6 Pasos para la Lucha contra la inyección de SQL
Por Frank Ohlhorst
La noticia se ha inundado con las revelaciones sobre las principales brechas de seguridad que participan minoristas como Target, Michaels y Niemen Marcus y cadenas hoteleras como Hilton y Marriot.Aún más sorprendente que los ataques exitosos de hackers en estas destacadas empresas es el hecho de que la mayoría de las víctimas tienen aún de averiguar exactamente cómo ocurrieron las infracciones y el alcance total de los daños sufridos.
Es probable que la inyección de SQL participó en al menos algunas de estas infracciones. Durante más de 10 años, los atacantes han irrumpido en un sinnúmero de bases de datos con SQL injection para robar información, como los datos de cuenta y detalles de la transacción.
Los ataques de inyección SQL son un fenómeno nuevo , y profesionales de la seguridad son más que capaces de proteger contra ellos. Sin embargo, según Neira Jones, ex jefe de seguridad de pago por Barclaycard, alrededor del 97 por ciento de las violaciones de datos en todo el mundo todavía implica la inyección de SQL en algún momento. Eso plantea una pregunta: ¿Por qué los ataques de inyección SQL todavía tan eficaz?
No es por falta de intentos. Los profesionales de seguridad son muy conscientes de las amenazas planteadas por inyección SQL - desconcertado por la rápida evolución de los últimos ataques. Lo que es más, la mayoría de los ataques de apalancamiento vulnerabilidades de día cero - por lo que los vectores de ataque no se han visto antes y no muestran signos reveladores de una intrusión. Esto supone un problema para la mayoría de los profesionales de la seguridad, especialmente las que se basan en tecnologías de seguridad basadas en firmas para detectar y prevenir ataques.
Inyección SQL Battling debe adoptar un enfoque diferente, que identifica lo que es el acceso normal y lo que cae fuera de la norma - todo sin crear falsos positivos para los ataques y al mismo tiempo no perder un ataque en curso.
Los productos que utilizan este tipo de enfoque están emergiendo, incluyendo la solución de gestión de la inyección de SQL DB Networks, que fue revisado recientemente en Enterprise Networking Planet.
Dicho esto, es obvio que debe haber algunas de las mejores prácticas para reducir la posibilidad de un ataque de inyección SQL. Tres prácticas se centran en la gestión y el diseño de los aspectos de un sistema de base de datos SQL:
Si bien estas prácticas son un buen comienzo, hay otras prácticas que deben ser considerados. Estas tres prácticas pueden incurrir en costos adicionales, pero son en última instancia, vale la pena en el largo plazo si impiden una violación que se produzcan.
Combinando las mejores prácticas con las tecnologías del mercado de accesorios ha demostrado ser el mejor camino para la protección de las bases de datos de ataques de inyección SQL, que son propensos a seguir siendo una gran amenaza para las empresas, tanto grandes como pequeños.
Frank Ohlhorst es una periodista galardonada tecnología, un locutor profesional y consultor de empresas de TI con más de 25 años de experiencia en el campo de la tecnología. Ha escrito para varias publicaciones de tecnología líderes, incluyendo ComputerWorld, TechTarget, PCWorld, ExtremeTech, Hardware y empresariales publicaciones de Tom, incluyendo Empresario, Forbes y BNET. Ohlhorst fue también el editor de tecnología eexecutive para eWeek de Ziff Davis Empresa y ex director del Centro de Pruebas de CRN.
Es probable que la inyección de SQL participó en al menos algunas de estas infracciones. Durante más de 10 años, los atacantes han irrumpido en un sinnúmero de bases de datos con SQL injection para robar información, como los datos de cuenta y detalles de la transacción.
Los ataques de inyección SQL son un fenómeno nuevo , y profesionales de la seguridad son más que capaces de proteger contra ellos. Sin embargo, según Neira Jones, ex jefe de seguridad de pago por Barclaycard, alrededor del 97 por ciento de las violaciones de datos en todo el mundo todavía implica la inyección de SQL en algún momento. Eso plantea una pregunta: ¿Por qué los ataques de inyección SQL todavía tan eficaz?
No es por falta de intentos. Los profesionales de seguridad son muy conscientes de las amenazas planteadas por inyección SQL - desconcertado por la rápida evolución de los últimos ataques. Lo que es más, la mayoría de los ataques de apalancamiento vulnerabilidades de día cero - por lo que los vectores de ataque no se han visto antes y no muestran signos reveladores de una intrusión. Esto supone un problema para la mayoría de los profesionales de la seguridad, especialmente las que se basan en tecnologías de seguridad basadas en firmas para detectar y prevenir ataques.
Inyección SQL Battling debe adoptar un enfoque diferente, que identifica lo que es el acceso normal y lo que cae fuera de la norma - todo sin crear falsos positivos para los ataques y al mismo tiempo no perder un ataque en curso.
Los productos que utilizan este tipo de enfoque están emergiendo, incluyendo la solución de gestión de la inyección de SQL DB Networks, que fue revisado recientemente en Enterprise Networking Planet.
Dicho esto, es obvio que debe haber algunas de las mejores prácticas para reducir la posibilidad de un ataque de inyección SQL. Tres prácticas se centran en la gestión y el diseño de los aspectos de un sistema de base de datos SQL:
No confiar ciegamente entrada
En pocas palabras, cualquier entrada en el motor SQL debe validarse - lo que significa que las organizaciones deben crear y hacer cumplir las directrices de codificación segura que requiere SQL puede construir utilizando consultas con parámetros, una técnica de codificación intensiva que previene los ataques de inyección SQL mediante la separación de código ejecutable a partir de los datos introducidos.Crear mensajes de error con Cuidado
Los atacantes a menudo usan los mensajes de error mal hecha a mano para saber cómo atacar mejor una base de datos. Los desarrolladores y DBAs necesitan considerar qué información se devuelve a través de un error, cuando hay entrada inesperada. Por ejemplo, si un error de inicio de sesión vuelve con "nombres de usuario no pueden contener números," que pueden dar una idea de atacante en cómo aprovechar la información de cuenta de usuario Robada.Mantener bases de datos y aplicaciones con todos los parches
No hace falta decir que los parches de seguridad deben aplicarse regularmente. Sin embargo, la aplicación de parches es una de las técnicas de seguridad más alto. Eso puede ser debido a la mala gestión, la falta de notificaciones de proveedores o una combinación de estos y otros factores. Para muchos, la única solución es la implementación de un sistema de gestión de parches que elimina las tareas manuales, que a menudo caen en el olvido.Si bien estas prácticas son un buen comienzo, hay otras prácticas que deben ser considerados. Estas tres prácticas pueden incurrir en costos adicionales, pero son en última instancia, vale la pena en el largo plazo si impiden una violación que se produzcan.
Implementar herramientas de supervisión de red
Supervisar la actividad de acceso a nivel de aplicación puede dar rápidamente una indicación de que un ataque se está produciendo. Pistas simples, tales como un aumento de los errores o de un aumento de la actividad, se pueden utilizar para advertir a los administradores de un ataque en curso.Implementar herramientas de filtrado
Aplicaciones de seguridad en tiempo real pueden trabajar con sistemas de monitoreo para bloquear los ataques que se producen, al filtrar el tráfico sospechoso y negar el acceso a la base de datos.Mejorar la seguridad de base de datos
Sistemas de autenticación adicionales que funcionan con inicio de sesión único (SSO) de soluciones y se pueden integrar con bases de datos de back-end y los controles de seguridad de aplicaciones pueden aportar una protección adicional a las bases de datos vulnerables. Lo que es más, los sistemas de autenticación de alta gama también incorporan capacidades de registro y auditoría, así como el control de los privilegios nativos que están asociados con las bases de datos de gama alta. En otras palabras, el acceso privilegiado sólo está disponible para los administradores, y si otros tratan de obtener acceso privilegiado al evento se registra y se informó.Combinando las mejores prácticas con las tecnologías del mercado de accesorios ha demostrado ser el mejor camino para la protección de las bases de datos de ataques de inyección SQL, que son propensos a seguir siendo una gran amenaza para las empresas, tanto grandes como pequeños.
Frank Ohlhorst es una periodista galardonada tecnología, un locutor profesional y consultor de empresas de TI con más de 25 años de experiencia en el campo de la tecnología. Ha escrito para varias publicaciones de tecnología líderes, incluyendo ComputerWorld, TechTarget, PCWorld, ExtremeTech, Hardware y empresariales publicaciones de Tom, incluyendo Empresario, Forbes y BNET. Ohlhorst fue también el editor de tecnología eexecutive para eWeek de Ziff Davis Empresa y ex director del Centro de Pruebas de CRN.
No hay comentarios:
Publicar un comentario