Auditoria
Conceptos y Estrategias
Guillermo Alfonso Molina León,
Ms.Auditoria
1
Aspectos de Seguridad
•Los principios básicos
•Confidencialidad
•Integridad
•Disponibilidad
•Servicios
•Autenticación
•Autorización
•No Repudiación
•Monitoreo
•Auditabilidad
2
Vistos de otra forma…
Identificación &
Autenticación
Quien?
Autorización
Integridad
Que acceso puede tener?
Quien es el autor?
ha sido modificado?
Confidencialidad
Non-Repudiacion
No otros pueden ver esto?
Lo mando usted?
Lo recibio usted?
Configuración
Monitoreo
Auditoria
Que es permitido hacer?
Que esta pasando?
Que paso?
3
Monitoreo (1)
Alcance y frecuencia
Estados del
monitoreo
DIARIO
Evento
monitoreo
Revisar
reglas
Revisar
políticas
ANUAL
4
Monitoreo (2)

Estado del monitoreo.

Verificar la Configuración del software de seguridad.




La programación del monitoreo depende de :



Usuarios privilegiados
Utilitarios restringidos
Opciones globales del sistema.
Criticidad del sistema; una al día, mas de dos o permanente.
Forma manual o Automática.
La responsabilidad del estado de monitorear es compartido:



Administradores u oficiales de seguridad.
Soporte técnico.
Auditoría.
5
Monitoreo (3)

Eventos del Monitoreo



Detectar y reaccionar a accesos no autorizados.
Evaluar el impacto del acceso no autorizado.
Análisis de cambios inusuales en los cambios de las políticas y
reglas de seguridad.
Los eventos del monitoreo son en tiempo real basados en
mensajes (Alarmas) originados



Por accesos no autorizados.
Transacciones sensibles no frecuentes.
Usuarios Privilegiados y restringidos para ser utilizados.
6
Monitoreo (4)

Análisis de reglas.

Verificar que las reglas de;



Acceso a los recursos.
Registro de transacciones.
Alertas de eventos.
Estén a la medida de los requerimientos hechos por el dueño del
Negocio.
Es responsabilidad de el dueño estar moni toreando que las reglas
estén funcionando y constatando los mensajes de alerta
transaccional.
7
Monitoreo (5)

Revisión de las Políticas y Estándares de
Seguridad.





Las políticas de seguridad deberían ser bastante genéricas.
Los estándares pueden requerir más frecuencia de revisión.
Ambos deberían ser revisados cuando el riesgo del negocio
cambia.
Los cambios de la tecnología ameritan la revisión de los
estándares.
Estas revisiones son exclusivas de la Gerencia Tecnológica con el
soporte de los grupos o unidades de seguridad informática y
frecuentemente en consultoría de firmas externas.
8
Auditoría
Establece certeza sobre las actividades realizadas
por un usuario.

Los logs pueden incluir reportes y análisis de:









Accesos al sistema (sign-on).
Accesos no autorizados a los recursos.
Definiciones al sistema de seguridad.
Cambios autorizados o no a el esquema de seguridad.
Acceso a los recursos por privilegios.
Accesos autorizados a los recursos por usuario y/o recurso.
Rastros de usuarios esquema o privilegiados.
Muestreo y extracción de datos.
Reconstrucción de eventos.
9
Auditoria

Preguntas antes de Planear la Auditoria:








Áreas a ser auditadas?
Donde el Audit Trail debe estar?
Que Información se guardará?
Que nivel de Auditoria es apropiado?
Que personas se encargarán de el monitoreo?
Que personas están el grupo de atención de
incidentes.
Frecuencia de Mantenimiento y Respaldo?
Lugar para restaurar la información?
10
…Arquitectura

Modelos de Autenticación






Password
Certificados
SSL
Kerberos
Biométricos
Smart Cards
11
Autenticación Directa
Client A
Client B
Database
Client C



Quien es el usuario?
El usuario tiene privilegios directos?
Como Audito?
12
Autenticación Usuario Base
Client A
Client B
UsuBase
Database
Client C



Quien es el usuario?
El usuario cliente tiene privilegios o quien?
Como Audito?
13
Autenticación ebusiness
Client A
Application
Server or TP
Client B
Client A, B, or C?
Monitor
Database
Client C



Quien es el usuario real?
La capa de la mitad tiene muchos privilegios?
Como y a quien Audito?
14
Auditoria Basica…

Podemos configurar sobre 180 “audit options”



Que registros de Auditoria Básicos podemos incluir?









tanto por éxito como por fallo (SUCCESSFUL/WHEN NOT
SUCCESSFUL )
Por sesión o por acceso (session, access).
Fecha y Hora
Username (gmolinle01000)
OS Username (gmolinle => carga NT)
Terminal
ip
Objeto y su dueño (SMITH.Nomina)
Action
Session Id
No audita acciones del usuario SYS.
15
Auditoria Extendida








Que es?
La puedo Implementar? Como?
Como Funciona?
Puedo hacerla proactiva?
Esto solo me cubre acciones DML y las DDL?
Que tan eficiente es?
Debo conformar un grupo de Auditoria?
En oracle 8i y 9i, me cambia la seguridad y mi Auditoria?
16
Auditoria Extendida

Que es?
Son las acciones o complementos que se deben dar a la Auditoria
básica. Dándole un valor agregado o más detallado y un factor de
detección y aviso en tiempo real.
Primordial para la atención de incidentes y al análisis informático
forense.
Se basa en la Implementación de Triggers.
17
Auditoria Extendida

La puedo Implementar? Como?
Implementando Triggers sobre los objetos.
Ins, Upd, Del
Trigger
DBA
Database
Tabla o Vista
Capturando el valor pre y post y enviándolo un recipiente alterno.
18
Auditoria Extendida

Como Funciona?
Un insert tiene imagen pre.
Un update tiene imagen pre y post.
Un delete tiene imagen post
tabla Nomina
Modifica
Tabla Auditoria
Registra
Usuario
19
Auditoria Extendida

Puedo hacerla proactiva?
Además de registrarse en un log-table. Se puede enviar a :


Correo
Beeper
Celular
Otros medios…
Tabla Auditoria
Modifica
Nomina
Registra
Usuario
Alerta
Usuario
Dueño Inf.
20
Auditoria Extendida

Esto solo me cubre acciones DML y las DDL?
1.
2.
3.
4.
Las DML se auditan mediante trigger a los objetos.
Una DDL quedaría registrada en el Audit Trail cuyo dueño es
SYS, por ende no podemos colocarle un trigger.
Una alternativa es usar servicios o “demonios” que estén
analizando el AUD$ y copiandolos a una tabla propia de
seguridad.
A esta última se le puede colocar triggers u otro servicio para
mandar las alertas sobre los DDL.
Veamos gráficamente….
21
Auditoria Extendida
Servicio
Tabla Auditoria
Crea una tabla
AUD$
Registra
Usuario
Alerta
Usuario
Dueño Inf.
22
Auditoria Extendida
Vista de un Correo … DDL















**********************************
ACTION_DATE=> 04/28/2003 02:04:56 PM
SESSID=> 3309285
USERNAME=> GMOLINLE01000
TERMINAL=> Windows NT
OSUSER=> gmolinle
PROGRAM=> C:\Documents and Settings\gmolinle\Escritorio\SQL
PROCESS=> 2156:2204
MACHINE=> Aida-01-120746
DATABASE=> DB8i
AUDIT_NAME=> AUDIT_AUD$
OBJECT_NAME=> TB_NOMINA
OBJECT_OWNER=> SMITH
ACTION=> 15
ACTION_NAME=> ALTER TABLE
23
Auditoria
Que tan eficiente es?




Oracle Audit es muy eficiente.
La Auditoria es implementada en la base de datos, no en un
adicional, add-on server.
La Auditoria debe evolucionar con el motor. En 8i o más,
practicamente la auditoria de aplicación se acaba. Se implementan
las politícas.
El rendimiento depende de que tantos datos audite y que acciones.


Es recomendable auditar un Select?
Auditar todos los accesos de todos los tipos impactará el rendimiento?
24
Auditoria
Debo conformar un grupo de Auditoria?
3.
No solo conformarlo, se debe tener unas directrices en él.
El grupo debe cumplir con unas conductas de entrada.
Debe velar por el cumplimiento de las auditoria.

Se debe conformar en lo posible por las siguientes áreas:
1.
2.






Área usuaria
Grupo de desarrollo
Seguridad Informática
Auditoria
Dba
Control Interno
25
Auditoria
…..debo conformar un grupo de Auditoria?






El grupo debe llenar una matriz de Datos vr. Acciones,
adicionalmente la estrategia a seguir en cada caso.
La aprobación de la Matriz.
Implementar esta matriz bien sea a mano o utilizando software
especializado, como Aida, sql audit, etc.
Tomar un tiempo prudencial para el afinamiento.
Oficializar ante la Auditoria y control interno esta auditorias.
El mantenimiento o modificación debe ser aprobada por el grupo.
26
Referencias






Oracle Security Handbook
http://www.sans.org/rr/appsec/database.php
http://www.pentasafe.com/whitepapers/B2bwp.
pdf
http://www.netcosecurity.com
http://www.csis.gvsu.edu/GeneralInfo/Oracle/ne
twork.920/a96578/audit.htm
http://www.cdoug.org/docs/Oracle_audit.doc
27
Descargar

Planes de continuidad - Bienvenido a ACIS | ACIS