securesphere datenbanksicherheit und -auditing...+ vollständiges auditing und sichtbarkeit von...
TRANSCRIPT
© 2013 Imperva, Inc. All rights reserved.
SecureSphereDatenbanksicherheit und -auditing
Martin DombrowskiSecurity Engineer DACH
Datenschutz an der Quelle
© 2013 Imperva, Inc. All rights reserved.
Agenda
Fragen, die in einem Datenschutzprojekt beantwortet werden sollten:
Wo sind die schützenswerten Daten?
Kann sich ein System selber schützen?
Wie hoch ist das Risiko eines Incidents?
Wer darf was – und vor allem warum?
Wer macht was – und ist es erlaubt?
© 2013 Imperva, Inc. All rights reserved. - CONFIDENTIAL -3
Imperva im Überblick
Gegründet 2002
Führend im Bereich Application Data Security and Compliance
Global aufgestellt• Dual Headquarter: USA / Israel
• Lokale Präsens in allen Märkten (EMEA, APAC, Japan)
• Kunden in über 50 Ländern
2700+ direkte Kunden und über 25000 geschützteOrganisationen
Shlomo Kramer, CEO & Präsident• Einer der drei Check Point Gründer
© 2013 Imperva, Inc. All rights reserved.
UsageAudit
Access Control
RightsManagement
AttackProtection
ReputationControls
Virtual Patching
Was macht Imperva
4
© 2013 Imperva, Inc. All rights reserved.
Frage 1
Wo sind die schützenswerten Daten?
Kann sich ein System selber schützen?
Wie hoch ist das Risiko eines Incidents?
Wer darf was – und vor allem warum?
Wer macht was – und ist es erlaubt?
© 2013 Imperva, Inc. All rights reserved.
Aufgaben
Assets findenNetzwerkbasierte ScansAutomatische Wiederholung (Finden und Ausweisen neuer Assets)
Daten klassifizierenSuchen nach sensiblen DatenMeta-Daten und ContentVorkonfigurierte und selbst definierte Datentypen
© 2013 Imperva, Inc. All rights reserved.
Frage 2
Wo sind die schützenswerten Daten?
Kann sich ein System selber schützen?
Wie hoch ist das Risiko eines Incidents?
Wer darf was – und vor allem warum?
Wer macht was – und ist es erlaubt?
© 2013 Imperva, Inc. All rights reserved.
Aufgaben
Security Assessments„Best Practices“
bekannte SchwachstellenStandard- und Fehlkonfigurationen
Erstellen virtueller PatchesAutomatische Wiederholung (Überführen in einen protokolliertenProzess)
Risiken erkennen, aufzeigen und zentral managenFormel: Sensible Daten + Sicherheitslücken = hohes RisikoRisiken mindern (Überführen in einen protokollierten Prozess)
Ziel: Eigenschutz erhöhen
© 2013 Imperva, Inc. All rights reserved.
Priorisierung von Gegenmaßnahmen
Graphischer Risk Explorer zeigt Risiken“Drill down”, um gefährdete Systeme zu findenPiorisierung anhand von sensiblen Daten und Kritikalität
Data Risk NavigatorDrill down to server at risk
© 2013 Imperva, Inc. All rights reserved.
Frage 3
Wo sind die schützenswerten Daten?
Kann sich ein System selber schützen?
Wie hoch ist das Risiko eines Incidents?
Wer darf was – und vor allem warum?
Wer macht was – und ist es erlaubt?
© 2013 Imperva, Inc. All rights reserved.
Aufgaben
Erfassen und Analysieren der BerechtigungenBereinigung durch Überführen in einen protokolliertenProzess
© 2013 Imperva, Inc. All rights reserved.
Erfassen, Analysieren und Bereinigen
Revision der zugewiesenen RollenBestätigung/Ablehnung durch protokollierten Prozess
Revision und Bereinigung
Woher kommen die Rechte?
© 2013 Imperva, Inc. All rights reserved.
Analyse durch Betrachtung verschiedener Aspekte
Schnelles Erfassen von RechtevergabenBeispiel: Direkte Berechtigungen auf Tables
Vordefinierte Aspekte“Bad Practice” > Nutzer mit direkten Rechten auf Objekte
Bestätigung oder Ablehnung der Berechtigung
© 2013 Imperva, Inc. All rights reserved.
Frage 4
Wo sind die schützenswerten Daten?
Kann sich ein System selber schützen?
Wie hoch ist das Risiko eines Incidents?
Wer darf was – und vor allem warum?
Wer macht was – und ist es erlaubt?
© 2013 Imperva, Inc. All rights reserved.
Aufgaben
Detailliertes Protokollieren aller Arten von Datenbank-Aktivitäten„Trennung der Zuständigkeiten“ durchsetzenSicheres Speichern und Archivieren der Log-DatenIntuitive Analyse der Log-Daten möglichst in EchtzeitDurchsetzen von Richtlinien (Alert / Block)Verhalten abweichend vom „Normalprofil“ identifizieren
Herausforderungen:Massen von Daten -> Was ist wichtig?Beeinträchtigung der PerformanceZentrales Management
© 2013 Imperva, Inc. All rights reserved.
Umfassender Audit Trail
Wann? Wo?Wer? Was?Wie?
CONFIDENTIAL - Imperva
© 2013 Imperva, Inc. All rights reserved.
MarkMark
‘Was?’ - Full Response Audit
Was hat der User gesehen?• Protokolliert den gesamten Response oder Teile dessen
- CONFIDENTIAL -21
Database Response
© 2013 Imperva, Inc. All rights reserved.
Abweichendes Verhalten identifizieren
Ein Zugriffsprofil (statistisches Modell) erstellt.
Fortlaufende automatisierte Aktualisierung.
Abweichungen vom Profil erzeugen einen Alarm bzw. werdengeblockt
- CONFIDENTIAL -22
Object Sensitivity Observed ‘Normal’ Access
© 2013 Imperva, Inc. All rights reserved.
Wer … ist der wirkliche User?
Alex
Erfassung in einem Formular der Applikation
Alex
Zuordnung aus dem SQL-Stream heraus
ID = ‘Alex’
Alex ROOT
Erfassung selbst bei Verwendung von Shared Accounts
© 2013 Imperva, Inc. All rights reserved.
Interaktive Analyse der Log-Daten
Vordefinierte Aspekte
Aktion “Drop Tables”?
Zeige alle Ereignisse!
© 2013 Imperva, Inc. All rights reserved.
Security vs. Audit
Wieviel % des Verkehrs müssen inspiziert werden, um Bedrohungen abzuwehren?
Wieviel % müssen gespeichert werden (Audit)?• 30%? 50%? 80%?...
Security und Audit sind verschiedene Prozesse, die unterschiedlich behandelt werden müssen
100%
Database Traffic
100% Inspection
Selective Audit
© 2013 Imperva, Inc. All rights reserved.
“Weisse Flecken”: Audit Evasion
26
Erkennung sämtlicher privilegierter Aktivität (SQL und Protokoll Level):
Audited DB
In scope – Not Audited
Werden protokollbasierte Kommandos erkannt?
Data out
Beispiel: Export sensitiver Tabellen zu Files
Export id/password@DB table=DB.CreditCards Direct=Y
CONFIDENTIAL - Imperva
© 2013 Imperva, Inc. All rights reserved.
Inspection-Prozess
Signaturen schützen gegen bekannte BedrohungenPolicies erfüllen spezielle Erfordernisse• Compliance• Durchsetzung von Zugriffsregeln
Abnormales Verhalten erkannt durch ‘unbekannte’ aufällige Aktivitäten (Profiling)
Datenbank-aktivität
Attack Signature?
y
Policy Verstoß?
y
Abnormal?
y
© 2013 Imperva, Inc. All rights reserved.
Durchsetzen von Richtlinien
Vordefiniert oder CustumMeldun bei einer privilegierten
Operation
Wer?
Detailliertes SQL
© 2013 Imperva, Inc. All rights reserved.
Imperva Application Defense Center
ADC Forschung erbringt• Signaturen und Policies• Compliance Reports• Vulnerability und Konfigurations Assessments
Automatische ADC Updates sichern einen aktuellenGrundschutzMindestens im Turnus von 2 Wochen
- Policies- Attack signatures- Vulnerability tests- Compliance reports
© 2013 Imperva, Inc. All rights reserved.
Was ist wichtig?
Zusammenfassung aller Antworten auf die vorherigen Fragen:
Activity Monitoring
Wer?
JOE Dept?
Sensible Daten?
CCTAB Credit Card
Nutzer Datenart UsageBerechtigung
Holistische Sicht
JOE CCTAB
update
Berechtigung?
JOE CCTAB
Wann?
Klassifizierung, URM (DB)
© 2013 Imperva, Inc. All rights reserved.
Imperva Database Security Lösungen
SecureSphere Database Activity Monitoring+ Vollständiges Auditing und Sichtbarkeit von Datenbankaktivitäten
SecureSphere Database Firewall+ DAM plus Echtzeitschutz kritischer Datenbanken
SecureSphere Discovery and Assessment Server+ Vulnerability Assessment, Konfigurationsmanagement, Database Discovery und Datenklassifizierung
User Rights Management für Datenbanken+ Revision und Management von Berechtigungen
ADC Insights für SAP, Oracle EBS und PeopleSoft+ Vordefinierte Reports und Richtlinien für SAP, Oracle EBS und PeopleSoft Compliance und Sicherheit
© 2013 Imperva, Inc. All rights reserved.
Unterstützte Datenbanken
SecureSphere liefert gleiche Funktionalität in Sicherheitund Auditing über heterogene PlattformenAbdeckung wird kontinuierlich ausgebaut
© 2013 Imperva, Inc. All rights reserved.
Imperva SecureSphere Übersicht
Web Servers
Databases
WebApplication
Firewall
Internet
DatabaseActivity Monitoring /
Firewalling
File Activity Monitoring /Firewalling
ManagementServer (MX)
Imperva Agent
NetworkMonitoring
NativeAudit
Users File Servers and NASDevices
© 2013 Imperva, Inc. All rights reserved.
Zentrales Management - Agenten und Appliances
Installation, Konfiguration und Management aller Agenten von zentraler Lokation
Überwachung aller Gateways und Agenten von einerzentralen Konsole
Appliance Management
Agent Management