Hace poco me encontré con un escenario en una evaluación sobre la seguridad de TI. Soy nuevo en esta área y mi conocimiento es limitado, por lo que no estoy seguro de si mi respuesta al escenario es adecuada o no. Realmente apreciaré si alguien pudiera ayudar. Así que el escenario es:
Una pequeña empresa decidió mover su infraestructura a la nube. Durante la actividad de migración, identificaron que uno de los servidores de base de datos tenía 4 usuarios locales desconocidos de Windows. Esto provocó una revisión técnica e investigación interna.
Los problemas encontrados fueron:
- Se crearon 4 usuarios locales desconocidos en el servidor.
- Hubo un total de 30 usuarios de nivel de base de datos en la base de datos MS SQL.
- El servidor de la base de datos está almacenando datos para 20 aplicaciones web.
- Los hallazgos básicos fueron que se comprometieron 5 aplicaciones web, donde
- 1 sitio tenía problemas con la inyección de comandos
- 1 sitio tenía problemas con la inyección de SQL
- 1 sitio tenía problemas de XSS y CSRF
- 2 sitios no estaban haciendo ninguna validación de entrada
- Ninguno de los sitios estaba usando HTTPS
- Se encontró que dos de las bases de datos tienen información de la tarjeta de crédito
Las preguntas son:
Según este escenario, ¿es este un problema de seguridad de la base de datos, las aplicaciones o el sistema y por qué?
¿Cuáles son los registros que la compañía puede revisar durante la investigación?
Mi respuesta:
Creo que este es un problema de seguridad de la aplicación.
La seguridad de la aplicación se define como "la práctica general de agregar funciones o funcionalidades al software para evitar una variedad de amenazas diferentes. Entre ellas se incluyen los ataques de denegación de servicio y otros ataques cibernéticos y las violaciones de datos o las situaciones de robo de datos". En relación al escenario:
-
las aplicaciones web se almacenan en el servidor de base de datos, lo que significa que hace que sea más fácil para un atacante acceder a los datos porque solo necesitan descifrar la cuenta del administrador para que un servidor tenga acceso a todo.
-
los usuarios se crean a través de aplicaciones web y se almacenan en el servidor de bases de datos, aún tenemos que identificar los privilegios de los 4 usuarios desconocidos. Cualquiera o todos estos usuarios desconocidos podrían tener intenciones maliciosas. Pueden identificarse como individuos con acceso no autorizado a la red de la empresa, lo que significa que la compañía ya puede haber sido víctima de violaciones de datos o robo de datos.
-
problemas como la inyección de SQL, XSS y CSRF son un tipo común de vulnerabilidades de seguridad de las aplicaciones donde los atacantes pueden explotar y facilitar la ciberdelincuencia. Como resultado, los atacantes podrían identificar la disponibilidad, la confidencialidad y la integridad de los datos de la empresa.
-
la información de la tarjeta de crédito se encuentra en dos bases de datos y se encontró que 5 aplicaciones web no tienen https. Esto es signos de violaciones de datos y robo.
Le sugiero a la compañía que busque en los registros de las aplicaciones web y de la base de datos en busca de signos de una explotación real, también buscaré en los registros de auditoría de seguridad para cualquier intento de autenticación fallido y buscaré en el firewall tráfico inusual basado en la ubicación.