Buenas prácticas de seguridad y auditoría en bases de datos Oracle

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / [email protected] CJava, siempre para apoyarte.


Tema de conferencia:

Buenas Prácticas de Seguridad y Auditoría en Bases de Datos Oracle

Ing. Alvaro Machaca TolaISO 27001 AI, CEH, CCNA


Perfil del expositor

Soy Licenciado en Informática con mención en Ingeniería de Sistemas, cuento un Diplomado en Seguridad Informática, actualmente soy certificado internacionalmente como: ISO 27001 Auditor Interno, CEH y CCNA.

Trabajé en áreas de seguridad de la información, riesgo tecnológico, auditoria y cumplimiento en entidades financieras y una firma global de auditoria en Bolivia.

Contactos:

E-mail: [email protected]

LinkedIn: https://bo.linkedin.com/in/alvaro-machaca-tola-00785b42

Twitter: @Alvaro_Machaca

mailto:[email protected]

https://bo.linkedin.com/in/alvaro-machaca-tola-00785b42

https://twitter.com/Alvaro_Machaca


Contenido

I. Entendiendo lo que es seguridad

II. Buenas prácticas de seguridad

III. Entendiendo lo que es auditoría

IV. Aspectos a considerar en un proceso de auditoría

V. Auditoría en Bases de Datos

VI. Buenas prácticas de seguridad en Bases de Datos Oracle

VII. Conclusiones



• Es el estado o sensación de bienestarque percibe el ser humano.

• Lo que busca la seguridad es la gestión del riesgo y los planes de acción que se llevan a cabo para tratarlo.



• En el ámbito tecnológico se habla de seguridad informática, que trata sobre la gestión de riesgos tecnológicos que puedan impactar sobre los recursos tecnológicos.

• Al hablar de recursos tecnológicos nos referimos a infraestructura como servidores, equipos de telecomunicación, estaciones de trabajo, dispositivos móviles, centros de datos entre otros.



• En el ámbito de la información se habla de seguridad de la información, que trata sobre la gestión de riesgos en general que puedan impactar a los recursos o activos de información.

• Al hablar de activos de información nos referimos a hojas de cálculo, informes, presentaciones, planes de trabajo, estrategias corporativas entre otros.



• Las buenas prácticas son acciones recomendadas por organizaciones y expertos de un ámbito específico, que permite reducir el riesgo de que una determinada amenaza se materialice y genere un impacto sobre algún activo.



• En seguridad informática las buenas prácticas tienen el objetivo de fortalecer los activos tecnológicos y esto se logra a través de configuraciones segurasy una adecuada gestión de la tecnología enfocada en riesgos.



• En seguridad de la información las buenas prácticas tienen el objetivo de fortalecer el uso adecuado y seguro de la información y esto se logra a través de hábitos de los usuarios para administrar la información y los medios que los contienen dentro y fuera del trabajo en base a una política de seguridad establecida.



• Auditoría es el proceso de evaluar de manera independiente a un sistema o proceso de acuerdo a una metodología con el objetivo de emitir una opinión independientesobre la evaluación.



• Una auditoría de seguridad de sistemas de información, es la evaluación de los activos tecnológicos para identificar vulnerabilidades o debilidades en los sistemas o procesos y de esta manera evidenciar hallazgos que determinen que los sistemas salvaguardan la información que se procesa, transmite o almacena.


IV. Aspectos a considerar en un proceso de

auditoría


IV. Aspectos a considerar en un proceso de auditoría

a. El auditor no tiene un conocimiento profundo de todos los procesos de la empresa.

b. El auditor da una opinión en base a estándares internacionales y mejores prácticas de la industria.

c. El auditor debe trabajar bajo un enfoque de riesgo.

d. El auditor tiene la última palabra al emitir el informe final, pero la empresa es la que toma la decisión final.

e. El auditor NO es tu enemigo.



• La auditoría en Bases de Datos es la actividad que permite evaluar e identificar debilidades en la gestión de la Base de Datos. El objetivo principal es que pueda evidenciarse la alineación con el logro de los objetivos de la empresa y el resguardo de la confidencialidad, integridad y disponibilidad de los datos.


VI. Buenas prácticas de seguridad en Bases de

Datos Oracle



Actualización de Parches de seguridad

Es fundamental que se instalen las últimas versiones de parches de seguridad. Además debe existir una política de actualización de manera periódica.

Riesgo

Un atacante podría explotar una determinada vulnerabilidad por la ausencia de instalación de parches de seguridad.

cd $ORACLE_HOME/Opatch

./opatch lsinventory



Sitios a consultar

Algunos sitios para consultar sobre vulnerabilidades son los siguientes:

https://web.nvd.nist.gov

https://cve.mitre.org

https://support.oracle.com

https://web.nvd.nist.gov/

https://cve.mitre.org/

https://support.oracle.com/



Contraseñas por defecto

Es fundamental que las cuentas por defecto con contraseñas predeterminadas sean modificadas.

Riesgo

Un atacante podría utilizar alguna de estas cuentas debido a que no se modificó la contraseña por defecto.

SELECT USERNAME

FROM DBA_USERS_WITH_DEFPWD

WHERE USERNAME NOT LIKE

'%XS$NULL%';



Sitios a consultar

Algunos sitios donde encontrar herramientas de auditoria y creación de contraseñasseguras son los siguientes:

https://www.secure-bytes.com

https://identitysafe.norton.com/password-generator

http://passwordsgenerator.net/

https://www.secure-bytes.com/

https://identitysafe.norton.com/password-generator

http://passwordsgenerator.net/



AUDIT_SYS_OPERATIONSEs fundamental que esta opción sea activada para registrar las pistas de auditoría emitidas por los usuarios bajo las cuentas SYSOPER y SYSDBA.

RiesgoNo sería posible tener trazabilidad sobre las acciones realizadas por usuarios con privilegios de SYSDBA y SYSOPER.

Nota: En Oracle 12c esta opción viene por defecto en TRUE

SELECT UPPER(VALUE)

FROM V$PARAMETER

WHERE UPPER(NAME) =

'AUDIT_SYS_OPERATIONS';



AUDIT_TRAIL

Es fundamental que esta opción se encuentre configurada con alguna de las siguientes opciones OS, DB, DB EXTENDED, XML O XML EXTENDED.

Riesgo

No contaríamos con registros de auditoría de la base de datos.

SELECT UPPER(VALUE)

FROM V$PARAMETER

WHERE

UPPER(NAME)='AUDIT_TRAIL';



FAILED_LOGIN_ATTEMPTS

Es importante que el valor de este parámetro sea menor o igual a cinco intentos.

Riesgo

Podrían generarse ataques de fuerza bruta en el proceso de login.

SELECT PROFILE,

RESOURCE_NAME, LIMIT

FROM DBA_PROFILES

WHERE

RESOURCE_NAME='FAILED_LOG

IN_ATTEMPTS'

AND

(

LIMIT = 'DEFAULT'

OR LIMIT = 'UNLIMITED'

OR LIMIT > 5

);



PASSWORD_LIFE_TIME

Es importante que el valor de este parámetro sea menor o igual a 90 días.

Riesgo

Podrían generarse ataques de fuerza bruta sobre las cuentas de usuarios.

SELECT PROFILE,

RESOURCE_NAME, LIMIT

FROM DBA_PROFILES

WHERE

RESOURCE_NAME='PASSWORD_L

IFE_TIME'

AND

(

LIMIT = 'DEFAULT'

OR LIMIT = 'UNLIMITED'

OR LIMIT > 90

);



Privilegios y cuentas de usuarios

Es importante que la empresa defina los perfiles y privilegios que se otorgaran a los usuarios. Esto debe ser aprobado por la alta dirección y ser monitoreado periódicamente.

Riesgo

Usuarios no autorizados podrían tener acceso a información crítica.

Tablas importantes a revisar:

DBA_USERS

DBA_ROLE_PRIVS

DBA_SYS_PRIVS


VII. Conclusiones


VII. Conclusiones

1. Realice una administración de Bases de Datos con un enfoque en Riesgos.

2. Utilice Security Benchmarks para lineamientos y buenas prácticas de seguridad actuales.

3. Consulte sitios oficiales de normas y estándares de seguridad.

4. Consulte sitios oficiales para realizar una gestión adecuada de vulnerabilidades.

5. Piense de forma segura tanto en el trabajo como en la vida real.


VII. Conclusiones

https://benchmarks.cisecurity.org/

http://www.iso.org/iso/iso27001

http://www.iso27000.es/

https://www.pcisecuritystandards.org/pci_security/

https://www.owasp.org/index.php/OWASP_Backend_Security_Project_Oracle_Hardening

https://benchmarks.cisecurity.org/

http://www.iso.org/iso/iso27001

http://www.iso27000.es/

https://www.pcisecuritystandards.org/pci_security/

https://www.owasp.org/index.php/OWASP_Backend_Security_Project_Oracle_Hardening


Gracias

Buenas prácticas de seguridad y auditoría en bases de datos Oracle

Technology

Transcript of Buenas prácticas de seguridad y auditoría en bases de datos Oracle