner, "DAM proporciona monitoreo de usuarios privilegiados y accesos de aplicaciones que es independiente del registro de base de datos nativa y funciones de auditoría”. • DAM realiza la separación de funciones: el que administra no audita. • Genera reportes de cumplimientos de normas. • Genera Alertas en caso de violaciones de seguridad o actividad inusual.
QuĂŠ nos recomienda la Industria?
Gartner: Recomienda monitorear 10 actividades en las Bases de Datos, agrupadas en 4 roles. Rol Tipo 1 : Usuarios Privilegiados. Rol Tipo 2 : Usuarios Finales. Rol Tipo 3 : Desarrolladores, Administradores de sistemas. Rol Tipo 4 : Operaciones TI
Rol Tipo 1: Usuarios Privilegiados
• • • •
Acceso, borrado o cambio de data. (DBA’s). Accesos usando canales inapropiados. Modificaciones de Esquemas Creación de nuevas cuentas o modificación de las cuentas existentes.
Rol Tipo 2: Usuarios Finales
• Acceso a montos de datos no necesarios para el legitimo trabajo. • Acceso a data fuera del horario de trabajo. • Acceso a data a través de canales inapropiados.
Rol Tipo 3: Desarrolladores & Administradores de Sistemas
โ ข Accesos a sistemas en producciรณn.
Rol Tipo 4: Operaciones de TI
• Cambios inapropiados a las Bases de Datos o a las aplicaciones que acceden a ellas. • Parchado de sistemas fuera del ciclo.
Por qué monitorear la actividad de estos 4 roles? Usuarios Privilegiados: Pueden acceder a “toda” la data, incluso a la data sensible del negocio, ej: DBA’s.
Usuarios Finales: Es normal que “consulten” más data de la que necesitan para su trabajo especifico? Desarrolladores: No debieran tener acceso a los ambientes de producción, sobre todo los desarrolladores “Externos”. Operaciones de TI: una BD no “parchada” presentara un gran número de vulnerabilidades disponibles para ser explotadas.
Características avanzadas que debe tener un DAM (Database Activity Monitor) • • • • •
Herramienta integrada de evaluación de vulnerabilidades. Creación de perfiles dinámicos basados en el acceso a la BD. Detección de cambios de comportamientos de usuarios. Detener las operaciones antes que se ejecuten en la BD. Poner usuarios/terminales en cuarentena hasta que se resuelva el incidente. • Detectar patrones correspondientes a datos confidenciales.
Por qué la seguridad tradicional de las BD no es suficiente? • Es costoso hacerlo a través de la habilitación de las auditoría nativas • • • • • • • •
de las Bases de Datos No ofrece separación de roles Existen ambientes heterogéneo de BD Falta de especialistas en seguridad de BD Hay información compleja de obtener y procesar Información que se colecta en la auditoria de BD no necesariamente cumple con los requerimientos de auditoría No provee información de las aplicaciones se utilizaron para acceder a la BD Cantidad de información que se recopila no es manejable y no permite la toma de acciones No provee protección cuando el evento está ocurriendo.
Estructura Actual de la Seguridad
El riesgo • Las bases de datos son vulnerables a ataques externos y a violaciones internas de usuarios privilegiados. • Los Web Application Firewall proporcionan protección limitada.
Como funciona un DAM
Por qué un DAM ? (Database Activity Monitoring)
• Cumplimiento Ley Estatutaria Nº 1581 del 17 de octubre del 2012 sobre Protección de Datos Personales • Cumplimiento de regulaciones y estándares internacionales como PCI DSS y SOX • Verificación de los “Controles de Seguridad” a nivel de Base de Datos • Se independiza la “seguridad” de la Base de Datos, del Administrador (separación o segregación de roles) • La información recolectada queda almacenada fuera de la BD • Se puede concentrar data de múltiples Bases de Datos y auditar • Monitoreo de Aplicaciones de terceros, identificando el usuario final de la aplicación • Monitoreo de Usuarios genéricos
Visibilidad obtenida con un DAM
•Identificación de SQL de acceso a BD (QUÉ, QUIÉN, CUÁNDO, COMO) •Identificación de Aplicaciones de acceso a BD •Bloqueo de acciones no autorizadas •Monitoreo de aplicaciones •Reglas de análisis de eventos •Recolección de logs para auditoria y mineria de datos •Integración con SIEM •Búsqueda de data relevante dentro de las BD’s. •Ejecución de Escaneos de Vulnerabilidades. •Control de cambios en las configuraciones de las BD’s.
APOYO A CUMPLIMIENTO SOBRE LA NORMA 1581 DE 2012 ARTÍCULO
ARGUMENTO
AYUDA TECNOLÓGICA
Luego es indispensable poder identificar en “Artículo 14. Consultas. Los Titulares o sus causahabientes donde está toda la información de los clientes, Solución de seguridad en bases de datos podrán consultar la información personal del Titular que donde están las bases de datos y donde está la que hace un análisis de en donde están repose en cualquier base de datos, sea esta del sector público información sensible y poder atender muy las bases de datos y una vez ubicadas o privado. El Responsable del Tratamiento o Encargado del rápidamente dentro de los plazos establecidos verificar qué información sensible Tratamiento deberán suministrar a estos toda la información los reclamos presentados. La norma contempla contienen. Puede ser adquirida como contenida en el registro individual o que esté vinculada con la fuertes multas ante cualquier incumplimiento. El tecnología o tercerizado el servicio. identificación del Titular.” plazo para adecuarse venció el 17 de abril de 2013. Luego es indispensable poder identificar en “Artículo 15. Reclamos. El Titular o sus causahabientes que donde está toda la información de los clientes, consideren que la información contenida en una base de datos donde están las bases de datos y donde está la debe ser objeto de corrección, actualización o supresión, o Solución de seguridad en bases de datos información sensible y poder atender muy cuando adviertan el presunto incumplimiento de cualquiera de que hace un análisis de en donde están rápidamente dentro de los plazos establecidos los deberes contenidos en esta ley, podrán presentar un las bases de datos y qué información los reclamos presentados. La norma contempla reclamo ante el Responsable del Tratamiento o el Encargado sensible contienen. fuertes multas ante cualquier incumplimiento. El del Tratamiento el cual será tramitado bajo las siguientes plazo para adecuarse venció el 17 de abril de reglas:” 2013.
APOYO A CUMPLIMIENTO SOBRE LA NORMA 1581 DE 2012 ARTÍCULO
ARGUMENTO
AYUDA TECNOLÓGICA
“Artículo 17. Deberes de los Responsables del Tratamiento. Los Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:……… Se debe demostrar que la información no ha sido d) Conservar la información bajo las condiciones de seguridad Solución de seguridad en bases de datos que adulterada o perdida o consultada por personal no necesarias para impedir su adulteración, pérdida, consulta, uso identifique plenamente al usuario y qué hace autorizado. Se requiere identificar individualmente al o acceso no autorizado o fraudulento; exactamente en la base de datos. usuario de la base de datos. La información original no puede ser cambiada sin las e) Garantizar que la información que se suministre al Encargado autorizaciones. Debe asegurarse que nadie sin las Solución de seguridad en bases de datos que del Tratamiento sea veraz, completa, exacta, actualizada, autorizaciones necesarias cambie la información y que identifique plenamente al usuario y qué hace comprobable y comprensible; los que tengan las autorizaciones pueda hacerse un exactamente en la base de datos. seguimiento de qué exactamente han hecho.
i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;
n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares”
Solución de seguridad en bases de datos que identifique plenamente al usuario y qué hace exactamente en la base de datos. Solución de enmascaramiento de datos para ser usados en pruebas de funcionamiento, seguridad y/o calidad del software. Solución de seguridad en bases de datos que identifique plenamente al usuario de la base de datos Es indispensable tener las ayudas necesarias para evitar y qué hace exactamente en la base de datos. las violaciones y disminuir los riesgos. Una vez que se Aquí cabe la verificación de las necesidades de todo el descubra una violación la obligación de informar va a esquema de seguridad perimetral, seguridad de requerir el plan de mitigación o la explicación de las usuarios, seguridad de aplicaciones. Tecnologías acciones realizadas. como Firewals, IPS, Control de Navegación, Firewall de aplicaciones y otras. El Encargado del Tratamiento debe tener las ayudas necesarias para garantizar la seguridad y privacidad. Por ejemplo, no pueden usarse datos originales de Titulares en pruebas de software o en desarrollos de terceros.
APOYO A CUMPLIMIENTO SOBRE LA NORMA 1581 DE 2012 ARTÍCULO
ARGUMENTO
AYUDA TECNOLÓGICA
“Artículo 18. Deberes de los Encargados del Tratamiento. Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:…… f) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado Generar el procedimiento y políticas puede Puede apoyar un servicio de consultoría cumplimiento de la presente ley y en especial, ser apoyados en mejores prácticas de que ayude al desarrollo del procedimiento, para la atención de consultas y reclamos por parte seguridad de información como 27001 incluido un blindaje jurídico. de los Titulares; i) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo Se requiere tener la haya sido ordenado por la Superintendencia de agarantizar este bloqueo. Industria y Comercio;
tecnología
par
Soluciones de DLP o de seguridad en bases de datos proporcionan el bloqueo que se está solicitando.
Soluciones de seguridad en bases de datos y soluciones de monitoreo y control de las Se requiere identificar cada usuario de la actividades de usuarios privilegiados, j) Permitir el acceso a la información únicamente a información y garantizar que solo ellos las personas que pueden tener acceso a ella; ayudan a garantizar que solo los tienen acceso a la información. autorizados accedan a la información y dejan evidencia de lo actuado.
k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la
Igual que el numeral n) del Artículo 17. Es indispensable tener las ayudas necesarias para evitar las violaciones y disminuir los riesgos. Una vez que se descubra una
Solución de seguridad en bases de datos que identifique plenamente al usuario y qué hace exactamente en la base de datos. Aquí cabe también la verificación de la necesidad de todo el esquema de
APOYO A CUMPLIMIENTO
SOBRE LA NORMA 1581 DE 2012 ARTÍCULO
ARGUMENTO
AYUDA TECNOLÓGICA
Artículo 19. Autoridad de Protección de Datos. La Superintendencia de Industria y Comercio, a través de una Delegatura para la Protección de Datos Toda entidad de gobierno o empresa debe Tener el procedimiento y las ayudas Personales, ejercerá la vigilancia para garantizar demostrar que está haciendo lo necesario tecnológicas que pueden demostrar que se que en el Tratamiento de datos personales se para cubrir esta garantía que pide la norma. está actuando en consecuencia. respeten los principios, derechos, garantías y procedimientos previstos en la presente ley.
APOYO A CUMPLIMIENTO SOBRE LA NORMA 1581 DE 2012 LO PERTINENTE QUE INCLUYE EL DECRETO REGLAMENTARIO 1377 DE 2013 ARTÍCULO
ARGUMENTO
AYUDA TECNOLÓGICA
Artículo 9. Revocatoria de la autorización y/o supresión del dato. Los Titulares podrán en todo Luego es indispensable poder identificar en Solución de seguridad en bases de datos momento solicitar al Responsable o Encargado la donde está toda la información de los que hace un análisis de en donde están las supresión de sus datos personales y/o revocar la Titulares, en qué bases de datos y donde está bases de datos y una vez ubicadas verificar autorización otorgada para el Tratamiento de los la información sensible y poder atender muy qué información sensible contienen. Puede mismos, mediante la presentación de un reclamo, rápidamente dentro de los plazos ser adquirida como tecnología o tercerizado de acuerdo con lo establecido en el artículo 15 de la establecidos los reclamos presentados. el servicio. Ley 1581 de 2012. Artículo 18. Procedimientos para el adecuado Tratamiento de los datos personales. Los El procedimiento requiere la utilización de procedimientos de acceso, actualización, supresión tecnologías de apoyo que tengan ubicada la Solución de control de usuarios y rectificación de datos personales y de revocatoria información, pueda ser procesada en los privilegiados y solución de control de de la autorización deben darse a conocer o ser tiempos requeridos y se tenga el control de seguridad para bases de datos. fácilmente accesibles a los Titulares de la acceso que garantice que solo los información e incluirse en la política de Tratamiento autorizados pueden entrar. de la información. Artículo 19. Medidas de seguridad. La En este punto se debe estar pendiente de Superintendencia de Industria y Comercio impartirá qué tiene previsto la Superintendencia de las instrucciones relacionadas con las medidas de Industria y Comercio en materia de seguridad en el Tratamiento de datos personales. seguridad.
APOYO A CUMPLIMIENTO SOBRE LA NORMA 1581 DE 2012 LO PERTINENTE QUE INCLUYE EL DECRETO REGLAMENTARIO 1377 DE 2013 ARTÍCULO
ARGUMENTO
AYUDA TECNOLÓGICA
Artículo 21. Del derecho de acceso. Los Responsables y Encargados del Tratamiento deben establecer mecanismos sencillos y ágiles que se encuentren permanentemente disponibles a los Titulares con el fin de que Se requieren soluciones de múltiples estos puedan acceder a los datos personales que estén bajo el control de Se debe garantizar que el usuario que formas de autenticación, que sirvan aquéllos y ejercer sus derechos sobre los mismos. accede a sus datos y puede modificarlos es igual para diferentes canales, fáciles El Titular podrá consultar de forma gratuita sus datos personales: (i) al el Titular. de implementar y de bajo costo o menos una vez cada mes calendario, y (ii) cada vez que existan costo cero para los Titulares. modificaciones sustanciales de las Políticas de Tratamiento de la información que motiven nuevas consultas.
Los Responsables y Encargados designan Debe verificarse mediante una Artículo 23. Medios para el ejercicio de los derechos. Todo Responsable y personas o areas para que asuman las revisión interna o una consultoría Encargado deberá designar a una persona o área que asuma la función de funciones. Todos ellos deben estar jurídica y tecnológica el protección de datos personales, que dará trámite a las solicitudes de los blindados en el sentido de tener la garantía cumplimiento de lo solicitado en la Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de que las instituciones hacen lo debido y a su norma o lo que se requiere para llegar 2012 y el presente Decreto. vez los protegen de no tener las a ese cumplimiento. herramientas y los procesos adecuados.
APOYO A CUMPLIMIENTO SOBRE LA NORMA 1581 DE 2012 LO PERTINENTE QUE INCLUYE EL DECRETO REGLAMENTARIO 1377 DE 2013 ARTÍCULO
ARGUMENTO
AYUDA TECNOLÓGICA
Artículo 26. Demostración. Los Responsables del Tratamiento de datos personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y este Decreto, en una manera que sea proporcional a lo Debe verificarse mediante una siguiente: revisión interna o una consultoría Las entidades y empresas deben poder 1. La naturaleza jurídica del Responsable y, cuando sea del caso, su tamaño jurídica y tecnológica el demostrar que están cumpliendo con la empresarial, teniendo en cuenta si se trata de una micro, pequeña, cumplimiento de lo solicitado en la norma. mediana o gran empresa, de acuerdo con la normativa vigente. norma o lo que se requiere para llegar 2. La naturaleza de los datos personales objeto del Tratamiento. a ese cumplimiento. 3. El tipo de Tratamiento. 4~ Los riesgos potenciales que el referido tratamiento podrían causar sobre los derechos de los Titulares.
¿
Quiénes son los interesados?
OPERACION DE SEGURIDAD Políticas Tiempo Real Rastro seguro de auditoria Bloqueo a información sensible Minería de datos & forense
CUMPLIMIENTO DE AUDITORIA Segregación de tareas Reportes Mejores Practicas Controles Automatizados
BASES DE DATOS Y APLICACIONES • • • •
Impacto Mínimo Administración de Cambios Optimización de Desempeño Parches y Configuración
Recomendacion para una Buena Implementación
Comprender los accessos a los datos (quién, qué, cuándo, dónde, cómo)
Alertar en accesos noautorizados en tiempo-real (cambios en esquemas, modificar procedimientos almacenados, errores, logins fallidos)
Detener accesos no autorizados (pasivo o en-linea)
visibilidad 43
detección
prevención
Resumen & Conclusiones •
Manejo de logs tradicionales, escaneo de redes, SIEM & DLP son insuficientes para asegurar el valor de las bases de datos – No existe monitoreo en tiempo real a nivel datos para detectar accesos no autorizados – Inhabilidad de detección de fraude a nivel aplicación – No hay conocimiento sobre comandos de DBMS, vulnerabilidades y estructuras – El logging/auditing nativo requiere de cambios en la base e impacta el desempeño
•
Guardium es las solución más utilizada, en centros de datos a nivel mundial de gran demanda – Arquitectura escalable – Soporte múltiples plataformas
– 100% visibilidad y control granular – Automatización para reducir la carga de trabajo
Presencia Local en:
Gracias
Argentina Chile Colombia
Perú Av. Providencia 1760, Of. 1601 Fonos: 562 – 22905900 - 26780400
MUCHAS GRACIAS!!!