© 2013 IBM Corporation
IBM Guardium Обеспечение безопасности СУБД
Алексей Воронцов, IBM Security Systems
© 2013 IBM Corporation
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 3
Цена утечки данных
В США каждая кража данных обходится в $5.5
миллионов
Цена одной записи $200
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 4
SQL injection played a role in 79% of records compromised
during 2009 breaches
2010 Data Breach Report from Verizon Business RISK Team http://www.verizonbusiness.com/resources/reports/rp_2010-data-breach-
report_en_xg.pdf
Источники украденных данных
… up from 75% in 2009 Report
Сервера БД = ПОДАВЛЯЮЩЕЕ большинство проблем
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 5
Причины мониторинга СУБД
Внутренние угрозы
• Неавторизованные изменения
• Предотвращение утечек данных
Внешние угрозы
• Предотвращение кражи данных
Нормативные требования
• Упрощение процессов
• Сокращение затрат
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 6
Зачем защищать базы данных: соответствие
Как обеспечить конфиденциальность персональных данных (152-
ФЗ)?..
Как отслеживать доступ к информации о платёжных картах (PCI-
DSS)?..
Как гарантировать достоверность финансовой отчётности (SOX)?..
Как контролировать администраторов баз данных?..
Как соответствовать корпоративным регламентам и стандартам ИБ?..
Как пройти аудит?.. + = ?
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 7
Нормативные требования: что нужно мониторить?
DDL = Data Definition Language (aka schema changes)
DML = Data Manipulation Language (data value changes)
DCL = Data Control Language
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 8
Database Activity Monitoring?
Мониторинг активности СУБД, то есть:
Аудит запросов к БД
Аудит извлекаемой информации
Аудит ошибок и исключений
Блокирование нежелательной активности
Контроль изменений в БД
Анализ уязвимостей СУБД
Поиск критичных данных
И другое...
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 9
Компания Guardium специализируется на решениях по защите
СУБД. Решения компании используются более чем в 350-ти центрах
обработки данных, а также в ведущих компаниях по всему миру.
Основанная в 2002 году, Guardium была первой в мире компанией,
производящей решения для устранения уязвимостей в защите баз
данных бизнес-систем в режиме реального времени.
Компания Guardium приобретена IBM в 2010 году.
О компании Guardium
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 10
Мониторинг БД в реальном времени
• Продуманная архитектура
• Вне базы данных
• Минимальное влияние на
производительность (3 - 5%)
• Не нужно менять БД и приложение
• Универсальное решение для разных СУБД
• 100% контроля, включая локальный доступ DBA
• Обеспечивает разграничение полномочий
• Не полагается на логи в БД, которые могут
быть стерты злоумышленниками
• Детальные политики и аудит в реальном
времени
• Кто, что, когда, как
• Автоматическая отчетность (SOX, PCI,
NIST, и т.д.)
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 11
Основные компоненты
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 12
Политика безопасности
Состоит из правил
Может использоваться несколько политик
Набор встроенных политик
Может быть сформирована автоматически
Правило – критерии срабатывания и реакции
Правила трёх типов:
- доступ (запросы)
- извлечение (ответы)
- исключение (ошибки)
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 13
Отчёты и оповещения
Корреляционные
оповещения
(по заданному порогу)
Оповещения в реальном
времени (правила политики)
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 14
Контроль неизвестностей
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 15
Оценка уязвимости
Активность в БД
ОС
Тесты
Разрешения
Роли
Конфигурации
Версии
Частные тесты
Файлы конфигурации
Переменные среды
Значения в реестре
Частные тесты
БД
Оценка уязвимости
Основана на промышленных стандартах (наборы тестов CVE, STIG &
CIS)
Настраиваемая (возможность создания частных тестов)
Скрипты ОС, SQL-запросы к СУБД, файлы...
Проверки различных типов обеспечивают широкое покрытие
уязвимостей:
Конфигурация СУБД
Файлы ОС
Активность в СУБД
Активность
в БД ОС
Тесты
Разрешения
Роли
Конфигурации
Версии
Частные тесты
Файлы конфигурации
Переменные среды
Значения в реестре
Частные тесты
БД
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 16
Масштабируемая архитектура
Централизованное управление
– Политики выдаются на коллекторы с центрального сервера
Сбор данных
– Коллекторы собирают данные в центральный репозиторий
Различные платформы
– Унифицированный сбор данных
Запрет действий (S-Gate)
– Предотвращение несанкционированного доступа к важной информации
Поддержка разных СУБД
– Oracle, DB2, SQL Server, Sybase, и т.д.
Test and Development
Интеграция с LDAP,
IAM, IBM Tivoli,
…SIEM, IBM TSM,
Remedy
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 17
Интеграция с инфраструктурой
Опровещеия в SIEM
- Qradar, Tivoli, ArcSight, EnVision, etc Службы каталогов
(Active Directory, LDAP, etc)
Сигнал в
SIEM
Группы аутентификации
Long Term Storage
Tivoli TSM, EMC Centera
FTP, SCP, etc
Резервные копии
Сервера приложений
Oracle EBS, SAP, Siebel,
Cognos, PeopleSoft, etc
Оценка уязвимостей
-CVE #’s, CIS Benchmark, STIG Резвертывание ПО
Tivoli, RPM’s, Native Distributions
Пользователи с правами
изменения процесса контроля
Автоматическая установка ПО
SNMP Monitoring Systems
Tivoli Netcool, Openview, etc
Выделение пользователей
(DB Pooled Connection)
Утечки данных
Критические
данные - ---- - - - - --
---- - - - - - - -
IT Service Management
- Remedy, Peregrine, etc
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 18
Соответствие законам и стандартам: ФЗ №152
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 19
Соответствие законам и стандартам: PCI-DSS
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 20
Уменьшение нагрузки на DBA
Аудит извлекаемых данных
Достаточно ли встроенных средств защиты?
Реагирование в реальном времени
Разграничение обязанностей (SoD)
Минимальная нагрузка на СУБД
Поддержка различных СУБД
Функционал Встроенные
средства
IBM Guardium
Мониторинг пользователей приложений
Централизация и агрегация
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 21
Мониторинг транзакций СУБД в реальном времени
Упрощение прохождения аудита и соответствия SOX, PCI-DSS
Управление изменениями БД
Управление уязвимостями СУБД
Предотвращение утечки данных из БД
Мониторинг транзакций СУБД для мейнфреймов
В Итоге - Решение Guardium
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 22
The Forrester Wave™:
Database Auditing And
Real-Time Protection,
Q2 2011
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 23
• Высокая производительность
(быстрое построение отчетов, эффективное логирование)
• Эффективное нормализированное хранение аудита
(меньше затрат/дискового пространства на хранение логов).
Конкуренты хранят логи в файлах.
• Способность справляться с любым количеством данных
• Маштабируемость
• Ориентированность на большие предприятия
• Проверенный функционал многолетним опытом разработок компании
Guardium и IBM.
• Высокий возврат инвестиций при использовании и внедрении
• Быстрое внедрение, легкость сопровождения
• Полное отсутствие внедрения/интрузивности в СУБД
(конкуренты используют внедрение в СУБД для реализации некоторого
функционала)
• Гетерогенное решение
• Качество поддержки ИБМ
• Поддержка широкого ряда СУБД,
инструменты для разработки мониторинга частных случаев СУБД / систем
Преимущества Guardium
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 24
• Отсутствие ПО сторонних компаний (администрирование, лицензия)
• Отсутствие изменений сети (разрыв сетевого канала)
• Отсутствие стороннего оборудования (например NetOptics: Mirroring&bypass)
• Защищенное исполнение: без доступа к ОС, СУБД
• Отсутствие перезагрузки при установки и обновлении
• Точное определение конечных пользователей в среде Connection Pooling.
• Интерактивная детализация и корреляция с внешними источниками
• Разграничение доступа к аудиту по СУБД (data level security)
• Эффективное хранение данных
• Отсутствие ограничения на размер запросы
• Продвинутый функционал рассылки и утверждения отчетов
• Широкий набор тестов уязвимости СУБД
• Отсутствие необходимости дешифрования SQL трафика и хранения ключей
• Широкая поддержка агентского мониторинга для всех видов траффика
• Легкое, быстрое, централизовоное обновления компонентов инфраструктуры
• Минимальное использование ресурсов ЦПУ
• Продвинутые технологие агентского мониторинга расширающиеся на новые
платформа/продукты такие как BigData
• Возможность аггрегирования данных и ЦУ на любых масштабах
Преимущества Guardium
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 25
Выбор лидирующих мировых организаций
• 8 of the top 10 global banks
• 5 of the top 6 global insurers
• 4 of the top 4 health care providers
• 8 of the top 10 telecoms
• 3 of the top 4 auto makers
• 3 of the world’s favorite beverage brands
• 2 of the top 3 global retailers
• Top government agencies
• Top global cardholder brand
• Top energy suppliers
• The most recognized name in PCs
• #1 dedicated security company
• Media & entertainment brands
• International airline brands
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 26
Выбор лидеров рынка
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 27
Fortune 500
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 28
Пример внедрения в РФ Телекоммуникации
Кто: 3 из 4 крупнейших операторов сотовой связи РФ
Задача: защита персональных данных абонентов в соответствии с ФЗ-152
Среды: распределённые ЦОД (основной - резервный)
СУБД: Oracle, MS SQL Server
ОС: Solaris
Приложения: биллинг и CRM-система
Результат:
Мониторинг доступа к объектам БД с ПДн в приведённых системах
Мониторинг событий безопасности (ошибок, неудачных входов)
Контроль действий администраторов и разработчиков
Интеграция с системами мониторинга ИБ (SIEM)
Оповещения об инцидентах ИБ
Возможность применения единой политики безопасности на все СУБД
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 29
Пример внедрения в РФ Банки
Кто: крупный розничный банк, крупный универсальный банк
Задача: прохождение аудита PCI-DSS и ФЗ-152
Среды: распределённые ЦОД (основной - резервный, высокая доступность)
СУБД: Oracle, Teradata
Приложения: процессинговая система, CRM-система
Результат:
Успешное прохождение аудита PCI-DSS
Мониторинг доступа к объектам БД с ПДн в приведённых системах
Мониторинг событий безопасности (ошибок, неудачных входов)
Контроль действий администраторов и разработчиков
Контроль действий конечных пользователей приложений
Отсутствие изменений в СУБД
IBM Guardium
© 2007 IBM Corporation Guardium: Обеспечение безопасности СУБД 30
Вопросы?