Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

19 octubre 2015

Seguridad de las bases de datos










Las bases de datos son el último bastión de defensa de una organización frente a los ataques del exterior. A pesar de lo cual, no siempre son percibidas como tal y no se les da la debida importancia. En las bases de datos se encuentran normalmente los activos más valiosos de una compañía: datos personales de mucha importancia, relaciones con clientes y proveedores, datos bancarios y financieros, etc. Pero se tiende a pensar que lo importante es proteger el perímetro y se olvida a veces proteger las bases de datos con el mismo cuidado. 

¿Por qué es esto así? Quizá sea porque la seguridad perimetral, primera linea de defensa, lo es de una manera más activa (filtros, alertas, etc.), mientras que la seguridad de las bases de datos depende más del diseño y cada caso es diferente. Requiere más esfuerzo diseñar pensando en la seguridad que limitarse a aplicar estándares. Esfuerzo que se incrementa si hay que estar pendientes de andar actualizando y poniendo parches cada vez que se descubren vulnerabilidades en los productos utilizados.

Podemos poner algunos ejemplos recientes en los que la seguridad de las bases de datos parece haber sido descuidada:

El primero de ellos es el famoso caso de Ashley Madison: entre los datos filtrados se encontraron documentos que muestran que la compañía era consciente de tener problemas de seguridad que debía resolver.

Otro caso más reciente es el de Patreonal parecer, el acceso y la fuga de datos pudo hacerse porque una versión de la web con un elemento de debug (werkzeug) acabó en producción, fuera del firewall.
Lo peor es que, según la compañía «Detectify», aparecen en Shodan miles de sitios web con el mismo fallo.

Viene al caso, por tanto, hacerse eco de la nota del editor del SANS NewsBites Vol. 17 Num. 077: «It is not possible to expose an application to the Internet in such a way that it cannot be compromised at some cost to the attacker. That said, applications like eBay and Patreon that owe their very existence to the Internet must be held to a higher standard of security than those for which the Internet is merely incidental to their business strategy.».

Podemos concluir diciendo que, como recuerda aquí SANS, si tu negocio es internet, debes cuidar la seguridad en ella con mayor motivo que aquellos para los que internet es solo algo marginal. Y cuidar la seguridad de tu negocio en internet implica, en gran manera, cuidar la seguridad de tus bases datos, que, de un modo u otro pueden quedar expuestas aunque las escondas bajo capas y capas de protección perimetral.

No hay comentarios:

Publicar un comentario

A penny for your thoughts