Soluciones de monitoreo de bases de datos sin falsos positivos

18 Dic 2008 en Seguridad

El monitoreo de la actividad, especialmente en bases de datos, es parte de la actividad diaria en empresas que no quieren arriesgar sus datos vitales (ni los de sus clientes.) Las herramientas de monitoreo suelen arrojar falsas alarmas de casos que luego resultan no ser positivos y eso tiene un costo en tiempo y recursos (léase dinero). Tengamos en cuenta que las herramientas monitorean a veces millones de queries a lo largo del día.
Los sistemas convencionales de monitoreo de bases de datos usan la misma probada metodología que los sistemas de detección de intrusiones, donde cualquier elemento que indique un comportamiento anormal, dispara un alerta.
Algunas empresas como Secemo, han desarrollado sistemas de inteligencia artificial (AI por Artificial Intelligence), que son deterministas en lugar de trabajar con probabilidades, como sus contrapartes. La tecnología SynoptiQ, desarrollada en la Universidad de Oxford, Gran Bretaña, eliminaría falsos positivos. 
En el caso de las soluciones de monitoreo de bases de datos Secemo.SQL, los usuarios modelan el comportamiento normal de las consultas a la base de datos y establecen políticas basadas en ese modelo. Luego, la herramienta analiza todas las nuevas consultas, verificando que respondan al modelo. Hasta el momento, las pruebas en usuarios han mostrado ausencia total de falsos positivos.
Esta herramienta, siguiendo el ejemplo, compara todas las consultas en tiempo real. Sus algoritmos no incrementan los tiempos de consulta aun en los casos políticas complejas. 
Siguiendo con Secemo, su solución viene en forma de appliance (Software instalado en una caja Linux) o como máquina virtual funcionando con VMware. Funcionan con Oracle, Sybase y Microsoft SQL Server.
Existen otros proveedores. Imperva, por ejemplo, con la tecnología Dynamic Profiling de su SecureSphere, usa el método del comportamiento desde hace varios años. Dynamic Profiling modela lo que hacen normalmente los grupos de usuarios y construye un perfil normal que impone total o parcialmente según se necesite. La herramienta actualiza ese perfil “normal” según la evolución de la empresa usuaria.
Siendo la seguridad de las bases de datos un tema complejo, Imperva contempla seis capas de reglas de seguridad que se correlacionan e incluso actúan en diferentes momentos ante la observación de un patrón de comportamiento en especial.