Técnicas de fortalecimiento de bases de datos

4

Así que, según tengo entendido, el fortalecimiento de la base de datos es un proceso en el que se eliminan las vulnerabilidades que resultan de las opciones de configuración laxas. Esto puede a veces compensar los errores de proveedores explotables.

Existen tres etapas principales para fortalecer una base de datos:

  1. Bloquear el acceso a los recursos que pueden ser mal utilizados.
  2. Deshabilitar funciones que no son necesarias.
  3. Principio de menor autoridad o privilegios mínimos.

Hay una gran cantidad de información para "bloquear" los entornos RDBMS para fortalecerlos contra los ataques. Sin embargo, estos recursos no proporcionan suficiente contexto sobre las explotaciones actuales de las bases de datos (si no sabe qué tipos de ataques existen y cuáles son populares, ¿cómo puede saber si sus medidas de protección van a brindar protección)?

Una mala manera de comenzar a aprender técnicas de fortalecimiento sería enumerar tantas explotaciones de bases de datos y aprender cómo funcionan todas y cada una de ellas, lo que podría llevar ... mucho tiempo.

Así que me pregunto dónde puedo comenzar, los recursos disponibles y las tendencias actuales, etc.

    
pregunta Garrith Graham 20.02.2013 - 18:20
fuente

4 respuestas

2

Hay algunos recursos como CIS. Si desea cumplir con los estándares militares, verifico las los STIG (Guías de implementación técnica de seguridad) . Tienen STIGs para SQL Server , y puede consultar el requisitos de base de datos generales .

Desde su publicación, no está claro si está trabajando en un entorno web, pero es probable que desee saber sobre la inyección de SQL, etc. Comenzaría en OWASP. Tienen alguna información general sobre la inyección de SQL , algunas pautas de seguridad y algunas pautas de prueba.

En términos de búsqueda de vulnerabilidades actuales, puede buscar en CVEs .

Si nos proporciona algunos detalles adicionales, podemos proporcionar algunos recursos más. Es posible que solo desee consultar Amazon en busca de libros sobre el tema que se ajusten a su estilo y enfoque.

    
respondido por el Eric G 21.02.2013 - 06:03
fuente
0

Podrías darle una oportunidad al CIS - Center for Internet Security -. Puntos de referencia de seguridad de la base de datos:

enlace

CIS es una organización muy conocida por sus puntos de referencia de seguridad y los encontrará en muchas organizaciones.

    
respondido por el akaasjager 21.02.2013 - 01:53
fuente
0

"exploits actuales" serán los "exploits old hat" del próximo mes y, como tales, son bastante similares al conjunto actual de exploits "old hat". Y nadie hablará de las hazañas de la próxima semana de todos modos.

En pocas palabras, mire los parches de seguridad durante el último año y piense si las medidas que tome las detendrán.

    
respondido por el Gary 22.02.2013 - 11:19
fuente
0

Para agregar a las otras respuestas que enumeran recursos específicos para fortalecer las bases de datos, abordaré su punto sobre cómo abordar amenazas desconocidas a las bases de datos.

Le sugeriría que no debe basar su protección de ningún componente de su infraestructura en amenazas específicas (por ejemplo, cualquiera que sea el "día de los últimos días").

En vez de eso, reduzca la superficie de ataque tanto como sea posible (por ejemplo, elimine la funcionalidad innecesaria, solo otorgue a los usuarios de la base de datos los derechos específicos necesarios para operar, habilite el registro remoto de eventos de seguridad) y luego (según su modelo de amenaza) considere si necesita controles adicionales (por ejemplo, firewalls de base de datos).

Si intentas basar los controles en amenazas específicas, acabarás constantemente en modo de recuperación.

    
respondido por el Rоry McCune 24.02.2013 - 20:44
fuente

Lea otras preguntas en las etiquetas