Autor: Jesús Vega, regional sales director de Imperva en Iberia
Quizás alguna vez se haya preguntado ¿por qué las bases de datos tienen la tasa más alta de violaciones entre todos los activos de la empresa? La respuesta es sencilla: son el corazón de cualquier organización, donde se almacenan registros de clientes y otros datos confidenciales del negocio muy atractivos tanto para hackers como insiders maliciosos.
Según el Informe de Verizon, Data Breach, en 2012, el 96% de los registros que fueron vulnerados provenían de bases de datos. Adicionalmente, la Open Security Foundation revela que también, durante dicho periodo, 242,6 millones de registros resultaron potencialmente comprometidos.
Una de las razones para explicar esta fragilidad la encontramos en el hecho de que las organizaciones no protegen estos activos de forma adecuada. En este contexto, y de acuerdo con IDC, menos del 5% de los 27.000 millones de dólares invertidos en 2011 en productos de seguridad fue destinado a la salvaguarda de los centros de datos.
A tenor de esta realidad, surgen diversas disyuntivas ¿Qué hacer? ¿Cómo actuar? La argumentación es simple: el riesgo de violación contra una base de datos puede ser mitigado mediante la implementación de controles internos y siguiendo las mejores prácticas de la industria. Sin embargo, antes es necesario entender cómo se rige y funciona el siempre cambiante panorama de amenazas, ya que cuando los hackers e insiders maliciosos acceden a datos sensibles, rápidamente son capaces de extraer valor, infligir daño o impactar en las operaciones de negocio. Esta situación, además de pérdidas financieras y daños a la reputación, puede dar lugar a violaciones de la reglamentación y/o a multas.
Principales peligros que atentan contra la seguridad de los Centros de Datos
De unos años a esta parte, el panorama no ha evolucionado, aunque sí ha variado su clasificación. Así, en este contexto, han emergido nuevos peligros al amparo de estas amenazas. Tal es el caso del de los incidentes que utilizan el malware como ariete, ataques avanzados que combinan múltiples tácticas tales como spearphishing y malware para penetrar en las organizaciones y robar sus datos confidenciales; o la falta de inversión en expertise de seguridad TI y en formación, la cual, y pese a no ser una amenaza técnica propiamente dicha, se ha demostrado que impacta negativamente en la salvaguarda de los datos.
No obstante, los mayores peligros van en la actualidad por otros derroteros. Tal es el caso de la concesión de privilegios de bases de datos que exceden los requerimientos de un determinado puesto de trabajo, o el abuso de los mismos por parte de determinados usuarios con el fin de substraer información confidencial; dos amenazas patentes y que pueden crear un riesgo innecesario para las empresas.
La ausencia de soluciones de seguridad adecuadas para frenar un ataque de inyección SQL, el cual puede otorgar acceso sin restricciones a una base de datos completa, o la no recopilación de registros de auditoría detallados de las transacciones de bases de datos que implican datos sensibles, son también significativos. Asimismo, lo es la desprotección de los medios de almacenamiento para backup, que puede conllevar violaciones de seguridad y/o robo de discos o cintas.
Por otro lado, es común encontrar bases de datos vulnerables y sin parches, o descubrir otras que poseen cuentas y parámetros de configuración por defecto. Los atacantes saben cómo explotar estas vulnerabilidades para lanzar ataques contra las empresas. De igual manera, la mala gestión de los datos sensibles puede provocar que éstos queden expuestos a múltiples amenazas si no se aplican los controles y permisos necesarios.
Por último, los ataques de Denegación de Servicio (DoS), cuyas motivaciones a menudo están vinculadas a fraudes de extorsión en el que un atacante remoto repetidamente atacará los servidores hasta que la víctima cumpla con sus exigencias, cierra esta clasificación.
Una estrategia de defensa en capas
A tenor de esta agrupación, y dado que existen muchos tipos de vectores de ataques asociados con cada amenaza, una estrategia de defensa en capas para la prevención de las violaciones contra las bases de datos, utilizando las mejores prácticas de la industria, puede ser la táctica de protección más exitosa. De hecho, la mayor parte de estos peligros pueden abordarse mediante la utilización de una plataforma automatizada de Auditoria y Protección de Base de Datos (Database Auditing and Protection –DAP-) un enfoque que mejora la seguridad, simplifica el cumplimiento normativo y aumenta la eficiencia operativa. De esta forma, las organizaciones podrán satisfacer los requisitos globales de cumplimiento y las mejores prácticas de la industria en materia de protección de datos y de mitigación de riesgos.
