1 / 27

Auditoria

Auditoria. Conceptos y Estrategias. Guillermo Alfonso Molina León, Ms.Auditoria. Aspectos de Seguridad. Los principios básicos Confidencialidad Integridad Disponibilidad Servicios Autenticación Autorización No Repudiación Monitoreo Auditabilidad. Identificación & Autenticación.

elaine-hunt
Download Presentation

Auditoria

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Auditoria Conceptos y Estrategias Guillermo Alfonso Molina León, Ms.Auditoria

  2. Aspectos de Seguridad • Los principios básicos • Confidencialidad • Integridad • Disponibilidad • Servicios • Autenticación • Autorización • No Repudiación • Monitoreo • Auditabilidad

  3. Identificación & Autenticación Autorización Integridad Non-Repudiacion Confidencialidad Auditoria Configuración Monitoreo Vistos de otra forma… Quien? Que acceso puede tener? Quien es el autor? ha sido modificado? Lo mando usted? Lo recibio usted? No otros pueden ver esto? Que es permitido hacer? Que esta pasando? Que paso?

  4. Monitoreo (1) • Alcance y frecuencia Estados del monitoreo Evento monitoreo Revisar reglas Revisar políticas DIARIO ANUAL

  5. Monitoreo (2) • Estado del monitoreo. • Verificar la Configuración del software de seguridad. • Usuarios privilegiados • Utilitarios restringidos • Opciones globales del sistema. • La programación del monitoreo depende de : • Criticidad del sistema; una al día, mas de dos o permanente. • Forma manual o Automática. • La responsabilidad del estado de monitorear es compartido: • Administradores u oficiales de seguridad. • Soporte técnico. • Auditoría.

  6. Monitoreo (3) • Eventos del Monitoreo • Detectar y reaccionar a accesos no autorizados. • Evaluar el impacto del acceso no autorizado. • Análisis de cambios inusuales en los cambios de las políticas y reglas de seguridad. Los eventos del monitoreo son en tiempo real basados en mensajes (Alarmas) originados • Por accesos no autorizados. • Transacciones sensibles no frecuentes. • Usuarios Privilegiados y restringidos para ser utilizados.

  7. Monitoreo (4) • Análisis de reglas. • Verificar que las reglas de; • Acceso a los recursos. • Registro de transacciones. • Alertas de eventos. Estén a la medida de los requerimientos hechos por el dueño del Negocio. Es responsabilidad de el dueño estar moni toreando que las reglas estén funcionando y constatando los mensajes de alerta transaccional.

  8. Monitoreo (5) • Revisión de las Políticas y Estándares de Seguridad. • Las políticas de seguridad deberían ser bastante genéricas. • Los estándares pueden requerir más frecuencia de revisión. • Ambos deberían ser revisados cuando el riesgo del negocio cambia. • Los cambios de la tecnología ameritan la revisión de los estándares. • Estas revisiones son exclusivas de la Gerencia Tecnológica con el soporte de los grupos o unidades de seguridad informática y frecuentemente en consultoría de firmas externas.

  9. Auditoría Establece certeza sobre las actividades realizadas por un usuario. • Los logs pueden incluir reportes y análisis de: • Accesos al sistema (sign-on). • Accesos no autorizados a los recursos. • Definiciones al sistema de seguridad. • Cambios autorizados o no a el esquema de seguridad. • Acceso a los recursos por privilegios. • Accesos autorizados a los recursos por usuario y/o recurso. • Rastros de usuarios esquema o privilegiados. • Muestreo y extracción de datos. • Reconstrucción de eventos.

  10. Auditoria • Preguntas antes de Planear la Auditoria: • Áreas a ser auditadas? • Donde el Audit Trail debe estar? • Que Información se guardará? • Que nivel de Auditoria es apropiado? • Que personas se encargarán de el monitoreo? • Que personas están el grupo de atención de incidentes. • Frecuencia de Mantenimiento y Respaldo? • Lugar para restaurar la información?

  11. …Arquitectura • Modelos de Autenticación • Password • Certificados • SSL • Kerberos • Biométricos • Smart Cards

  12. Autenticación Directa Client A • Quien es el usuario? • El usuario tiene privilegios directos? • Como Audito? Database Client B Client C

  13. Autenticación Usuario Base • Quien es el usuario? • El usuario cliente tiene privilegios o quien? • Como Audito? Client A Database UsuBase Client B Client C

  14. Autenticación ebusiness • Quien es el usuario real? • La capa de la mitad tiene muchos privilegios? • Como y a quien Audito? Client A Application Server or TP Monitor Database Client A, B, or C? Client B Client C

  15. Auditoria Basica… • Podemos configurar sobre 180 “audit options” • tanto por éxito como por fallo (SUCCESSFUL/WHEN NOT SUCCESSFUL ) • Por sesión o por acceso (session, access). • Que registros de Auditoria Básicos podemos incluir? • Fecha y Hora • Username (gmolinle01000) • OS Username (gmolinle => carga NT) • Terminal • ip • Objeto y su dueño (SMITH.Nomina) • Action • Session Id • No audita acciones del usuario SYS.

  16. Auditoria Extendida • Que es? • La puedo Implementar? Como? • Como Funciona? • Puedo hacerla proactiva? • Esto solo me cubre acciones DML y las DDL? • Que tan eficiente es? • Debo conformar un grupo de Auditoria? • En oracle 8i y 9i, me cambia la seguridad y mi Auditoria?

  17. Auditoria Extendida • Que es? Son las acciones o complementos que se deben dar a la Auditoria básica. Dándole un valor agregado o más detallado y un factor de detección y aviso en tiempo real. Primordial para la atención de incidentes y al análisis informático forense. Se basa en la Implementación de Triggers.

  18. Auditoria Extendida • La puedo Implementar? Como? Implementando Triggers sobre los objetos. Ins, Upd, Del Database Trigger Tabla o Vista DBA Capturando el valor pre y post y enviándolo un recipiente alterno.

  19. Auditoria Extendida • Como Funciona? Un insert tiene imagen pre. Un update tiene imagen pre y post. Un delete tiene imagen post Tabla Auditoria tabla Nomina Modifica Registra Usuario

  20. Auditoria Extendida • Puedo hacerla proactiva? Además de registrarse en un log-table. Se puede enviar a : • Correo Celular • Beeper Otros medios… Tabla Auditoria Modifica Registra Nomina Usuario Alerta Usuario Dueño Inf.

  21. Auditoria Extendida • Esto solo me cubre acciones DML y las DDL? • Las DML se auditan mediante trigger a los objetos. • Una DDL quedaría registrada en el Audit Trail cuyo dueño es SYS, por ende no podemos colocarle un trigger. • Una alternativa es usar servicios o “demonios” que estén analizando el AUD$ y copiandolos a una tabla propia de seguridad. • A esta última se le puede colocar triggers u otro servicio para mandar las alertas sobre los DDL. Veamos gráficamente….

  22. Auditoria Extendida Servicio Tabla Auditoria Crea una tabla Registra AUD$ Usuario Alerta Usuario Dueño Inf.

  23. Auditoria Extendida Vista de un Correo … DDL • ********************************** • ACTION_DATE=> 04/28/2003 02:04:56 PM • SESSID=> 3309285 • USERNAME=> GMOLINLE01000 • TERMINAL=> Windows NT • OSUSER=> gmolinle • PROGRAM=> C:\Documents and Settings\gmolinle\Escritorio\SQL • PROCESS=> 2156:2204 • MACHINE=> Aida-01-120746 • DATABASE=> DB8i • AUDIT_NAME=> AUDIT_AUD$ • OBJECT_NAME=> TB_NOMINA • OBJECT_OWNER=> SMITH • ACTION=> 15 • ACTION_NAME=> ALTER TABLE

  24. Auditoria Que tan eficiente es? • Oracle Audit es muy eficiente. • La Auditoria es implementada en la base de datos, no en un adicional, add-on server. • La Auditoria debe evolucionar con el motor. En 8i o más, practicamente la auditoria de aplicación se acaba. Se implementan las politícas. • El rendimiento depende de que tantos datos audite y que acciones. • Es recomendable auditar un Select? • Auditar todos los accesos de todos los tipos impactará el rendimiento?

  25. Auditoria Debo conformar un grupo de Auditoria? • No solo conformarlo, se debe tener unas directrices en él. • El grupo debe cumplir con unas conductas de entrada. • Debe velar por el cumplimiento de las auditoria. • Se debe conformar en lo posible por las siguientes áreas: • Área usuaria • Grupo de desarrollo • Seguridad Informática • Auditoria • Dba • Control Interno

  26. Auditoria …..debo conformar un grupo de Auditoria? • El grupo debe llenar una matriz de Datos vr. Acciones, adicionalmente la estrategia a seguir en cada caso. • La aprobación de la Matriz. • Implementar esta matriz bien sea a mano o utilizando software especializado, como Aida, sql audit, etc. • Tomar un tiempo prudencial para el afinamiento. • Oficializar ante la Auditoria y control interno esta auditorias. • El mantenimiento o modificación debe ser aprobada por el grupo.

  27. Referencias • Oracle Security Handbook • http://www.sans.org/rr/appsec/database.php • http://www.pentasafe.com/whitepapers/B2bwp.pdf • http://www.netcosecurity.com • http://www.csis.gvsu.edu/GeneralInfo/Oracle/network.920/a96578/audit.htm • http://www.cdoug.org/docs/Oracle_audit.doc

More Related