Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

DBSAT – Die Oracle DATENBANK bzgl. PII Daten analysieren

2 views

Published on

DBSAT ist ein Database Security Scanner für die Oracle Datenbanken ( ab der DB Version 10.2.0.5) und steht als Kommando Zeilen Werkzeug zur Verfügung.

Das Tool sammelt Security relevanten Informationen aus einer Datenbank Umgebung und prüft die Einstellungen der DB gegen über einem programmiert hinterlegten Regelwerk und bewertet im Anschluss die Ergebnisse der Tests.

Die Abfragen basieren auf Best Practise und Security Tips von Oracle, komplette Liste wie CIS werden aber nicht abgedeckt.

Mit Hilfe dieser Tests können dann Empfehlungen ausgesprochen werden mit denen Sicherheitsprobleme proaktiv behoben, bzw. erkannt/bewertet, werden können.

Neu in der Version 2 ist auch das Erkennen von sensitiven/sensiblen Daten, wie Daten, die unter die GDPR fallen, aus Datenstrukturen über das Data Dictionary (DD). Als Basis dient ein erweiterbares Patternfile auf Basis regulärer Ausdrücke, d.h. es werden nur Definitionen im DD angeschaut, Daten ansich werden nicht anaylsiert!

Die gesammelten Daten liegen im JSON Format vor und können dann in „hübschen“ Berichten Management tauglich aufgearbeitet werden.

Published in: Data & Analytics
  • Be the first to comment

  • Be the first to like this

DBSAT – Die Oracle DATENBANK bzgl. PII Daten analysieren

  1. 1. Seite 1Gunther Pippèrr © 2018 http://www.pipperr.de DBSAT – DIE ORACLE DATENBANK BZGL. PII DATEN ANALYSIEREN Personenbezogene Daten in der Datenbank erkennen DOAG SIG Security 27.06.2018
  2. 2. Seite 2Gunther Pippèrr © 2018 http://www.pipperr.de GPI Consult Gunther Pippèrr Freiberuflicher Oracle Datenbank Experte - Ich unterstütze Sie gerne in ihren Projekten. Bergweg 14 - 37216 Witzenhausen/Roßbach Mein Blog gunther@pipperr.de https://www.pipperr.de/dokuwiki/
  3. 3. Seite 3Gunther Pippèrr © 2018 http://www.pipperr.de APEX Meetup Gruppe Kassel https://www.meetup.com/de-DE/Oracle-APEX-Kassel/
  4. 4. Seite 4Gunther Pippèrr © 2018 http://www.pipperr.de Agenda 1 Aufgabe 2 Idee 3 Praxis Beispiel 4 Erweitern und Konfigurieren 5 Fazit
  5. 5. Seite 5Gunther Pippèrr © 2018 http://www.pipperr.de Die Aufgabe Wo in meiner Umgebung werden Personen bezogene Daten (PII) gespeichert? PII ⇒ Personally Identifiable Information Personenbezogene Daten schützen, aber ….
  6. 6. Seite 6Gunther Pippèrr © 2018 http://www.pipperr.de Ein Ansatz ▪ Über das Data Dictionary Inhalte in einer Datenbank “erkennen”/”erahnen”/”erraten” – Oft werden Datenbank Objekte (Tabellen) so benannt, wie die Business Entitäten, die das Objekte später enthält – Gelegentlich werden Kommentare auf Tabellen und Spalten mit Hinweise auf die Bedeutung hinterlegt In der Theorie jedenfalls
  7. 7. Seite 7Gunther Pippèrr © 2018 http://www.pipperr.de Die Annahme ▪ Eine Tabelle die „PERSONEN“ heißt, könnte mit hoher Wahrscheinlichkeit Personen-bezogene Daten enthalten ▪ Eine Spalte die „EMAIL“ heißt, könnte mit hoher Wahrscheinlichkeit tatsächlich eine E-Mail enthalten ▪ Kommentare, wie „Kreditkarten Nummer in Feld ZAHLWEGKID“, weist evtl. auf schützenswerte Daten hin In der Theorie jedenfalls
  8. 8. Seite 8Gunther Pippèrr © 2018 http://www.pipperr.de Die Analyse ▪ Ein Scanner sucht nach bestimmten Mustern im Data Dictionary aller Datenbanken im Unternehmen DD Person Vertrag Bank Report Suchmuster Scanner
  9. 9. Seite 9Gunther Pippèrr © 2018 http://www.pipperr.de Bewertung ▪ Sehr Schnell ▪ Einfach umzusetzen ▪ Keine komplexe Software notwendig ▪ Geschätzt wird eine hohe Treffer-Quote erreicht Nachteil ▪ Gewisse “False Positive” Rate wahrscheinlich ( wie Spalten mit dem Namen “Position”) ▪ Optimierung auf die eigene Umgebung notwendig ▪ Keine echte Analyse auf den eigentlichen Daten Vorteil
  10. 10. Seite 10Gunther Pippèrr © 2018 http://www.pipperr.de Werkzeuge für diese Aufgabe ▪ Selber bauen – Eigene Skripte entwickeln ▪ Kommerzielle Scannerlösungen – Wie die Lösungen von Herrn Kornbrust – Red Database Security - GDPRSuite – Die Oracle Lösung DBSAT ▪ Metadaten Handling einführen – Oracle Sensitive Data Discovery ( Bestandteil des Database Masking and Subsetting Packs ) – Oracle Enterprise Metadata Management OEMM
  11. 11. Seite 11Gunther Pippèrr © 2018 http://www.pipperr.de Die Oracle Lösung - DBSAT ▪ Ein Datenbank Scanner von Oracle – Kommandozeilen Werkzeug – Besteht aus 3 Elementen: • Collect => Skript für SQL*Plus für Security Frage Stellungen • Report => Reporting Werkzeug mit Python (ab 2.6) • Discover => DD Scanner auf Java Basis für PII Data ▪ Frei verwendbar für alle Kunden mit gültigen Support Vertrag
  12. 12. Seite 12Gunther Pippèrr © 2018 http://www.pipperr.de DBSAT – Zwei Teilbereiche ▪ Sicherheits-Analyse der Datenbank Umgebung ▪ Analyse mit fest hinlegten SQL Abfragen per SQL*Plus – Analyse der DB Umgebung (z.B. der Listener) nur bei Linux/Unix möglich! ▪ Erzeugt übersichtliche Berichte und Hinweise zu Sicherheitsthemen der DB DB “Sensible” Daten ▪ Suche im Data Dictionary mit Hilfe von Mustern nach “interessanten”, ”schützenwerten”, “persönlichen” Daten Speicherorten ▪ Frei definierbare Pattern werden für die Suche eingesetzt DB Security
  13. 13. Seite 13Gunther Pippèrr © 2018 http://www.pipperr.de Demo – Analyse einer DB auf PII Data Installation Testlauf Collector Konfiguration Pattern Fein Tuning Start der Analyse Bericht auswerten
  14. 14. Seite 14Gunther Pippèrr © 2018 http://www.pipperr.de Download (1) ▪ Herunterladen über => Oracle Database Security Assessment Tool (DBSAT) (Doc ID 2138254.1) – Kostenlos für alle Oracle Kunden mit Zugang zum Oracle Support Portal mit aktuellen Support Vertrag Security => MD5 Hash der Datei ist dort hinterlegt ! Immer genau auch prüfen
  15. 15. Seite 15Gunther Pippèrr © 2018 http://www.pipperr.de Download (2) ▪ Integrity Check durchführen!
  16. 16. Seite 16Gunther Pippèrr © 2018 http://www.pipperr.de Voraussetzungen ▪ Installation von Python Version 2 (>= 2.6 ) für die Reporter Komponente ▪ Java Runtime Environment (JRE) ab 1.6 für die Discoverer Komponente ▪ zip und unzip Kommando – Unter Windows einfach die mit der DB gelieferten Version unter $ORACLE_HOME/bin verwenden, wird mit gesetzten Oracle Home automatisch erkannt
  17. 17. Seite 17Gunther Pippèrr © 2018 http://www.pipperr.de Installation (1) ▪ Software auspacken
  18. 18. Seite 18Gunther Pippèrr © 2018 http://www.pipperr.de Installation (2) ▪ Umgebung (ORACLE_HOME und JAVA_HOME) setzen und starten set-item -path ENV:ORACLE_HOME -value C:oracleproducts12.1.0.2dbhome_1 set-item -path env:JAVA_HOME -value "C:Program FilesJavajre1.8.0_144" .dbsat.bat Database Security Assessment Tool version 2.0.1 (December 2017) Usage: dbsat collect [ -n ] <database_connect_string> <output_file> dbsat report [ -a ] [ -n ] [ -x <section> ] <input_file> dbsat discover [ -n ] -c <config_file> <output_file> Options: -a Run the reports for all the database accounts -n No encryption for output -x Specify sections to exclude from report (may be repeated for multiple sections) -c Configuration file used for discoverer
  19. 19. Seite 19Gunther Pippèrr © 2018 http://www.pipperr.de Sicherheitsüberlegungen ▪ Das Tool über das Betriebssystem schützen! – Ein perfekter Ort um Schadcode zu hinterlegen, eine Manipulation der Dateien wird von der Software nicht selbstständig erkannt – ABER => Im Bericht des Reporters wird ein andere HASH angezeigt! Ein schöner Platz für ein Easter Egg
  20. 20. Seite 20Gunther Pippèrr © 2018 http://www.pipperr.de Datenbank User für die Analyse ▪ Einen User für die Analyse anlegen
  21. 21. Seite 21Gunther Pippèrr © 2018 http://www.pipperr.de Ein erster Aufruf bzgl. der DB Sicherheit ▪ Datenbank Daten einsammeln ▪ Report erstellen .dbsat collect secdba@oragpi collect_27_06_2018_db_gpi => SQL*Plus Script wird abgearbeitet .dbsat report collect_27_06_2018_db_gpi
  22. 22. Seite 22Gunther Pippèrr © 2018 http://www.pipperr.de Security Bericht auswerten (1) ▪ Auf die Checksum im Bericht achten Oracle Database Security Assessment Tool (DBSAT) (Doc ID 2138254.1)
  23. 23. Seite 23Gunther Pippèrr © 2018 http://www.pipperr.de Security Bericht auswerten (2) ▪ Auf die Referenzen im Bericht achten – CIS Liste - Siehe => https://www.cisecurity.org/benchmark/oracle_database/
  24. 24. Seite 24Gunther Pippèrr © 2018 http://www.pipperr.de Discover Konfiguration für die PII Data Analyse ▪ Datei dbsat.config erstellen/anpassen – Kopie von sample_dbsat.config erstellen und anpassen Datenbank Verbindung konfigurieren
  25. 25. Seite 25Gunther Pippèrr © 2018 http://www.pipperr.de Fein Tuning – Pattern File anpassen ▪ Pattern Datei sensitive_en.ini anpassen [EMAIL] COL_NAME_PATTERN = EMAIL|MAIL COL_COMMENT_PATTERN = EMAIL|MAIL SENSITIVE_CATEGORY = PII [PHONE] COL_NAME_PATTERN = PHONE|^TEL|^CELL|MOBILE|((WORK|OFFICE|CONTACT).*(NUM|NO|NBR)) COL_COMMENT_PATTERN = Phone|Telephone|Cellphone|Mobile N|Work N|Office N|Contact N SENSITIVE_CATEGORY = PII Regulärer Ausdruck Kategorie im Bericht
  26. 26. Seite 26Gunther Pippèrr © 2018 http://www.pipperr.de Analyse ▪ Aufruf des Werkzeuges dbsat
  27. 27. Seite 27Gunther Pippèrr © 2018 http://www.pipperr.de Auswertung
  28. 28. Seite 28Gunther Pippèrr © 2018 http://www.pipperr.de Exclude Liste anlegen ▪ Falls zu viel gefunden wird – Ausnahme-Datei erstellen • Ignore ini Datei anlegen - ignore_tables.ini • Parameter Datei anpassen - dbsat.config
  29. 29. Seite 29Gunther Pippèrr © 2018 http://www.pipperr.de Deutsche Pattern Datei ▪ Inoffizielle Version über den Oracle Vertrieb erhältlich – Ansprechpartnerin Justyna Biernat justyna.biernat@oracle.com – DBSAT Tool EMEA Produkt Manager, Herr Pedro Lopes
  30. 30. Seite 30Gunther Pippèrr © 2018 http://www.pipperr.de Integration in Audit Vault ▪ Erzeugte CSV Daten in Audit Valut integrieren – Norman Sibbing fragen .-) – Zum Beispiel die Spalten aus dem Bericht erweitert auditieren – Stichwort „Fine grained auditing“
  31. 31. Seite 31Gunther Pippèrr © 2018 http://www.pipperr.de Diskussion Hilft das bei der DSGVO? Wie halten Sie es mit Metadaten Handling in Ihrem Unternehmen? Werden Sie das Tool einsetzen? Konnten Sie schon Erfahrungen mit dbsat sammeln?
  32. 32. Seite 32Gunther Pippèrr © 2018 http://www.pipperr.de Fazit ▪ Pro: – Einfach und komfortabel im Einsatz ohne Installations- aufwand – Kostenlos für Kunden mit gültigen Oracle Support Vertrag – Einheitlich alle Oracle Datenbanken überwachen – Übersichtliches Reporting der wichtigsten Grund- voraussetzungen – Analyse des DD mit regulären Ausdrücken erweiterbar ▪ Contra: – Standard Sicherheitsregeln nicht als Pattern hinterlegt, Standard Regeln nicht einfach zu erweitern
  33. 33. Seite 33Gunther Pippèrr © 2018 http://www.pipperr.de Mehr ▪ Siehe – Webinar => http://www.doag.org/go/newsletter/180620/cw_link1 – Blog: => https://www.pipperr.de/dokuwiki/doku.php?id=dba:oracle_db sat ▪ Wieder mal eine andere Skript Library – https://github.com/gpipperr/OraPowerShell ▪ Bildmaterial : https://pixabay.com
  34. 34. Seite 34Gunther Pippèrr © 2018 http://www.pipperr.de Fragen Fragen zu DBSAT ?

×