Inicio

Gestión Infosec

Entrevista

Las leyes

Palabras de ciso

Tips para un ciso

Puntos de vista

Actualización Técnica

Hacking bajo la lupa

Estadísticas

Productos

Toolbox

Capacitaciones

Links de interés

¿lo sabias?

Hot vulnerabilities

Comunidad Infosec

Efraude

Noticias

Bolsa de trabajo

Agenda y eventos

Lectores

Libro de pases

El chiste del mes

> Ver Anteriores <

>Envíenos su  Comentario<

>Conferencias 2013, 2012, 2011 aquí<

Conferencias Infosecurity Tour 2013

 

AÑO 9 - Nº 06 - JUN 13

TIPS PARA UN CISO

Las 10 grandes amenazas de seguridad en las bases de datos

 

El 96% de los datos sustraídos durante 2012 provenían de bases de datos, según un informe de Verizon (Data Breach). Además, durante el año pasado, 242 millones de registros resultaron potencialmente comprometidos, indica la Open Security Foundation.


Se trata de dos preocupantes datos que la compañía Imperva, especializada en seguridad, recuerda en un informe que ha elaborado sobre las diez principales amenazas que existen contra las bases de datos y en el que se pone de manifiesto que éstas son el objetivo prioritario para hackers e insiders maliciosos.

En el informe asevera que esto es así debido a que las bases de datos representan el corazón de cualquier organización, ya que almacenan registros de clientes y otros datos confidenciales del negocio. Y afirma además que esta vulnerabilidad de las bases de datos mejoraría si no hubiera la actual falta de inversión en soluciones de seguridad adecuadas para protegerlas. Y es que, como señala IDC, menos del 5% de los 27.000 millones de dólares invertidos en 2011 en productos de seguridad se destinaron a la salvaguarda de los centros de datos.

Top 10 en amenazas en el entorno de bases de datos:

  1. Privilegios excesivos e inutilizados. Cuando a alguien se le otorgan privilegios de base de datos que exceden los requerimientos de su puesto de trabajo se crea un riesgo innecesario. Los mecanismos de control de privilegios de los roles de trabajo han de ser bien definidos o mantenidos.

  2. Abuso de Privilegios. Los usuarios pueden llegar a abusar de los privilegios legítimos de bases de datos para fines no autorizados, por ejemplo, sustraer información confidencial. Una vez que los registros de información alcanzan una máquina cliente, los datos se exponen a diversos escenarios de violación.

  3. Inyección por SQL. Un ataque de este tipo puede dar acceso a alguien y sin ningún tipo de restricción a una base de datos completa e incluso copiar o modificar la información.

  4. Malware y spear phising. Se trata de una técnica combinada que usan los cibercriminales, hackers patrocinados por estados o espías para penetrar en las organizaciones y robar sus datos confidenciales.

  5. Auditorías débiles. No recopilar registros de auditoría detallados puede llegar a representar un riesgo muy serio para la organización en muchos niveles.

  6. Exposición de los medios de almacenamiento para backup. Éstos están a menudo desprotegidos, por lo que numerosas violaciones de seguridad han conllevado el robo de discos y de cintas. Además, el no auditar y monitorizar las actividades de acceso de bajo nivel por parte de los administradores sobre la información confidencial puede poner en riesgo los datos.

  7. Explotación de vulnerabilidades y bases de datos mal configuradas. Los atacantes saben cómo explotar estas vulnerabilidades para lanzar ataques contra las empresas.

  8. Datos sensibles mal gestionados. Los datos sensibles en las bases de datos estarán expuestos a amenazas si no se aplican los controles y permisos necesarios.

  9. Denegación de servicio (DoS). En este tipo de ataque se le niega el acceso a las aplicaciones de red o datos a los usuarios previstos. Las motivaciones suelen ser fraudes de extorsión en el que un atacante remoto repetidamente atacará los servidores hasta que la víctima cumpla con sus exigencias.

  10. Limitado conocimiento y experiencia en seguridad y educación. Muchas firmas están mal equipadas para lidiar con una brecha de seguridad por la falta de conocimientos técnicos para poner en práctica controles de seguridad, políticas y capacitación.

Para la firma de seguridad, la clave para evitar estas amenazas es una defensa multicapa que permita localizar y evaluar dónde se ubican las vulnerabilidades en la base de datos y en qué sitio residen los datos críticos; gestionar los derechos de usuario para identificar derechos excesivos sobre los datos sensibles; hacer monitorización y bloqueo para proteger las bases de datos de ataques, pérdida de datos y robo; realizar auditorías y proteger los datos.

Fuente: TICBeat
 

 

Ediciones Anteriores:


Bring your own... Destruction?

Por André Goujon
Especialista de Awareness & Research

ESET

Extracto de la Conferencia para Infosecurity Vip 2013


Iniciación a la AUTOPROTECCIÓN

Por Juan Carlos Bruno Moreno
CEO Grupo San Miguel

Argentina

Extracto de la Conferencia para Infosecurity Vip 2013


Normas de Seguridad de Datos (DSS) para la Industria de Tarjetas de Pago (PCI)

Por Juan Pablo Cevasco
403 Labs, LLC


Un increíble video muestra los peligros de Internet y las redes sociales

Las imágenes reflejan cómo un adivino sorprende a un grupo de personas con los detalles que conoce sobre sus vidas privadas. Sin embargo, todo termina siendo una muestra de lo peligroso que puede resultar el flujo de información online


Niños y 'smartphones', mezcla explosiva

Un nuevo estudio revela que el 27 por ciento de los padres han tenido problemas personales derivados de la utilización que sus hijos han hecho de sus 'smartphones' y 'tablets', debido a que utilizan los dispositivos de sus padres de una manera inadecuada.


6 Medidas de Seguridad actuales para tu identidad

A pesar de la creciente amenaza cibernética y obviamente no todas las empresas están tomando medidas preventivas básicas. Sin la preparación adecuada las empresas corren el riesgo de perder datos importantes. A continuación se presentan algunas cosas que cualquier empresa puede hacer para mejorar su seguridad ahora.


Como lidiar con la Seguridad en la nube

Por Nelson Quintana Martínez
Information Security Systems
Cali, Colombia


Identificación de Funciones y Responsabilidades de TI

Por Christian Javier Vila Toscano
Senior Security Consultant
ISEC Information Security Inc


Protección en Dispositivos Móviles

El malware para dispositivos móviles es una realidad y su número crece cada día debido al incremento de su uso y a la valiosa información que pueden contener aunque los usuarios no lleguen a ser conscientes de su importancia.


Amenazas Físicas y Ambientales en Centro de Datos - Cómo controlarlas y Gestionarlas

Por Angel Soriano

APC SCHNEIDER ELECTRIC FASOR

El Salvador

Extracto de la Conferencia en Infosecurity Vip - El Salvador


CERTIFICAMOS 27001 ¿Y…?

Por Hugo Köncke

Director de TI - INAC

Montevideo - Uruguay

Panel de Expertos de ISEC para Infosecurity Uruguay


GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN EN CLOUD COMPUTING

Por Henry Rivas
Consorcio Credicard


Management for Optimized Virtual Environments and Enterprise Mobility Management Platform

Por Jesús Germán
Ingeniero Electrónica & Telecomunicaciones

Cortelco - San Juan de Puerto Rico


Lección 13 de intypedia Seguridad en DNS

 Por D. Javier Osuna García-Malo de Molina

Jefe de División de Consultoría de Seguridad y Procesos de GMV - España


Lección 12 de intypedia:  Seguridad en redes Wi-Fi

 La Lección 12 de la Enciclopedia de la Seguridad de la Información con el título "Seguridad en redes Wi-Fi", cuyo autor es D. Raúl Siles, fundador y analista de seguridad de Taddong, y que verá destacado como último vídeo en esa página


Seguridad en el 2011  "Nuevos Retos"

Por Lisseth Rodríguez - Eduardo Ruiz Rivera

Delta Networks Systems

México


Seguridad en la nube: punto de vista de un QSA para cumplir con PCI DSS y las mejores prácticas

Por Carlos Caetano

Trustwave Ecuador


LINEAMIENTOS DE POLÍTICA PARA CIBERSEGURIDAD Y CIBERDEFENSA

Por Rocío Pilar Panchón
Subdirectora de Seguridad y Defensa - Departamento Nacional de Planeación
Dirección Justicia, Seguridad y Gobierno - Colombia


Seguridad en la Nube
Por Jhonatan W. Escobar
Director of CALA
iSheriff Technologies, Ltd.


Contraseñas siglo XXI ¿Qué tan importante son en la actualidad?
Por Jorge Mieres

Analista de malware

Kaspersky Lab - América Latina


Introducción a la seguridad en redes telemáticas (intypedia)
Por Justo Carracedo Gallardo

Universidad Politécnica de Madrid


Buenas Prácticas en las Redes Sociales
Por Ricardo E. Ulke

Next Media Interactiva - Director

Paraguay


¿En que se diferencian ITIL e ISO 20000?
Por PATRICIA E. FRIDMAN
EXIN Accredited Trainer ITIL V3

IT Senior Consultant
ISEC Information Security Inc. - Argentina


SEGURIDAD CAPA 8
Por Oscar Banchiero

Instructor Ethical Hacking para Latinoamérica
CCNA - CCVP - CCSP - EH - UCAD
ISEC Information Security Inc - Argentina


Seguridad perimetral (Video)
Por Alejandro Ramos Fraile
Tiger Team Manager (SIA company)

INTYPEDIA


¿Somos responsables de nuestra privacidad?

Por Claudio A. Núñez Montecino
Consultor en Seguridad y Riesgo Tecnológico

Chile


Cómo asegurar su negocio: Siete consejos de seguridad y mejores prácticas

Por Dmitry Bestuzhev

Investigador Regional Senior

Equipo global de investigación y análisis - Kaspersky Lab Americas

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2013 ISEC. Todos los derechos reservados
Política de privacidad