Conceptos y Estrategias Auditoria Conceptos y Estrategias Guillermo Alfonso Molina León, Ms.Auditoria

Aspectos de Seguridad Los principios básicos Confidencialidad Integridad Disponibilidad Servicios Autenticación Autorización No Repudiación Monitoreo Auditabilidad

Vistos de otra forma… Identificación & Autenticación Quien? Autorización Integridad Que acceso puede tener? Quien es el autor? ha sido modificado? Confidencialidad Non-Repudiacion Lo mando usted? Lo recibio usted? No otros pueden ver esto? Configuración Monitoreo Auditoria Que es permitido hacer? Que esta pasando? Que paso?

Monitoreo (1) Alcance y frecuencia Estados del monitoreo Evento Revisar reglas Revisar políticas DIARIO ANUAL

Monitoreo (2) Estado del monitoreo. Verificar la Configuración del software de seguridad. Usuarios privilegiados Utilitarios restringidos Opciones globales del sistema. La programación del monitoreo depende de : Criticidad del sistema; una al día, mas de dos o permanente. Forma manual o Automática. La responsabilidad del estado de monitorear es compartido: Administradores u oficiales de seguridad. Soporte técnico. Auditoría.

Monitoreo (3) Eventos del Monitoreo Detectar y reaccionar a accesos no autorizados. Evaluar el impacto del acceso no autorizado. Análisis de cambios inusuales en los cambios de las políticas y reglas de seguridad. Los eventos del monitoreo son en tiempo real basados en mensajes (Alarmas) originados Por accesos no autorizados. Transacciones sensibles no frecuentes. Usuarios Privilegiados y restringidos para ser utilizados.

Monitoreo (4) Análisis de reglas. Verificar que las reglas de; Acceso a los recursos. Registro de transacciones. Alertas de eventos. Estén a la medida de los requerimientos hechos por el dueño del Negocio. Es responsabilidad de el dueño estar moni toreando que las reglas estén funcionando y constatando los mensajes de alerta transaccional.

Monitoreo (5) Revisión de las Políticas y Estándares de Seguridad. Las políticas de seguridad deberían ser bastante genéricas. Los estándares pueden requerir más frecuencia de revisión. Ambos deberían ser revisados cuando el riesgo del negocio cambia. Los cambios de la tecnología ameritan la revisión de los estándares. Estas revisiones son exclusivas de la Gerencia Tecnológica con el soporte de los grupos o unidades de seguridad informática y frecuentemente en consultoría de firmas externas.

Auditoría Establece certeza sobre las actividades realizadas por un usuario. Los logs pueden incluir reportes y análisis de: Accesos al sistema (sign-on). Accesos no autorizados a los recursos. Definiciones al sistema de seguridad. Cambios autorizados o no a el esquema de seguridad. Acceso a los recursos por privilegios. Accesos autorizados a los recursos por usuario y/o recurso. Rastros de usuarios esquema o privilegiados. Muestreo y extracción de datos. Reconstrucción de eventos.

Auditoria Preguntas antes de Planear la Auditoria: Áreas a ser auditadas? Donde el Audit Trail debe estar? Que Información se guardará? Que nivel de Auditoria es apropiado? Que personas se encargarán de el monitoreo? Que personas están el grupo de atención de incidentes. Frecuencia de Mantenimiento y Respaldo? Lugar para restaurar la información?

…Arquitectura Modelos de Autenticación Password Certificados SSL Kerberos Biométricos Smart Cards

Autenticación Directa Client A Database Client B Client C Quien es el usuario? El usuario tiene privilegios directos? Como Audito?

Autenticación Usuario Base Client A Database UsuBase Client B Client C Quien es el usuario? El usuario cliente tiene privilegios o quien? Como Audito?

Autenticación ebusiness Client A Application Server or TP Monitor Database Client A, B, or C? Client B Client C Quien es el usuario real? La capa de la mitad tiene muchos privilegios? Como y a quien Audito?

Auditoria Basica… Podemos configurar sobre 180 “audit options” tanto por éxito como por fallo (SUCCESSFUL/WHEN NOT SUCCESSFUL ) Por sesión o por acceso (session, access). Que registros de Auditoria Básicos podemos incluir? Fecha y Hora Username (gmolinle01000) OS Username (gmolinle => carga NT) Terminal ip Objeto y su dueño (SMITH.Nomina) Action Session Id No audita acciones del usuario SYS.

Auditoria Extendida Que es? La puedo Implementar? Como? Como Funciona? Puedo hacerla proactiva? Esto solo me cubre acciones DML y las DDL? Que tan eficiente es? Debo conformar un grupo de Auditoria? En oracle 8i y 9i, me cambia la seguridad y mi Auditoria?

Auditoria Extendida Que es? Son las acciones o complementos que se deben dar a la Auditoria básica. Dándole un valor agregado o más detallado y un factor de detección y aviso en tiempo real. Primordial para la atención de incidentes y al análisis informático forense. Se basa en la Implementación de Triggers.

Auditoria Extendida La puedo Implementar? Como? Implementando Triggers sobre los objetos. Ins, Upd, Del Database Trigger Tabla o Vista DBA Capturando el valor pre y post y enviándolo un recipiente alterno.

Auditoria Extendida Como Funciona? Un insert tiene imagen pre. Un update tiene imagen pre y post. Un delete tiene imagen post Tabla Auditoria tabla Nomina Modifica Registra Usuario

Auditoria Extendida Puedo hacerla proactiva? Correo Celular Además de registrarse en un log-table. Se puede enviar a : Correo Celular Beeper Otros medios… Tabla Auditoria Modifica Registra Nomina Usuario Alerta Usuario Dueño Inf.

Auditoria Extendida Esto solo me cubre acciones DML y las DDL? Las DML se auditan mediante trigger a los objetos. Una DDL quedaría registrada en el Audit Trail cuyo dueño es SYS, por ende no podemos colocarle un trigger. Una alternativa es usar servicios o “demonios” que estén analizando el AUD$ y copiandolos a una tabla propia de seguridad. A esta última se le puede colocar triggers u otro servicio para mandar las alertas sobre los DDL. Veamos gráficamente….

Auditoria Extendida Servicio Crea una tabla Registra AUD$ Usuario Tabla Auditoria Crea una tabla Registra AUD$ Usuario Alerta Usuario Dueño Inf.

Auditoria Extendida Vista de un Correo … DDL ********************************** ACTION_DATE=> 04/28/2003 02:04:56 PM SESSID=> 3309285 USERNAME=> GMOLINLE01000 TERMINAL=> Windows NT OSUSER=> gmolinle PROGRAM=> C:\Documents and Settings\gmolinle\Escritorio\SQL PROCESS=> 2156:2204 MACHINE=> Aida-01-120746 DATABASE=> DB8i AUDIT_NAME=> AUDIT_AUD$ OBJECT_NAME=> TB_NOMINA OBJECT_OWNER=> SMITH ACTION=> 15 ACTION_NAME=> ALTER TABLE

Auditoria Que tan eficiente es? Oracle Audit es muy eficiente. La Auditoria es implementada en la base de datos, no en un adicional, add-on server. La Auditoria debe evolucionar con el motor. En 8i o más, practicamente la auditoria de aplicación se acaba. Se implementan las politícas. El rendimiento depende de que tantos datos audite y que acciones. Es recomendable auditar un Select? Auditar todos los accesos de todos los tipos impactará el rendimiento?

Auditoria Debo conformar un grupo de Auditoria? No solo conformarlo, se debe tener unas directrices en él. El grupo debe cumplir con unas conductas de entrada. Debe velar por el cumplimiento de las auditoria. Se debe conformar en lo posible por las siguientes áreas: Área usuaria Grupo de desarrollo Seguridad Informática Auditoria Dba Control Interno

Auditoria …..debo conformar un grupo de Auditoria? El grupo debe llenar una matriz de Datos vr. Acciones, adicionalmente la estrategia a seguir en cada caso. La aprobación de la Matriz. Implementar esta matriz bien sea a mano o utilizando software especializado, como Aida, sql audit, etc. Tomar un tiempo prudencial para el afinamiento. Oficializar ante la Auditoria y control interno esta auditorias. El mantenimiento o modificación debe ser aprobada por el grupo.

Referencias Oracle Security Handbook http://www.sans.org/rr/appsec/database.php http://www.pentasafe.com/whitepapers/B2bwp.pdf http://www.netcosecurity.com http://www.csis.gvsu.edu/GeneralInfo/Oracle/network.920/a96578/audit.htm http://www.cdoug.org/docs/Oracle_audit.doc