Seguridad guardium

© 2014 IBM Corporation

SEGURIDAD InfoSphere GuardiumProteger datos sensibles en tiempo real y garantizar el cumplimiento

mediante auditoría de bases de datos, data warehouses, Hadoop systems, file shares y aplicaciones

Sonia Márquez PazzIM Client Technical [email protected]


Guardium – Agenda

Introducción a Guardium y propuesta de valor

Qué es Guardium

Guardium y plataforma z:

- DB2

- Data sets

- IMS

Información adicional

1

3

2

4

© 2014 IBM Corporation3

Normativas y regulaciones: seguridad de los datos

Canada:

Personal Information Protection

& Electronics Document Act

Canada:

Personal Information Protection

& Electronics Document Act

USA:

Federal, Financial & Healthcare

Industry Regulations & State Laws

USA:

Federal, Financial & Healthcare

Industry Regulations & State Laws

Mexico:

E-Commerce Law

Mexico:

E-Commerce Law

Colombia:

Political Constitution –

Article 15

Colombia:

Political Constitution –

Article 15

Brazil:

Constitution, Habeas Data &

Code of Consumer Protection

& Defense

Brazil:

Constitution, Habeas Data &

Code of Consumer Protection

& Defense

Chile:

Protection of

Personal Data Act

Chile:

Protection of

Personal Data Act

Argentina:

Habeas Data Act

Argentina:

Habeas Data Act

South Africa:

Promotion of Access

to Information Act

South Africa:

Promotion of Access

to Information Act

United Kingdom:

Data Protection

Act

United Kingdom:

Data Protection

Act

EU:

Protection

Directive

EU:

Protection

Directive

Switzerland:

Federal Law on

Data Protection

Switzerland:

Federal Law on

Data Protection

Germany:

Federal Data Protection

Act & State Laws

Germany:

Federal Data Protection

Act & State Laws

Poland:

Polish

Constitution

Poland:

Polish

Constitution

Israel:

Protection of

Privacy Law

Israel:

Protection of

Privacy Law

Pakistan:

Banking Companies

Ordinance

Pakistan:

Banking Companies

Ordinance

Russia:

Computerization & Protection of Information

/ Participation in Int’l Info Exchange

Russia:

Computerization & Protection of Information

/ Participation in Int’l Info Exchange

China

Commercial

Banking Law

China

Commercial

Banking Law

Korea:

3 Acts for Financial

Data Privacy

Korea:

3 Acts for Financial

Data Privacy

Hong Kong:

Privacy Ordinance

Hong Kong:

Privacy Ordinance

Taiwan:

Computer- Processed

Personal Data

Protection Law

Taiwan:

Computer- Processed

Personal Data

Protection LawJapan:

Guidelines for the

Protection of Computer

Processed Personal Data

Japan:

Guidelines for the

Protection of Computer

Processed Personal Data

India:

SEC Board of

India Act

India:

SEC Board of

India Act

Vietnam:

Banking Law

Vietnam:

Banking Law

Philippines:

Secrecy of Bank

Deposit Act

Philippines:

Secrecy of Bank

Deposit ActAustralia:

Federal Privacy

Amendment Bill

Australia:

Federal Privacy

Amendment Bill

Singapore:

Monetary Authority of

Singapore Act

Singapore:

Monetary Authority of

Singapore Act

Indonesia:

Bank Secrecy

Regulation 8

Indonesia:

Bank Secrecy

Regulation 8

New Zealand:

Privacy Act

New Zealand:

Privacy Act

3


¿Cuál es el riesgo?El incumplimiento provoca brechas de datos… y multas

Hackers obtained credit card information on 1.5 million usersApril 2012: Cost to contain the breach tens of mill ions of dollars

SQL Injection Infects Millions of Web Pages; Attacks up 69%September 2012: Attacker takes full control of oper ating system, database and Web application

Unprotected test data misused by third-party consultantsFebruary 2009: Vendor exposes PII of 45,000+ employ ees

Utah Health data breach affects nearly 800,000April 2012: Joint effort between hackers and inside rs


Evolución de los ataques


El reto de la seguridad de datos: mínimos controles en la capa de base de datos

Insiders:DBAs

DevelopersOutsourcers

Help DeskEnd-Users

Hackers:SQL Injection,

Stolen Credentials,Etc.

Toad,MS-Excel,

ssh,Etc.

Oracle

DB2SQL Server

Sybase

MySQLTeradata

Netezza

� Heterogéneos y distribuidos

� Múltiples caminos de acceso

� Sin mecanismos prácticos para conseguir cumplimiento

� Sin visibilidad de qué está pasando realmente – especialmente en el caso de usuarios privilegiados


Retos relativos a Seguridad y Protección de Datos

¿Dónde están mis datos sensibles y quién accede a ellos (incluyendo usuarios privilegiados)?

¿Cómo hacer cumplir un control de accesos e implantar políticas de control de cambios para bases de datos?

¿Cómo comprobar las vulnerabilidades y proteger las configuraciones de bases de datos?

¿Cómo reducir costes mediante la automatización y descentralización de controles de cumplimiento?


Retos relativos a Seguridad y Protección de Datos

VISIBILIDAD

DETECCIÓN

VULNERABILIDAD

AUTOMATIZACIÓN


Proposición de valor de IBM InfoSphere Guardium

� Prevenir peligros Internos– Identificar accesos y cambios no

autorizados

– Prevenir fuga de información

� Prevenir peligros Externos– Prevenir robo

– Bloqueo de acceso a datos confidenciales

� Monitorización– Usuarios privilegiados

– Bases de datos y tablas críticas

� Cumplimiento Regulaciones– Simplificar y automatizar el proceso de auditoría

– Reducción de costes

� Análisis de Vulnerabilidades y gestión de incidenci as

9


Características

Clave

IBM InfoSphere Guardium: monitorización de actividad en tiempo real para seguridad y cumplimiento

� Appliance Integrado

� Arquitectura multi-plataforma no-invasiva/disruptiva

� Escalable dinámicamente

� Promueve la separación de roles para accesos de DBAs

� Auto descubrimiento de recursos y datos sensibles

� Detecta o bloquea actividad no autorizada o sospechosa

� Políticas granulares, en tiempo real

� Quién, qué, cuándo, cómo

� Monitorización continua, basada en políticas, en tie mpo real de todas las actividades de tráfico de datos, incluyendo las de usuarios privilegiados

� Escaneo de la infraestructura de bases de datos par a detectar parches no aplicados, privilegios mal conf igurados y otras vulnerabilidades

� Automatización del cumplimiento de la protección de datos

� 100% visibilidad incluyendo acceso local DBA

� Mínimo impacto en el rendimiento

� No se basa en logs residentes que pueden ser fácilmente borrados por atacantes externos o internos

� Sin cambios en el entorno

� Informes preconfigurados de cumplimiento SOX, PCI, etc y base de datos de conocimiento

� Integración con gran número de componentes y herramientas de seguridad y visión de la gestión del cumplimiento

Collector Appliance

Host-based Probes(S-TAP)

Data Repositories (databases, warehouses,

file shares, Big Data)

Central Manager Appliance


Arquitectura jerárquica y escalable de Guardium

QRadar, ZSecure


Módulos FuncionalesMonitorización y seguridad de bases de datos en tiempo real

Audit&

Report

Monitor &

Enforce

12


1 Descubrimiento y Clasificación de Información Sensible

Descubrimiento y Clasificación de la Información Sensible

Auto-descubrimiento de Bases de Datos

13


2 Monitorización y Auditoría de bases de datos

Monitorización de la actividad (DDLs, DMLs, DCLs)

Logins y conexiones

Monitorizar tráfico local y remoto

Informes de Gestión de Incidencias

Envío de Alertas y Bloqueos

Políticas para la Gestión de Incidencias

14


3 Protección y Cumplimiento

Capacidad de generar nuevos informes

Evidencias para demostrar el cumplimiento con normativas

Informes Predefinidos para el cumplimiento con políticas y regulaciones tales como PCI DSS, SOX y directivas sobre Privacidad de Datos

Automatiza el proceso de Cumplimiento – Advanced Workflow

Sign-offs & escalados

Automatización de proceso completo de auditoría evitando tareas manuales (proclives a errores)

15


4 Análisis de Vulnerabilidades

� Descubrimiento de vulnerabilidades en bases de datos mediante tests predefinidos o customizables, basados en Best Practices de la Industria (STIG, CIS, CVE…)

� Actualizaciones cuatrimestrales para evitar nuevas amenazas

� Realización periódica de chequeos de vulnerabilidades

� Identificación de riesgos: parches no aplicados y críticos, privilegios mal configurados, passwords débiles, cuentas por defecto

Los Auditores quieren evidencia de controles, proce sos y procedimientos adecuados

16


Monitorización en tiempo real de datos (DAMP) y protección de datos sensibles en data warehouses, Big Data y file shares

InfoSphere BigInsights

NEW

InfoSphere Guardium

DATABASES

FTP

ExadataExadataExadataD A T A B A S ED A T A B A S ED A T A B A S E

HANA

Optim

Archival

Optim

Archival

Optim

Archival

Siebel,

PeopleSoft,

E-Business

Siebel,

PeopleSoft,

E-Business

Siebel,

PeopleSoft,

E-Business

Master Data

Management

Master Data

Management

Master Data

Management

Data

Stage

Data

Stage

Data

Stage

CICS


Directory Services(Active Directory, LDAP, TDS, etc)

SIEM(IBM QRadar, Arcsight, RSA

Envision, etc)SNMP Dashboards

(Tivoli Netcool, HP Openview, etc)

Change Ticketing Systems

(Tivoli Request Mgr, Remedy, Peregrine, etc)

Vulnerability Standards

(CVE, STIG, CIS Benchmark)

Data Classification and Leak Protection

(Credit Card, Social Security, phone, custom, etc)

Security Management Platforms

(IBM QRadar, McAfee ePO )

Application Servers(IBM Websphere, IBM Cognos, Oracle

EBS, SAP, Siebel, Peoplesoft, etc )

Long Term Storage(IBM TSM, IBM Nettezza, EMC Centera,

FTP, SCP, etc)

Authentication(RSA SecurID, Radius, Kerberos,

LDAP)

Software Deployment(IBM Tivoli Provisioning Manager, RPM, Native

Distributions)

Send Alerts (CEF, CSV, Syslog, etc) Send

Events

• STAP

Integración con infraestructura IT y productos de seguridad


Guardium

�DB2

�IMS

�VSAM

zSecure

�z/OS

�RACF

�ACF2, TSS

�CICS

Extensive Data Sources Deep Intelligence

Exceptionally Accurate and Actionable Insight+ =

AppScan

�Web Apps

�Mobile Apps

�Web services

�Desktop Apps

Security Intelligence: zSecure, Guardium, AppScan & QRadar

� Vistas centralizadas, alertas automáticas, mayor pre cision y cumplimiento


Integración con QRadar

MainframeNetwork

Infrastructure

Save on storage costs for duplicating data audit logs

Save on network bandwidth for data audit logs

Improve analytics performance by offloading data analysis

Data WarehouseBig Data

File Shares

Real-time analysis and preventive measures

NEW


Integración con otros productos IBM

Web Application PlatformWebSphere

SIEMQRadar

LDAP DirectorySecurity Directory Server

Transaction Application

CICS

Endpoint Configuration Assessment and Patch

ManagementTivoli Endpoint Manager

Help DeskTivoli Maximo

Event MonitoringTivoli Netcool

Software DistributionTivoli Provisioning Manager

Master Data ManagementInfoSphere MDM

Analytic EnginesInfoSphere Sensemaking

Static Data MaskingOptim Data Masking

Data Discovery/Classification• InfoSphere Discovery

• Business Glossary

share discovery

share discovery & classif.

Storage and Archival• Optim Archival

• Tivoli Storage Manager

mon

itor,

audi

t, ar

chiv

e

arch

ive

audi

tDatabase tools

• Change Data Capture

• Query Monitor

• Optim Test Data Manager

• Optim Capture Replay

• InfoSphere Data Stageend-user activity

leverage capture function

leverage audit change

share discovery

InfoSphere

Guardium

Databases• DB2 [LUW, i, z, native agent]

• Informix

• IMS

Datawarehouses• Netezza

• PureData

• PureFlex

Big DataBig Insights


InfoSphere Guardium S-TAP for DB2 on z/OS


IBM InfoSphere Guardium S-TAP for DB2 on z/OS

� El componente S-TAP para DB2 recoge información sob re el acceso a bases de datos DB2

� InfoSphere Guardium S-TAP for DB2 es capaz de captu rar los siguientes tipos de datos:

– Modificaciones a un objeto (SQL UPDATE, INSERT, DELETE)

– Lecturas de un objeto (SQL SELECT)

– Operaciones explícitas de GRANT y REVOKE (para capturar eventos en los que los usuarios podrían estar intentando modificar niveles de autorización)

– Asignación o modificación de authorization ID

– Intentos de autorización rechazados por permisos inadecuados

– Operaciones de CREATE, ALTER y DROP contra todo tipo de objetos DB2

– Accesos mediante Utilidades (utilidades IBM)

– Comandos DB2 y usuarios que los lanzan


Procesos elegibles para descarga zIIP� System z Integrated Information Processor (ZIIP)

– Diseñado para ayudar a liberar capacidad general de máquina y reducir el coste global de procesado para datos y cargas de trabajo específicas

� Procesos elegibles para descarga a zllPs

– Procesos de filtrado del agente colector

– Proceso de mensajes TCP/IP desde el agente colector

� Propiedad que se activa a través de un parámetro de configuración del agente

– ZIIP_FILTER(Y)

– ZIIP_TCP(Y)

� Mensajes que aparecen en la tarea

• ADHQ1062I ZIIP SUPPORT IS INSTALLED ADHQ9999I ADHTCPWS SRB ENTEREDADHQ9999I ZIIP OFFLOAD ROUTINE TCPWS STATUS IS ACTIVEADHQ9999I ZIIP OFFLOAD ROUTINE TCPWS STATUS IS INACTIVE


InfoSphere Guardium Data Set S-TAP for z/OS


IBM InfoSphere Guardium Data Set S -TAP on z/OS

� Guardium Data Set S-TAP recoge eventos de auditoría relacionados con el acceso a distintos tipos de datasets

–Data Collection

• Acceso a data sets y violaciones de seguridad tal como son registradas por SMF

• Las operaciones sobre data sets -como deletes o renames- tal como las registra el SMF

• Acceso a registros específicos en data sets VSAM KSDS o RRDS capturados según se producen

–En eventos de data sets tales como

• Open, Update, Delete, Rename, Create, Alter• Data Set Create / Close (for input/output) / SAF violations• Related RACF events (Alter, Control, Update, Read)

–Tipos de ficheros

• VSAM ESDS, KSDS, RRDS, VRRDS, LDS• PS, PDS, PO, DA


InfoSphere Guardium S-TAP for IMS on z/OS


IBM InfoSphere Guardium S-TAP for IMS on z/OS

� S-TAP for IMS recoge información de auditoría sobre accesos a bases de datos y objetos IMS (artifacts)

� Datos de Auditoría Recogidos– Accesos a bases de datos y segmentos

• IMS Online regions• IMS DLI/DBB batch jobs• INSERT (ISRT), UPDATE (REPL), DELETE,(DLET) and GET• Obtener clave concatenada y datos de segmentos• Links Get Hold y Replace calls que permiten imágenes antes y después de segmentos

ACTUALIZADOS (UPDATED)

– Acceso a bases de datos, image copy y RECON data sets, así como violaciones de seguridad tal como se registran en el SMF

– IMS Online region START y STOP, actividad de cambio de estado de bases de datos y PSB así como sign-on y sign-off de usuario tal como se registra en los data sets de IMS Archived Log

� 4 fuentes para recoger información de auditoría• IMS Online regions• IMS DLI/DBB batch jobs• SMF (System Management Facility )• IMS Archive Log (SLDS)


Líderes en diversos sectores – Referencias de Clientes

� 9 de los 10 Bancos globales

� 2 de las 3 empresas de Retail globales

� 5 de las 6 aseguradoras globales

� 3 de las empresas de refrescos globales

� La marca más reconocida de PCs

� 9 de las 10 empresas de telco

• #1 dedicada a Seguridad

• Proveedores de Energía

• Proveedores de Salud

• Media & entretenimiento

• Líneas aéreas internacionales


Información adicional sobreInfoSphere Guardium


Modalidades de entrega de la solución de IBM InfoSphere Guardium (Colector)

Delivered as a Preconfigured Hardware Appliance

Delivered as a Software Appliance in V.9

For deployment on user supplied virtual environment

For deployment on user supplied hardware server

HW Appliance SW Appliance Virtual Appliance

1 2 3


¿Debería ver el departamento del servicio al Cliente 99 registros en una hora?

Supervisión de la fuga de datos de alto valor

¿Qué vio exactamente

Joe?

¿Es esto normal?

32


Informes preconfigurados para cumplimiento PCI DSS

Introducción a PCI DSS

Planificar y organizar

Desglose de requisitos


InfoSphere Guardium Report Builder – Visibilidad


Audit Browser / Quick SearchEl usuario puede ver un resumen de toda la actividad con ‘Search/Browse’.El resumen muestra información de actividad clasificada como media o alta para facilitar la revisión.El usuario puede revisar esa información en más detalle, especialmente la clasificada como alta.

Anomaly Hours are marked in Red or Yellow. Click on the

bubble navigates to the Outlier View


Detalles de los valores atípicos (Outliers)La pestaña de “Outliers” (valores atípicos) contiene más información acerca de la actividad en el rango de fechas seleccionado. El ‘Tipo’ explica la razón. Por ejemplo: New/Unique, Rare, Exceptional Volume, Exceptional Errors El usuario puede entonces investigar de manera interactiva cada búsqueda usando filtros o con el menú de contexto para navegar a las “Related Activities”, “Related Errors”, “History” u otra información relacionada.


InfoSphere Guardium Policy – Detección – Real time alert


Gestión de Políticas

Policy Violations Summary


InfoSphere Guardium: Control de acceso a nivel de datos

S-GATES-GATEHold SQL

Connection terminated

Policy Violation:

Drop Connection

Privileged

Users

Issue SQL

Check Policy

On Appliance

Oracle,

DB2,

MySQL,

Sybase,

etc.

SQLApplication Servers

Outsourced DBA

Session Terminated

39

� Políticas cross-DBMS

� Bloquear acciones de usuarios

� Sin cambios en bases de datos

� Sin cambios de aplicación


Identificar el usuario final de Aplicación

� Problema: El usuario del application server usa una cuenta de acceso genérica para acceder a bases de datos

– No identifica quién inició la transacción (connection pooling)

� Solución: Guardium realiza el seguimiento del acceso del applicationuser asociado con comandos específicos de SQL

– Soporte out-of-the-box para las principales aplicaciones de empresa (Oracle EBS, PeopleSoft, SAP, Siebel, Business Objects, Cognos…) y aplicaciones de cliente (WebSphere, WebLogic, ….)

– Deterministic vs. time-based “best guess” Application

ServerDatabase

Server

Joe Marc

User

40


InfoSphere Guardium Entitlement Report


InfoSphere Guardium Compliance Workflow Automation


InfoSphere Guardium Compliance Workflow Automation


Apertura del sistema y la integración con Universal FeedUniversal Feed abre el sistema InfoSphere Guardium, permitiendo que todas las capacidades se apliquen a aplicaciones de cliente y bases de datos singulares (“nicho”)

• Permite que el protocolo InfoSphere Guardium (agent e a colector) esté disponible a clientes y otras compañías� Proporciona un medio de soportar segmentos

fragmentados del mercado: aplicaciones de cliente, bases de datos nicho, etc.

� Modelo de auditoría de bases de datos; no es un SIE M

• El cliente/partner es responsable de desarrollar el interfaz con el sistema a integrar (p.ej. el equiva lente al S-TAP) � Se usa un protocolo estándar Open Industry para

simplificar el desarrollo

• Soporta capacidades completas, o un subconjunto de capacidades de InfoSphere Guardium� Monitorización y protección� Real-time � Secure audit trail, compliance workflow automation, etc.


Permite exportar informes en formato SCAP(OVAL, XCCDF, CPE, CVE, CCE, CVSS)

Valor� Soporte para el cumplimiento con guías FISMA

� NIST SP 800-53, DOD 8500.2/8510

� Estandarización de información relacionada con segu ridad y vulnerabilidad� Explotación de los análisis de vulnerabilidades de Guardium en un formato estándar

� Reduce tiempo, esfuerzos y costes de revisar la inf ormación

� Automatiza los informes de cumplimiento

� Reduce la posibilidad de mala interpretación entre equipos auditores, inspección y operaciones

Integración y automatización para seguridad de datos y compliance

Introduce soporte para informes SCAP(Security Content Automation Protocol (SCAP))


Enterprise Wide – Unit Utilization Monitoring


One User One IP


Configuration Audit System - CAS

� Monitoriza cambios en ficheros, variables de entorno, registry settings, scripts, etc.

� Mas de 200 templates pre-codificados para la mayor parte de las configuraciones de las bases de datos.

48


QRadar


QRadar – Eventos recibidos de Guardium

© 2014 IBM Corporation51


Sonia Márquez Paz

Certified zIM Technical Presales

IBM Software Group

[email protected]