Buenas prácticas de seguridad y auditoría en bases de datos Oracle
-
Upload
alvaro-machaca-tola -
Category
Technology
-
view
74 -
download
1
Transcript of Buenas prácticas de seguridad y auditoría en bases de datos Oracle
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
Tema de conferencia:
Buenas Prácticas de Seguridad y Auditoría en Bases de Datos Oracle
Ing. Alvaro Machaca TolaISO 27001 AI, CEH, CCNA
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
Perfil del expositor
Soy Licenciado en Informática con mención en Ingeniería de Sistemas, cuento un Diplomado en Seguridad Informática, actualmente soy certificado internacionalmente como: ISO 27001 Auditor Interno, CEH y CCNA.
Trabajé en áreas de seguridad de la información, riesgo tecnológico, auditoria y cumplimiento en entidades financieras y una firma global de auditoria en Bolivia.
Contactos:
E-mail: [email protected]
LinkedIn: https://bo.linkedin.com/in/alvaro-machaca-tola-00785b42
Twitter: @Alvaro_Machaca
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
Contenido
I. Entendiendo lo que es seguridad
II. Buenas prácticas de seguridad
III. Entendiendo lo que es auditoría
IV. Aspectos a considerar en un proceso de auditoría
V. Auditoría en Bases de Datos
VI. Buenas prácticas de seguridad en Bases de Datos Oracle
VII. Conclusiones
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
I. Entendiendo lo que es seguridad
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
I. Entendiendo lo que es seguridad
• Es el estado o sensación de bienestarque percibe el ser humano.
• Lo que busca la seguridad es la gestión del riesgo y los planes de acción que se llevan a cabo para tratarlo.
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
I. Entendiendo lo que es seguridad
• En el ámbito tecnológico se habla de seguridad informática, que trata sobre la gestión de riesgos tecnológicos que puedan impactar sobre los recursos tecnológicos.
• Al hablar de recursos tecnológicos nos referimos a infraestructura como servidores, equipos de telecomunicación, estaciones de trabajo, dispositivos móviles, centros de datos entre otros.
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
I. Entendiendo lo que es seguridad
• En el ámbito de la información se habla de seguridad de la información, que trata sobre la gestión de riesgos en general que puedan impactar a los recursos o activos de información.
• Al hablar de activos de información nos referimos a hojas de cálculo, informes, presentaciones, planes de trabajo, estrategias corporativas entre otros.
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
II. Buenas prácticas de seguridad
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
II. Buenas prácticas de seguridad
• Las buenas prácticas son acciones recomendadas por organizaciones y expertos de un ámbito específico, que permite reducir el riesgo de que una determinada amenaza se materialice y genere un impacto sobre algún activo.
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
II. Buenas prácticas de seguridad
• En seguridad informática las buenas prácticas tienen el objetivo de fortalecer los activos tecnológicos y esto se logra a través de configuraciones segurasy una adecuada gestión de la tecnología enfocada en riesgos.
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
II. Buenas prácticas de seguridad
• En seguridad de la información las buenas prácticas tienen el objetivo de fortalecer el uso adecuado y seguro de la información y esto se logra a través de hábitos de los usuarios para administrar la información y los medios que los contienen dentro y fuera del trabajo en base a una política de seguridad establecida.
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
III. Entendiendo lo que es auditoría
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
III. Entendiendo lo que es auditoría
• Auditoría es el proceso de evaluar de manera independiente a un sistema o proceso de acuerdo a una metodología con el objetivo de emitir una opinión independientesobre la evaluación.
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
III. Entendiendo lo que es auditoría
• Una auditoría de seguridad de sistemas de información, es la evaluación de los activos tecnológicos para identificar vulnerabilidades o debilidades en los sistemas o procesos y de esta manera evidenciar hallazgos que determinen que los sistemas salvaguardan la información que se procesa, transmite o almacena.
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
IV. Aspectos a considerar en un proceso de
auditoría
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
IV. Aspectos a considerar en un proceso de auditoría
a. El auditor no tiene un conocimiento profundo de todos los procesos de la empresa.
b. El auditor da una opinión en base a estándares internacionales y mejores prácticas de la industria.
c. El auditor debe trabajar bajo un enfoque de riesgo.
d. El auditor tiene la última palabra al emitir el informe final, pero la empresa es la que toma la decisión final.
e. El auditor NO es tu enemigo.
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
V. Auditoría en Bases de Datos
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
V. Auditoría en Bases de Datos
• La auditoría en Bases de Datos es la actividad que permite evaluar e identificar debilidades en la gestión de la Base de Datos. El objetivo principal es que pueda evidenciarse la alineación con el logro de los objetivos de la empresa y el resguardo de la confidencialidad, integridad y disponibilidad de los datos.
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
VI. Buenas prácticas de seguridad en Bases de
Datos Oracle
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
VI. Buenas prácticas de seguridad en Bases de Datos Oracle
Actualización de Parches de seguridad
Es fundamental que se instalen las últimas versiones de parches de seguridad. Además debe existir una política de actualización de manera periódica.
Riesgo
Un atacante podría explotar una determinada vulnerabilidad por la ausencia de instalación de parches de seguridad.
cd $ORACLE_HOME/Opatch
./opatch lsinventory
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
VI. Buenas prácticas de seguridad en Bases de Datos Oracle
Sitios a consultar
Algunos sitios para consultar sobre vulnerabilidades son los siguientes:
https://web.nvd.nist.gov
https://cve.mitre.org
https://support.oracle.com
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
VI. Buenas prácticas de seguridad en Bases de Datos Oracle
Contraseñas por defecto
Es fundamental que las cuentas por defecto con contraseñas predeterminadas sean modificadas.
Riesgo
Un atacante podría utilizar alguna de estas cuentas debido a que no se modificó la contraseña por defecto.
SELECT USERNAME
FROM DBA_USERS_WITH_DEFPWD
WHERE USERNAME NOT LIKE
'%XS$NULL%';
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
VI. Buenas prácticas de seguridad en Bases de Datos Oracle
Sitios a consultar
Algunos sitios donde encontrar herramientas de auditoria y creación de contraseñasseguras son los siguientes:
https://www.secure-bytes.com
https://identitysafe.norton.com/password-generator
http://passwordsgenerator.net/
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
VI. Buenas prácticas de seguridad en Bases de Datos Oracle
AUDIT_SYS_OPERATIONSEs fundamental que esta opción sea activada para registrar las pistas de auditoría emitidas por los usuarios bajo las cuentas SYSOPER y SYSDBA.
RiesgoNo sería posible tener trazabilidad sobre las acciones realizadas por usuarios con privilegios de SYSDBA y SYSOPER.
Nota: En Oracle 12c esta opción viene por defecto en TRUE
SELECT UPPER(VALUE)
FROM V$PARAMETER
WHERE UPPER(NAME) =
'AUDIT_SYS_OPERATIONS';
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
VI. Buenas prácticas de seguridad en Bases de Datos Oracle
AUDIT_TRAIL
Es fundamental que esta opción se encuentre configurada con alguna de las siguientes opciones OS, DB, DB EXTENDED, XML O XML EXTENDED.
Riesgo
No contaríamos con registros de auditoría de la base de datos.
SELECT UPPER(VALUE)
FROM V$PARAMETER
WHERE
UPPER(NAME)='AUDIT_TRAIL';
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
VI. Buenas prácticas de seguridad en Bases de Datos Oracle
FAILED_LOGIN_ATTEMPTS
Es importante que el valor de este parámetro sea menor o igual a cinco intentos.
Riesgo
Podrían generarse ataques de fuerza bruta en el proceso de login.
SELECT PROFILE,
RESOURCE_NAME, LIMIT
FROM DBA_PROFILES
WHERE
RESOURCE_NAME='FAILED_LOG
IN_ATTEMPTS'
AND
(
LIMIT = 'DEFAULT'
OR LIMIT = 'UNLIMITED'
OR LIMIT > 5
);
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
VI. Buenas prácticas de seguridad en Bases de Datos Oracle
PASSWORD_LIFE_TIME
Es importante que el valor de este parámetro sea menor o igual a 90 días.
Riesgo
Podrían generarse ataques de fuerza bruta sobre las cuentas de usuarios.
SELECT PROFILE,
RESOURCE_NAME, LIMIT
FROM DBA_PROFILES
WHERE
RESOURCE_NAME='PASSWORD_L
IFE_TIME'
AND
(
LIMIT = 'DEFAULT'
OR LIMIT = 'UNLIMITED'
OR LIMIT > 90
);
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
VI. Buenas prácticas de seguridad en Bases de Datos Oracle
Privilegios y cuentas de usuarios
Es importante que la empresa defina los perfiles y privilegios que se otorgaran a los usuarios. Esto debe ser aprobado por la alta dirección y ser monitoreado periódicamente.
Riesgo
Usuarios no autorizados podrían tener acceso a información crítica.
Tablas importantes a revisar:
DBA_USERS
DBA_ROLE_PRIVS
DBA_SYS_PRIVS
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
VII. Conclusiones
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
VII. Conclusiones
1. Realice una administración de Bases de Datos con un enfoque en Riesgos.
2. Utilice Security Benchmarks para lineamientos y buenas prácticas de seguridad actuales.
3. Consulte sitios oficiales de normas y estándares de seguridad.
4. Consulte sitios oficiales para realizar una gestión adecuada de vulnerabilidades.
5. Piense de forma segura tanto en el trabajo como en la vida real.
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
VII. Conclusiones
https://benchmarks.cisecurity.org/
http://www.iso.org/iso/iso27001
http://www.iso27000.es/
https://www.pcisecuritystandards.org/pci_security/
https://www.owasp.org/index.php/OWASP_Backend_Security_Project_Oracle_Hardening
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.
Gracias