El uso de la tecnología ha generado ciertos problemas a las organizaciones, que día tras día son más vulnerables a las amenazas que se presentan en el medio, las cuales pueden llegar a convertirse en un verdadero riesgo para la organización afectando el correcto funcionamiento de las actividades del negocio. Para contrarrestar dichas amenazas, las organizaciones deben generar un plan de acción frente a éstas.
En el ámbito de la seguridad informática, las metodologías de análisis de riesgos conforman una disciplina que se articula desde los Sistemas de Gestión de Seguridad de la Información SGSI en las organizaciones, realizando unos importantes escaneos de vulnerabilidades mediante el uso de una serie de modelos y procesos con el fin de proponer una forma más segura de cuidar la información y los recursos de TI.
¿Qué es una Base de Datos?
Una base de datos es una colección de datos relacionados, se construyen siguiendo un diseño y se almacenan datos para realizar acciones específicas. Los datos que se almacenan en una base de datos tienen un origen y pertenecen o llevan relación con un evento en específico de la vida real, asimismo el contenido de las bases de datos es de interés de un grupo de usuarios activos.
Definición de Auditoría de Bases de Datos
La auditoría de bases de datos consiste en un proceso de monitoreo continuo y riguroso de los controles que la administración ha establecido dentro de los sistemas de bases de datos y todos sus componentes para obtener una seguridad razonable de la utilización adecuada de los datos que son almacenados por los usuarios mediante los sistemas de información.
Actualmente las empresas poseen gran cantidad de bases de datos que contienen información de alto valor. No solamente guardan datos sensibles para la compañía, como pueden ser registros financieros o cálculos de nómina de los empleados, sino que además almacenan entre otros, datos confidenciales de sus clientes como códigos de tarjetas de crédito o identificaciones fiscales.
Lea también: Auditoría de Calidad: Ejemplo y Guía
La publicación sobre casos de fraude y robos de datos han generado cierta preocupación entre la opinión pública. Por este se han puesto en marcha diversas normas legales que den respuesta a este problema. La combinación de la presión de la opinión pública y las normas legales obligan a la mayoría de empresas a proteger y auditar sus bases de datos más importantes.
Componentes Clave de la Auditoría
Cuando hablamos de auditoría de base de datos, el asunto más importante es quién toca qué datos y cuándo los toca. El “cómo” no es tan importante y por tanto, el conocimiento del SQL subyacente puede considerarse un elemento secundario. Para responder al “quién”, el producto debe ser capaz de capturar todo el contexto de sesión sin excepciones.
- Identificación de accesos: ¿Quién lo realizó? ¿De dónde fue realizado? ¿En qué fecha y hora fue ejecutada dicha acción?
- Tablas Involucradas: ¿Cuáles fueron las tablas involucradas?
- Aplicación de Origen: ¿Desde qué aplicación fue realizada?
Tanto si se trata de conexiones BEQ (en entornos Oracle), o conexiones de memoria compartida (en SQL Server) o cualquier otra modalidad de conexión. La posibilidad de pasar por alto algún tipo de conexión puede convertirse en un tremendo agujero de seguridad, por lo que hay que asegurarse de que el DBA conoce todas las posibles formas de conectarse a la base de datos.
Para responder a la pregunta “qué”, el producto debe ser capaz de identificar todos los accesos a las tablas físicas y saber si el acceso ha sido para lectura o para escritura. Al final de la jornada, los datos confidenciales que requieren protección están dentro de tablas. El producto tiene que registrar todos los accesos a estas tablas, tanto si se hace a través de vistas o de un sinónimo.
Tampoco es relevante el dato de si se accede a la información desde procedimientos almacenados, a consecuencia de un trigger o desde SQL dinámico generado desde un bloque de código.
Lea también: Auditoría y las Líneas de Defensa
El Rol del Administrador de Bases de Datos (DBA)
Hace algunos años, los administradores de bases de datos (DBAs) eran los encargados de salvaguardar la información, pero ahora se les ve como uno de los aspectos más vulnerables. El riesgo mayor es, posiblemente, el que va ligado a la figura del administrador de bases de datos (DBA). Sus actividades dan cuenta de hasta un 80 por ciento de las amenazas que afectan a las bases de datos, y es lógico que sea así: ellos poseen todas las claves y conocen todas las puertas y ventanas de acceso.
Los DBAs no solo deben tener un conocimiento preciso de las bases de datos en uso, sino también de qué tipo de datos hay en cada una y quién accede a ellas. Con su ayuda, los auditores pueden determinar qué bases de datos contienen información sujeta a medidas especiales de seguridad. Mantener un estricto control de seguridad de una base de datos es una tarea complicada.
Proceso de Auditoría
Una vez terminada la contabilización de todos los activos básicos -entre otros las bases de datos, los propios datos y los usuarios-, se pasa a la segunda fase. En ella se han de identificar las bases de datos con información sensible. Solamente puede darse acceso a aquellas personas que lo necesitan, y tiene que restringirse a aquel conjunto mínimo de objetos que cada uno necesita.
La auditoría exige la revisión de todas y cada una de las actividades producidas dentro de la base de datos y asegurarse de que se corresponden fielmente con las decisiones acordadas con los auditores. El concepto de auditoría abarca todo lo que tiene que ver con los riesgos y el control. Se tiene que identificar los riesgos y establecer los controles necesarios para mitigarlos.
Tecnología y Herramientas de Auditoría
La tecnología elegida es también esencial para una solución de auditoría. Hay que asegurarse de que la tecnología no permite que un DBA la desactive, como sucede con las herramientas de auditoría nativas. Además, es preciso asegurarse de que realmente captura todos los datos considerados críticos (conexiones de red, conexiones BEQ, SQL dinámico, procedimientos almacenados, triggers, sinónimos y vistas).
Lea también: Auditorías Ambientales: Una Guía
A diferencia de lo que sucede cuando se inspeccionan los registros financieros, resulta imposible revisar a mano todas y cada una de las sentencias ejecutadas en la base de datos. En consecuencia, estamos a merced del motor de reglas que incorpora el producto.
La facilidad de gestión del producto es otro detalle muy importante. Existen cientos de bases de datos con distintos tipos de usuarios y datos. El producto debe gestionar de manera razonable todos estos activos con un nivel adecuado de escalabilidad.
Oracle Audit Vault and Database Firewall (AVDF)
La última versión de Oracle Audit Vault and Database Firewall (AVDF) es la versión 14 (AVDF 20.14). Oracle Audit Vault and Database Firewall ahora se expande más allá de la monitorización de actividad de bases de datos para administrar la postura de seguridad de tu base de datos Oracle, mejorando las capacidades líderes en la industria de monitorización de actividades con visibilidad en la configuración de seguridad, los derechos de usuario y los procedimientos almacenados.
AVDF audita bases de datos y supervisa actividades SQL basadas en la red para ayudar a administrar la postura de seguridad de las bases de datos de Oracle y no Oracle alojadas on-premises o en la nube.
Relación entre Audit Vault y Database Firewall
AVDF admite la recopilación de auditorías nativas y la supervisión del tráfico SQL basado en la red. Todos los eventos de auditoría se almacenan en Oracle Audit Vault Server. Esto te permite correlacionar los datos de actividad y crear informes. Oracle recomienda un enfoque integral y soporta la auditoría de bases de datos y la supervisión del tráfico SQL basado en red.
AVDF es compatible con Oracle Database, Microsoft SQL Server, MySQL, IBM Db2, PostgreSQL, SAP Sybase, MongoDB y registros de sistemas operativos de Linux, Windows, Solaris y AIX. AVDF también admite trazas de auditoría escritas en archivos en formato XML, CSV y JSON. Puedes usar recolectores personalizados para recopilar los registros de auditoría y enviarlos al servidor para todos los demás objetivos, donde las trazas de auditoría se escriben en tablas de bases de datos.
Funcionalidades de AVDF
- Recopilación de datos: AVDF puede recopilar datos de auditoría de tablas de aplicaciones o archivos (XML, JSON, CSV).
- Estandarización de datos: AVDF asigna los datos a un formato estandarizado y los almacena en el repositorio de AVDF.
- Informes y análisis: Los datos recopilados están disponibles para informes, generación de alertas y análisis. Debido a que el formato está estandarizado en todas las fuentes, es posible consolidar información de todos los tipos de fuentes en un solo informe.
Diferencia entre Auditoría y Supervisión de Red
La auditoría captura normalmente información detallada después de un evento específico, ya sea directamente desde una declaración SQL o a través de una llamada a un procedimiento almacenado. La supervisión del tráfico SQL ayuda a analizar y actuar sobre la declaración SQL antes de que llegue a la base de datos, lo que hace posible bloquear declaraciones sospechosas.
En ambos casos, puedes especificar las condiciones bajo las cuales deseas recopilar las auditorías o los registros de eventos. Ambos brindan diferentes vistas del mismo evento: uno después y otro antes. Las alertas pueden activarse en ambos casos. Oracle recomienda un enfoque integral y soporta la auditoría de bases de datos y la supervisión del tráfico SQL basado en red.
Políticas de Auditoría y Firewall
AVDF proporciona una interfaz para ver tus políticas de auditoría de Oracle y, con un solo clic, aprovisionarlas en la base de datos objetivo. Para la política de Database Firewall, cuando se configura un punto de monitoreo de firewall de base de datos para el objetivo, la política predeterminada se aplica automáticamente.
Esta política predeterminada está configurada para todos los objetivos monitoreados por Database Firewall. Registra todos los inicios, cierres de sesión y las declaraciones DDL y DCL únicas entre sesiones para todas las tablas y vistas. También se pueden configurar políticas personalizadas de Database Firewall en la interfaz de usuario para permitir, registrar, alertar, sustituir o bloquear el SQL.
Además, se pueden configurar políticas de firewall para bases de datos de Oracle con el fin de capturar el número de filas devuelto por una declaración SQL SELECT, y utilizar esos datos para monitorear y alertar sobre intentos de extracción de datos. Puedes configurar Database Firewall para supervisar y bloquear o solo para supervisar.
Implementación de la Supervisión del Tráfico SQL
Para implementar la supervisión y el bloqueo, debes configurar el firewall en modo proxy, donde todo el tráfico de la base de datos se enruta a través de Database Firewall. Para implementar la supervisión del tráfico SQL basado en la red, puedes hacer que el puerto span de los switches de red envíe el tráfico al firewall de base de datos o puedes configurar el monitor del host en las máquinas de la base de datos para que reenvíe el tráfico SQL a Database Firewall.
Consolidación de Datos
Sí. El servidor Audit Vault consolida los datos de auditoría y el tráfico SQL de la red para proporcionar una vista unificada de toda la actividad de la base de datos a partir de los registros de auditoría o del tráfico SQL capturado.
Evaluación de Seguridad
Sí. AVDF 20.9 introduce una solución de evaluación de la seguridad centralizada y para toda la flota de empresas mediante la integración de la popular herramienta Database Security Assessment Tool (DBSAT) para bases de datos Oracle. La evaluación completa con asignaciones de cumplimiento y recomendaciones ayuda a las organizaciones a comprender claramente su postura de seguridad para todas sus bases de datos de Oracle en un lugar centralizado.
También se puede definir una línea base de evaluación y determinar la desviación de esa línea base visualizando informes de cambios de evaluación de seguridad. A partir de AVDF 20.9, los usuarios pueden descubrir datos sensibles y usuarios con privilegios para bases de datos Oracle.
Identificación de Usuarios Privilegiados y Objetos Sensibles
AVDF amplía la capacidad de los derechos de usuario y el DBSAT e identifica usuarios con privilegios y objetos sensibles de Oracle Database. Esto se habilita ejecutando y programando trabajos de descubrimiento de derechos de usuario y objetos sensibles.
Una vez que se hayan descubierto los usuarios privilegiados y los objetos sensibles, se pueden agregar a los conjuntos de usuarios privilegiados y objetos sensibles, respectivamente. Estos conjuntos son globales y se pueden utilizar en múltiples políticas de Database Firewall.
Informes de Cumplimiento
AVDF proporciona informes predefinidos de cumplimiento para GDPR, PCI, GLBA, HIPAA, IRS 1075, SOX y UK DPA. Por ejemplo, en el cumplimiento de GDPR, proporcionamos informes sobre quién tiene acceso a tus datos sensibles y quién está accediendo a ellos. Puedes personalizar los informes para cumplir con tus objetivos específicos o requisitos de cumplimiento específicos de la industria/región.
Auditoría de Actividad de Administración
Sí. Puedes habilitar políticas de auditoría para la actividad de administración y nombrar usuarios. Los usuarios de AVDF pueden usar el informe de toda la actividad para analizar a qué objetos se accedió. AVDF puede filtrar por usuario, objeto, fechas y más, y analizar los datos resultantes para ver si usuarios no autorizados han accedido a los objetos.
Verificación de Derechos de Usuario
Sí. AVDF se puede configurar para verificar los derechos de usuario de bases de datos de Oracle de manera programada y proporcionar informes diferenciales sobre lo que ha cambiado desde el último informe.
Captura de Valores Antes y Después de Cambios
Las políticas de seguridad corporativas y regulaciones, como HIPAA, requieren que los cambios realizados en datos sensibles se auditen y que se capturen los valores antes y después del registro. AVDF captura los valores antes/después utilizando el proceso de extracción integrado de Oracle GoldenGate (licencia restringida incluida) y los pone a disposición en los informes de AVDF para su análisis. Esta función está disponible para bases de datos Oracle y MS SQL Server.
Integración con Sistemas SIEM
AVDF es una solución DAM que proporciona la recolección nativa de datos de auditoría y la supervisión del tráfico de SQL basado en la red. AVDF admite alertas, informes y archivo de datos de auditoría. AVDF puede enviar eventos a syslog para la integración con sistemas SIEM.
Cifrado de Datos
Oracle Database Firewall monitorea el tráfico hacia y desde Oracle Database cuando se utiliza el cifrado de red nativo de Oracle o el cifrado de red TLS. Para bases de datos no de Oracle que utilizan el cifrado de red TLS, Database Firewall no puede interpretar este tráfico SQL. AVDF encripta los datos recopilados utilizando el cifrado transparente de datos y cifra el tráfico de red desde los destinos.
Seguridad y Separación de Funciones
AVDF proporciona una separación de funciones entre el administrador y el auditor y utiliza Database Vault para restringir el acceso a los datos.
Integración con Microsoft Active Directory
Sí. AVDF admite la integración de Microsoft Active Directory para la autenticación de usuarios. También puedes crear administradores/auditores de AVDF como usuarios de Microsoft Active Directory.
Escalabilidad
Cuando se configura según las recomendaciones de tamaño, un servidor de Audit Vault puede admitir la recolección de datos de eventos de AVDF hasta 1000 rutas de auditoría, y cada agente puede admitir hasta 20 rutas de auditoría.
Sí. AVDF puede escalarse para admitir la recolección de datos de auditoría de Oracle Exadata y otras bases de datos en cluster. Puedes configurar el número de agentes en función de los destinos totales y la tasa de ingreso de auditoría esperada.
Recolección Dinámica y Multihilo
En AVDF 20.5 (y versiones posteriores), los agentes de Audit Vault eligen automáticamente la mejor configuración posible para mejorar la tasa de recolección de auditoría. Esta funcionalidad de recolección dinámica y multihilo utiliza eficazmente los recursos del servidor y del agente de Audit Vault.
Monitoreo en la Nube
Sí. AVDF puede monitorear objetivos implementados en las instalaciones y en la nube, incluidos los servicios de Oracle Autonomous Database El servidor Audit Vault recopila datos para registros de auditoría tradicionales, auditorías más detalladas, auditorías de Database Vault y auditorías unificadas de registros de auditoría en bases de datos on-premises o en la nube.
Alta Disponibilidad
AVDF admite la configuración de alta disponibilidad para todos sus componentes, incluido el servidor de Audit Vault, Database Firewall y el agente Audit Vault.
Retención y Archivado de Datos
El servidor de Audit Vault admite políticas de retención de datos por objetivo, lo que permite cumplir los requisitos internos o externos de conformidad. Los datos de auditoría pueden archivarse automáticamente en un repositorio externo de bajo costo y recuperarse según la política específica del objetivo.
Alertas y Monitoreo
AVDF tiene un constructor de alertas potente que configura alertas en los datos de auditoría y firewall recopilados en función de varias condiciones.
AVDF puede leer y mostrar datos de auditoría de la ruta de auditoría de Database Vault en los informes de AVDF. Oracle Key Vault se puede agregar como un destino en AVDF. AVDF recopilará datos de auditoría de Oracle Key Vault y generará todos los informes de actividad en AVDF.
Complemento Enterprise Manager AVDF
El complemento Enterprise Manager AVDF proporciona una interfaz dentro de Oracle Enterprise Manager Cloud Control para que los administradores gestionen y monitoreen los componentes de AVDF.
Implementación de AVDF
Cualquier plataforma de hardware Intel x86 de 64 bits compatible con Oracle Linux Release 8 se puede utilizar para implementar los componentes de AVDF. AVDF también se puede implementar en Oracle Cloud Infrastructure (OCI) desde el Oracle Cloud Marketplace.
Con la imagen del marketplace, es posible implementar un sistema AVDF completamente funcional en pocos minutos. Oracle Cloud ofrece la flexibilidad de escalar los recursos informáticos para satisfacer los requisitos en crecimiento.