Cómo detectar una fuga de base de datos

4

Los sitios web siguen siendo pirateados todos los días y de vez en cuando escuchamos a los propietarios de sitios web reaccionar y decirles a los "usuarios afectados que su contraseña podría haber sido comprometida". La mayoría de los sitios que revelan este tipo de filtraciones saben exactamente qué información se vio comprometida y, a menudo, solo afecta a una pequeña parte del usuario.

En todas mis configuraciones, guardo todo en una sola base de datos. Si un pirata informático obtuviera acceso a la base de datos, ¿cómo puedo verificar lo que se ha comprometido?

Mi pregunta es: ¿cómo puedo monitorear mi base de datos para detectar fugas en la base de datos? Habría algunos vectores de ataque: un usuario podría encontrar un error en mi código y obtener acceso a mi interfaz de administración. En ese caso un registro ayudaría. Pero, ¿qué pasa si el ataque logra conectarse a mi base de datos y enviar cualquier consulta SQL que desee? ¿Qué pasa si todo el servidor se ve comprometido? Él podría simplemente eliminar los registros, o incluso ocultar sus acciones. De esta manera, ni siquiera sabría que fui hackeado hasta que los usuarios empiecen a quejarse.

En mis configuraciones utilizo Postgres pero esperaba soluciones de mitigación / detección que no estén vinculadas a una pila.

    
pregunta Matt3o12 26.06.2015 - 14:27
fuente

1 respuesta

5

Esto suele ser una combinación de suerte, tecnología y agitar las manos.

Puede ver que su servidor de base de datos fue pirateado (a través de una actividad inusual, por ejemplo, la transferencia de gigabytes a Internet, un hecho detectado por, por ejemplo, su proveedor de red). Luego puede tener registros que rastrean la actividad en la base de datos (desde "alguien accedió a la base de datos" hasta consultas reales). Luego, con suerte, puedes imaginarte lo que se ha filtrado.

Otro ejemplo es el uso de Prevención de pérdida de datos . Esta es una tecnología que tuvo sus días gloriosos hace unos años pero no detectó nada útil (en general, buscaba patrones en lo que se transfiere). Teniendo en cuenta las restricciones que debe establecer para que funcionen, no es sorprendente que apenas pueda captar algo. Pero esta es una posibilidad tecnológica.

Otro caso es que te das cuenta (o alguien te dice) que tus datos están en pastebin .

Puedes ver que hay muchos escenarios posibles.

Además de tener su entorno actualizado, su defensa principal es registrar todo y hacerlo en un lugar fuera de las inmediaciones de su base de datos (para que permanezca allí después del corte). Puede usar una solución casera (un servidor de syslog centralizado en una zona con firewall) o comercial ( Papertrail , Splunk Cloud , ...). A continuación, supervisa estos registros en busca de patrones inusuales.

    
respondido por el WoJ 26.06.2015 - 14:47
fuente

Lea otras preguntas en las etiquetas