IBM Guardium Обеспечение безопасности СУБД Алексей Воронцов, IBM Security Systems © 2013 IBM Corporation © 2013 IBM Corporation IBM Guardium Цена утечки данных В США каждая кража данных обходится в $5.5 миллионов Цена одной записи $200 Guardium: Обеспечение безопасности СУБД 3 © 2007 IBM Corporation IBM Guardium Сервера БД = ПОДАВЛЯЮЩЕЕ большинство проблем Источники украденных данных SQL injection played a role in 79% of records compromised during 2009 breaches 2010 Data Breach Report from Verizon Business RISK Team http://www.verizonbusiness.com/resources/reports/rp_2010-data-breachreport_en_xg.pdf … up from 75% in 2009 Report Guardium: Обеспечение безопасности СУБД 4 © 2007 IBM Corporation IBM Guardium Причины мониторинга СУБД Внутренние угрозы • Неавторизованные изменения • Предотвращение утечек данных Внешние угрозы • Предотвращение кражи данных Нормативные требования • Упрощение процессов • Сокращение затрат Guardium: Обеспечение безопасности СУБД 5 © 2007 IBM Corporation IBM Guardium Зачем защищать базы данных: соответствие Как обеспечить конфиденциальность персональных данных (152ФЗ)?.. Как отслеживать доступ к информации о платёжных картах (PCIDSS)?.. Как гарантировать достоверность финансовой отчётности (SOX)?.. Как контролировать администраторов баз данных?.. Как соответствовать корпоративным регламентам и стандартам ИБ?.. Как пройти аудит?.. + Guardium: Обеспечение безопасности СУБД =? 6 © 2007 IBM Corporation IBM Guardium Нормативные требования: что нужно мониторить? DDL = Data Definition Language (aka schema changes) DML = Data Manipulation Language (data value changes) DCL = Data Control Language Guardium: Обеспечение безопасности СУБД 7 © 2007 IBM Corporation IBM Guardium Database Activity Monitoring? Мониторинг активности СУБД, то есть: Аудит запросов к БД Аудит извлекаемой информации Аудит ошибок и исключений Блокирование нежелательной активности Контроль изменений в БД Анализ уязвимостей СУБД Поиск критичных данных И другое... Guardium: Обеспечение безопасности СУБД 8 © 2007 IBM Corporation IBM Guardium О компании Guardium Компания Guardium специализируется на решениях по защите СУБД. Решения компании используются более чем в 350-ти центрах обработки данных, а также в ведущих компаниях по всему миру. Основанная в 2002 году, Guardium была первой в мире компанией, производящей решения для устранения уязвимостей в защите баз данных бизнес-систем в режиме реального времени. Компания Guardium приобретена IBM в 2010 году. Guardium: Обеспечение безопасности СУБД 9 © 2007 IBM Corporation IBM Guardium Мониторинг БД в реальном времени • • • Продуманная архитектура • Вне базы данных • Минимальное влияние на производительность (3 - 5%) • Не нужно менять БД и приложение Универсальное решение для разных СУБД 100% контроля, включая локальный доступ DBA • • • • Обеспечивает разграничение полномочий Не полагается на логи в БД, которые могут быть стерты злоумышленниками Детальные политики и аудит в реальном времени • Кто, что, когда, как Автоматическая отчетность (SOX, PCI, NIST, и т.д.) Guardium: Обеспечение безопасности СУБД 10 © 2007 IBM Corporation IBM Guardium Основные компоненты Guardium: Обеспечение безопасности СУБД 11 © 2007 IBM Corporation IBM Guardium Политика безопасности Состоит из правил Может использоваться несколько политик Набор встроенных политик Может быть сформирована автоматически Правило – критерии срабатывания и реакции Правила трёх типов: - доступ (запросы) - извлечение (ответы) - исключение (ошибки) Guardium: Обеспечение безопасности СУБД 12 © 2007 IBM Corporation IBM Guardium Отчёты и оповещения Корреляционные оповещения (по заданному порогу) Оповещения в реальном времени (правила политики) Guardium: Обеспечение безопасности СУБД 13 © 2007 IBM Corporation IBM Guardium Контроль неизвестностей Guardium: Обеспечение безопасности СУБД 14 © 2007 IBM Corporation IBM Guardium Оценка уязвимости Основана на промышленных стандартах (наборы тестов CVE, STIG & CIS) Настраиваемая (возможность создания частных тестов) Скрипты ОС, SQL-запросы к СУБД, файлы... Проверки различных типов обеспечивают широкое покрытие уязвимостей: Тесты Конфигурация СУБД Разрешения Файлы ОС Роли Конфигурации Активность в СУБД БД Версии Частные тесты Активность в БД ОС Guardium: Обеспечение безопасности СУБД Файлы конфигурации Переменные среды Значения в реестре Частные тесты 15 © 2007 IBM Corporation IBM Guardium Масштабируемая архитектура Централизованное управление – Политики выдаются на коллекторы с центрального сервера Сбор данных – Коллекторы собирают данные в центральный репозиторий Различные платформы – Унифицированный сбор данных Запрет действий (S-Gate) – Предотвращение несанкционированного доступа к важной информации Поддержка разных СУБД – Test and Development Oracle, DB2, SQL Server, Sybase, и т.д. Guardium: Обеспечение безопасности СУБД Интеграция с LDAP, IAM, IBM Tivoli, …SIEM, IBM TSM, Remedy 16 © 2007 IBM Corporation IBM Guardium Интеграция с инфраструктурой Сервера приложений Oracle EBS, SAP, Siebel, Cognos, PeopleSoft, etc Пользователи с правами изменения процесса контроля Опровещеия в SIEM - Qradar, Tivoli, ArcSight, EnVision, etc Службы каталогов (Active Directory, LDAP, etc) Выделение пользователей (DB Pooled Connection) Сигнал в SIEM Группы аутентификации Long Term Storage Tivoli TSM, EMC Centera FTP, SCP, etc IT Service Management - Remedy, Peregrine, etc Резервные копии Критические данные - ---- - - - - ----- - - - - - - - Утечки данных Автоматическая установка ПО Резвертывание ПО Tivoli, RPM’s, Native Distributions SNMP Monitoring Systems Tivoli Netcool, Openview, etc Guardium: Обеспечение безопасности СУБД Оценка уязвимостей -CVE #’s, CIS Benchmark, STIG 17 © 2007 IBM Corporation IBM Guardium Соответствие законам и стандартам: ФЗ №152 Guardium: Обеспечение безопасности СУБД 18 © 2007 IBM Corporation IBM Guardium Соответствие законам и стандартам: PCI-DSS Guardium: Обеспечение безопасности СУБД 19 © 2007 IBM Corporation IBM Guardium Достаточно ли встроенных средств защиты? Функционал Встроенные средства IBM Guardium Поддержка различных СУБД Минимальная нагрузка на СУБД Разграничение обязанностей (SoD) Реагирование в реальном времени Аудит извлекаемых данных Мониторинг пользователей приложений Уменьшение нагрузки на DBA Централизация и агрегация Guardium: Обеспечение безопасности СУБД 20 © 2007 IBM Corporation IBM Guardium В Итоге - Решение Guardium Мониторинг транзакций СУБД в реальном времени Упрощение прохождения аудита и соответствия SOX, PCI-DSS Управление изменениями БД Управление уязвимостями СУБД Предотвращение утечки данных из БД Мониторинг транзакций СУБД для мейнфреймов Guardium: Обеспечение безопасности СУБД 21 © 2007 IBM Corporation IBM Guardium The Forrester Wave™: Database Auditing And Real-Time Protection, Q2 2011 Guardium: Обеспечение безопасности СУБД 22 © 2007 IBM Corporation IBM Guardium Преимущества Guardium • Высокая производительность (быстрое построение отчетов, эффективное логирование) • Эффективное нормализированное хранение аудита (меньше затрат/дискового пространства на хранение логов). Конкуренты хранят логи в файлах. • Способность справляться с любым количеством данных • Маштабируемость • Ориентированность на большие предприятия • Проверенный функционал многолетним опытом разработок компании Guardium и IBM. • Высокий возврат инвестиций при использовании и внедрении • Быстрое внедрение, легкость сопровождения • Полное отсутствие внедрения/интрузивности в СУБД (конкуренты используют внедрение в СУБД для реализации некоторого функционала) • Гетерогенное решение • Качество поддержки ИБМ • Поддержка широкого ряда СУБД, инструменты для разработки мониторинга частных случаев СУБД / систем Guardium: Обеспечение безопасности СУБД 23 © 2007 IBM Corporation IBM Guardium Преимущества Guardium • Отсутствие ПО сторонних компаний (администрирование, лицензия) • Отсутствие изменений сети (разрыв сетевого канала) • Отсутствие стороннего оборудования (например NetOptics: Mirroring&bypass) • Защищенное исполнение: без доступа к ОС, СУБД • Отсутствие перезагрузки при установки и обновлении • Точное определение конечных пользователей в среде Connection Pooling. • Интерактивная детализация и корреляция с внешними источниками • Разграничение доступа к аудиту по СУБД (data level security) • Эффективное хранение данных • Отсутствие ограничения на размер запросы • Продвинутый функционал рассылки и утверждения отчетов • Широкий набор тестов уязвимости СУБД • Отсутствие необходимости дешифрования SQL трафика и хранения ключей • Широкая поддержка агентского мониторинга для всех видов траффика • Легкое, быстрое, централизовоное обновления компонентов инфраструктуры • Минимальное использование ресурсов ЦПУ • Продвинутые технологие агентского мониторинга расширающиеся на новые платформа/продукты такие как BigData • Возможность аггрегирования данных и ЦУ на любых масштабах Guardium: Обеспечение безопасности СУБД 24 © 2007 IBM Corporation IBM Guardium Выбор лидирующих мировых организаций • • • • • • • 8 of the top 10 global banks 5 of the top 6 global insurers 4 of the top 4 health care providers 8 of the top 10 telecoms 3 of the top 4 auto makers 3 of the world’s favorite beverage brands 2 of the top 3 global retailers • • • • • • • Top government agencies Top global cardholder brand Top energy suppliers The most recognized name in PCs #1 dedicated security company Media & entertainment brands International airline brands Guardium: Обеспечение безопасности СУБД 25 © 2007 IBM Corporation IBM Guardium Выбор лидеров рынка Guardium: Обеспечение безопасности СУБД 26 © 2007 IBM Corporation IBM Guardium Fortune 500 Guardium: Обеспечение безопасности СУБД 27 © 2007 IBM Corporation IBM Guardium Пример внедрения в РФ Телекоммуникации Кто: 3 из 4 крупнейших операторов сотовой связи РФ Задача: защита персональных данных абонентов в соответствии с ФЗ-152 Среды: распределённые ЦОД (основной - резервный) СУБД: Oracle, MS SQL Server ОС: Solaris Приложения: биллинг и CRM-система Результат: Мониторинг доступа к объектам БД с ПДн в приведённых системах Мониторинг событий безопасности (ошибок, неудачных входов) Контроль действий администраторов и разработчиков Интеграция с системами мониторинга ИБ (SIEM) Оповещения об инцидентах ИБ Возможность применения единой политики безопасности на все СУБД Guardium: Обеспечение безопасности СУБД 28 © 2007 IBM Corporation IBM Guardium Пример внедрения в РФ Банки Кто: крупный розничный банк, крупный универсальный банк Задача: прохождение аудита PCI-DSS и ФЗ-152 Среды: распределённые ЦОД (основной - резервный, высокая доступность) СУБД: Oracle, Teradata Приложения: процессинговая система, CRM-система Результат: Успешное прохождение аудита PCI-DSS Мониторинг доступа к объектам БД с ПДн в приведённых системах Мониторинг событий безопасности (ошибок, неудачных входов) Контроль действий администраторов и разработчиков Контроль действий конечных пользователей приложений Отсутствие изменений в СУБД Guardium: Обеспечение безопасности СУБД 29 © 2007 IBM Corporation IBM Guardium Вопросы? Guardium: Обеспечение безопасности СУБД 30 © 2007 IBM Corporation