Scribd Logo
Hochladen

Willkommen bei Scribd!

  • UNAD

    Hochgeladen von

    Roberth Tirado Romero
    8 Ansichten15 Seiten
    Conferencia

    Copyright

    © © All Rights Reserved

    Verfügbare Formate

    PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden
    Conferencia

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    8 Ansichten15 Seiten

    UNAD

    Hochgeladen von

    Roberth Tirado Romero
    Conferencia

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 15

    Cargando…

    Bienvenidos, a la Web-conferencia
    del curso Seguridad en Bases de
    Datos.

    En un momento daremos inicio.

    Hernando José Peña


    Director
    ECBTI / Especialización en Seguridad Informática

    Seguridad en Bases de
    Datos
    Ing. Hernando José Peña H. (Director)
    Popayán, Marzo de 2019
    Agenda

    • Avance de actividades
    • Conclusiones Fase 1 y 2
    • Unidad 2 – Fase 3
    – Desarrollo actividades
    – Productos a Entregar
    • Temáticas de Apoyo
    • Espacio de preguntas
    Presentación del curso

    Agenda de Actividades
    Conclusiones Fase 2

    • Conocimiento de los tipos de bases de datos y


    productos de bases de datos (Open Source como
    Comercial).
    • Niveles de seguridad en cada uno de los motores
    de bases de datos.
    • Opciones de respaldo y configuración.
    • Identificación de las responsabilidades de los
    actores responsables de las bases de datos.
    • Conocimiento necesario para el desarrollo de las
    actividades siguientes.
    Unidad 2 - Fase 3
    Temáticas Relacionadas

    • Ataques a los sistemas de base de datos.


    • Características de seguridad en base de datos
    comerciales.
    • Sistemas seguros de bases de datos distribuidas y
    heterogéneas y Auditoria de bases de datos.

    Entorno Seguro Entorno No Seguro


    Unidad 2 - Fase 3
    Desarrollo Actividades

    INDIVIDUAL
    * Leer material Unidad 2. 4. Cuadro comparativo con
    1. Posibles ataques a DB Relacional y herramientas para hacer ataques a DB
    NoSQL (1 ataque por tipo de DB por Relacionales y No relacionales (1 x
    estudiante = 2 ataques): estudiante):
    - Descripción del ataque - Descripción
    - 1 Ejemplo - Alcance
    - 1 Ejemplo
    2. Prevención de los ataques descritos
    en punto 1 5. Plan de auditoria a DB Relacionales y
    NoSQL:
    3. Herramientas para escanear - Plan de Auditoria
    vulnerabilidades en DB Relacionales y - Check list (fácil de implementar)
    No relacionales.
    Unidad 2 - Fase 3
    Desarrollo Actividades

    COLABORATIVA
    Seleccionar los mejores aportes
    individuales, y complementar en ASPECTOS DEL PRODUCTO
    caso de ser necesario para la * Aplicar Normas APA.
    construcción del documento
    entregable grupal * Introducción
    * Desarrollo

    ENTREGA DE PRODUCTO * Conclusiones

    * Lider entrega 1 solo documento * Referencias


    Grupal Entorno de E y S. * Formato PDF
    Temáticas de Apoyo
    Entorno de Trabajo
    Temáticas de Apoyo
    Ataques
    SQL Erróneo
    Elevación de
    Performance Sql Injection
    privilegios

    ATAQUES

    Captura tramas
    (canales no seguros)

    Ataques DDoS
    Sistemas
    desatendidos
    Auditorias débiles
    Temáticas de Apoyo
    Auditoria - fases

    Conocimiento del entorno


    Análisis de operaciones, transacciones, controles
    Análisis de amenazas y riesgos
    Análisis controles
    Evaluación controles
    Informe y plan de mejoramiento
    Seguimiento
    Temáticas de Apoyo
    Recurso URL
    OVI Unidad 2 • http://hdl.handle.net/10596/9543
    Bases de datos y sus vulnerabilidades • https://www.acens.com/wp-content/images/2015/03/vulnerabilidades-
    más comunes bbdd-wp-acens.pdf
    Oracle • http://docs.oracle.com/cd/B19306_01/network.102/b14266/accessre.htm
    • http://docs.oracle.com/cd/B19306_01/network.102/b14266/auditing.htm
    • http://docs.oracle.com/cd/B19306_01/network.102/b14266/cfgaudit.htm
    MySQL • https://www.mysql.com/products/enterprise/audit.html
    • https://www.percona.com/blog/2014/05/07/mysql-audit-plugin-now-
    available-in-percona-server-5-5-and-5-6/
    MongoDB • https://www.mongodb.com/blog/post/securing-mongodb-part-3-database-
    auditing-and-encryption
    • https://www.acunetix.com/vulnerabilities/web/mongodb-injection
    • https://www.tenable.com/blog/auditing-nosql-databases-mongodb-with-
    nessus-v6
    • http://blog.websecurify.com/2014/08/hacking-nodejs-and-mongodb.html
    Cassandra • https://docs.datastax.com/en/datastax_enterprise/4.6/datastax_enterprise
    /sec/secAuditingCassandraTable.html
    PostgreSQL • https://www.owasp.org/index.php/OWASP_Backend_Security_Project_Test
    ing_PostgreSQL
    • http://blog.endpoint.com/2012/01/protecting-auditing-postgresql-
    data.html
    • https://2ndquadrant.com/en/services/postgresql-security-audit/
    Temáticas de Apoyo

    Recurso URL
    Herramientas • https://blackarch.org/
    • https://blackarch.org/tools.html

    • https://www.kali.org/
    • http://tools.kali.org/tools-listing

    • https://github.com/cr0hn/nosqlinjection_wordlists

    • http://www.sqlalchemy.org/

    Exploits • https://www.exploit-db.com/exploits/23077/
    • http://www.darknet.org.uk/2012/06/mysql-1-liner-hack-gives-root-access-
    without-password/
    Continuidad del negocio • https://www.isaca.org/Journal/archives/2018/Volume-1/Pages/backup-
    and-recovery-spanish.aspx
    • https://revista.seguridad.unam.mx/numero-10/medidas-preventivas-para-
    resguardar-la-informacion
    • https://www.oracle.com/technetwork/es/articles/datawarehouse/continui
    dad-de-las-operaciones-1399347-esa.html
    • https://www.cisecurity.org/controls/
    • https://www.cisecurity.org/cis-benchmarks/
    Preguntas
    ¡GRACIAS POR SU
    ATENCIÓN!

    Das könnte Ihnen auch gefallen