IBM Guardium Обеспечение безопасности СУБД...IBM Guardium Guardium: Обеспечение безопасности СУБД 25 октября© 2200017

© 2011 IBM CorporationOctober 25, 2011

IBM GuardiumОбеспечение безопасности СУБД

Сергей Лихарев, IBM SWG

[email protected]

mailto:[email protected]

mailto:[email protected]

IBM Guardium

© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 2

3 основных причины мониторинга СУБД

1. Внутренние угрозы• Неавторизованные изменения• Предотвращение утечек данных

2. Внешние угрозы• Предотвращение кражи данных

3. Нормативные требования• Упрощение процессов• Сокращение затрат

IBM Guardium


Кого это волнует?

Служба безопасности

Применение политик Контроль и история Анализ

Разграничение полномочий

Отчетность Автоматический контроль

Минимальное влияние на производительность

Управление измененияи

Guardium: 100% Guardium: 100% прозрачности и прозрачности и унификацииунификации

Аудит Пользователи приложений

IBM Guardium


Культурные/технические проблемы

“DBA тратят менее 5% времени на безопасность СУБД.”Market Overview: Database Security

Noel Yuhanna, Forrester Research, February 2009

Сетевая безопасность

Приложения

Безопасность СУБД

"There is more to risk than weak software.”

Hackers compromise in 3 ways1.Weak Software

Buffer overflows, OS/application vulnerabilities

2.Weak ConfigurationsDefault configurations, weak passwords,

failure to harden3.Weak People

Insider threat, social engineeringJosh Corman, IBM/ISS

IBM Guardium


Сервера БД = подавляющее большинство проблем

“Although much angst and security funding is given to offline data, mobile devices, and end-user systems, these assets are simply not a major point of compromise.”

Online data = 99.9% of all compromised records

http://w w w .verizonbusiness.com/resources/security/reports/2009_databreach_rp.pdf

2009 Data Breach Report from Verizon Business RISK Team

http://www.verizonbusiness.com/resources/security/reports/2009_databreach_rp.pdf

http://www.verizonbusiness.com/resources/security/reports/2009_databreach_rp.pdf

IBM Guardium


SQL injection played a role in 79% of records compromised during 2009 breaches

2010 Data Breach Report from Verizon Business RISK Teamhttp://w w w .verizonbusiness.com/resources/reports/rp_2010-data-breach-report_en_xg.pdf

Источники украденных данных

… up from 75% in 2009 Report

Сервера БД = ПОДАВЛЯЮЩЕЕ большинство проблем

http://www.verizonbusiness.com/resources/reports/rp_2010-data-breach-report_en_xg.pdf

http://www.verizonbusiness.com/resources/reports/rp_2010-data-breach-report_en_xg.pdf

IBM Guardium


Нормативные требования – что нужно мониторить?

DDL = Data Definition Language (aka schema changes)DDL = Data Definition Language (aka schema changes)DML = Data Manipulation Language (data value changes)DML = Data Manipulation Language (data value changes)DCL = Data Control LanguageDCL = Data Control Language

IBM Guardium


... и простыми словами Как узнать когда DBA и привилегированные пользователи

превышают полномочия? Как немедленно оповестить безопасность о 3 неудачных попытках

изменить таблицу в PeopleSoft? Как запретить временному персоналу заглядывать в данные? Мы приобрели компанию – где у них тут важные данные? Как отчитаться перед аудитором (SOX, PCI, FISMA, DPA, etc.)?

• DBA отказываются включать полный аудит СУБД потому что производительность падает

• Re-do логи производят горы данных, которые нужно хранить/анализировать/готовить отчетность/архивировать

• Наш поставщик DLP/SIEM сказал что решит проблему (но мы поняли что это не так)

IBM Guardium


Компания Guardium специализируется на решениях по защите СУБД. Решения компании используются более чем в 350-ти центрах обработки данных, а также в ведущих компаниях по всему миру.

Основанная в 2002 году, Guardium была первой в мире компанией, производящей решения для устранения уязвимостей в защите баз данных бизнес-систем в режиме реального времени.

Компания Cisco – стратегический инвестор Guardium.

Guardium – партнер компании IBM, Oracle, Microsoft, Sybase, BMC, EMC, RSA, Accenture, NetApp, McAfee и NEON. Является членом IBM Data Governance Council и PCI Security Standarts Council.

О компании Guardium

IBM Guardium


Мониторинг БД в реальном времени

• Продуманная архитектура• Вне базы данных• Минимальное влияние на

производительность (3 - 5%)• Не нужно менять БД и приложение

• Универсальное решение для разных СУБД• 100% контроля, включая локальный доступ DBA

• Обеспечивает разграничение полномочий• Не полагается на логи в БД, которые могут

быть стерты злоумышленниками• Детальные политики и аудит в реальном

времени• Кто, что, когда, как

• Автоматическая отчетность (SOX, PCI, NIST, и т.д.)

IBM Guardium


Масштабируемая архитектура

Централизованное управление

– Политики выдаются на коллекторы с центрального сервера

Сбор данных– Коллекторы собирают данные

в центральный репозиторий Различные платформы

– Унифицированный сбор данных

Запрет действий (S-Gate)– Предотвращение

несанкционированного доступа к важной информации

Поддержка разных СУБД– Oracle, DB2, SQL Server, Sybase, и

т.д.

Test and Development

Интеграция с LDAP, IAM, IBM Tivoli, …SIEM, IBM TSM, Remedy

IBM Guardium


Мониторинг или Аудит

Время

Количество запросов в секунду

Мониторинг

Выборочный аудит

Непрерывный аудит

Сокращение объема траффика который пользователь хочет аудировать (записать на диск) с помощью фильтрации.

Аудит означает записать данных на дискМониторинг означает просмотр всего траффика (alerts, report DB errors, и т.д.)

IBM Guardium


Company Confidential

Упрощенная архитектура Guardium

• Собирает все что требуется

• Игнорирует любую несущественную информацию

• Настраивается на потребности пользователяPolicies

Inspection EngineСетевая информация-Filter client/Server IP-Filter TCP ports

Фильтры верхнего уровня-Which SQL statements

-Select, Update, etc

Data Stored

1.1.1.1 23345 10.12.12.12 1433 select * from xyz;

Пакет из сети

Guardium Repository

IBM Guardium


Обзор Inspection Engine Inspection engine мониторит

траффик между: – Одним или группой серверов и – одним или многими клиентами – используя протокол СУБД (Oracle

или DB2 например).

Inspection engine извлекает SQL из сетевых пакетов:– Выделяет запросы, команды,

объекты, поля– Записывает детальную

информацию о траффике во внутреннюю БД

Inspection Engines – наиболее эффективная форма фильтрации

IBM Guardium


3 типа правил

SQL Query

Result Set

Database ServerDatabase

Exception (ie. Invalid table)

Существует три типа правил: 1. Access rule – для клиентских запросов

2. Extrusion rule – для возвращаемых данных

3. Exception rule – для возвращаемых исключений

1

2

3

IBM Guardium


Политики

IBM Guardium


1. Access Policy – высокая степень детализации

Какие БД

Какие пользователи

Какие поляКакие таблицы

Какие SQL команды

Какие сервера

• Что делать?• Allow, Log, Log Full Details, Log

full Details with Values• Alert, Ignore, Terminate

IBM Guardium


2. Extrusion Definition – неавторизованный результ

Monitor 10.10.9.248

SQL Server database

Не пользователь Bill

Social Security numbers

– ([0-9]{3}-[0-9]{2})-[0-9]{4} will match the pattern for a Social Security Number xxx-xx-xxxx

– Everything between the “(“ and “)” will be masked out so no sensitive data will be stored for reporting purposes

Send Alert per match

IBM Guardium


Joe пытается извлечь данные

IBM Guardium


Joe попытался извлечь данные

SSN Results Set that we are interested in

SQL Query

Masked Extrusion Values ([0-9]{3}-[0-9]{2})-[0-9]{4}

IBM Guardium


3. Policy Exception Rule

Исключения– Неудачный вход

– SQL Errors

– и т.д.

IBM Guardium


3. Policy Exception Rule – предупреждение атакВоры знают что они ищут, но...

SQL injection ведет кSQL errorsSQL errors!

Guardium: 100% видимость…

Не всегда знают где искать!

Прямые атаки ведут к failed loginsfailed logins!

IBM Guardium


Выявление попыток неудачного входа с аккаунтом пользователя приложения!

Exception Policies с оповещением

ДействиеДействие: Send alert via email, SYSLOG, SNMP or custom Java class

Продуктивные сервера

IBM Guardium


Минимальное потребление ресурсов сервера БД Не требует изменения конфигурации Игнорирует сессии для сокращения нагрузки и сетевого

траффика Обеспечивает детализацию активности БД Обеспечивает оповещение и блокирование в реальном

режиме времени Мониторит все типы соединений (Bequeath, TCP, Shared

Memory, Named Pipes, etc) Обеспечивает разграничение полномочий

Как это работает?

Агент S-TAP – цели разработки

IBM Guardium

© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 25Guardium Confidential25

10.10.9.56 10.10.9.56 1521 23456 DST IP Src IP Dst Port Src Port

1

S-TAP Process

Port 1521

Port 1521

Portion of guard_tap.ini filetap_ip=10.10.9.56sqlguard_ip=10.10.9.245sqlguard_port=16016

Database Server10.10.9.56

Shared Memory (Bequeath)

All components on the local server

1

Shared Memory Access - Bequeath

2 Guardium Appliance 10.10.9.245

Stream packets to appliance over TCP port 16016 (unix)

2

Процесс S-TAP копирует траффик к БД и пересылает его на сервер

Buffer FileX x xx xxxXxx xx xx

IBM Guardium


- Централизованное управление

- Отчётность по соответствиям

- Управление подтверждением

- Автоматизация эскалаций

- Защищённое хранилище

данных аудита

- Долговременное

хранение данных

- Обнаружение БД,

приложений и клиентов

- Обнаружение и

классификация

критических данных

- Действия на основе политик,

- Обнаружение аномалий

- Защита в реальном времени

- Интеграция с SEIM-системами

- Подробнейший контроль

- 100% доступность

- Оценка уязвимостей

- Оценка конфигурации

- Поведенческая оценка

- Ограничение конфигурации

и отслеживание изменений

- Шифрование

- Оценка функционирования

на основе базового состояния

ОБНАРУЖЕНИЕ И

КЛАССИФИКАЦИЯ

ОЦЕНКА И

ПРИНЯТИЕ МЕР

АУДИТ И

ОТЧЁТНОСТЬ

МОНИТОРИНГ И

КЛАССИФИКАЦИЯ

КРИТИЧЕСКАЯ

ИНФРАСТРУКТУРА

ДАННЫХ

Guardium – унифицированное решение

IBM Guardium


Пример отчета по оценке уязвимости

История улучшения или ухудшения

Общая оценка

Детальная матрица

Фильтры

IBM Guardium


Интеграция с инфраструктуройОпровещеия в SIEM- Tivoli, ArcSight, EnVision, etc

Службы каталогов(Active Directory, LDAP, etc)

Сигнал вSIEM

Группы аутентификации Long Term StorageTivoli TSM, EMC CenteraFTP, SCP, etc

Резервные копии

Сервера приложенийOracle EBS, SAP, Siebel, Cognos, PeopleSoft, etc

Оценка уязвимостей-CVE #’s, CIS Benchmark, STIGРезвертывание ПО

Tivoli, RPM’s, Native Distributions

Пользователи с правами изменения процесса контроля

Автоматическая установка ПО

SNMP Monitoring SystemsTivoli Netcool, Openview, etc

Выделение пользователей(DB Pooled Connection)

Утечки данных

Критическиеданные - ---- - - - - -- ---- - - - - - - -

IT Service Management- Remedy, Peregrine, etc

IBM Guardium

© 2007 IBM Corporation25 октября 2011г.Guardium: Обеспечение безопасности СУБД 2925 октября 2011г.Guardium: Обеспечение безопасности СУБД 29

СУБД

ОС

Приложения

Поддерживаемые платформы

IBM Guardium


Мониторинг транзакций СУБД в реальном времени

Упрощение прохождения аудита и соответствия SOX, PCI-DSS

Управление изменениями БД

Управление уязвимостями СУБД

Предотвращение утечки данных из БД

Мониторинг транзакций СУБД для мейнфреймов

Решения Guardium

IBM Guardium


contact info

Сергей ЛихаревРуководитель направленияIBM Information Management

Tel +7 985 922 [email protected]

Documents

IBM Guardium Обеспечение безопасности СУБД...IBM Guardium Guardium: Обеспечение безопасности СУБД 25 октября© 2200017