Auditoria

Conceptos y Estrategias

Guillermo Alfonso Molina Len, Ms.Auditoria

1
 Aspectos de Seguridad
Los principios bsicos
Confidencialidad
Integridad
Disponibilidad

Servicios
Autenticacin
Autorizacin
No Repudiacin
Monitoreo
Auditabilidad

2
 Vistos de otra forma
Identificacin &
Autenticacin
Quien?

Autorizacin Integridad
Que acceso puede tener? Quien es el autor?
ha sido modificado?

Confidencialidad Non-Repudiacion
No otros pueden ver esto? Lo mando usted?
Lo recibio usted?

Configuracin Monitoreo Auditoria

Que es permitido hacer? Que esta pasando? Que paso?

3
 Monitoreo (1)
Alcance y frecuencia

Estados del Evento Revisar Revisar

monitoreo monitoreo reglas polticas

DIARIO ANUAL

4
 Monitoreo (2)

Estado del monitoreo.

Verificar la Configuracin del software de seguridad.
Usuarios privilegiados
Utilitarios restringidos
Opciones globales del sistema.
La programacin del monitoreo depende de :
Criticidad del sistema; una al da, mas de dos o permanente.
Forma manual o Automtica.
La responsabilidad del estado de monitorear es compartido:
Administradores u oficiales de seguridad.
Soporte tcnico.
Auditora.
5
 Monitoreo (3)

Eventos del Monitoreo

Detectar y reaccionar a accesos no autorizados.
Evaluar el impacto del acceso no autorizado.
Anlisis de cambios inusuales en los cambios de las polticas y
reglas de seguridad.

Los eventos del monitoreo son en tiempo real basados en

mensajes (Alarmas) originados
Por accesos no autorizados.
Transacciones sensibles no frecuentes.
Usuarios Privilegiados y restringidos para ser utilizados.
6
 Monitoreo (4)

Anlisis de reglas.
Verificar que las reglas de;
Acceso a los recursos.
Registro de transacciones.
Alertas de eventos.
Estn a la medida de los requerimientos hechos por el dueo del
Negocio.
Es responsabilidad de el dueo estar moni toreando que las reglas
estn funcionando y constatando los mensajes de alerta
transaccional.

7
 Monitoreo (5)

Revisin de las Polticas y Estndares de

Seguridad.
Las polticas de seguridad deberan ser bastante genricas.
Los estndares pueden requerir ms frecuencia de revisin.
Ambos deberan ser revisados cuando el riesgo del negocio
cambia.
Los cambios de la tecnologa ameritan la revisin de los
estndares.
Estas revisiones son exclusivas de la Gerencia Tecnolgica con el
soporte de los grupos o unidades de seguridad informtica y
frecuentemente en consultora de firmas externas.

8
 Auditora
Establece certeza sobre las actividades realizadas
por un usuario.

Los logs pueden incluir reportes y anlisis de:

Accesos al sistema (sign-on).
Accesos no autorizados a los recursos.
Definiciones al sistema de seguridad.
Cambios autorizados o no a el esquema de seguridad.
Acceso a los recursos por privilegios.
Accesos autorizados a los recursos por usuario y/o recurso.
Rastros de usuarios esquema o privilegiados.
Muestreo y extraccin de datos.
Reconstruccin de eventos.
9
 Auditoria
Preguntas antes de Planear la Auditoria:
reas a ser auditadas?
Donde el Audit Trail debe estar?
Que Informacin se guardar?
Que nivel de Auditoria es apropiado?
Que personas se encargarn de el monitoreo?
Que personas estn el grupo de atencin de
incidentes.
Frecuencia de Mantenimiento y Respaldo?
Lugar para restaurar la informacin?
10
 Arquitectura
Modelos de Autenticacin
Password
Certificados
SSL
Kerberos
Biomtricos
Smart Cards

11
 Autenticacin Directa
Client A

Client B
Database

Client C

Quien es el usuario?
El usuario tiene privilegios directos?
Como Audito?

12
Autenticacin Usuario Base

Client A

UsuBase
Client B Database

Client C

Quien es el usuario?
El usuario cliente tiene privilegios o quien?
Como Audito?

13
 Autenticacin ebusiness
Client A

Application
Client A, B, or C?
Client B Server or TP Database
Monitor

Client C

Quien es el usuario real?

La capa de la mitad tiene muchos privilegios?
Como y a quien Audito?

14
 Auditoria Basica
Podemos configurar sobre 180 audit options
tanto por xito como por fallo (SUCCESSFUL/WHEN NOT
SUCCESSFUL )
Por sesin o por acceso (session, access).

Que registros de Auditoria Bsicos podemos incluir?

Fecha y Hora
Username (gmolinle01000)
OS Username (gmolinle => carga NT)
Terminal
ip
Objeto y su dueo (SMITH.Nomina)
Action
Session Id
No audita acciones del usuario SYS.

15
 Auditoria Extendida
Que es?
La puedo Implementar? Como?
Como Funciona?
Puedo hacerla proactiva?
Esto solo me cubre acciones DML y las DDL?
Que tan eficiente es?
Debo conformar un grupo de Auditoria?
En oracle 8i y 9i, me cambia la seguridad y mi Auditoria?

16
 Auditoria Extendida
Que es?

Son las acciones o complementos que se deben dar a la Auditoria

bsica. Dndole un valor agregado o ms detallado y un factor de
deteccin y aviso en tiempo real.
Primordial para la atencin de incidentes y al anlisis informtico
forense.
Se basa en la Implementacin de Triggers.

17
 Auditoria Extendida
La puedo Implementar? Como?

Implementando Triggers sobre los objetos.

Ins, Upd, Del

Database
Trigger
DBA Tabla o Vista

Capturando el valor pre y post y envindolo un recipiente alterno.

18
 Auditoria Extendida
Como Funciona?
Un insert tiene imagen pre.
Un update tiene imagen pre y post.
Un delete tiene imagen post

tabla Nomina Tabla Auditoria

Modifica Registra
Usuario

19
 Auditoria Extendida
Puedo hacerla proactiva?
Adems de registrarse en un log-table. Se puede enviar a :
Correo Celular
Beeper Otros medios
Tabla Auditoria

Modifica
Registra
Nomina
Usuario
Alerta

Usuario
Dueo Inf.

20
 Auditoria Extendida
Esto solo me cubre acciones DML y las DDL?

1. Las DML se auditan mediante trigger a los objetos.

2. Una DDL quedara registrada en el Audit Trail cuyo dueo es
SYS, por ende no podemos colocarle un trigger.
3. Una alternativa es usar servicios o demonios que estn
analizando el AUD$ y copiandolos a una tabla propia de
seguridad.
4. A esta ltima se le puede colocar triggers u otro servicio para
mandar las alertas sobre los DDL.

Veamos grficamente.

21
 Auditoria Extendida

Servicio

Tabla Auditoria

Crea una tabla

Registra
AUD$
Usuario

Alerta

Usuario
Dueo Inf.

22
 Auditoria Extendida
Vista de un Correo DDL
**********************************
ACTION_DATE=> 04/28/2003 02:04:56 PM
SESSID=> 3309285
USERNAME=> GMOLINLE01000
TERMINAL=> Windows NT
OSUSER=> gmolinle
PROGRAM=> C:\Documents and Settings\gmolinle\Escritorio\SQL
PROCESS=> 2156:2204
MACHINE=> Aida-01-120746
DATABASE=> DB8i
AUDIT_NAME=> AUDIT_AUD$
OBJECT_NAME=> TB_NOMINA
OBJECT_OWNER=> SMITH
ACTION=> 15
ACTION_NAME=> ALTER TABLE

23
 Auditoria
Que tan eficiente es?

Oracle Audit es muy eficiente.

La Auditoria es implementada en la base de datos, no en un
adicional, add-on server.
La Auditoria debe evolucionar con el motor. En 8i o ms,
practicamente la auditoria de aplicacin se acaba. Se implementan
las politcas.
El rendimiento depende de que tantos datos audite y que acciones.
Es recomendable auditar un Select?
Auditar todos los accesos de todos los tipos impactar el rendimiento?

24
 Auditoria
Debo conformar un grupo de Auditoria?

1. No solo conformarlo, se debe tener unas directrices en l.

2. El grupo debe cumplir con unas conductas de entrada.
3. Debe velar por el cumplimiento de las auditoria.

Se debe conformar en lo posible por las siguientes reas:

rea usuaria
Grupo de desarrollo
Seguridad Informtica
Auditoria
Dba
Control Interno

25
 Auditoria
..debo conformar un grupo de Auditoria?

El grupo debe llenar una matriz de Datos vr. Acciones,

adicionalmente la estrategia a seguir en cada caso.
La aprobacin de la Matriz.
Implementar esta matriz bien sea a mano o utilizando software
especializado, como Aida, sql audit, etc.
Tomar un tiempo prudencial para el afinamiento.
Oficializar ante la Auditoria y control interno esta auditorias.
El mantenimiento o modificacin debe ser aprobada por el grupo.

26
 Referencias
Oracle Security Handbook
http://www.sans.org/rr/appsec/database.php
http://www.pentasafe.com/whitepapers/B2bwp.
pdf
http://www.netcosecurity.com
http://www.csis.gvsu.edu/GeneralInfo/Oracle/ne
twork.920/a96578/audit.htm
http://www.cdoug.org/docs/Oracle_audit.doc

27