Виктор Жора,

Начальник отдела защиты информации

АОЗТ «Атлас»

•Управление безопасностью СУБД на основе решений Guardium

www.atlas.ua

Современное состояние безопасности БД

• В 2009 году усилия по защите информации смещаются от защиты периметра в сторону защиты конфиденциальных данных

• Возрастает доля внутренних угроз

• Защита информации не должна ухудшать характеристики функционирования бизнес-процессов

• Есть необходимость обеспечения соответствия требованиям стандартов в сфере защиты информации

• Как основное хранилище важных данных, базы данных становятся основым объектом внимания Служб защиты информации

E-Business Suite

E-Business Suite

Privileged Users

Инфраструктура БД Гетерогенная Постоянно изменяющаяся

Различные типы доступа к БД Сетевые приложения Внешний доступ к БД Локальный доступ администраторов

Повышенная производительность Критичные для бизнеса приложения Подверженность манипуляциям

Распределение полномочий СУБД/Инфрастуктура Безопасность/Аудит

Широкое использование журналов СУБД Первая логичная мера мониторинга доступа к БД

Современные вызовы безопасности СУБД

Недостатки традиционного журналирования

1. Проблемы детализации– Трудности мониторинга привилегированных пользователей– Трудности мониторинга

2. Влияние на производительность– Слабая ориентированность на безопасность– Значительная нагрузка на ЦП

3. Различные методы для разных СУБД– Отсутствие унифицированного подхода к безопасности– Неэффетивно и небезопасно

4. Проблема хранения, отчетности и прогнозирования– Требования к размеру хранилища данных аудита– Сложность аудита и прогнозирования

5. Проблема защиты в реальном времени– Вопрос уведомления об аномалиях– Нет возможности блокирования вредоносных действий

6. Нет разграничения полномочий– DBA не выполняет функции защиты– DBA не могут мониторить сами себя

E-Business Suite

Switch or TAP

Guardium S-TAP

Guardium S-TAP

Агенты, установленные для мониторинга локального доступа DBA

Исчерпывающий мониторинг и контроль изменений• Мониторинг всего SQL траффика через SPAN порт или TAP• Мониторинг лок. доступа с помощью агента на сервере БД• Возможность уведомлений и блокирования НСД• Контроль изменений файлов и конфигураций

Независимость от СУБД• Не зависит от встроенных механизмов журналирования• Не влияет на производительность СУБД• Не требует изменения СУБД и ПО• Защита от DBA

Единое решение для гетерогенной среды• Поддержка Oracle, MS SQL, IBM DB2, MySQL, и т.д.• Поддержка SAP, Oracle EBS, Siebel, приложений заказчика• Поддержка Windows, Linux, Solaris, AIX, HP UX, z/OS и т.д.

Автоматизированная отчетность• Стойкое и защищенное хранилище данных для отчетов• Создание шаблонных либо уникальных отчетов по расписанию• Управление соответствием

Система мониторинга БД Guardium

Исчерпывающий мониторинг SQL

E-Business Suite

Switch or TAP

Guardium S-TAP

Guardium S-TAP

Агенты, установленные для мониторинга локального доступа DBA

• SQL Errors and failed logins

• DDL commands (Create/Drop/Alter Tables)

• SELECT queries

• DML commands (Insert, Update, Delete)

• DCL commands (GRANT, REVOKE)

• Procedural languages

• XML executed by database

Что отслеживает Guardium?

Агент S-TAP обеспечивает полную наблюдаемость

• Дополнительное легковесное решение, устанавливаемое на сервер БД и работающее на уровне IPC ОС

• Перехватывает 100% действий, включая TCP, общую память, Oracle BEQ, named pipes, TLI, и IPC-соединения

• Направляет информацию устройству Guardium для обработки

• Не требует изменения в конфигурации БД

• Обеспечивает перехват 1000 записей аудита в секунду с 3% потерей производительности

• S-GATE для блокирования соединений

Масштабированная распределенная архитектура

Мониторинг пользователей ПО

Идентификация пользователей приложений• Раскрытие потенциального мошенничества• Точный аудит доступа пользователей к важным таблицам• Четыре метода идентификации пользователей

Поддержка SAP• Импорт лога транзакций SAP • Уведомление в реальном времени на базе порогов либо специальных

событий• Мониторинг прямого доступа к БД привилегированных пользователей • Консолидация и корреляция с другими событиями• Интеграция с отчетами соответствия • Хранение в защищенном репозитории

Гранулированный аудит

Пример данных аудита с помощью встроенных средств СУБД:

SAP USER requested DATA from CUSTOMER Database and the database returned DATA

Пример данных аудита Guardium:

SAP USER, DAVID SMITH, requested FIRST NAMES, LAST NAMES, E-MAIL ADDRESS, CREDIT CARD NUMBERS, for ALL accounts from CUSTOMER database and the database returned 349271 records

Безопасное конфигурирование и система контроля изменений

• Отслеживание и информирование о любых изменениях конфигурации

• Возможность “закрытия” системы и разрешения изменений только в соответствие со стандартными процедурами

• Отслеживание изменений на уровне ОС: Файлы Скрипты Переменные среды Настройки реестра

• Отслеживание изменений на уровне БД SQL выражения SQL скрипты

Встроенный SOX Accelerator

• Карточка отчета соответствия SOX– Автоматизирует процесс определения соответствия SOX

– Настраиваемые тесты и проверки

• Карта доступа финансовых приложений– Графическая карта, иллюстрирующая доступ в среде финансовых

приложений, клиентов и серверов БД

– Обеспечивает визуализацию деятельности по типу доступа, контенту и частоте доступа

• Хранилище данных аудита– Защищенное и простое во внедрении

– Полный аудит использования и модификации данных

• Задания по расписанию– Автоматизирует аудит SOX

– Управляет распределением информации между задействованными сторонами

Полный цикл безопасности и мониторинга баз данных

• Vulnerability assessment• Configuration assessment

• Behavioral assessment• Baselining

• Configuration lock-down & change tracking

• Encryption

• 100% visibility• Policy-based actions

• Anomaly detection• Real-time prevention

• Granular access controls

• Centralized governance

• Compliance reporting• Sign-off management• Automated escalations• Secure audit repository• Data mining for forensics• Long-term retention

Шаг 1: обнаружение БД

• Обнаруживает все БД, приложения и клиенты

• Обнаруживает и классифицирует чувствительные данные

Обнаружениеи

Классификация

Assess &

Harden

Monitor &

Enforce

Audit &

Report

Critical DataInfrastructure

• Поиск уязвимостей• Анализ конфигураций

• Анализ поведения• Базовые настройки

• Фиксация конфигураций и отслеживание

изменений

• 100% visibility• Policy-based actions

• Anomaly detection• Real-time prevention

• Granular access controls

• Centralized governance

• Compliance reporting• Sign-off management• Automated escalations• Secure audit repository• Data mining for forensics• Long-term retention

Шаг 2: обнаружение уязвимостей

• Обнаруживает все БД, приложения и клиенты

• Обнаруживает и классифицирует чувствительные данные

Изучение и

укрепление

Monitor &

Enforce

Audit &

Report

Critical DataInfrastructure

Обнаружениеи

Классификация

• Поиск уязвимостей• Анализ конфигураций

• Анализ поведения• Базовые настройки

• Фиксация конфигураций и отслеживание

изменений

• 100% наблюдаемость• Действия на базе правил

• Обнаружение аномалий• Real-time защита

• Гранулированный контроль доступа

• Centralized governance

• Compliance reporting• Sign-off management• Automated escalations• Secure audit repository• Data mining for forensics• Long-term retention

Шаг 3: мониторинг всех действий

• Обнаруживает все БД, приложения и клиенты

• Обнаруживает и классифицирует чувствительные данные

Мониторинги

защита

Audit &

Report

Critical DataInfrastructure

Обнаружениеи

Классификация

Изучение и

укрепление

• Поиск уязвимостей• Анализ конфигураций

• Анализ поведения• Базовые настройки

• Фиксация конфигураций и отслеживание

изменений

• 100% наблюдаемость• Действия на базе правил

• Обнаружение аномалий• Real-time защита

• Гранулированный • контроль доступа

• Централизованное управление

• Отчеты соответствия• Управление

согласованием• Автомат. эскалация• Защищ.репозиторий• Data mining для прогноза

Шаг 4: отчеты и корреляция

• Обнаруживает все БД, приложения и клиенты

• Обнаруживает и классифицирует чувствительные данные

Аудит и

отчетность

Critical DataInfrastructure

Обнаружениеи

Классификация

Изучение и

укрепление

Мониторинги

защита

Системы управления событиями безопасности (SIEM)

имониторинг баз данных

Разница между SIEM и аудитом БД

• Решения SIEM обеспечивают сбор, уведомление и анализ данных аудита из всех источников в сети

• Позволяют организациям облегчить процедуру аудита и оперативно реагировать на важные события безопасности

• Определение доступности сети, проблем и неисправного оборудования

• По СУБД есть две опции:

A. Импорт внутреннего журнала БД B. Импорт данных внешних инструментов аудита

Почему встроенных средств аудита недостаточно

• “Топологии БД не являются достаточно гибкими, чтобы отличить пользователя и злоумышленника.”

• “Если наблюдаются подозрительные запросы – а они могут повторяться сотни раз – СУБД не обратит внимание, поскольку у пользователя есть актуальный логин и пароль”

• “У всех БД есть те же самые недостатки.“

– Noel Yuhanna, Principal Analyst, Forrester

– Database security: Protecting the crown jewels, by Deb Radcliff, SC Magazine, February 5, 2009

– www.scmagazineus.com/Database-security-Protecting-the-crown-jewels

Интеграция SIEM с Guardium

22

SIEM получает данные о событиях БД

23

SIEM для защиты от внутренних угроз

DAM System/Guardium

Badge & VPN Systems

File System Logs

DLP Verdicts

Roles from IdM/Directory

Аномальная активность

Удаленный и локальный

доступ

Использо-вание

флешек

Данные о заказчиках

Пользователи с расширен-

ными правами

Потенциальный риск

Внедрение Guardium

Создание Политики для идентификации нормальных бизнес-процессов и аномальной активности

Guardium автоматически определяет типовые политики. Настраиваимые политики добавляются в сценариях.

Правила Monitor & Log only, Real-Time Alerts, and Блокирование несанкционированных действий

Постоянное хранилище аудита всех действий с БД содержится в защищенном устройстве

Автоматические отчеты содержат неудачные попытки доступа, SELECT запросы, повышение привилегий, изменение схем, доступ к таблицам и т.д.

2

3

1

4

5

Исчерпывающий аудит

Три режима работы

Мониторинг привилегированного доступа

1

Выборочный аудит и информирование

2

3

Данные исследований

• “Dominance in this space.”

• “A Leader across the board.”

• “Leadership in supporting large heterogeneous environments,… high performance and scalability, simplifying administration …and real-time database protection."

• “Strong road map ahead with more innovation and features.”

The Forrester Wave is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave are trademarks of Forrester Research, Inc. The Forrester Wave is a graphical representation of Forrester's call on a market and is plotted using a

detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect

judgment at the time and are subject to change.

Source: “The Forrester Wave™: Enterprise Database Auditing and Real-Time Protection, Q4 2007” (October

2007)

Заказчики

Вопросы

Спасибо