© 2011 IBM CorporationOctober 25, 2011
IBM GuardiumОбеспечение безопасности СУБД
Сергей Лихарев, IBM SWG
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 2
3 основных причины мониторинга СУБД
1. Внутренние угрозы• Неавторизованные изменения• Предотвращение утечек данных
2. Внешние угрозы• Предотвращение кражи данных
3. Нормативные требования• Упрощение процессов• Сокращение затрат
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 3
Кого это волнует?
Служба безопасности
Применение политик Контроль и история Анализ
Разграничение полномочий
Отчетность Автоматический контроль
Минимальное влияние на производительность
Управление измененияи
Guardium: 100% Guardium: 100% прозрачности и прозрачности и унификацииунификации
Аудит Пользователи приложений
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 4
Культурные/технические проблемы
“DBA тратят менее 5% времени на безопасность СУБД.”Market Overview: Database Security
Noel Yuhanna, Forrester Research, February 2009
Сетевая безопасность
Приложения
Безопасность СУБД
"There is more to risk than weak software.”
Hackers compromise in 3 ways1.Weak Software
Buffer overflows, OS/application vulnerabilities
2.Weak ConfigurationsDefault configurations, weak passwords,
failure to harden3.Weak People
Insider threat, social engineeringJosh Corman, IBM/ISS
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 5
Сервера БД = подавляющее большинство проблем
“Although much angst and security funding is given to offline data, mobile devices, and end-user systems, these assets are simply not a major point of compromise.”
Online data = 99.9% of all compromised records
http://w w w .verizonbusiness.com/resources/security/reports/2009_databreach_rp.pdf
2009 Data Breach Report from Verizon Business RISK Team
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 6
SQL injection played a role in 79% of records compromised during 2009 breaches
2010 Data Breach Report from Verizon Business RISK Teamhttp://w w w .verizonbusiness.com/resources/reports/rp_2010-data-breach-report_en_xg.pdf
Источники украденных данных
… up from 75% in 2009 Report
Сервера БД = ПОДАВЛЯЮЩЕЕ большинство проблем
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 7
Нормативные требования – что нужно мониторить?
DDL = Data Definition Language (aka schema changes)DDL = Data Definition Language (aka schema changes)DML = Data Manipulation Language (data value changes)DML = Data Manipulation Language (data value changes)DCL = Data Control LanguageDCL = Data Control Language
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 8
... и простыми словами Как узнать когда DBA и привилегированные пользователи
превышают полномочия? Как немедленно оповестить безопасность о 3 неудачных попытках
изменить таблицу в PeopleSoft? Как запретить временному персоналу заглядывать в данные? Мы приобрели компанию – где у них тут важные данные? Как отчитаться перед аудитором (SOX, PCI, FISMA, DPA, etc.)?
• DBA отказываются включать полный аудит СУБД потому что производительность падает
• Re-do логи производят горы данных, которые нужно хранить/анализировать/готовить отчетность/архивировать
• Наш поставщик DLP/SIEM сказал что решит проблему (но мы поняли что это не так)
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 9
Компания Guardium специализируется на решениях по защите СУБД. Решения компании используются более чем в 350-ти центрах обработки данных, а также в ведущих компаниях по всему миру.
Основанная в 2002 году, Guardium была первой в мире компанией, производящей решения для устранения уязвимостей в защите баз данных бизнес-систем в режиме реального времени.
Компания Cisco – стратегический инвестор Guardium.
Guardium – партнер компании IBM, Oracle, Microsoft, Sybase, BMC, EMC, RSA, Accenture, NetApp, McAfee и NEON. Является членом IBM Data Governance Council и PCI Security Standarts Council.
О компании Guardium
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 10
Мониторинг БД в реальном времени
• Продуманная архитектура• Вне базы данных• Минимальное влияние на
производительность (3 - 5%)• Не нужно менять БД и приложение
• Универсальное решение для разных СУБД• 100% контроля, включая локальный доступ DBA
• Обеспечивает разграничение полномочий• Не полагается на логи в БД, которые могут
быть стерты злоумышленниками• Детальные политики и аудит в реальном
времени• Кто, что, когда, как
• Автоматическая отчетность (SOX, PCI, NIST, и т.д.)
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 11
Масштабируемая архитектура
Централизованное управление
– Политики выдаются на коллекторы с центрального сервера
Сбор данных– Коллекторы собирают данные
в центральный репозиторий Различные платформы
– Унифицированный сбор данных
Запрет действий (S-Gate)– Предотвращение
несанкционированного доступа к важной информации
Поддержка разных СУБД– Oracle, DB2, SQL Server, Sybase, и
т.д.
Test and Development
Интеграция с LDAP, IAM, IBM Tivoli, …SIEM, IBM TSM, Remedy
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 12
Мониторинг или Аудит
Время
Количество запросов в секунду
Мониторинг
Выборочный аудит
Непрерывный аудит
Сокращение объема траффика который пользователь хочет аудировать (записать на диск) с помощью фильтрации.
Аудит означает записать данных на дискМониторинг означает просмотр всего траффика (alerts, report DB errors, и т.д.)
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 13
Company Confidential
Упрощенная архитектура Guardium
• Собирает все что требуется
• Игнорирует любую несущественную информацию
• Настраивается на потребности пользователяPolicies
Inspection EngineСетевая информация-Filter client/Server IP-Filter TCP ports
Фильтры верхнего уровня-Which SQL statements
-Select, Update, etc
Data Stored
1.1.1.1 23345 10.12.12.12 1433 select * from xyz;
Пакет из сети
Guardium Repository
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 14
Обзор Inspection Engine Inspection engine мониторит
траффик между: – Одним или группой серверов и – одним или многими клиентами – используя протокол СУБД (Oracle
или DB2 например).
Inspection engine извлекает SQL из сетевых пакетов:– Выделяет запросы, команды,
объекты, поля– Записывает детальную
информацию о траффике во внутреннюю БД
Inspection Engines – наиболее эффективная форма фильтрации
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 15
3 типа правил
SQL Query
Result Set
Database ServerDatabase
Exception (ie. Invalid table)
Существует три типа правил: 1. Access rule – для клиентских запросов
2. Extrusion rule – для возвращаемых данных
3. Exception rule – для возвращаемых исключений
1
2
3
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 16
Политики
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 17
1. Access Policy – высокая степень детализации
Какие БД
Какие пользователи
Какие поляКакие таблицы
Какие SQL команды
Какие сервера
• Что делать?• Allow, Log, Log Full Details, Log
full Details with Values• Alert, Ignore, Terminate
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 18
2. Extrusion Definition – неавторизованный результ
Monitor 10.10.9.248
SQL Server database
Не пользователь Bill
Social Security numbers
– ([0-9]{3}-[0-9]{2})-[0-9]{4} will match the pattern for a Social Security Number xxx-xx-xxxx
– Everything between the “(“ and “)” will be masked out so no sensitive data will be stored for reporting purposes
Send Alert per match
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 19
Joe пытается извлечь данные
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 20
Joe попытался извлечь данные
SSN Results Set that we are interested in
SQL Query
Masked Extrusion Values ([0-9]{3}-[0-9]{2})-[0-9]{4}
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 21
3. Policy Exception Rule
Исключения– Неудачный вход
– SQL Errors
– и т.д.
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 22
3. Policy Exception Rule – предупреждение атакВоры знают что они ищут, но...
SQL injection ведет кSQL errorsSQL errors!
Guardium: 100% видимость…
Не всегда знают где искать!
Прямые атаки ведут к failed loginsfailed logins!
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 23
Выявление попыток неудачного входа с аккаунтом пользователя приложения!
Exception Policies с оповещением
ДействиеДействие: Send alert via email, SYSLOG, SNMP or custom Java class
Продуктивные сервера
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 24
Минимальное потребление ресурсов сервера БД Не требует изменения конфигурации Игнорирует сессии для сокращения нагрузки и сетевого
траффика Обеспечивает детализацию активности БД Обеспечивает оповещение и блокирование в реальном
режиме времени Мониторит все типы соединений (Bequeath, TCP, Shared
Memory, Named Pipes, etc) Обеспечивает разграничение полномочий
Как это работает?
Агент S-TAP – цели разработки
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 25Guardium Confidential25
10.10.9.56 10.10.9.56 1521 23456 DST IP Src IP Dst Port Src Port
1
S-TAP Process
Port 1521
Port 1521
Portion of guard_tap.ini filetap_ip=10.10.9.56sqlguard_ip=10.10.9.245sqlguard_port=16016
Database Server10.10.9.56
Shared Memory (Bequeath)
All components on the local server
1
Shared Memory Access - Bequeath
2 Guardium Appliance 10.10.9.245
Stream packets to appliance over TCP port 16016 (unix)
2
Процесс S-TAP копирует траффик к БД и пересылает его на сервер
Buffer FileX x xx xxxXxx xx xx
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 26
- Централизованное управление
- Отчётность по соответствиям
- Управление подтверждением
- Автоматизация эскалаций
- Защищённое хранилище
данных аудита
- Долговременное
хранение данных
- Обнаружение БД,
приложений и клиентов
- Обнаружение и
классификация
критических данных
- Действия на основе политик,
- Обнаружение аномалий
- Защита в реальном времени
- Интеграция с SEIM-системами
- Подробнейший контроль
- 100% доступность
- Оценка уязвимостей
- Оценка конфигурации
- Поведенческая оценка
- Ограничение конфигурации
и отслеживание изменений
- Шифрование
- Оценка функционирования
на основе базового состояния
ОБНАРУЖЕНИЕ И
КЛАССИФИКАЦИЯ
ОЦЕНКА И
ПРИНЯТИЕ МЕР
АУДИТ И
ОТЧЁТНОСТЬ
МОНИТОРИНГ И
КЛАССИФИКАЦИЯ
КРИТИЧЕСКАЯ
ИНФРАСТРУКТУРА
ДАННЫХ
Guardium – унифицированное решение
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 27
Пример отчета по оценке уязвимости
История улучшения или ухудшения
Общая оценка
Детальная матрица
Фильтры
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 28
Интеграция с инфраструктуройОпровещеия в SIEM- Tivoli, ArcSight, EnVision, etc
Службы каталогов(Active Directory, LDAP, etc)
Сигнал вSIEM
Группы аутентификации Long Term StorageTivoli TSM, EMC CenteraFTP, SCP, etc
Резервные копии
Сервера приложенийOracle EBS, SAP, Siebel, Cognos, PeopleSoft, etc
Оценка уязвимостей-CVE #’s, CIS Benchmark, STIGРезвертывание ПО
Tivoli, RPM’s, Native Distributions
Пользователи с правами изменения процесса контроля
Автоматическая установка ПО
SNMP Monitoring SystemsTivoli Netcool, Openview, etc
Выделение пользователей(DB Pooled Connection)
Утечки данных
Критическиеданные - ---- - - - - -- ---- - - - - - - -
IT Service Management- Remedy, Peregrine, etc
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 2925 октября 2011г.Guardium: Обеспечение безопасности СУБД 29
СУБД
ОС
Приложения
Поддерживаемые платформы
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 30
Мониторинг транзакций СУБД в реальном времени
Упрощение прохождения аудита и соответствия SOX, PCI-DSS
Управление изменениями БД
Управление уязвимостями СУБД
Предотвращение утечки данных из БД
Мониторинг транзакций СУБД для мейнфреймов
Решения Guardium
IBM Guardium
© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 31
contact info
Сергей ЛихаревРуководитель направленияIBM Information Management
Tel +7 985 922 [email protected]