Upload
skukraine
View
1.038
Download
9
Embed Size (px)
DESCRIPTION
Atlas управление безопасностью СУБД на основе решений Guardium
Citation preview
Виктор Жора,
Начальник отдела защиты информации
АОЗТ «Атлас»
•Управление безопасностью СУБД на основе решений Guardium
www.atlas.ua
Современное состояние безопасности БД
• В 2009 году усилия по защите информации смещаются от защиты периметра в сторону защиты конфиденциальных данных
• Возрастает доля внутренних угроз
• Защита информации не должна ухудшать характеристики функционирования бизнес-процессов
• Есть необходимость обеспечения соответствия требованиям стандартов в сфере защиты информации
• Как основное хранилище важных данных, базы данных становятся основым объектом внимания Служб защиты информации
E-Business Suite
E-Business Suite
Privileged Users
Инфраструктура БД Гетерогенная Постоянно изменяющаяся
Различные типы доступа к БД Сетевые приложения Внешний доступ к БД Локальный доступ администраторов
Повышенная производительность Критичные для бизнеса приложения Подверженность манипуляциям
Распределение полномочий СУБД/Инфрастуктура Безопасность/Аудит
Широкое использование журналов СУБД Первая логичная мера мониторинга доступа к БД
Современные вызовы безопасности СУБД
Недостатки традиционного журналирования
1. Проблемы детализации– Трудности мониторинга привилегированных пользователей– Трудности мониторинга
2. Влияние на производительность– Слабая ориентированность на безопасность– Значительная нагрузка на ЦП
3. Различные методы для разных СУБД– Отсутствие унифицированного подхода к безопасности– Неэффетивно и небезопасно
4. Проблема хранения, отчетности и прогнозирования– Требования к размеру хранилища данных аудита– Сложность аудита и прогнозирования
5. Проблема защиты в реальном времени– Вопрос уведомления об аномалиях– Нет возможности блокирования вредоносных действий
6. Нет разграничения полномочий– DBA не выполняет функции защиты– DBA не могут мониторить сами себя
E-Business Suite
Switch or TAP
Guardium S-TAP
Guardium S-TAP
Агенты, установленные для мониторинга локального доступа DBA
Исчерпывающий мониторинг и контроль изменений• Мониторинг всего SQL траффика через SPAN порт или TAP• Мониторинг лок. доступа с помощью агента на сервере БД• Возможность уведомлений и блокирования НСД• Контроль изменений файлов и конфигураций
Независимость от СУБД• Не зависит от встроенных механизмов журналирования• Не влияет на производительность СУБД• Не требует изменения СУБД и ПО• Защита от DBA
Единое решение для гетерогенной среды• Поддержка Oracle, MS SQL, IBM DB2, MySQL, и т.д.• Поддержка SAP, Oracle EBS, Siebel, приложений заказчика• Поддержка Windows, Linux, Solaris, AIX, HP UX, z/OS и т.д.
Автоматизированная отчетность• Стойкое и защищенное хранилище данных для отчетов• Создание шаблонных либо уникальных отчетов по расписанию• Управление соответствием
Система мониторинга БД Guardium
Исчерпывающий мониторинг SQL
E-Business Suite
Switch or TAP
Guardium S-TAP
Guardium S-TAP
Агенты, установленные для мониторинга локального доступа DBA
• SQL Errors and failed logins
• DDL commands (Create/Drop/Alter Tables)
• SELECT queries
• DML commands (Insert, Update, Delete)
• DCL commands (GRANT, REVOKE)
• Procedural languages
• XML executed by database
Что отслеживает Guardium?
Агент S-TAP обеспечивает полную наблюдаемость
• Дополнительное легковесное решение, устанавливаемое на сервер БД и работающее на уровне IPC ОС
• Перехватывает 100% действий, включая TCP, общую память, Oracle BEQ, named pipes, TLI, и IPC-соединения
• Направляет информацию устройству Guardium для обработки
• Не требует изменения в конфигурации БД
• Обеспечивает перехват 1000 записей аудита в секунду с 3% потерей производительности
• S-GATE для блокирования соединений
Масштабированная распределенная архитектура
Мониторинг пользователей ПО
Идентификация пользователей приложений• Раскрытие потенциального мошенничества• Точный аудит доступа пользователей к важным таблицам• Четыре метода идентификации пользователей
Поддержка SAP• Импорт лога транзакций SAP • Уведомление в реальном времени на базе порогов либо специальных
событий• Мониторинг прямого доступа к БД привилегированных пользователей • Консолидация и корреляция с другими событиями• Интеграция с отчетами соответствия • Хранение в защищенном репозитории
Гранулированный аудит
Пример данных аудита с помощью встроенных средств СУБД:
SAP USER requested DATA from CUSTOMER Database and the database returned DATA
Пример данных аудита Guardium:
SAP USER, DAVID SMITH, requested FIRST NAMES, LAST NAMES, E-MAIL ADDRESS, CREDIT CARD NUMBERS, for ALL accounts from CUSTOMER database and the database returned 349271 records
Безопасное конфигурирование и система контроля изменений
• Отслеживание и информирование о любых изменениях конфигурации
• Возможность “закрытия” системы и разрешения изменений только в соответствие со стандартными процедурами
• Отслеживание изменений на уровне ОС: Файлы Скрипты Переменные среды Настройки реестра
• Отслеживание изменений на уровне БД SQL выражения SQL скрипты
Встроенный SOX Accelerator
• Карточка отчета соответствия SOX– Автоматизирует процесс определения соответствия SOX
– Настраиваемые тесты и проверки
• Карта доступа финансовых приложений– Графическая карта, иллюстрирующая доступ в среде финансовых
приложений, клиентов и серверов БД
– Обеспечивает визуализацию деятельности по типу доступа, контенту и частоте доступа
• Хранилище данных аудита– Защищенное и простое во внедрении
– Полный аудит использования и модификации данных
• Задания по расписанию– Автоматизирует аудит SOX
– Управляет распределением информации между задействованными сторонами
Полный цикл безопасности и мониторинга баз данных
• Vulnerability assessment• Configuration assessment
• Behavioral assessment• Baselining
• Configuration lock-down & change tracking
• Encryption
• 100% visibility• Policy-based actions
• Anomaly detection• Real-time prevention
• Granular access controls
• Centralized governance
• Compliance reporting• Sign-off management• Automated escalations• Secure audit repository• Data mining for forensics• Long-term retention
Шаг 1: обнаружение БД
• Обнаруживает все БД, приложения и клиенты
• Обнаруживает и классифицирует чувствительные данные
Обнаружениеи
Классификация
Assess &
Harden
Monitor &
Enforce
Audit &
Report
Critical DataInfrastructure
• Поиск уязвимостей• Анализ конфигураций
• Анализ поведения• Базовые настройки
• Фиксация конфигураций и отслеживание
изменений
• 100% visibility• Policy-based actions
• Anomaly detection• Real-time prevention
• Granular access controls
• Centralized governance
• Compliance reporting• Sign-off management• Automated escalations• Secure audit repository• Data mining for forensics• Long-term retention
Шаг 2: обнаружение уязвимостей
• Обнаруживает все БД, приложения и клиенты
• Обнаруживает и классифицирует чувствительные данные
Изучение и
укрепление
Monitor &
Enforce
Audit &
Report
Critical DataInfrastructure
Обнаружениеи
Классификация
• Поиск уязвимостей• Анализ конфигураций
• Анализ поведения• Базовые настройки
• Фиксация конфигураций и отслеживание
изменений
• 100% наблюдаемость• Действия на базе правил
• Обнаружение аномалий• Real-time защита
• Гранулированный контроль доступа
• Centralized governance
• Compliance reporting• Sign-off management• Automated escalations• Secure audit repository• Data mining for forensics• Long-term retention
Шаг 3: мониторинг всех действий
• Обнаруживает все БД, приложения и клиенты
• Обнаруживает и классифицирует чувствительные данные
Мониторинги
защита
Audit &
Report
Critical DataInfrastructure
Обнаружениеи
Классификация
Изучение и
укрепление
• Поиск уязвимостей• Анализ конфигураций
• Анализ поведения• Базовые настройки
• Фиксация конфигураций и отслеживание
изменений
• 100% наблюдаемость• Действия на базе правил
• Обнаружение аномалий• Real-time защита
• Гранулированный • контроль доступа
• Централизованное управление
• Отчеты соответствия• Управление
согласованием• Автомат. эскалация• Защищ.репозиторий• Data mining для прогноза
Шаг 4: отчеты и корреляция
• Обнаруживает все БД, приложения и клиенты
• Обнаруживает и классифицирует чувствительные данные
Аудит и
отчетность
Critical DataInfrastructure
Обнаружениеи
Классификация
Изучение и
укрепление
Мониторинги
защита
Системы управления событиями безопасности (SIEM)
имониторинг баз данных
Разница между SIEM и аудитом БД
• Решения SIEM обеспечивают сбор, уведомление и анализ данных аудита из всех источников в сети
• Позволяют организациям облегчить процедуру аудита и оперативно реагировать на важные события безопасности
• Определение доступности сети, проблем и неисправного оборудования
• По СУБД есть две опции:
A. Импорт внутреннего журнала БД B. Импорт данных внешних инструментов аудита
Почему встроенных средств аудита недостаточно
• “Топологии БД не являются достаточно гибкими, чтобы отличить пользователя и злоумышленника.”
• “Если наблюдаются подозрительные запросы – а они могут повторяться сотни раз – СУБД не обратит внимание, поскольку у пользователя есть актуальный логин и пароль”
• “У всех БД есть те же самые недостатки.“
– Noel Yuhanna, Principal Analyst, Forrester
– Database security: Protecting the crown jewels, by Deb Radcliff, SC Magazine, February 5, 2009
– www.scmagazineus.com/Database-security-Protecting-the-crown-jewels
Интеграция SIEM с Guardium
22
SIEM получает данные о событиях БД
23
SIEM для защиты от внутренних угроз
DAM System/Guardium
Badge & VPN Systems
File System Logs
DLP Verdicts
Roles from IdM/Directory
Аномальная активность
Удаленный и локальный
доступ
Использо-вание
флешек
Данные о заказчиках
Пользователи с расширен-
ными правами
Потенциальный риск
Внедрение Guardium
Создание Политики для идентификации нормальных бизнес-процессов и аномальной активности
Guardium автоматически определяет типовые политики. Настраиваимые политики добавляются в сценариях.
Правила Monitor & Log only, Real-Time Alerts, and Блокирование несанкционированных действий
Постоянное хранилище аудита всех действий с БД содержится в защищенном устройстве
Автоматические отчеты содержат неудачные попытки доступа, SELECT запросы, повышение привилегий, изменение схем, доступ к таблицам и т.д.
2
3
1
4
5
Исчерпывающий аудит
Три режима работы
Мониторинг привилегированного доступа
1
Выборочный аудит и информирование
2
3
Данные исследований
• “Dominance in this space.”
• “A Leader across the board.”
• “Leadership in supporting large heterogeneous environments,… high performance and scalability, simplifying administration …and real-time database protection."
• “Strong road map ahead with more innovation and features.”
The Forrester Wave is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave are trademarks of Forrester Research, Inc. The Forrester Wave is a graphical representation of Forrester's call on a market and is plotted using a
detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect
judgment at the time and are subject to change.
Source: “The Forrester Wave™: Enterprise Database Auditing and Real-Time Protection, Q4 2007” (October
2007)
Заказчики
Вопросы
Спасибо