Please enable JavaScript.

Coggle requires JavaScript to display documents.

TEMA 4. Seguridad en Bases de Datos - Coggle Diagram

- - - - Ataques a la gestión de la configuración (cwe 829, cwe 269).
      - Buffer overflows (cwe 121 – 122).
      - Opciones innecesarias habilitadas en el sgbd.
      - Escalada de privilegios (Cwe 264, 269, 250, 272).
      - Excesivos privilegios en usuarios y grupos (cwe 250, cwe 269).
      - Ataques de denegación de servicio.
      - Inyecciones SQL en el sgbd (cwe 89).
        
        Denegación de servicio
        
        Suplantación de usuarios
        
        Elevación de privilegios
        
        Los ataques de inyección SQL
        
        Defensa SQLI
        
        SQLI basada en tiempo
        
        Injección SQL a ciegas
      - Ataques de denegación de servicio.
      - Contraseñas débiles y por defecto
      - Datos no protegidos almacenados o en tránsito.
        
        Vulnerabilidad stored XSS
        
        Ejemplo de XSS Persistente
        
        Codificación de la salida para evitar caracteres como >,<, &, etc. en URL,s
        
        Parámetro HTTP ONLY para evitar uso de cookies en scripts. Parámetro SECURE para obligar a utilizar protocolo TLS.
        
        Validación de la entrada
        
        Defensa ante XSS
        
        Prevención de XSS. La forma de prevenir XSS es realizando validación de la salida
        
        Inclusión local y remota de ficheros (LFI-RFI)
        
        La vulnerabilidad LFI permite acceder a ficheros teóricamente no permitidos, se debe comprobar si el usuario que utiliza la aplicación especificando un fichero en un campo de entrada tiene permisos para ello.
        
        La vulnerabilidad RFI permite la ejecución de código remoto en el servidor que se ejecutará con las credenciales del usuario que accede a la aplicación.
        
        Esta variante de XSS se denomina stored cross site scripting
        
        Webshells son scripts que se suben malintencionadamente en las páginas webs aprovechando alguna vulnerabilidad, para realizar distintas acciones sobre el servidor que la soporta
        
        Acceso a la red interna
        
        Acceso persistente
        
        Obtener/modificar ficheros
        
        Ataques coordinados
        
        Visualizar base de datos
        
        Cross site scripting persistente En XSS, la víctima es el usuario, no la aplicación. Se envía contenido malicioso usando JavaScript. Tienen principalmente como objetivo
        
        Secuestro de sesiones Los datos entran a la aplicación a través de entradas no validadas como una petición HTTP, es decir, existe una vulnerabilidad XSS
        
        Acceder a la historia de exploración La aplicación incluye los datos en un contenedor dinámico que se envía al navegador web del usuario sin la apropiada validación de contenido malicioso.
- - - - Planificación del contenido de los registros de auditoría, planificación de monitorización
      - Autenticación y autorización: planificación de usuarios, roles, permisos, niveles de seguridad
        
        Usuarios y contraseñas por defecto
        
        Acceso según necesidad de conocer.
        
        Requisitos de almacenamiento de contraseñas.
        
        Política de contraseñas.
        
        Claves de encriptación.
        
        Autenticación por grupos  identificar cuentas grupales.
        
        Principio de mínimos privilegios.
      - Infraestructura PKI: uso de certificados digitales.
      - Análisis de amenazas-riesgos que permitan determinar las salvaguardas y mecanismos de seguridad más adecuados. Seguridad física del personal y de la documentación.
      - Planificación de la gestión de incidentes de seguridad
      - Implementación – desarrollo Comprende todas las actividades de seguridad que llevan a cabo el desarrollo de todo el diseño de seguridad realizado en la fase anterior:
        
        Protección de sistemas de ficheros-ficheros utilizados por SGBD,
        
        Bastionado: instalación con configuración segura.
      - Diseño de la arquitectura cluster, backup y recuperación-> centro de respaldo.
      - Producción Comprende todas las actividades de seguridad que se llevan a cabo con los sistemas en ejecución online:
      - Cumplimiento de la política de seguridad, establecimiento de roles, procesos y procedimientos
      - Despliegue: pruebas de seguridad Con estas pruebas se valida la matriz de autorización de acceso a todos los objetos de las bases de datos por parte de todos los usuarios y de vulnerabilidades del SGBD
        
        Test de penetración del SGBD junto con las aplicaciones asociadas.
        
        Pruebas de los procedimientos de backup recuperación y de gestión de incidentes de seguridad.
        
        Pruebas funcionales de seguridad (procedimientos almacenados) con la aplicación o aplicaciones asociadas
        
        Herramientas de comprobación automática de la seguridad
      - Actualizaciones software: corrección de vulnerabilidades.
      - Auditoría: Monitorización continua, soluciones database audit protection (DAP) firewall SGBD:
        
        Auditar cambios en la política de etiquetado de seguridad (security label)
        
        Auditar login de usuarios.
        
        Auditar las interconexiones entre aplicaciones y otros sistemas en ambientes distribuidos.
        
        Auditoría de la protección de los activos de backup
        
        Auditar los cambios a los datos.
        
        Auditoría de los activos de backup
        
        Auditoria, monitorización, análisis de LOGS y reporte de resultados.
        
        Comprobación de configuración seguridad periódica SGBD
        
        Auditar el contenido de los registros de datos sensibles.
        
        Control cuentas privilegiadas
        
        Defensa perimetral
        
        Control cuentas de usuarios
        
        Acceso remoto para funciones privilegiadas
      - Gestión de incidentes de seguridad
      - Backup y recuperación de los datos
- - - - Identificar los elementos de seguridad de los SGBD,s.
      - Identificar los requisitos de seguridad de los SGBD,s para alcanzar elementos de seguridad de los SGBD,s.
      - Comprender los riesgos, amenazas y vulnerabilidades que los SGBD,s y sus bases de datos instaladas pueden sufrir a partir de su arquitectura y características.
  - - - Establecer estándares de uso, políticas de acceso y protocolos de trabajo diario para los usuarios de BD.
      - Vigilar el trabajo diario colaborando en la información y resolución de las dudas de los usuarios de BD
      - Arrancar y parar SGBD, y cargar las BBDD con las que se ha de trabajar
      - Controlar en tiempo real los accesos, tasas de uso, cargas en los servidores, anomalías, etcétera.
      - Crear y mantener las cuentas de usuario de BD
      - Efectuar las copias de seguridad periódicas de BD.
      - Crear y mantener los esquemas de BD.
      - Restaurar BD después de un incidente material a partir de las copias de seguridad
      - Crear las BBDD que se vayan a gestionar.
      - Ajustar y optimizar BD mediante el ajuste de sus parámetros, y con ayuda de las herramientas de monitorización y de las estadísticas del sistema.
      - Instalar SGBD en el sistema informático
      - Configurar un usuario auditor que será el único que tendrá acceso para revisar los registros de auditoría en las tablas correspondientes del SGBD.