Atlas управление безопасностью СУБД на основе решений Guardium

1. Управление безопасностью СУБД на
•
основе решений Guardium
www.atlas.ua
Виктор Жора,
Начальник отдела защиты информации
АОЗТ «Атлас»

2. Современное состояние безопасности БД
• В 2009 году усилия по защите информации смещаются
от защиты периметра в сторону защиты
конфиденциальных данных
• Возрастает доля внутренних угроз
• Защита информации не должна ухудшать
характеристики функционирования бизнес-процессов
• Есть необходимость обеспечения соответствия
требованиям стандартов в сфере защиты информации
• Как основное хранилище важных данных, базы
данных становятся основым объектом внимания
Служб защиты информации

3. Современные вызовы безопасности СУБД
Инфраструктура БД E-Business
 Гетерогенная Suite
 Постоянно изменяющаяся
Различные типы доступа к БД
E-Business Suite
 Сетевые приложения
Privileged
 Внешний доступ к БД Users
 Локальный доступ администраторов
Повышенная производительность
 Критичные для бизнеса приложения
 Подверженность манипуляциям
Распределение полномочий
 СУБД/Инфрастуктура
 Безопасность/Аудит
Широкое использование журналов СУБД
 Первая логичная мера мониторинга доступа к БД

4. Недостатки традиционного журналирования
1. Проблемы детализации
– Трудности мониторинга привилегированных пользователей
– Трудности мониторинга
2. Влияние на производительность
– Слабая ориентированность на безопасность
– Значительная нагрузка на ЦП
3. Различные методы для разных СУБД
– Отсутствие унифицированного подхода к безопасности
– Неэффетивно и небезопасно
4. Проблема хранения, отчетности и прогнозирования
– Требования к размеру хранилища данных аудита
– Сложность аудита и прогнозирования
5. Проблема защиты в реальном времени
– Вопрос уведомления об аномалиях
– Нет возможности блокирования вредоносных действий
6. Нет разграничения полномочий
– DBA не выполняет функции защиты
– DBA не могут мониторить сами себя

5. Система мониторинга БД Guardium
Исчерпывающий мониторинг и контроль изменений
• Мониторинг всего SQL траффика через SPAN порт или TAP
• Мониторинг лок. доступа с помощью агента на сервере БД
• Возможность уведомлений и блокирования НСД
• Контроль изменений файлов и конфигураций
Независимость от СУБД
Switch or TAP
• Не зависит от встроенных механизмов журналирования Guardium
E-Bus
• Не влияет на производительность СУБД iness S
uite Guardium
S-TAP
• Не требует изменения СУБД и ПО S-TAP
• Защита от DBA
Единое решение для гетерогенной среды Агенты,
установленные
для
• Поддержка Oracle, MS SQL, IBM DB2, MySQL, и т.д. мониторинга
локального
• Поддержка SAP, Oracle EBS, Siebel, приложений заказчика доступа DBA
• Поддержка Windows, Linux, Solaris, AIX, HP UX, z/OS и т.д.
Автоматизированная отчетность
• Стойкое и защищенное хранилище данных для отчетов
• Создание шаблонных либо уникальных отчетов по расписанию
• Управление соответствием

6. Исчерпывающий мониторинг SQL
Что отслеживает Guardium?
• SQL Errors and failed logins
• DDL commands (Create/Drop/
Alter Tables)
• SELECT queries
• DML commands Switch or TAP
(Insert, Update, Delete)
Guardium S-
TAP
E-Bus Guardium S-
• DCL commands iness S
uit e
TAP
(GRANT, REVOKE)
• Procedural languages Агенты,
установленные для
мониторинга
локального
• XML executed by database доступа DBA

7. Агент S-TAP обеспечивает полную
наблюдаемость
• Дополнительное легковесное решение, устанавливаемое на сервер
БД и работающее на уровне IPC ОС
• Перехватывает 100% действий, включая TCP, общую память, Oracle
BEQ, named pipes, TLI, и IPC-соединения
• Направляет информацию устройству
Guardium для обработки
• Не требует изменения в
конфигурации БД
• Обеспечивает перехват 1000
записей аудита в секунду с 3%
потерей производительности
• S-GATE для блокирования
соединений

8. Масштабированная распределенная архитектура

9. Мониторинг пользователей ПО
Идентификация пользователей приложений
• Раскрытие потенциального мошенничества
• Точный аудит доступа пользователей к важным таблицам
• Четыре метода идентификации пользователей
Поддержка SAP
• Импорт лога транзакций SAP
• Уведомление в реальном времени на базе порогов либо специальных
событий
• Мониторинг прямого доступа к БД привилегированных пользователей
• Консолидация и корреляция с другими событиями
• Интеграция с отчетами соответствия
• Хранение в защищенном репозитории

10. Гранулированный аудит
Пример данных аудита с помощью встроенных средств СУБД:
SAP USER requested DATA from CUSTOMER Database
and the database returned DATA
Пример данных аудита Guardium:
SAP USER, DAVID SMITH, requested FIRST NAMES,
LAST NAMES, E-MAIL ADDRESS, CREDIT CARD
NUMBERS, for ALL accounts from CUSTOMER database
and the database returned 349271 records

11. Безопасное конфигурирование и система контроля
изменений
• Отслеживание и информирование о любых
изменениях конфигурации
• Возможность “закрытия” системы и разрешения
изменений только в соответствие со
стандартными процедурами
• Отслеживание изменений на уровне ОС:
 Файлы
 Скрипты
 Переменные среды
 Настройки реестра
• Отслеживание изменений на уровне БД
 SQL выражения
 SQL скрипты

12. Встроенный SOX Accelerator
• Карточка отчета соответствия SOX
– Автоматизирует процесс определения соответствия SOX
– Настраиваемые тесты и проверки
• Карта доступа финансовых приложений
– Графическая карта, иллюстрирующая доступ в среде
финансовых приложений, клиентов и серверов БД
– Обеспечивает визуализацию деятельности по типу доступа,
контенту и частоте доступа
• Хранилище данных аудита
– Защищенное и простое во внедрении
– Полный аудит использования и модификации данных
• Задания по расписанию
– Автоматизирует аудит SOX
– Управляет распределением информации между
задействованными сторонами

13. Полный цикл безопасности
и мониторинга баз данных

14. Шаг 1: обнаружение БД
• Обнаруживает все БД, • Vulnerability assessment
приложения и клиенты • Configuration assessment
• Обнаруживает и • Behavioral assessment
классифицирует Обнаружение Assess • Baselining
чувствительные данные • Configuration lock-down
и & & change tracking
• Encryption
Классификация Harden
Critical Data
Infrastructure
• Centralized
governance
• Compliance reporting • 100% visibility
• Policy-based actions
• Sign-off management Audit Monitor • Anomaly detection
• Automated escalations
• Secure audit repository • Real-time prevention
& & • Granular access controls
• Data mining for forensics
• Long-term retention
Report Enforce

15. Шаг 2: обнаружение уязвимостей
• Обнаруживает все БД, • Поиск уязвимостей
приложения и клиенты • Анализ конфигураций
• Обнаруживает и • Анализ поведения
классифицирует Обнаружение • Базовые настройки
чувствительные данные Изучение • Фиксация конфигураций
и и отслеживание изменений
и
Классификация
укрепление
Critical Data
Infrastructure
• Centralized
governance
• Compliance reporting • 100% visibility
• Policy-based actions
• Sign-off management Audit Monitor • Anomaly detection
• Automated escalations
• Secure audit repository • Real-time prevention
& & • Granular access controls
• Data mining for forensics
• Long-term retention
Report Enforce

16. Шаг 3: мониторинг всех действий
• Обнаруживает все БД, • Поиск уязвимостей
приложения и клиенты • Анализ конфигураций
• Обнаруживает и • Анализ поведения
классифицирует Обнаружение • Базовые настройки
чувствительные данные Изучение • Фиксация конфигураций
и и отслеживание изменений
и
Классификация
укрепление
Critical Data
Infrastructure
• Centralized
governance
• Compliance reporting • 100% наблюдаемость
• Действия на базе правил
• Sign-off management Audit Мониторинг • Обнаружение аномалий
• Automated escalations
• Secure audit repository • Real-time защита
& и • Гранулированный
• Data mining for forensics
• Long-term retention контроль доступа
Report защита

17. Шаг 4: отчеты и корреляция
• Обнаруживает все БД, • Поиск уязвимостей
приложения и клиенты • Анализ конфигураций
• Обнаруживает и • Анализ поведения
классифицирует Обнаружение • Базовые настройки
чувствительные данные Изучение • Фиксация конфигураций
и и отслеживание изменений
и
Классификация
укрепление
Critical Data
Infrastructure
• Централизованное
управление
• Отчеты соответствия • 100% наблюдаемость
• Действия на базе правил
• Управление Мониторинг • Обнаружение аномалий
согласованием Аудит • Real-time защита
• Автомат. эскалация и • Гранулированный
• Защищ.репозиторий и • контроль доступа
• Data mining для прогноза
защита
отчетность

18. Системы управления событиями безопасности
(SIEM)
и
мониторинг баз данных

19. Разница между SIEM и аудитом БД
• Решения SIEM обеспечивают сбор, уведомление и анализ
данных аудита из всех источников в сети
• Позволяют организациям облегчить процедуру аудита и
оперативно реагировать на важные события безопасности
• Определение доступности сети, проблем и неисправного
оборудования
• По СУБД есть две опции:
A. Импорт внутреннего журнала БД
B. Импорт данных внешних инструментов аудита

20. Почему встроенных средств аудита недостаточно
• “Топологии БД не являются достаточно гибкими, чтобы
отличить пользователя и злоумышленника.”
• “Если наблюдаются подозрительные запросы – а они
могут повторяться сотни раз – СУБД не обратит
внимание, поскольку у пользователя есть актуальный
логин и пароль”
• “У всех БД есть те же самые недостатки.“
– Noel Yuhanna, Principal Analyst, Forrester
– Database security: Protecting the crown jewels,
by Deb Radcliff, SC Magazine, February 5, 2009
– www.scmagazineus.com/Database-security-Protecting-the-crown-jewels

21. Интеграция SIEM с Guardium

22. SIEM получает данные о событиях БД
22

23. SIEM для защиты от внутренних угроз
DAM System/ Badge & VPN File System DLP Roles from
Guardium Systems Logs Verdicts IdM/Directory
Аномальная Удаленный Использо- Данные о Пользователи
активность и локальный вание заказчиках с расширен-
доступ флешек ными правами
Потенциальный
риск
23

24. Внедрение Guardium
1 Создание Политики для идентификации нормальных
бизнес-процессов и аномальной активности
Guardium автоматически определяет типовые
2 политики. Настраиваимые политики добавляются в
сценариях.
3 Правила Monitor & Log only, Real-Time Alerts, and
Блокирование несанкционированных действий
4 Постоянное хранилище аудита всех действий с БД
содержится в защищенном устройстве
5 Автоматические отчеты содержат неудачные попытки
доступа, SELECT запросы, повышение привилегий,
изменение схем, доступ к таблицам и т.д.

25. Три режима работы
1 Мониторинг
привилегированного доступа
2 Выборочный аудит и
информирование
3 Исчерпывающий аудит

26. Независимая оценка
“Dominance in this space” “Enterprise-class data security
#1 Scores for Current Offering, product that should be on every
Corporate & Product Strategy organization's radar."
“5-Star Ratings: Easy
installation, sophisticated
“Top of DBEP Class”
reporting, strong policy-
“Practically every feature you'll
based security.”
need to lock down sensitive
data.“
2007 Editor's Choice
Award in "Auditing and
Compliance" “One of 10 technology
companies to watch”

27. Данные исследований
• “Dominance in this space.”
• “A Leader across the board.”
• “Leadership in supporting large
heterogeneous environments,…
high performance and scalability,
simplifying administration …and
real-time database protection."
• “Strong road map ahead with
more innovation and features.”
The Forrester Wave is copyrighted by Forrester Research, Inc. Forrester and Forrester
Wave are trademarks of Forrester Research, Inc. The Forrester Wave is a graphical
representation of Forrester's call on a market and is plotted using a detailed
spreadsheet with exposed scores, weightings, and comments. Forrester does not
endorse any vendor, product, or service depicted in the Forrester Wave. Information is
based on best available resources. Opinions reflect judgment at the time and are Source: “The Forrester Wave™: Enterprise Database Auditing
subject to change. and Real-Time Protection, Q4 2007” (October 2007)

28. Заказчики

29. Вопросы

30. Спасибо