| Artículos | 01 OCT 2006

Rastros de auditoría

Tags: Histórico
Curso de seguridad (I)
Gonzalo Alvarez.
En este curso de seguridad en bases de datos en cinco entregas se explica algunos de los conceptos más importantes para protegerse frente a los ataques más frecuentes y las amenazas más graves. Una parte importante de la política de seguridad de una organización es un plan de auditoría que especifique qué actividad de la base de datos se va a registrar. La información sobre la actividad de la base de datos permite detectar intrusos, analizar los daños de una intrusión e incluso cumplir con la legislación vigente. En esta entrega se ofrecen algunas directrices para ayudarle a diseñar un plan de auditoría eficaz.

Nivel de dificultad: Alto
Objetivo: Implantar un plan de auditoría
Herramientas: Las propias herramientas que acompañan a la base de datos más herramientas comerciales descritas en el artículo

Los registros de actividad resultan fundamentales en la vida cotidiana para mantener el control de lo que ocurre. ¿Cómo podría conservar una biblioteca sus fondos públicos si prestase libros sin guardar un registro de a quién y cuándo se prestan? ¿Cómo controlar las operaciones de la tarjeta de crédito si el banco no mantuviera un registro de las mismas, que puede consultarse en todo momento en busca de movimientos sospechosos? ¿Cómo sabría un operadora de telecomunicaciones cuánto facturar a cada cliente si no guardase un registro exhaustivo de sus llamadas, tipo y duración de las mismas? Una organización no puede subsistir sin registros de actividad (logs), también llamados trazas o rastros de auditoría (audit trails), ya que no sabría lo que le está pasando: qué se hace, quién lo hace, cuándo se hace, cómo se hace. Por consiguiente, una tarea fundamental de la operación de las bases de datos, donde se almacena toda la información de la organización, consiste en registrar su actividad.
A continuación, se verán en primer lugar las motivaciones detrás del mantenimiento de rastros de auditoría y se explicará cómo crear un plan de auditoría eficaz, revisando qué áreas conviene auditar y en qué circunstancias, dónde y cómo almacenar estos rastros o qué información conviene registrar. Por último, se pasará revista a las herramientas necesarias para revisar los rastros generados.

Por qué auditar
La determinación de auditar la actividad de la base de datos debe formar parte de la política de seguridad de la organización, comprendida dentro de un plan de seguridad. La política de seguridad sirve para garantizar que la organización posee una postura meditada y consecuente con respecto a la seguridad, de manera que su tratamiento no queda al azar ni sujeto al libre albedrío o espontaneidad de sus miembros. Con una política sólida, las funciones y responsabilidades de cada individuo quedan claramente definidas, las acciones siguen unos procedimientos estandarizados y, en general, las cosas funcionan bajo control.
A menudo se escuchan argumentos en contra de la auditoría, en la línea de que activar los registros de actividad de la base de datos consume muchos recursos y deteriora el rendimiento global del sistema. Obviamente, tan absurdo puede resultar registrar cada acceso a cada registro, cada una de las operaciones, importantes o irrelevantes, realizadas en la base de datos, como no registrar nada en absoluto. En el primer caso está claro que disminuirá el rendimiento y se consumirán recursos de disco y CPU, mientras que en el segundo no se tiene la menor idea de la actividad experimentada, no se cuenta con la más mínima información de lo que está pasando. Por supuesto, entre ambos extremos existe un equilibrio que toda organización debe esforzarse por encontrar. Dado que no existen dos organizaciones con necesidades idénticas, no existen tampoco recetas mágicas de aplicación en todos los casos. En muchas organizaciones, la auditoría no se activa hasta que se produce un incidente y se necesita saber qué ha pasado. Pero entonces ya es tarde. A veces, se activa toda la auditoría posible, y pronto se ve que se genera demasiada información, que rápidamente consume el disco y que difícilmente se puede examinar debido a la inmensa cantidad de información irrelevante capturada, por lo que vuelve a desactivarse. Resulta evidente que hace falta un plan de auditoría meditado y bien diseñado.
Entre las razones más importantes por las que una organización puede querer activar la auditoría se encuentran:
- Detección de intrusiones. El análisis continuo de los registros de auditoría permite detectar actividad sospechosa o anormal: conexiones de usuarios a horas intempestivas, actividad inusual en tablas sensibles, desaparición de objetos, o errores repetitivos nunca antes vistos. Todas estas anomalías delatan un ataque en curso o cuando menos un funcionamiento fuera de lo normal que conviene investigar.
- Análisis forense. Puede ocurrir que se haya producido un ataque que pasó inadvertido, por ejemplo un empleado interno que filtró información confidencial de la organización. Los rastros de auditoría podrían presentar evidencia de quién fue y exactamente qué información desveló.
- Monitorización de recursos. Si una aplicación funciona más lentamente de lo esperado o se producen bajadas de rendimiento en ciertos momentos, los registros de actividad pueden ayudar a descubrir la causa. Igualmente, el conocer el uso de los recursos puede ayudar a destinar más medios allí donde son más necesarios. Se pueden registrar las transacciones cuyo tiempo de ejecución supere un cierto umbral. Por ejemplo, se pueden activar rastros que ayuden a detectar consultas de ejecución lenta.
- Patrones de uso. Los registros de actividad sirven asimismo para confeccionar patrones de uso de la base de datos, como tiempos medios de ejecución de consultas, frecuencias de consultas, o número medio de usuarios conectados. Sobre estos datos se pueden confeccionar posteriormente gráficos informativos, de manera que sea fácil aislar cualquier comportamiento anómalo.
- Depuración de errores. Especialmente durante la fase de desarrollo, la auditoría puede resultar de gran utilidad para detectar errores en sentencias complicadas, vistas y procedimientos almacenados que no funcionan como se espera, etc.
- Cumplimiento de la legislación vigente. La LOPD en España obliga a mantener registros de acceso a los datos de nivel de seguridad alto. De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido. El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes. En otros países existen otras leyes que obligan igualmente al registro de accesos, como la Sarbanes Oxley estadounidense. El sector financiero también está desarrollando sus propias regulaciones, como el estándar PCI/CISP (Payment Card Industry/Cardholder Information Security Program), que en sus requisitos 7 y 10 enfatiza el papel de los registros de actividad para la seguridad de los datos de los titul

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información