IBM Guardium Обеспечение безопасности СУБД...СУБД. Решения компании используются более чем в 350-ти центрах

© 2013 IBM Corporation

IBM Guardium Обеспечение безопасности СУБД

Алексей Воронцов, IBM Security Systems

© 2013 IBM Corporation

IBM Guardium

© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 3

Цена утечки данных

В США каждая кража данных обходится в $5.5

миллионов

Цена одной записи $200

IBM Guardium


SQL injection played a role in 79% of records compromised

during 2009 breaches

2010 Data Breach Report from Verizon Business RISK Team http://www.verizonbusiness.com/resources/reports/rp_2010-data-breach-

report_en_xg.pdf

Источники украденных данных

… up from 75% in 2009 Report

Сервера БД = ПОДАВЛЯЮЩЕЕ большинство проблем

http://www.verizonbusiness.com/resources/reports/rp_2010-data-breach-report_en_xg.pdf








IBM Guardium


Причины мониторинга СУБД

Внутренние угрозы

• Неавторизованные изменения

• Предотвращение утечек данных

Внешние угрозы

• Предотвращение кражи данных

Нормативные требования

• Упрощение процессов

• Сокращение затрат

IBM Guardium


Зачем защищать базы данных: соответствие

Как обеспечить конфиденциальность персональных данных (152-

ФЗ)?..

Как отслеживать доступ к информации о платёжных картах (PCI-

DSS)?..

Как гарантировать достоверность финансовой отчётности (SOX)?..

Как контролировать администраторов баз данных?..

Как соответствовать корпоративным регламентам и стандартам ИБ?..

Как пройти аудит?.. + = ?

IBM Guardium


Нормативные требования: что нужно мониторить?

DDL = Data Definition Language (aka schema changes)

DML = Data Manipulation Language (data value changes)

DCL = Data Control Language

IBM Guardium


Database Activity Monitoring?

Мониторинг активности СУБД, то есть:

Аудит запросов к БД

Аудит извлекаемой информации

Аудит ошибок и исключений

Блокирование нежелательной активности

Контроль изменений в БД

Анализ уязвимостей СУБД

Поиск критичных данных

И другое...

IBM Guardium


Компания Guardium специализируется на решениях по защите

СУБД. Решения компании используются более чем в 350-ти центрах

обработки данных, а также в ведущих компаниях по всему миру.

Основанная в 2002 году, Guardium была первой в мире компанией,

производящей решения для устранения уязвимостей в защите баз

данных бизнес-систем в режиме реального времени.

Компания Guardium приобретена IBM в 2010 году.

О компании Guardium

IBM Guardium


Мониторинг БД в реальном времени

• Продуманная архитектура

• Вне базы данных

• Минимальное влияние на

производительность (3 - 5%)

• Не нужно менять БД и приложение

• Универсальное решение для разных СУБД

• 100% контроля, включая локальный доступ DBA

• Обеспечивает разграничение полномочий

• Не полагается на логи в БД, которые могут

быть стерты злоумышленниками

• Детальные политики и аудит в реальном

времени

• Кто, что, когда, как

• Автоматическая отчетность (SOX, PCI,

NIST, и т.д.)

IBM Guardium


Основные компоненты

IBM Guardium


Политика безопасности

Состоит из правил

Может использоваться несколько политик

Набор встроенных политик

Может быть сформирована автоматически

Правило – критерии срабатывания и реакции

Правила трёх типов:

- доступ (запросы)

- извлечение (ответы)

- исключение (ошибки)

IBM Guardium


Отчёты и оповещения

Корреляционные

оповещения

(по заданному порогу)

Оповещения в реальном

времени (правила политики)

IBM Guardium


Контроль неизвестностей

IBM Guardium


Оценка уязвимости

Активность в БД

ОС

Тесты

Разрешения

Роли

Конфигурации

Версии

Частные тесты

Файлы конфигурации

Переменные среды

Значения в реестре


БД

Оценка уязвимости

Основана на промышленных стандартах (наборы тестов CVE, STIG &

CIS)

Настраиваемая (возможность создания частных тестов)

Скрипты ОС, SQL-запросы к СУБД, файлы...

Проверки различных типов обеспечивают широкое покрытие

уязвимостей:

Конфигурация СУБД

Файлы ОС

Активность в СУБД

Активность

в БД ОС

Тесты

Разрешения

Роли

Конфигурации

Версии


Файлы конфигурации

Переменные среды

Значения в реестре


БД

IBM Guardium


Масштабируемая архитектура

Централизованное управление

– Политики выдаются на коллекторы с центрального сервера

Сбор данных

– Коллекторы собирают данные в центральный репозиторий

Различные платформы

– Унифицированный сбор данных

Запрет действий (S-Gate)

– Предотвращение несанкционированного доступа к важной информации

Поддержка разных СУБД

– Oracle, DB2, SQL Server, Sybase, и т.д.

Test and Development

Интеграция с LDAP,

IAM, IBM Tivoli,

…SIEM, IBM TSM,

Remedy

IBM Guardium


Интеграция с инфраструктурой

Опровещеия в SIEM

- Qradar, Tivoli, ArcSight, EnVision, etc Службы каталогов

(Active Directory, LDAP, etc)

Сигнал в

SIEM

Группы аутентификации

Long Term Storage

Tivoli TSM, EMC Centera

FTP, SCP, etc

Резервные копии

Сервера приложений

Oracle EBS, SAP, Siebel,

Cognos, PeopleSoft, etc

Оценка уязвимостей

-CVE #’s, CIS Benchmark, STIG Резвертывание ПО

Tivoli, RPM’s, Native Distributions

Пользователи с правами

изменения процесса контроля

Автоматическая установка ПО

SNMP Monitoring Systems

Tivoli Netcool, Openview, etc

Выделение пользователей

(DB Pooled Connection)

Утечки данных

Критические

данные - ---- - - - - --

---- - - - - - - -

IT Service Management

- Remedy, Peregrine, etc

IBM Guardium


Соответствие законам и стандартам: ФЗ №152

IBM Guardium


Соответствие законам и стандартам: PCI-DSS

IBM Guardium


Уменьшение нагрузки на DBA

Аудит извлекаемых данных

Достаточно ли встроенных средств защиты?

Реагирование в реальном времени

Разграничение обязанностей (SoD)

Минимальная нагрузка на СУБД

Поддержка различных СУБД

Функционал Встроенные

средства

IBM Guardium

Мониторинг пользователей приложений

Централизация и агрегация

IBM Guardium


Мониторинг транзакций СУБД в реальном времени

Упрощение прохождения аудита и соответствия SOX, PCI-DSS

Управление изменениями БД

Управление уязвимостями СУБД

Предотвращение утечки данных из БД

Мониторинг транзакций СУБД для мейнфреймов

В Итоге - Решение Guardium

IBM Guardium


The Forrester Wave™:

Database Auditing And

Real-Time Protection,

Q2 2011

IBM Guardium


• Высокая производительность

(быстрое построение отчетов, эффективное логирование)

• Эффективное нормализированное хранение аудита

(меньше затрат/дискового пространства на хранение логов).

Конкуренты хранят логи в файлах.

• Способность справляться с любым количеством данных

• Маштабируемость

• Ориентированность на большие предприятия

• Проверенный функционал многолетним опытом разработок компании

Guardium и IBM.

• Высокий возврат инвестиций при использовании и внедрении

• Быстрое внедрение, легкость сопровождения

• Полное отсутствие внедрения/интрузивности в СУБД

(конкуренты используют внедрение в СУБД для реализации некоторого

функционала)

• Гетерогенное решение

• Качество поддержки ИБМ

• Поддержка широкого ряда СУБД,

инструменты для разработки мониторинга частных случаев СУБД / систем

Преимущества Guardium

IBM Guardium


• Отсутствие ПО сторонних компаний (администрирование, лицензия)

• Отсутствие изменений сети (разрыв сетевого канала)

• Отсутствие стороннего оборудования (например NetOptics: Mirroring&bypass)

• Защищенное исполнение: без доступа к ОС, СУБД

• Отсутствие перезагрузки при установки и обновлении

• Точное определение конечных пользователей в среде Connection Pooling.

• Интерактивная детализация и корреляция с внешними источниками

• Разграничение доступа к аудиту по СУБД (data level security)

• Эффективное хранение данных

• Отсутствие ограничения на размер запросы

• Продвинутый функционал рассылки и утверждения отчетов

• Широкий набор тестов уязвимости СУБД

• Отсутствие необходимости дешифрования SQL трафика и хранения ключей

• Широкая поддержка агентского мониторинга для всех видов траффика

• Легкое, быстрое, централизовоное обновления компонентов инфраструктуры

• Минимальное использование ресурсов ЦПУ

• Продвинутые технологие агентского мониторинга расширающиеся на новые

платформа/продукты такие как BigData

• Возможность аггрегирования данных и ЦУ на любых масштабах

Преимущества Guardium

IBM Guardium


Выбор лидирующих мировых организаций

• 8 of the top 10 global banks

• 5 of the top 6 global insurers

• 4 of the top 4 health care providers

• 8 of the top 10 telecoms

• 3 of the top 4 auto makers

• 3 of the world’s favorite beverage brands

• 2 of the top 3 global retailers

• Top government agencies

• Top global cardholder brand

• Top energy suppliers

• The most recognized name in PCs

• #1 dedicated security company

• Media & entertainment brands

• International airline brands

IBM Guardium


Выбор лидеров рынка

IBM Guardium


Fortune 500

IBM Guardium


Пример внедрения в РФ Телекоммуникации

Кто: 3 из 4 крупнейших операторов сотовой связи РФ

Задача: защита персональных данных абонентов в соответствии с ФЗ-152

Среды: распределённые ЦОД (основной - резервный)

СУБД: Oracle, MS SQL Server

ОС: Solaris

Приложения: биллинг и CRM-система

Результат:

Мониторинг доступа к объектам БД с ПДн в приведённых системах

Мониторинг событий безопасности (ошибок, неудачных входов)

Контроль действий администраторов и разработчиков

Интеграция с системами мониторинга ИБ (SIEM)

Оповещения об инцидентах ИБ

Возможность применения единой политики безопасности на все СУБД

IBM Guardium


Пример внедрения в РФ Банки

Кто: крупный розничный банк, крупный универсальный банк

Задача: прохождение аудита PCI-DSS и ФЗ-152

Среды: распределённые ЦОД (основной - резервный, высокая доступность)

СУБД: Oracle, Teradata

Приложения: процессинговая система, CRM-система

Результат:

Успешное прохождение аудита PCI-DSS

Мониторинг доступа к объектам БД с ПДн в приведённых системах

Мониторинг событий безопасности (ошибок, неудачных входов)

Контроль действий администраторов и разработчиков

Контроль действий конечных пользователей приложений

Отсутствие изменений в СУБД

IBM Guardium


Вопросы?

Documents

IBM Guardium Обеспечение безопасности СУБД...СУБД. Решения компании используются более чем в 350-ти центрах