Análisis en Seguridad de Bases de Datos
En uno de los artículos anteriores estábamos discutiendo la importancia de los registros de auditoría. Puedes encontrarlo aquí: https://www.datasunrise.com/professional-info/aim-of-a-db-audit-trail/
En este artículo discutiremos cómo estos registros pueden usarse para mejorar la seguridad de tu base de datos. Cuando se usan efectivamente, los registros de auditoría pueden ayudar a identificar puntos débiles, cubrir estas brechas y proteger a la empresa de los problemas asociados con la seguridad de la base de datos.
Algunos Consejos Útiles
Los registros de auditoría son más efectivos cuando están automatizados. La cuestión es que la auditoría también puede ayudar a revelar actividad sospechosa interna o uso indebido. El lugar donde se almacenan los registros y quién tiene acceso a estos registros también es crítico para mantener la integridad del registro de auditoría.
Saber qué información incluir en los registros también es importante. Recomendamos que los registros incluyan información básica, como usuarios de la base de datos involucrados, fecha y hora, y los resultados de las consultas. Ten en cuenta que los registros de DataSunrise incluyen dicha información.
Pueden haber otras informaciones específicas que agregar que dependen de las necesidades de seguridad, los estándares de seguridad que buscas cumplir y los requisitos de informes.
Aquí hay algunos consejos importantes:
- Asegúrate de que la información del registro de auditoría se almacene en un lugar seguro y se respalde regularmente;
- Incluye solo información útil y necesaria en el registro de auditoría para evitar el desbordamiento de almacenamiento;
- Revisa los registros de auditoría periódicamente para mitigar riesgos;
- Coordina con tus partes relacionadas para garantizar la seguridad y disponibilidad de los registros de auditoría de su sistema.
Herramientas para Analizar los Registros de Auditoría
Según el Manual NIST, las herramientas para analizar registros de auditoría deben cumplir con los siguientes requisitos:
- La capacidad para que los revisores reconozcan tanto la actividad normal como la inusual;
- La capacidad de consultar y filtrar registros de auditoría para información específica;
- La capacidad de escalar las revisiones de registros de auditoría si se detecta un problema;
- El desarrollo de pautas de revisión para identificar actividades no autorizadas;
- El uso de herramientas automáticas para mantener la información del registro de auditoría al mínimo y también extraer información útil de los datos recopilados.
DataSunrise incluye algunas de las características mencionadas anteriormente. Pero DataSunrise no es un sistema analítico SIEM – solo recopila eventos de auditoría y los pasa a programas dedicados a través de Syslog. No recomendamos ciertas herramientas – depende de ti qué pieza de software usar.
A su vez, la funcionalidad de Auditoría de Datos de DataSunrise te permite monitorear la actividad de la base de datos y recopilar la siguiente información:
- Nombre de usuario de la base de datos;
- Usuario de la aplicación cliente;
- Aplicación cliente utilizada para consultar la base de datos;
- Host del cliente;
- Duración de la sesión;
- El número de filas afectadas;
- Texto de la consulta;
- Bases de datos, esquemas, tablas y columnas afectadas por la consulta interceptada.
Algunas Mejores Prácticas
¿Por cuánto tiempo almacenar el registro?
No hay pautas sobre un periodo específico para mantener los registros de auditoría. La única respuesta es: tanto como sea posible. El tiempo específico depende principalmente de tu capacidad de almacenamiento. Pero ten en cuenta que debes poder recuperar un registro de auditoría asociado con un evento determinado. Por eso, debes almacenar el registro de auditoría durante el tiempo de vida del registro de la base de datos.
¿Con qué frecuencia revisar los registros?
Las revisiones de los registros de auditoría varían según la empresa y pueden realizarse trimestral o anualmente durante una auditoría de seguridad. Se recomienda desarrollar tus propias pautas de revisión para mantener la regularidad de las revisiones.