DataSunrise está patrocinando AWS re:Invent 2024 en Las Vegas, por favor visítenos en el stand #2158 de DataSunrise

Este sitio web almacena cookies para recopilar información sobre cómo interactúas con nuestro sitio web. Para obtener más información, visita nuestra Política de Privacidad.

DataSunrise Reglas Mejores Prácticas

DataSunrise Reglas Mejores Prácticas Un script Lua descubre datos sensibles en archivos JSON Guía de Seguridad Reglas de Seguridad Contra Inyecciones SQL Guía de Auditoría Reglas de Aprendizaje y Auditoría Prioridad de Reglas

Introducción

DataSunrise Database Security es una poderosa solución de Monitoreo de Actividad de la Base de datos/Auditoría de Datos y Protección de Datos en tiempo real y Firewall de Base de Datos que incrementa significativamente el nivel de seguridad de datos y bases de datos tanto en las instalaciones como en la nube. A menudo, es difícil entender qué datos deben protegerse, dónde se encuentran esos datos en su base de datos y cómo configurar el DataSunrise Suite para obtener la máxima protección posible.

Este documento contiene una descripción detallada de las mejores prácticas de las Reglas de DataSunrise que le ayudarán a crear la configuración de seguridad de datos más efectiva y adecuada.


Características y Capacidades Clave de DataSunrise


1. Monitoreo de Actividad de BD / Auditoría de Datos

El monitoreo de actividad de base de datos (DAM) de DataSunrise permite el seguimiento en tiempo real de todas las acciones de los usuarios y cambios realizados en una base de datos. Mientras que la auditoría de bases de datos se usa principalmente para la investigación de brechas de datos, el monitoreo continuo de la actividad de bases de datos ayuda a detectar intentos de abuso de derechos de acceso y prevenir preparativos de brechas de datos con anticipación.

Además de eso, DataSunrise utiliza algoritmos inteligentes de autoaprendizaje y análisis de comportamiento para acelerar el proceso de implementación del firewall de la base de datos. DataSunrise analiza el comportamiento típico de usuarios y aplicaciones y crea una “Lista Blanca” de consultas SQL consideradas seguras por defecto.


2. Protección de Datos y Firewall de Base de Datos

El módulo de Seguridad de Datos de DataSunrise es la herramienta principal para defender las bases de datos corporativas contra acciones dañinas y hostiles y garantizar el cumplimiento. Armado con monitoreo continuo de tráfico y algoritmos avanzados de análisis SQL, DataSunrise detecta inyecciones SQL e intentos de acceso no autorizados en tiempo real. Cuando el firewall de la base de datos de DataSunrise detecta una violación de la política de seguridad, bloquea de inmediato la consulta SQL maliciosa y notifica a los administradores a través de SMTP o SNMP.


3. Gerente de Cumplimiento

Compliance Manager garantiza el cumplimiento de una serie de estándares y regulaciones nacionales e internacionales de seguridad, como HIPAA, PCI DSS, ISO 27001, GDPR y SOX. La funcionalidad de Compliance Manager toma el control total sobre el acceso a bases de datos corporativas para evitar procesamiento ilegal de datos, modificación no autorizada de datos o pérdida accidental de datos.

La funcionalidad de Compliance Manager se basa en el descubrimiento automático de datos sensibles en una base de datos objetivo, asignando ciertos roles a los usuarios de la base de datos objetivo e implementación de políticas de seguridad, enmascaramiento y auditoría de acuerdo con estos roles, así como informes periódicos de cumplimiento para la revisión permanente de la actividad de la base de datos.


4. Descubrimiento de Datos Sensibles

DataSunrise Data Discovery identifica datos sensibles en las bases de datos corporativas y ayuda a establecer la protección más eficaz de estos datos. Permite a las empresas comprender qué nivel de control es apropiado para cada tipo de datos sensibles que contienen sus bases de datos. Además, esta función ayuda a cumplir con los requisitos de regulaciones como GDPR, HIPAA, SOX, PCI DSS y otras.


5. Enmascaramiento Dinámico de Datos

DataSunrise previene la exposición de datos sensibles con su Enmascaramiento Dinámico de Datos (DDM).

El DDM de DataSunrise protege la información empresarial crítica ofuscando los datos de interés en la base de datos completa o solamente en tablas o columnas seleccionadas para usuarios no deseados. DataSunrise enmascara los datos reemplazando las entradas reales de la base de datos con valores generados aleatoriamente o predefinidos por el usuario.

Para prevenir potenciales fugas de datos, las entradas de la base de datos especificadas por un usuario de DataSunrise se enmascaran al vuelo antes de extraerse de la base de datos.


Compliance Manager

Compliance Manager es una buena herramienta para crear una configuración inicial de DataSunrise. En resumen, automatiza los pasos de configuración de DataSunrise realizando Data Discovery y creando entidades de configuración basadas en los resultados de Data Discovery. Compliance Manager crea las siguientes entidades:

  • Regla de Auditoría para objetos de bases de datos que contienen datos sensibles.
  • Regla de Seguridad para bloquear inyecciones SQL.
  • Regla de Seguridad para bloquear el acceso a datos sensibles para todos excepto ciertos usuarios incluidos en los grupos de usuarios de la base de datos definidos durante la operación de Compliance Manager.
  • Regla de Seguridad para bloquear todas las consultas administrativas emitidas por usuarios de la base de datos que no pertenecen a los grupos de usuarios “permitidos”.
  • Reglas de Enmascaramiento para ofuscar datos sensibles para usuarios de bases de datos no incluidos en los grupos de usuarios “permitidos” y no autorizados para procesar datos originales.

Aparte del conjunto de reglas descritas anteriormente, Compliance Manager también crea los siguientes informes:

  • Informe de Auditoría sobre casos de acceso a objetos de bases de datos sensibles.
  • Informe de Seguridad sobre intentos de acceso a datos sensibles por parte de usuarios no autorizados para manejar datos protegidos.
  • Informe de Errores sobre consultas que no se ejecutaron debido a errores de cualquier origen.
  • Informe de Eventos del Sistema sobre eventos ocurridos en DataSunrise durante el periodo de interés.
  • Informe de Enmascaramiento sobre casos de acceso a datos sensibles que resultaron en la ofuscación de datos para usuarios no autorizados a manejar los datos sensibles originales.

Tenga en cuenta que Compliance Manager no puede garantizar una cobertura del 100% de todos los datos inseguros contenidos en una base de datos objetivo. Compliance Manager le proporciona una configuración que puede usar como base, una configuración de estimación inicial para su caso. Aunque este enfoque le proporciona una configuración lista para la acción para su DataSunrise Security Suite, puede encontrar que el modelo de rol sugerido no es adecuado para su caso particular. En este caso, puede personalizar las opciones de las Sesiones de Filtros de sus Reglas.


Descubrimiento de Datos Sensibles

El Descubrimiento de Datos Sensibles le ayuda a buscar datos sensibles contenidos en su base de datos. Es recomendable configurar una tarea periódica de Descubrimiento de Datos que continuamente descubra datos sensibles de acuerdo con los múltiples estándares de seguridad integrados. Usar los resultados de Data Discovery le permite asegurar sus datos sensibles de acuerdo con sus políticas de seguridad excluyendo la búsqueda manual y el aseguramiento manual de tales datos al mismo tiempo.

Para tener una representación visual de los datos sensibles encontrados, se recomienda configurar la generación periódica de informes en PDF/CSV.

No obstante, ejecutar una tarea de Descubrimiento de Datos no garantiza un descubrimiento del 100% de los datos sensibles. Consultar con el DBA también es uno de los pasos importantes que se deben realizar para no dejar ningún dato sensible inseguro.

Aunque Data Discovery tiene un impacto menor en la base de datos (en comparación con una aplicación cliente que consulta las primeras N filas (N=100 por defecto) de cada tabla en cada base de datos, puede reducir el conjunto de muestreo usando la opción “Analysed Row Count” en Configuraciones Avanzadas.


Reglas de Auditoría y Seguridad

Tenga en cuenta que la configuración de las Reglas de Auditoría y Seguridad son similares excepto en la sección de Acciones. Esto significa que puede monitorear o bloquear la actividad de la base de datos de interés dependiendo de su elección sin perder ninguna posibilidad.

Cuando se trata de ajustar finamente las reglas de Auditoría y Seguridad, la recomendación general es evitar la creación de reglas generales “todo en uno” ya que puede proporcionar demasiados datos para análisis generados por procesos de terceros o por una herramienta de consulta SQL (como PGAdmin para PostgreSQL o SQL Server Management Studio para Microsoft SQL Server).

Considere establecer monitoreo solo para los objetos de la base de datos que contienen datos sensibles u observar el acceso a datos que requieren una estricta observación y registro de acceso a datos. Puede usar la funcionalidad de Grupos de Objetos para organizar tales objetos de base de datos como tablas, vistas, procedimientos almacenados y funciones en grupos.

Usar Grupos de Objetos en sus reglas de Auditoría/Seguridad le permite establecer control y monitoreo sobre sus partes de almacenamiento de datos de interés para obtener datos de auditoría claros y relevantes.

A continuación, puede encontrar algunas “recetas” sobre cómo configurar las Reglas de DataSunrise para tratar los problemas más extendidos que pueden causar problemas en su base de datos o pueden ser las primeras señales de un ataque a su almacenamiento de datos.


Auditoría/Bloqueo de un Intento de Conexión Sospechosa (Intento de Inicio de Sesión)

A pesar de que las aplicaciones pueden establecer muchas conexiones a una base de datos, es importante monitorear el número anormal de conexiones o fallos de conexión o incluso restringir este tipo de actividad originada desde hosts y logins sospechosos. A continuación, puede encontrar algunos consejos sobre cómo crear una Regla de Auditoría/Seguridad que cubra todos los casos principales de intentos de inicio de sesión sospechosos que a menudo significan que un atacante está intentando iniciar un ataque de fuerza bruta en su base de datos.


1. Auditoría/Bloqueo de conexiones Exitosas/Fallidas frecuentes (dentro de un período de tiempo)

Para monitorear conexiones exitosas a una base de datos a través de un proxy de DataSunrise, use Eventos de Sesión de Auditoría con la opción “Audit Frequent Connections” habilitada para auditar casos en los que hay muchas conexiones frecuentes provenientes de un usuario+host o host en concreto.

Para prevenir intentos frecuentes de conexión exitosa o fallida bloqueando su origen por host+nombre de usuario o por host, habilite el “Block DDOS or Brute Force” en la sección Eventos de Sesión de su Regla.


2. Bloqueo de consultas provenientes fuera de un rango de IP permitido

Para bloquear consultas originadas a partir de direcciones IP potencialmente peligrosas, use las opciones de Filtrar Sesiones para configurar su Regla de Seguridad para activarse con cualquier consulta que NO provenga de los hosts incluidos en la lista de Hosts de DataSunrise.


3. Prevención de conexiones inseguras

Un proxy de DataSunrise puede configurarse para aceptar únicamente conexiones SSL habilitando “Accept Only SSL Connections” en la Configuración del Proxy de su perfil de base de datos objetivo en la Consola Web.


4. Monitoreo de conexiones de Root y Usuarios Privilegiados

La observación de la actividad general de conexiones Root puede lograrse creando un Grupo de Objetos de Auditoría por defecto o una regla de Tipo de Consulta y configurando los ajustes de Filtrar Sesiones basados en el nombre de usuario root de la base de datos (por ejemplo, “root” para MySQL, “system/sys” para Oracle, etc.) o nombre de usuario de base de datos con privilegios de administrador si necesita evitar el uso de una cuenta de usuario root.


Recomendaciones para Consultas (Sesión)

1. Consultas del Lenguaje de Modificación de Datos

Las Reglas de Auditoría/Seguridad de Grupo de Objetos son preferibles sobre las Reglas de Tipo de Consulta. Estas permiten establecer el monitoreo y/o bloqueo de las principales operaciones CRUD realizadas en una base de datos añadiendo los objetos requeridos ya sea desde el Navegador de Objetos eligiendo los objetos listados en la regla a ser procesados o especificando un Grupo de Objetos creado de antemano manualmente o usando Data Discovery. Si se requiere la observación de tipos de consultas particulares, utilice la regla de Auditoría/Seguridad de Tipo de Consulta. Tenga en cuenta que también es posible monitorear la ejecución de los tipos de consulta elegidos en ciertos objetos de la base de datos especificando un Grupo de Objetos en la configuración de la Regla. Además, todas las Reglas pueden configurarse para activarse solo por consultas de cierta aplicación, usuario, usuario de aplicación, host asegurando que la Regla de Seguridad creada no se active indebidamente. Para ello, configure los ajustes de Filtrar Sesiones de la Regla.


2. Reglas de Auditoría y Seguridad de tipo Inyección SQL

DataSunrise cuenta con un mecanismo de detección de Inyección SQL basado en puntos de penalización (penalties) que le permite establecer su propio nivel de consultas “permitidas” dirigidas a su base de datos.

Recomendamos configurar una Regla de Auditoría de Inyección SQL para monitorear consultas sospechosas y configurar una Alerta en la sección de Notificaciones de la Regla de Auditoría. Los valores de penalización de su filtro deben corresponder a consultas de Inyección SQL “débiles” que no pueden causar daños a la base de datos.

Junto con las Reglas de Auditoría con Alertas configuradas, es necesario configurar una Regla de Seguridad de tipo Inyección SQL que bloquee consultas de Inyección SQL que superen el número especificado de puntos de penalización.

Tenga en cuenta que el número de Penalizaciones debe corresponder a consultas de Inyección SQL que pueden causar daños significativos a la base de datos. Los valores de Penalización deben ser mayores que los de la Regla de Auditoría.


3. Consultas que devuelven un número descomunal de filas

Un gran número de filas afectadas/recuperadas cuando no hay consultas correspondientes usadas por la aplicación o por herramientas BI puede indicar que hay una actividad sospechosa sucediendo en la base de datos o que la aplicación fue comprometida. Para prevenir que tales consultas se ejecuten, use una Regla de Seguridad de tipo Grupo de Objetos con “Activar la Regla Solo si el Número de Filas Afectadas/Recuperadas no es Menor que” habilitado, seguido por el número de filas afectadas/recuperadas que se consideran anormales en su entorno. Una forma alternativa es usar una Regla de Auditoría con filtro de tipo Grupo de Objetos configurado y un Suscriptor adjunto para recibir notificaciones sobre este tipo de eventos que ocurren en la base de datos.


4. Consultas que se ejecutan por demasiado tiempo

Cuando toma demasiado tiempo ejecutar sus consultas, puede llevar a problemas de rendimiento, mala experiencia del usuario y también puede ser un signo de un insider tratando de robar sus datos valiosos, ya que tales datos se obtienen consultando una tabla completa, lo que puede llevar un tiempo. Use una Regla de Auditoría con Eventos de Sesión configurados: habilite “La Ejecución de Consultas Toma Más Tiempo Que” y establezca un valor (duración en segundos) que se considere anormal y que tal consulta de larga ejecución deba ser auditada e informada utilizando la función de Suscriptores.


5. Consultas con sintaxis incorrecta (las que devuelven un error)

Para monitorear consultas que no se ejecutaron debido a un error de sintaxis de algún tipo, use una Regla de tipo Eventos de Sesión de Auditoría con la opción “Audit Operation Errors” habilitada. Configure la frecuencia de errores que se considere sospechosa y que requiere la atención del DBA o del equipo de seguridad. Adjunte un Suscriptor para informar al personal a cargo sobre errores SQL frecuentes durante el establecimiento de la conexión.


6. Consultas que acceden a tablas sensibles

Para limitar el acceso a un rango de objetos de la base de datos, se recomienda usar una Regla de Seguridad de tipo Grupo de Objetos. Usar este tipo de reglas de seguridad le permite limitar el acceso a ciertos objetos de la base de datos utilizando una lista de objetos que pueden seleccionarse a través del Navegador de Objetos o usando un Grupo de Objetos que contenga los objetos de la base de datos de interés. Para proporcionar un nivel razonable de restricción de acceso a los datos, se recomienda configurar Filtrar Sesiones para que esta regla se active o se omita para ciertos usuarios de aplicación/base de datos/usuarios de aplicación/host y grupos de usuarios de base de datos/usuarios de aplicación/hosts.


7. Mesa de Honey Pot

Considere crear una tabla (tablas) que contenga datos sensibles falsos que actuarán como un señuelo para los hackers. En caso de que una consulta se dirija a esta tabla, la fuente de la consulta debe ser bloqueada permanentemente. También puede aplicar una Regla de Aprendizaje para obtener más información sobre la estrategia de los atacantes (consultas, hosts, aplicaciones, etc.). En general, considere crear una

Did this guide help you?

Contact Us