Privileged Access Management

PAM y la seguridad de las bases de datos

Los datos estructurados son una parte esencial de los activos IT más valiosos de la mayoría de las empresas, por lo tanto, es crucial que las bases de datos estén protegidas. En este artículo hablaremos de cómo una solución de gestión del acceso privilegiado puede mejorar la seguridad actual de su base de datos.

Lo cierto es que los usuarios que representan una mayor amenaza para su base de datos también son en aquellos en los que usted más confía. Estos son los administradores de bases de datos (DBA), y algunas de sus funciones principales son la capacidad de planificación, instalación y configuración, así como el diseño de la base de datos, migración, supervisión del rendimiento, seguridad, resolución de problemas, copias de seguridad y recuperación de datos.

Incluso los derechos administrativos de estos usuarios les proporcionan habilidades excepcionales con las que pueden dañar los sistemas de bases que están a su cargo, ya sea porque deliberadamente llevan a cabo acciones malignas o porque son negligentes y de manera inconsciente atacantes internos o externos consiguen acceder a sus credenciales privilegiadas. Para hacer frente a todos estos problemas, PAM propone soluciones proactivas.

Control del acceso

Una parte muy importante de PAM, con respecto a la seguridad de las bases de datos, es el bloqueo de aquellos usuarios que tienen acceso administrativo a las bases de datos sensibles de una organización.

Sorprendentemente, los administradores de bases de datos (DBA), que tienen la responsabilidad de proteger los datos más críticos de su empresa, todavía siguen compartiendo contraseñas, utilizando credenciales comunes tanto para sus cuentas profesionales como personales y estableciendo contraseñas técnicamente complejas pero fáciles de adivinar. Lógicamente, todas estas prácticas son obsoletas y pueden poner en peligro a su organización.

La combinación del módulo de la gestión de accesos de una solución PAM con un vault de contraseñas integrado garantiza que tan solo los usuarios autorizados accedan a su base de datos mediante contraseñas muy seguras generadas individualmente. De esta forma, se evita la puesta en común de contraseñas, ya que los DBA nunca sabrán las contraseñas que realmente se están usando para acceder a las bases de datos que ellos administran. Estos administradores tan solo conocen las contraseñas que ellos mismos utilizan para acceder a la solución PAM que, a su vez, concede acceso a las bases de datos autorizadas (y a otros dispositivos y aplicaciones restringidos).

Los superadministradores pueden rotar las contraseñas de las bases de datos de forma sencilla y con la frecuencia que deseen. También existe un panel administrativo centralizado que permite a los superadministradores terminar o suspender con rapidez el acceso de cualquier empleado o contratista en caso de que ya no trabaje para su empresa o que ya no lo necesite. Gracias a esta función, los DBA (o contratistas y subcontratistas) cuyo contrato haya finalizado ya no tendrán acceso a los sistemas críticos.

Monitoreo y control de la actividad

Casi todas las soluciones de PAM pueden proporcionar el control del acceso descrito arriba, lo que aumenta significativamente la seguridad de las bases de datos. No obstante, WALLIX proporciona funciones adicionales y extremadamente útiles para controlar y monitorear el acceso a las bases de datos a través de la extraordinaria gestión de sesiones.

Registros detallados = Información fácil de utilizar para SIEM

Lo más probable es que su empresa ya haya realizado una gran inversión en una solución de información de seguridad y gestión de eventos (SIEM). Por ello, el producto que ofrece WALLIX está diseñado para integrarse perfectamente en cualquier solución de SIEM del mercado y, además, proporciona información muy detallada a su SIEM sobre las actividades que los usuarios privilegiados realizan en cada aplicación, incluidas sus bases de datos.

Esta información tan detallada proporciona un registro claro sobre que es lo que cada DBA hace en cada base de datos en la que trabaja:

Cuándo y desde dónde ha accedido dicho DBA
Los pasos exactos que siguió al iniciar sesión

También incluye metadatos muy interesantes que permiten a los administradores o auditores de seguridad llevar a cabo búsquedas globales dentro de la solución SIEM con el fin de localizar cualquier actividad sospechosa o que genere problemas y examinar a fondo qué es lo que sucedió, incluida la actividad de la base de datos. Asimismo, la actividad se registra en el Session Manager de WALLIX como una sesión de RDP.

En pocas palabras, la profunda integración entre WALLIX, las bases de datos y los sistemas SIEM permite que su solución SIEM funcione tal y como usted espera que lo haga. Los registros de actividad detallados desembocan en la solución SIEM que usted ya tiene implementada para ser procesados junto con otras fuentes de datos. Se pueden señalar las actividades sospechosas para futuras investigaciones o incluso eliminar cuentas y terminar sesiones que están a la espera de nuevas autorizaciones.

Las dos ventajas principales son:

El monitoreo de la actividad de los DBA en tiempo real para evitar que se produzcan actividades malignas.
El registro de auditoría inalterable para investigar sobre cualquier incidente que se produzca, proporcionar un informe y cumplir con la normativa.

Una gestión sólida de las sesiones no solo da lugar a una mayor responsabilidad, auditabilidad y control, sino que el mero hecho de que estas medidas estén implementadas mejora la conformidad con la normativa ya que los usuarios, al saber que todas sus acciones son monitoreadas, actúan con más cuidado.

Fácil integración

La integración entre WALLIX, sus sistemas de bases de datos y su solución SIEM está incorporada, no tiene agentes y sólo requiere un simple paso de configuración. En este artículo hemos utilizado el ejemplo de Splunk & Microsoft SQL Server, pero WALLIX también se integra perfectamente con cualquier SIEM o sistema de base de datos del mercado.

¿Preparado para saber más sobre nuestra solución?

Póngase en contacto con nosotros y le haremos una demostración de cómo proteger sus bases de datos.

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

PAM y la seguridad de las bases de datos

Control del acceso

Monitoreo y control de la actividad

Fácil integración

¿Preparado para saber más sobre nuestra solución?

La Gestión del Acceso Privilegiado para los desafíos de ciberseguridad de los MSSP

Test de ciberseguridad: Ponga a prueba sus habilidades

Blogs Relacionados

Recursos Relacionados

Productos

Soluciones

Recursos

Acerca