Tendencias en seguridad de bases de datos para el 2010
Sentrigo ha anunciado sus tendencias en seguridad de base de datos para el 2010 y aquí dejamos la traducción de las mismas.
La explotación de vulnerabilidades conocidas de base de datos son cada vez más fácil de acceder
En el año que viene será más fácil llevar a cabo los ataques, que se vuelven más sofisticados y completamente automatizados. El resultado será un aumento de los ataques al azar que la meta no es una empresa específica, sino que busca vulnerabilidades específicas. Las herramientas disponibles en Internet permiten a los atacantes de todos los niveles de habilidad penetrar en bases de datos utilizando sofisticados ataques. Cada anuncio de actualización trimestrales de Oracle, así como desde Microsoft, anuncian nuevas vulnerabilidades que son rápidamente desplegadas en estas herramientas que permiten aprovechar las vulnerabilidades publicadas.
La seguridad de los datos seguirá siendo un obstáculo para el Cloud Computing, pero las soluciones comenzarán a llegar
Cloud Computing hace inherentemente más difícil de proteger los datos ya que los mismos se mueven con frecuencia y pueden reproducirse sin necesidad de notificación, y las aplicaciones que acceden a estos datos también son muy transitorias. Esto evitará que muchas organizaciones pasen a un modelo de Cloud para aplicaciones con requisitos de cumplimiento de auditoría. Las organizaciones solucionarán los problemas de la seguridad de datos en el Cloud con métodos que se unen los controles de datos a la base de datos subyacente y gestionan de forma centralizada las políticas y la explotación de logging, incluso en un entorno altamente dinámico.
Presión para cumplir con las regulaciones ligadas a condiciones económicas
La dicotomía en las empresas por un recorte del gasto y una mayor presión para el cumplimiento regulatorio impulsará organizaciones a invertir en soluciones que les ayuden a alcanzar el nivel mínimo de cumplimiento. Las empresas deberán disponer de tecnología que proporcione una protección adecuada y un costo total de propiedad (TCO) bajo. La facilidad de aplicación, el costo de la entrada y el tiempo de cumplimiento van a ser los criterios para tomar decisiones claves. A medida que la economía se recupere, las principales organizaciones comenzarán a ver el aumento de la seguridad como un elemento diferenciador de su oferta, y la tendrán en cuenta más allá de los requisitos reglamentarios.
Un nuevo tipo de amenaza: ataques externos desde el interior
En general, las empresas han visto los ataques, ya sea como procedentes de fuera del perímetro de la red o a usuarios internos abusando de sus privilegios. Sin embargo, la línea entre lo interno y externo, están desapareciendo como consecuencia de varios vectores de ataques de nuevos:
La reducción al mínimo de la superficie de ataque se convertirá en la siguiente ola para reducir la exposición
Las compañías comenzarán enérgicamente la eliminación de los datos sensibles, tan pronto como sea posible, al igual que la ola de las políticas de retención de correo electrónico limitar la exposición en el eDiscovery.
"Una vez que los estudiantes se han graduado, ¿necesita mantener su historial de pago? Una vez que una transacción de tarjeta de crédito ha pasado la ventana de controversia ¿Todavía se necesita almacenar los datos del dueño de la tarjeta", pregunta Slavik Markovich, CTO y co-fundador de Sentrigo.
Cuando los datos sensibles son requeridos por varias aplicaciones, y estos datos se almacenan en aplicaciones a nivel local, las organizaciones utilizan técnicas como tokenización. En lugar de almacenar un número de tarjeta de crédito o número de seguro social, se guardará una muestra de que puede recuperar esta información de forma segura cuando sea necesario, asegurar de que sólo una única base de datos guarde el número real de la tarjeta de crédito. Mediante la protección adecuada de una sola fuente y el cifrado de los datos en tránsito, la exposición se reduce significativamente.
Traducción de Nadia de Sentrigo para Segu-Info
La explotación de vulnerabilidades conocidas de base de datos son cada vez más fácil de acceder
En el año que viene será más fácil llevar a cabo los ataques, que se vuelven más sofisticados y completamente automatizados. El resultado será un aumento de los ataques al azar que la meta no es una empresa específica, sino que busca vulnerabilidades específicas. Las herramientas disponibles en Internet permiten a los atacantes de todos los niveles de habilidad penetrar en bases de datos utilizando sofisticados ataques. Cada anuncio de actualización trimestrales de Oracle, así como desde Microsoft, anuncian nuevas vulnerabilidades que son rápidamente desplegadas en estas herramientas que permiten aprovechar las vulnerabilidades publicadas.
La seguridad de los datos seguirá siendo un obstáculo para el Cloud Computing, pero las soluciones comenzarán a llegar
Cloud Computing hace inherentemente más difícil de proteger los datos ya que los mismos se mueven con frecuencia y pueden reproducirse sin necesidad de notificación, y las aplicaciones que acceden a estos datos también son muy transitorias. Esto evitará que muchas organizaciones pasen a un modelo de Cloud para aplicaciones con requisitos de cumplimiento de auditoría. Las organizaciones solucionarán los problemas de la seguridad de datos en el Cloud con métodos que se unen los controles de datos a la base de datos subyacente y gestionan de forma centralizada las políticas y la explotación de logging, incluso en un entorno altamente dinámico.
Presión para cumplir con las regulaciones ligadas a condiciones económicas
La dicotomía en las empresas por un recorte del gasto y una mayor presión para el cumplimiento regulatorio impulsará organizaciones a invertir en soluciones que les ayuden a alcanzar el nivel mínimo de cumplimiento. Las empresas deberán disponer de tecnología que proporcione una protección adecuada y un costo total de propiedad (TCO) bajo. La facilidad de aplicación, el costo de la entrada y el tiempo de cumplimiento van a ser los criterios para tomar decisiones claves. A medida que la economía se recupere, las principales organizaciones comenzarán a ver el aumento de la seguridad como un elemento diferenciador de su oferta, y la tendrán en cuenta más allá de los requisitos reglamentarios.
Un nuevo tipo de amenaza: ataques externos desde el interior
En general, las empresas han visto los ataques, ya sea como procedentes de fuera del perímetro de la red o a usuarios internos abusando de sus privilegios. Sin embargo, la línea entre lo interno y externo, están desapareciendo como consecuencia de varios vectores de ataques de nuevos:
- La delincuencia organizada dirigida a determinadas empresas mediante la inserción de "dummies" para infiltrar en la organización como empleados o contratistas, con el único fin de obtener acceso a los datos sensibles;
- Los nuevos tipos de malware, fácilmente integrados en los sitios en busca relativamente inocuo, que tomar el control de las máquinas internas y atacar de forma autónoma desde el interior;
- Como las ramificaciones de una economía deprimida sigue siendo causa de aumento y períodos más largos de desempleo, el uso de medios financieros para aprovechar información privilegiada para ayudar a los extranjeros a través de sobornos o extorsión se volverán más comunes.
La reducción al mínimo de la superficie de ataque se convertirá en la siguiente ola para reducir la exposición
Las compañías comenzarán enérgicamente la eliminación de los datos sensibles, tan pronto como sea posible, al igual que la ola de las políticas de retención de correo electrónico limitar la exposición en el eDiscovery.
"Una vez que los estudiantes se han graduado, ¿necesita mantener su historial de pago? Una vez que una transacción de tarjeta de crédito ha pasado la ventana de controversia ¿Todavía se necesita almacenar los datos del dueño de la tarjeta", pregunta Slavik Markovich, CTO y co-fundador de Sentrigo.
Cuando los datos sensibles son requeridos por varias aplicaciones, y estos datos se almacenan en aplicaciones a nivel local, las organizaciones utilizan técnicas como tokenización. En lugar de almacenar un número de tarjeta de crédito o número de seguro social, se guardará una muestra de que puede recuperar esta información de forma segura cuando sea necesario, asegurar de que sólo una única base de datos guarde el número real de la tarjeta de crédito. Mediante la protección adecuada de una sola fuente y el cifrado de los datos en tránsito, la exposición se reduce significativamente.
Traducción de Nadia de Sentrigo para Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!