View
222
Download
0
Category
Preview:
Citation preview
© 2012 IBM Corporation
Information Management
Wolfgang Epting – Senior Technical Sales ProfessionalHeiko Lenzing – Principal Data Governance Solutions
Guardium und Optimstarkes IBM Doppel für Ihren Datenschutz !
© 2012 IBM Corporation2
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
Liechtenstein: Steuerdaten Der Mann mit der CD - Heinrich Kieber, der RächerEr brachte die Steuerfestung Liechtenstein ins Wank en ...
Meldeverzeichnis veröffentlicht - Spektakulärer Datenklau erregt IsraelEin Angestellter hat das gesamte Einwohnermeldeverzeichnis Israels gestohlen .
Herausforderung und Problematik ...
2 SAP Growth Play24.03.11
50% der befragten Unternehmen haben keineMöglichkeit festzustellen, ob während der
Tests Daten “missbraucht” wurden
Quelle: The Ponemon Institute.The Insecurity of Test Data: The Unseen Crisis
52% der befragten Unternehmen vergeben
Entwicklungsarbeit nach aussen
62%der befragten Unternehmen nutzen reale
Kundendaten in nicht-produktiven Umgeb. (Testen, Q/A, Entwicklung)
Geldbußen bis 300.000 €: §§§§43 Absatz 2: für Verstoßgegen die Zweckbindung personenbezogener Daten.
Umfrage Balabit IT Security bei IT Profis: ~ 30% haben schon Daten geklaut und 25% auf sensible Firmendaten zugegriffen
http://www.spiegel.de/netzwelt/netzpolitik/0,1518,793924,00.html
http://www.sueddeutsche.de/geld/liechtenstein-steuerdaten-die-rache-des-heinrich-kieber-1.984131
http://www.cio.de/knowledgecenter/security/2297152/
© 2012 IBM Corporation3
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
IBM InfoSphere Optim Data Masking Solution
� Vermeidung von Missbrauchund Verstössen
� Schnelle Time-to-Market durchBeschleunigung der Tests
� Reduktion von Risiko und manuellem Aufwand
� Schutz vertraulicher Daten in Test-, Entwicklungs- und Schulungssystemen
� Konsistente Maskierung und Konsolidierung von DatenunterschiedlichsterzusammenhängenderAnwendungen zurSicherstellungproduktionsnaher Tests
� Anwendung von vordefiniertenund individuellenAnonymisierungsalgorithmen
Anforderungen
Benefits
Maskieren sensitiver Informationen mit realistischen -
jedoch fiktionalen - Daten für Test- und Entwicklungszwecke
Data Privacy
Optim Data Masking unterstützt verteilte Plattformen (LUW) und z/OS. Unterstützung der wichtigsten ERP/CRM Anwendungen
OtherOther
© 2012 IBM Corporation4
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
Datenanonymisierung in nicht-produktivenUmgebungen (Entwicklung, Test, Schulung)
� Maskieren oder anonymisieren von sensitiven Daten, die auf eine Einzelperson schließen lassen
� Sicherstellen, dass maskierte Daten dem Kontext der ersetztenDaten entsprechen, um die Testqualität nicht zu beeinflussen
• Realistische und dennoch fiktive Daten• Maskierte Daten innnerhalb der erlaubten Limits
� Unterstützung von referentieller Integritat der maskierten Datenzur Vermeidung von Fehlern beim Testen
Informationen, die Rück-schlüsse auf Einzelper-sonen erlauben, werdenfür Test und Entwicklungmit realistischen, aberfiktiven Daten ersetzt
JASON MICHAELSJASON MICHAELS ROBERT SMITHROBERT SMITH
PCI DSS Compliance
© 2012 IBM Corporation5
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
Auffinden von versteckten sensitiven Daten
� Sensitive Daten lassen sich durch einfache Suchen meist nicht lückenlos auffinden– Tabellen und Lookup Tabellen müssen miteinander verknüpft werden– In längeren Feldern versteckt (Substring) oder über mehere Felder gespeichert
(Concatenations)– Unterschiedliche Darstellung (Lookup Tabellen und Fallunterscheidungen)
� “Corporate memory” ist mangelhaft und weist Lücken auf– Unvollständige Dokumentation– Spezialisten kennen meist nur ein oder zwei Systeme
� Hunderte von Tabellen mit Millionen von Zeilen:– Komplex– Schwer zu verifizieren
� Mangelnde Datenqualität verstärkt das Problem
13:52:49555 908 121210-28-2008
TimePhoneDate
Table A
Transaction Number
Table B
1352555908121210282008
InfoSphereInfoSphereDiscoveryDiscovery
Secure &Protect
Monitor & AuditUnderstand &
Define
Information Governance Core DisciplinesSecurity and Privacy
© 2012 IBM Corporation6
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
6
DZ BANK AG„Bevor neue IT-Anwendungen oder Funktionalitäten in den operativen Betrieb übergehen, müssen sie in den Fachbereichen umfassend getestet werden“, erläutert Dr. Holger Kumm, Abteilungsleiter IT-Anwendungsentwicklung bei der DZ BANK AG. „Wir können es uns beispielsweise nicht leisten, im Handelssystem mit falschen Zahlen oder Kundendaten zu arbeiten.“
© 2012 IBM Corporation7
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
Das Lösungsszenario der DZ BANKKonzept
© 2012 IBM Corporation8
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
� www.ibm.com/de/events/informationgovernance_sap
� 28.11.2012 Hamburg – Museumsschiff Rickmer Rickmers
� 06.12.2012 München – BMW Museum / BMW Welt
© 2012 IBM Corporation9
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
IBM InfoSphere Optim Test Data Management Solution
� Schnelle Realisierungneuer Funktionalitäten mithoher Qualität
� Flexible und einfacheAktualisierung von Testumgebungen
� Reduktion von Speicherkosten und manuellem Aufwand
� Referentiell intakte, realistische Test-datenbanken
� Automatischer Vergleichvon Testresultaten
� Beschleunigung der Time-to-Market durch kürzereiterative Testzyklen
Requirements
Benefits
Erzeugung von zielgenauen Teilmengen an Daten für Entwicklungs-, Test- undSchulungsumgebungen
Test Data Management
Discover&Define
Optimize, Archive & Access
Consolidate &RetireDevelop &
Test
Information Governance Core DisciplinesLifecycle Management
© 2012 IBM Corporation10
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
Was bringt’s ?
� Mehr wertvolle Zeit zum Testen– 30-40% der zum Testen zur Verfügung stehenden Zeit wird alleine zur
Bereitstellung geeigneter Daten verwendet. Ein effizientes Testdatenmanagementreduziert diese Zeit auf ein Minimum und ermöglicht die Duchführung von weiteren Testfällen
� Reduktion der Kosten– Maximierung des Infrastrukturinvestments– Frühere Entdeckung von Fehlern im Testzyklus– Verlagerung von Software Defects von Produktion nach Test
� Höhere Datenqualität– Aktualisierung von Testdaten auf Basis eines konstanten Ausgangszustandes
minimiert die erforderliche, manuelle Intervention bei deren Neuerstellung und maximiert die Wiederholbarkeit der Tests
� Strukturierung der Datenhoheit– Test Data Management bietet ein rollenbasiertes Zugriffskonzept um eine
horizontale Aufteilung der Entwicklungs- und Testteams zu unterstützen
� Autarke Daten für autarke Teams– Unterschiedliche Testfälle benötigen oft die gleichen Date, jedoch können
unterschiedliche Tests negative Auswirkungen auf andere Test mit identischenDaten haben. Test Data Management erlaubt die Erstellung einer unbegrenztenAnzahl von Testdatenmengen und generiert eindeutige Schlüssel, um qualitativhochwertige, suabere Daten sicherzustellen
Discover&Define
Optimize, Archive & Access
Consolidate &RetireDevelop &
Test
Information Governance Core DisciplinesLifecycle Management
© 2012 IBM Corporation11
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
Unternehmensweites Datenmanagement
Unternehmensumgebungen sind meist miteinander verbunden. Integrierte Lösungen müssen demzufolge das Management von Informationen über Plattform- und Datenbankgrenzen hinweg unterstützen.
Data GrowthData PrivacyTest Data Management Application Retirement
Discovery
Guardium - Monitor and Protect
© 2012 IBM Corporation12
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
Agenda
2 Datenbank Auditing & Absicherung in Echtzeit
1 Bedeutung von Datenbanksicherheit & Compliance
3 Wrap Up & Diskussion
© 2012 IBM Corporation13
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
Sicherheitsherausforderungen beeinflussen die Informationsnutzung
� Cyber-Angriffe
� Organisierte Kriminalität
� Industriespionage
� Angriffe durch Staaten
� Social Engineering
Externe Gefahren
Starker Anstieg an externen Angriffen durch neue Angreifer
� Administrative Fehler
� Unvorsichtiges Insiderverhalten
� Interne Sicherheitsverstöße
� Unzufriedene Mitarbeiter
� Vermischung von privaten Daten und Firmendaten
Interne Gefahren
Risiken durch bösartiges und unvorsichtiges Insiderverhalten
� Gesetzliche Vorschriften
� Industriestandards
� Lokale Richtlinien
Compliance
Steigende Notwendigkeit, immer mehr Richtlinien zu entsprechen
Mobilität Cloud / Virtualisierung Social Business
Einfluss auf die Informationsnutzung
Business Intelligence
© 2012 IBM Corporation14
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
Das Ergebnis: Sicherheit wird ein Thema in Vorstandssitzungen
Geschäfts-ergebnisse
Sony schätzt möglicherweise 1 Mrd. US$ Schaden als Langzeitfolge –171 Mio. US$ / 100 Kunden
Lieferkette
Epsilons Datenleck beeinflusst über 100 amerikanische Marken
Juristische Angreifbarkeit
TJX schätzt 150 Mio. US$ Vergleich für Sammelklage bezüglich der Herausgabe von Kredit-kartendaten
Einfluss von Hacktivismus
Lulzsecs 50-tägige Hack-serie trifft Nintendo, CIA, PBS, UK NHS, UK SOCA, Sony …
Risiko bei Audits
Zurich Insurance PLc: 2,275 Mio. £(3,8 Mio. US$) Geldstrafe für Offenlegung von 46.000 Kundendaten
Image der Marke
Datenleck bei HSBC legt Daten von 24.000 privaten Bank-kunden offen
Kann uns das passieren?
© 2012 IBM Corporation15
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
Datenbankserver sind das primäre Angriffsziel von Datendieben
Quellen: Verizon Business Data Breach Investigations Report 2009, 2010, 2011
% gestohlener Daten
2009 2010
75%
92%
Datenbankserver
Laptops & Backupbänder
Desktop ComputerAndereWarum?
� Datenbanken enthalten die wertvollstenInformationen des Unternehmens
– Personenbezogene Daten
– Geistiges Eigentum
– Finanzinformationen
– Kreditkartendaten und andereKontoinformationen
� Gut strukturiert für einfachen Zugriff
94%
2011
© 2012 IBM Corporation16
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
Gesetzliche Regelwerke in Deutschland(… ohne Anspruch auf Vollständigkeit!)
GWGAO
HGB
GoBS
KWG
SGB BDSG
VAG
Vorgaben für Geschäftsbetrieb, Buchhaltung, Steuersachve rhalte, Datenschutz, ..… - mit Regelungen für papierbasierteVerfahren und die elektronische Datenverarbeitung
Ziele der gesetzlichenRegelungen
BaFinMArisk
Regulierungsumfeld
StGb§§§§203
GDPdU
Z1,Z2,Z3
Grundschutz-Handbuch,ISO 27xxx
Ergänzend vertragliche Regelungen mit Geschäftspartnern …
© 2012 IBM Corporation17
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
10 Datenbanaktivitäten, die Unternehmen
überwachen müssen
10 Datenbanaktivit10 Datenbanaktivitääten, ten, die Unternehmen die Unternehmen
üüberwachen mberwachen müüssenssen
Privilegierte User
End User
Entwickler/ Tester IT-Operations
Zugang zu Daten und deren Modifikation/Löschung
Zugang über unerlaubte Kanäle
Modifizierung vonDB-Schemata
Unerlaubtes Hinzufügen/Ändern von User Accounts
Zugang über unerlaubte Kanäle
Zugang zu übermäßigem oder irrelevantem Datenvolument
Datenzugriff außerhalb der standardmäßigen Arbeitszeiten
Out-of-cycle Patching
Zugang zu realenProduktionssystemen
Unerlaubte Änderung von DB oder Applikationen, die auf DB zugreifen
© 2012 IBM Corporation18
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
Agenda
2 Datenbank Auditing & Absicherung in Echtzeit
1 Bedeutung von Datenbanksicherheit & Compliance
3 Wrap Up & Diskussion
© 2012 IBM Corporation19
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
Bisher werden kaum Reportingansätze verfolgt, das sie teuer, nicht wirkungsvoll und arbeitsintensiv sind.
� Signifikante Mitarbeiterkosten für Review und Pflege
� Keine Echtzeit-Auswertungen der Zugriffe, kein aktives Blocking
� Sind oftmals nicht Auditkonform gemäß “Vier-Augen-Prinzip” (Segregation of Duties)
� Der Audit-Trail ist vor Manipulationen durch privilegierte Nutzer nicht geschützt
� Deutlicher Performance-Einfluß auf die Datenbank (i.d.R. >30%)
• Native Datenbank Logs
• Perl/ Unix Scripte/ C++
• Analyse der Daten
• Zentrale Repositories
Erstellung von Berichten
Manuelle Kontrolle
Manuelle Weiterleitung und Nachverfolgung
© 2012 IBM Corporation20
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
Oft dauert es Tage oder sogar Wochen bis unberechtigte Zugriffeund Datenabzug entdeckt werden
Zeitverlauf in Prozent
http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf
© 2012 IBM Corporation21
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
Mit Infosphere Guardium wird eine Datenbankabsicherung in Echtzeit mit nur minimalen Auswirkungen auf die DB-Leistung gewährleistet.
• Nicht-invasive Architektur
• Zentrales Auditing im gehärteten Collector
• 100%ige Transparenz der DB-Aktivitäten, inkl.
Zugriffe lokaler DBAs
• Unterstützung heterogener Systemlandschafen
• Verlässt sich nicht auf lokale DBMs Logs, die von
Angreifern verändert werden können
• Minimaler Einfluss auf die Performance (2-5%)
• Automatisiertes Compliance Reporting
• Realisiert Funktionstrennung (Segregation of Duties)
DB Server
Audit Collector
Application Server
Privileged User(DBA)
SecurityAdministrator
Auditor
Kernel Agent
User
© 2012 IBM Corporation22
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
Beispiel: Zugang über unsachgemäße Kanäle
AlarmiertAlarmiert bei jedem Login des Application Accounts, der über eine nicht festgelegte IP kommt.Application
Server10.10.9.244
Database Server
10.10.9.56
APPUSER
© 2012 IBM Corporation23
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
DBFireall Stop SQLVerbindung unterbrochen
Privilegierte Nutzer
SQL
Überprüfung der Regelnauf der Appliance
Beispiel: Unerlaubter Zugang zu Daten
Session beendet
Externer DBA
Regelverletzung:Verbindung wird
abgebrochen
© 2012 IBM Corporation24
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
Beispiel: Standard-Report „One User One IP“
Die Lösung sollte zahlreiche Standard-Reports bieten. Als Beispiel ein Report „One User One IP“ – er liefert eine schnelle Übersicht darüber, wie viele verschiedene IPs bestimmte DB-User nutzen. Somit können eventuelle Betrugsfälle, bzw. unauthorisierte Zugänge einfach erkannt werden.
© 2012 IBM Corporation25
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
Wichtig ist eine skalierbare Architektur für anspruchsvolle Umgebungen.
Integration mit LDAP/AD, Change Management, SIEM, Archiving, etc.
Development, Test & Training
Data Center 2
Data Center 1
Agent
Collector
Collector
Collector
z/OS Mainframe
DB Firewall Central Policy Manager & Audit Repository
• Zentrales Management zur Reduzierung derAdministrationsaufwände
• Einheitliche Lösung fürLUW und z Landschaften
Agent Agent
Agent
Agent
© 2012 IBM Corporation26
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
Die Informationen aus dem Datenbank Audit System sollten in viele andereSysteme integriebar und somit weiter analysierbar sein.
SIEM
� Q1 Labs� TSIEM� ArcSight, ...
Directory Services
� Active Directory� LDAP� ...
Authentication
� RSA SecurID� Kerberos� ...
Long Term Storage
� IBM TSM� EMC Centera� ...
Application Servers
� WebSphere� WebLogic� ...
Applications
� SAP� PeopleSoft� ...
Change Ticketing Systems
� Remedy� Peregrine� ...
SNMP Dashboards
� HP OpenView� Tivoli� ...
© 2012 IBM Corporation27
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
Agenda
2 Datenbank Auditing & Absicherung in Echtzeit
1 IBM Infosphere Guardium – volle Sicherheit in Echtze itIBM Infosphere Guardium – volle Sicherheit in Echtze itBedeutung von Datenbanksicherheit & Compliance
3 IBM Infosphere Guardium – volle Sicherheit in Echtze itIBM Infosphere Guardium – volle Sicherheit in Echtze itWrap Up & Diskussion
© 2012 IBM Corporation28
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
IBM Infosphere Guardium - Funktionsübersicht
• Verhindern von Cyber-Attacken• Überwachen & Blockieren privil. Nutzer• Erkennen von Betrugsversuchen
über die Anwendungsschicht• Änderungskontrollen• Real-time Alerts• Forenische Datenanalyse• SIEM Integration
• Automatisierte & zentralisierte Kontrollen• Datenbankübergreifendes Audit-
Repository • Vorkonfigurierte Regeln/ Berichte
• Sign-off Verwaltung • Archivierung (Retention) • Keine Datenbankänderungen
• Keine Beinflussung der Laufzeit
• Festellen von DB Schwachstellen (VA)
• Auditing von DB Konfigurationen • Verhaltensbasierte Schwachstellen
• Vorkonfigurierte Tests basierend auf Best Practices & Standards (STIG, CIS)
• Aufinden & Klassifizieren sensiblen Daten
• Kontinuierliche Aktualisierung der Regeln
• Erkennen von Schadsoftware
Überwachen & Umsetzen
Audit &Bericht
Bewerten &Verbessern
Finden &Klassifizieren
© 2012 IBM Corporation29
Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz
Wolfgang Eptingwolfgang.epting@de.ibm.com+49 160 9064 3048
IBM Software GroupSenior Technical Sales ProfessionalIBM Optim Classic, - zOS, - SAP, IBM InfoSphere Disco very
Please feel free to contact us if you have any questions ...
Heiko Lenzinglenzing@de.ibm.com+49 175 265 6532
PrincipalData Governance SolutionsGuardium & Optim Certified ProfessionalGeprüfter Compliance Manager SGS/TÜV
Recommended