Tres formas sencillas de evitar ataques a bases de datos similares a Miau



El mayor problema al que se enfrenta la seguridad de la base de datos en la actualidad es la desconexión entre los equipos de seguridad y los administradores de bases de datos que comienza desde el momento de la configuración y continúa durante todo el ciclo de vida de la base de datos.

En los recientes ataques de Meow, más de 1,000 bases de datos expuestas en la Web fueron borradas por actores desconocidos que borraron repositorios enteros, dejando atrás solo la palabra «miau». Para la persona promedio, la eliminación de bases de datos enteras y el dejar una tarjeta de llamada cada vez, suena como el trabajo de maestros piratas informáticos con un potencial catastrófico. Si bien son teatrales y un golpe para los propietarios de la foundation de datos, estos ataques ocurren con frecuencia y no deberían ser una sorpresa tan grande.

Tras un examen más detenido, estas infracciones afectaron las «versiones ligeras» de los proveedores de bases de datos en lugar de las versiones completas. Una versión ligera tiene una funcionalidad limitada y está disponible de forma gratuita en un sitio net. Los DBA y los desarrolladores que no se centran en la seguridad y no tienen un equipo / proceso para pensar en los controles de seguridad tienden a configurarse en estas versiones ligeras, almacenando datos confidenciales pero generalmente descuidando activar características de seguridad importantes pero básicas como la autenticación. Como resultado, cualquiera puede iniciar sesión, ni siquiera necesita un nombre de usuario.

Los DBA serios, personas que realmente se preocupan por la seguridad de la base de datos, generalmente no instalan nada, freemium o de otro tipo, sin requerir autenticación. Por lo general, tampoco instalan cosas en la Net pública. Las personas cuyos datos fueron destruidos por los ataques de Meow ni siquiera habían abordado el mínimo de seguridad, y mucho menos lo que se describiría como seguridad adecuada. Entonces, una brecha no es tan sorprendente.

Aquellos que saben no hablan
Las bases de datos, por su naturaleza, son el lugar donde las empresas almacenan sus datos, por lo que cualquier ataque contra ellas es más serio, ya que podría exponer información confidencial, y mucha de ella. Cuando el titular dice «Más de 1000 bases de datos eliminadas en un ataque misterioso», tiene sentido que la historia capte la atención del público. Es un titular atractivo que interesaría incluso a un lector en normal, sin embargo, en este caso distinct, el titular es más dramático que el evento genuine.

El nivel common de sofisticación de estos ataques es relativamente bajo y representa una pequeña amenaza para las bases de datos seguras y configuradas correctamente. En este caso, la brecha fue tan uncomplicated como escanear un puerto predeterminado en los servidores y aprovechar una situación en la que no se requerían nombre de usuario ni contraseñas. Es algo que no requiere más que una conciencia de piratería básica o media.

La historia nos muestra que los problemas reales en torno a la seguridad de las bases de datos son mucho más sofisticados de lo que vemos aquí, y las infracciones a las bases de datos debidamente protegidas generalmente no se reconocen fácilmente y mucho menos se discuten. De hecho, incluso cuando se requiere que una empresa reconozca una infracción, a menudo no comentan qué sucedió exactamente. Ni la empresa con la infracción ni la empresa que los ayuda con la investigación pueden discutir los detalles y, por lo tanto, irónicamente, los ataques importantes no acaparan los titulares ni son de conocimiento público.

El mayor problema al que se enfrenta la seguridad de la base de datos en la actualidad es la desconexión entre los equipos de seguridad y los administradores de bases de datos que comienza desde el momento de la configuración y continúa durante todo el ciclo de vida de la foundation de datos. Si la persona responsable de la configuración de la foundation de datos fuera un profesional de la seguridad, probablemente habría prestado mayor atención a las salvaguardas de seguridad básicas y habría asegurado una configuración adecuada. Desafortunadamente, en estos casos, la persona que posee, configura y administra estas bases de datos es un DBA o desarrollador que necesita la base de datos. Y debido a que a menudo no tienen experiencia en seguridad, cometen errores obvios relacionados con problemas básicos de seguridad.

Después de la configuración, queda una falta de claridad sobre quién es responsable de la seguridad de la base de datos. ¿Es la persona que creó y usa la base de datos o es el equipo de seguridad? La respuesta debería ser una combinación porque, en última instancia, ninguno de los dos es adecuado para el trabajo por sí solo. Los administradores de bases de datos responsables de crear y mantener el repositorio no saben lo suficiente sobre seguridad porque no está en su formación sin embargo, los equipos de seguridad a menudo no comprenden la complejidad del repositorio de datos. Cuando protege sistemas operativos en un entorno típico, protege dos sistemas operativos, Home windows y Linux. Con las bases de datos, puede proteger docenas, cada una con un modelo y una curva de aprendizaje diferentes.

Existe una gran brecha de habilidades en el mundo de la seguridad de las bases de datos. Muy pocos equipos poseen el conocimiento institucional de cómo proteger las crecientes listas de bases de datos que se utilizan hoy en día, y el problema crece a medida que crece la complejidad de nuestros entornos. Esa realidad, combinada con prácticas deficientes de seguridad de los administradores de bases de datos, incluso en el nivel más básico, permite que hacks simples como Meow tengan éxito y logren mucho más de lo que deberían. Si bien tal vez no sea una brecha tan significativa o reveladora como muchas de las que nunca escucharemos, las brechas llamativas de Meow nos brindan la oportunidad de llamar la atención sobre los principales problemas subyacentes en la seguridad de la foundation de datos para garantizar que se implementen las medidas correctas antes de un daño authentic. es causado.

Hasta entonces, los administradores de bases de datos o cualquier persona que administre una foundation de datos debe seguir los siguientes tres pasos para reducir significativamente las posibilidades de una infracción como Meow:

  • Utilice prácticas de autenticación sólidas en todas las situaciones en las que se trate de bases de datos.
    En la mayoría de los casos, el producto del proveedor requiere autenticación por defecto. A menudo, los administradores de bases de datos y los desarrolladores tienen prisa por poner en marcha una herramienta y están tentados a tomar atajos para hacer que una herramienta sea más accesible y cumplir con una fecha límite. Siempre es una mala concept. No escatime en seguridad.
  • Asegúrese de que las personas clave de la organización sepan quién es responsable de la seguridad de la base de datos.
    Con frecuencia, las personas que poseen, configuran y administran estos entornos no tienen experiencia en seguridad de bases de datos. Los DBA y los desarrolladores necesitan comunicarse y aprender de sus equipos de seguridad para hacer cosas como definir usuarios, roles y privilegios basados ​​en principios de privilegios mínimos para hacer que las bases de datos sean lo más seguras posible. También deben decidir quién es responsable de la seguridad typical de la foundation de datos.
  • Suponga que todos los datos de su foundation de datos son datos potencialmente confidenciales.
    Identificar y proteger los datos confidenciales es algo con lo que incluso los equipos de seguridad experimentados luchan y algunos datos a menudo se escapan. Los equipos de seguridad deben trabajar diligentemente para proteger cada foundation de datos que instale, independientemente de los datos que crea que pueden contener. Más vale prevenir que lamentar.

Ron Bennatan es CTO y cofundador de jSonar Inc. Ha sido un «tipo de seguridad de datos» durante 25 años y ha trabajado en empresas como J.P. Morgan, Merrill Lynch, Intel, IBM y AT&T Bell Labs. Fue cofundador y CTO en Guardium, que fue adquirida por IBM, donde más tarde … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic