Documente Academic
Documente Profesional
Documente Cultură
Tema de conferencia:
Buenas Prácticas de Seguridad y
Auditoría en Bases de Datos Oracle
Ing. Alvaro Machaca Tola
ISO 27001 AI, CEH, CCNA
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
Perfil del expositor
Soy Licenciado en Informática con mención en Ingeniería de Sistemas,
cuento un Diplomado en Seguridad Informática, actualmente soy
certificado internacionalmente como: ISO 27001 Auditor Interno, CEH y
CCNA.
Trabajé en áreas de seguridad de la información, riesgo tecnológico,
auditoria y cumplimiento en entidades financieras y una firma global de
auditoria en Bolivia.
Contactos:
E-mail: alvaro_machaca@Hotmail.com
LinkedIn: https://bo.linkedin.com/in/alvaro-machaca-tola-00785b42
Twitter: @Alvaro_Machaca
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
Contenido
I. Entendiendo lo que es seguridad
II. Buenas prácticas de seguridad
III. Entendiendo lo que es auditoría
IV. Aspectos a considerar en un proceso de auditoría
V. Auditoría en Bases de Datos
VI. Buenas prácticas de seguridad en Bases de Datos Oracle
VII. Conclusiones
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
I. Entendiendo lo que es
seguridad
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
I. Entendiendo lo que es seguridad
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
I. Entendiendo lo que es seguridad
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
I. Entendiendo lo que es seguridad
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
II. Buenas prácticas de
seguridad
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
II. Buenas prácticas de seguridad
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
II. Buenas prácticas de seguridad
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
II. Buenas prácticas de seguridad
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
III. Entendiendo lo que es
auditoría
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
III. Entendiendo lo que es auditoría
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
III. Entendiendo lo que es auditoría
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
IV. Aspectos a considerar
en un proceso de
auditoría
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
IV. Aspectos a considerar en un proceso de
auditoría
a. El auditor no tiene un conocimiento
profundo de todos los procesos de la
empresa.
b. El auditor da una opinión en base a
estándares internacionales y mejores
prácticas de la industria.
c. El auditor debe trabajar bajo un enfoque
de riesgo.
d. El auditor tiene la última palabra al emitir
el informe final, pero la empresa es la que
toma la decisión final.
e. El auditor NO es tu enemigo.
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
V. Auditoría en Bases de
Datos
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
V. Auditoría en Bases de Datos
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
VI. Buenas prácticas de
seguridad en Bases de
Datos Oracle
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
VI. Buenas prácticas de seguridad en Bases de
Datos Oracle
Actualización de Parches de seguridad
Es fundamental que se instalen las últimas
versiones de parches de seguridad. Además
debe existir una política de actualización de cd $ORACLE_HOME/Opatch
./opatch lsinventory
manera periódica.
Riesgo
Un atacante podría explotar una
determinada vulnerabilidad por la ausencia
de instalación de parches de seguridad.
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
VI. Buenas prácticas de seguridad en Bases de
Datos Oracle
Sitios a consultar
Algunos sitios para consultar sobre
vulnerabilidades son los siguientes:
https://web.nvd.nist.gov
https://cve.mitre.org
https://support.oracle.com
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
VI. Buenas prácticas de seguridad en Bases de
Datos Oracle
Contraseñas por defecto
Es fundamental que las cuentas por defecto
con contraseñas predeterminadas sean
modificadas. SELECT USERNAME
FROM DBA_USERS_WITH_DEFPWD
WHERE USERNAME NOT LIKE
Riesgo '%XS$NULL%';
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
VI. Buenas prácticas de seguridad en Bases de
Datos Oracle
Sitios a consultar
Algunos sitios donde encontrar herramientas
de auditoria y creación de contraseñas
seguras son los siguientes:
https://www.secure-bytes.com
https://identitysafe.norton.com/password
-generator
http://passwordsgenerator.net/
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
VI. Buenas prácticas de seguridad en Bases de
Datos Oracle
AUDIT_SYS_OPERATIONS
Es fundamental que esta opción sea activada
para registrar las pistas de auditoría emitidas
por los usuarios bajo las cuentas SYSOPER y
SELECT UPPER(VALUE)
SYSDBA.
FROM V$PARAMETER
WHERE UPPER(NAME) =
Riesgo 'AUDIT_SYS_OPERATIONS';
No sería posible tener trazabilidad sobre las
acciones realizadas por usuarios con privilegios
de SYSDBA y SYSOPER.
Nota: En Oracle 12c esta opción viene por defecto en TRUE
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
VI. Buenas prácticas de seguridad en Bases de
Datos Oracle
AUDIT_TRAIL
Es fundamental que esta opción se encuentre
configurada con alguna de las siguientes
SELECT UPPER(VALUE)
opciones OS, DB, DB EXTENDED, XML O XML FROM V$PARAMETER
EXTENDED. WHERE
UPPER(NAME)='AUDIT_TRAIL';
Riesgo
No contaríamos con registros de auditoría de
la base de datos.
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
VI. Buenas prácticas de seguridad en Bases de
Datos Oracle
FAILED_LOGIN_ATTEMPTS SELECT PROFILE,
RESOURCE_NAME, LIMIT
Es importante que el valor de este parámetro FROM DBA_PROFILES
sea menor o igual a cinco intentos. WHERE
RESOURCE_NAME='FAILED_LOG
IN_ATTEMPTS'
Riesgo AND
(
Podrían generarse ataques de fuerza bruta en LIMIT = 'DEFAULT'
el proceso de login. OR LIMIT = 'UNLIMITED'
OR LIMIT > 5
);
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
VI. Buenas prácticas de seguridad en Bases de
Datos Oracle
PASSWORD_LIFE_TIME SELECT PROFILE,
RESOURCE_NAME, LIMIT
Es importante que el valor de este parámetro FROM DBA_PROFILES
sea menor o igual a 90 días. WHERE
RESOURCE_NAME='PASSWORD_L
IFE_TIME'
Riesgo AND
(
Podrían generarse ataques de fuerza bruta LIMIT = 'DEFAULT'
sobre las cuentas de usuarios. OR LIMIT = 'UNLIMITED'
OR LIMIT > 90
);
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
VI. Buenas prácticas de seguridad en Bases de
Datos Oracle
Privilegios y cuentas de usuarios
Es importante que la empresa defina los
perfiles y privilegios que se otorgaran a los Tablas importantes a revisar:
usuarios. Esto debe ser aprobado por la alta DBA_USERS
dirección y ser monitoreado periódicamente.
DBA_ROLE_PRIVS
Riesgo DBA_SYS_PRIVS
Usuarios no autorizados podrían tener
acceso a información crítica.
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
VII. Conclusiones
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
VII. Conclusiones
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
VII. Conclusiones
https://benchmarks.cisecurity.org/
http://www.iso.org/iso/iso27001
http://www.iso27000.es/
https://www.pcisecuritystandards.org/pci_security/
https://www.owasp.org/index.php/OWASP_Backen
d_Security_Project_Oracle_Hardening
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
Gracias
Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.