La información en la mira de la delincuencia
(América Latina) Recientemente, un gran número de violaciones de datos ha ido ganando los titulares internacionales sacando a la luz una realidad incómoda: no importa el tamaño o tipo de negocio, si involucra manejo de información valiosa, está en el radar de los criminales.
Es por eso que las empresas deben estar un paso delante de los criminales e implementar una estrategia de seguridad multicapa que proteja no sólo sus redes y aplicaciones sino también sus bases de datos.
Existe un mito común entre las empresas respecto de que si sus redes y aplicaciones están protegidas, por consecuente sus bases de datos también. Un objetivo del atacante es acceder a los datos que maneja el negocio. Esos datos es más probable que estén almacenados en una base de todos y por lo tanto, necesita su protección propia. Fallar en la protección de la base de datos es como poner sus objetos de valor en una caja fuerte pero dejando la puerta abierta y desbloqueada, lo que por supuesto, nadie nunca haría.
Los expertos en seguridad han analizado miles de violaciones de redes de datos empresariales y de gobiernos durante los últimos años, identificando las principales técnicas de ataque utilizadas por los delincuentes que tratan de acceder a la información de valor y penetrar las defensas. Estas técnicas incluyen el lanzamiento de ataques vía phishing y exploración de fallas de seguridad para infiltrar amenazas tipo dia-cero; extrayendo contraseñas directamente de los empleados y usando el viejo truco de SQL con amenazas de inyección de espera. Una vez que el atacante tiene acceso a la red, todas las defensas perimetrales están derrotadas. Sólo los controles de seguridad internos permanecen. Si usted no está protegiendo sus bases de datos, se acabó el juego.
Nuestros expertos ven con frecuencia las bases de datos expuestas durante la realización de pruebas de penetración en las redes y aplicaciones de las empresas. Las pruebas de penetración ayudan a las empresas a identificar y corregir las deficiencias en seguridad antes de que sea demasiado tarde. Por lo general, cuando nuestros hackers éticos realizan este tipo de pruebas, ellos encuentran una grieta en la armadura en el perímetro de la red del cliente y obtienen acceso interno. A partir de allí, descubrimos que la mayoría de las empresas han dejado la puerta de sus bases de datos abierta
Las compañías necesitan pensar como los criminales y desarrollar defensas en torno a todos los aspectos de su infraestructura que contienen datos valiosos, en especial, sus bases de datos. Un enfoque riguroso de la base de datos y la seguridad de la aplicación, complementado por una seguridad adecuada en el perímetro de la red, crea una postura de defensa en capas, así mientras más cerca de su objetivo se encuentra el atacante más difícil se hace avanzar sin ser detectado.
¿Qué medidas de seguridad deben poner en marcha las empresas para ayudar a proteger sus bases de datos?
1. Comience escribiendo un plan de seguridad de base de datos que detalle el proceso de cómo se protegerán y asigne responsabilidades a las distintas partes interesadas.
2. Lleve a cabo una evaluación de riesgos para ubicar las bases de datos que contienen información sensible, e identifique vulnerabilidades o ajustes de seguridad mal configurados.
3. Implemente protecciones para las aplicaciones web que encuentren delante de las bases de datos como Web Application Firewalls, así como prácticas de codificación segura.
4. Instale tecnología que limite los privilegios de acceso a redes, aplicaciones y bases de datos para que sólo aquellos que necesitan acceso lo obtengan.
5. Por último, las bases de datos deben ser monitoreadas constantemente contra los ataques, el abuso y mal uso. Y si se produce un problema, un plan de respuesta a incidentes debe estar listo para ser puesto en acción de inmediato.
Las empresas pueden encontrar que no tienen el personal o las habilidades dentro de la misma para gestionar eficazmente este tipo de plan de seguridad. Si ese es el caso, deben aumentar su personal mediante la contratación o asociación con un equipo de expertos en seguridad cuya única responsabilidad sea vigilar asegurar que las herramientas de seguridad más eficaces están instaladas y funcionan correctamente con el fin de prevenir riesgos en esos datos.
Tomar estas precauciones puede significar la diferencia entre un ataque frustrado y ser la próxima víctima de una importante violación de datos.
Por Joshua Shaul, Director de Servicios Administrados de Trustwave
