SecureSphere Datenbanksicherheit und -auditing...+ Vollständiges Auditing und Sichtbarkeit von Datenbankaktivitäten SecureSphere Database Firewall + DAM plus Echtzeitschutz kritischer

© 2013 Imperva, Inc. All rights reserved.

SecureSphereDatenbanksicherheit und -auditing

Martin DombrowskiSecurity Engineer DACH

Datenschutz an der Quelle


Agenda

Fragen, die in einem Datenschutzprojekt beantwortet werden sollten:

Wo sind die schützenswerten Daten?

Kann sich ein System selber schützen?

Wie hoch ist das Risiko eines Incidents?

Wer darf was – und vor allem warum?

Wer macht was – und ist es erlaubt?

© 2013 Imperva, Inc. All rights reserved. - CONFIDENTIAL -3

Imperva im Überblick

Gegründet 2002

Führend im Bereich Application Data Security and Compliance

Global aufgestellt• Dual Headquarter: USA / Israel

• Lokale Präsens in allen Märkten (EMEA, APAC, Japan)

• Kunden in über 50 Ländern

2700+ direkte Kunden und über 25000 geschützteOrganisationen

Shlomo Kramer, CEO & Präsident• Einer der drei Check Point Gründer


UsageAudit

Access Control

RightsManagement

AttackProtection

ReputationControls

Virtual Patching

Was macht Imperva

4


Frage 1







Aufgaben

Assets findenNetzwerkbasierte ScansAutomatische Wiederholung (Finden und Ausweisen neuer Assets)

Daten klassifizierenSuchen nach sensiblen DatenMeta-Daten und ContentVorkonfigurierte und selbst definierte Datentypen


Resultat (Services interaktiv)


Resultat (Services tabellarisch)

Neu?

Typ?

Aktion!


Resultat (Datentyp)


Frage 2







Aufgaben

Security Assessments„Best Practices“

bekannte SchwachstellenStandard- und Fehlkonfigurationen

Erstellen virtueller PatchesAutomatische Wiederholung (Überführen in einen protokolliertenProzess)

Risiken erkennen, aufzeigen und zentral managenFormel: Sensible Daten + Sicherheitslücken = hohes RisikoRisiken mindern (Überführen in einen protokollierten Prozess)

Ziel: Eigenschutz erhöhen


Resultat (Assessments)


Priorisierung von Gegenmaßnahmen

Graphischer Risk Explorer zeigt Risiken“Drill down”, um gefährdete Systeme zu findenPiorisierung anhand von sensiblen Daten und Kritikalität

Data Risk NavigatorDrill down to server at risk


Frage 3







Aufgaben

Erfassen und Analysieren der BerechtigungenBereinigung durch Überführen in einen protokolliertenProzess


Erfassen, Analysieren und Bereinigen

Revision der zugewiesenen RollenBestätigung/Ablehnung durch protokollierten Prozess

Revision und Bereinigung

Woher kommen die Rechte?


Analyse durch Betrachtung verschiedener Aspekte

Schnelles Erfassen von RechtevergabenBeispiel: Direkte Berechtigungen auf Tables

Vordefinierte Aspekte“Bad Practice” > Nutzer mit direkten Rechten auf Objekte

Bestätigung oder Ablehnung der Berechtigung


Frage 4







Aufgaben

Detailliertes Protokollieren aller Arten von Datenbank-Aktivitäten„Trennung der Zuständigkeiten“ durchsetzenSicheres Speichern und Archivieren der Log-DatenIntuitive Analyse der Log-Daten möglichst in EchtzeitDurchsetzen von Richtlinien (Alert / Block)Verhalten abweichend vom „Normalprofil“ identifizieren

Herausforderungen:Massen von Daten -> Was ist wichtig?Beeinträchtigung der PerformanceZentrales Management


Umfassender Audit Trail

Wann? Wo?Wer? Was?Wie?

CONFIDENTIAL - Imperva


MarkMark

‘Was?’ - Full Response Audit

Was hat der User gesehen?• Protokolliert den gesamten Response oder Teile dessen

- CONFIDENTIAL -21

Database Response


Abweichendes Verhalten identifizieren

Ein Zugriffsprofil (statistisches Modell) erstellt.

Fortlaufende automatisierte Aktualisierung.

Abweichungen vom Profil erzeugen einen Alarm bzw. werdengeblockt

- CONFIDENTIAL -22

Object Sensitivity Observed ‘Normal’ Access


Wer … ist der wirkliche User?

Alex

Erfassung in einem Formular der Applikation

Alex

Zuordnung aus dem SQL-Stream heraus

ID = ‘Alex’

Alex ROOT

Erfassung selbst bei Verwendung von Shared Accounts


Interaktive Analyse der Log-Daten

Vordefinierte Aspekte

Aktion “Drop Tables”?

Zeige alle Ereignisse!


Security vs. Audit

Wieviel % des Verkehrs müssen inspiziert werden, um Bedrohungen abzuwehren?

Wieviel % müssen gespeichert werden (Audit)?• 30%? 50%? 80%?...

Security und Audit sind verschiedene Prozesse, die unterschiedlich behandelt werden müssen

100%

Database Traffic

100% Inspection

Selective Audit


“Weisse Flecken”: Audit Evasion

26

Erkennung sämtlicher privilegierter Aktivität (SQL und Protokoll Level):

Audited DB

In scope – Not Audited

Werden protokollbasierte Kommandos erkannt?

Data out

Beispiel: Export sensitiver Tabellen zu Files

Export id/password@DB table=DB.CreditCards Direct=Y

CONFIDENTIAL - Imperva


Inspection-Prozess

Signaturen schützen gegen bekannte BedrohungenPolicies erfüllen spezielle Erfordernisse• Compliance• Durchsetzung von Zugriffsregeln

Abnormales Verhalten erkannt durch ‘unbekannte’ aufällige Aktivitäten (Profiling)

Datenbank-aktivität

Attack Signature?

y

Policy Verstoß?

y

Abnormal?

y


Durchsetzen von Richtlinien

Vordefiniert oder CustumMeldun bei einer privilegierten

Operation

Wer?

Detailliertes SQL


Imperva Application Defense Center

ADC Forschung erbringt• Signaturen und Policies• Compliance Reports• Vulnerability und Konfigurations Assessments

Automatische ADC Updates sichern einen aktuellenGrundschutzMindestens im Turnus von 2 Wochen

- Policies- Attack signatures- Vulnerability tests- Compliance reports


Was ist wichtig?

Zusammenfassung aller Antworten auf die vorherigen Fragen:

Activity Monitoring

Wer?

JOE Dept?

Sensible Daten?

CCTAB Credit Card

Nutzer Datenart UsageBerechtigung

Holistische Sicht

JOE CCTAB

update

Berechtigung?

JOE CCTAB

Wann?

Klassifizierung, URM (DB)


Imperva Database Security Lösungen

SecureSphere Database Activity Monitoring+ Vollständiges Auditing und Sichtbarkeit von Datenbankaktivitäten

SecureSphere Database Firewall+ DAM plus Echtzeitschutz kritischer Datenbanken

SecureSphere Discovery and Assessment Server+ Vulnerability Assessment, Konfigurationsmanagement, Database Discovery und Datenklassifizierung

User Rights Management für Datenbanken+ Revision und Management von Berechtigungen

ADC Insights für SAP, Oracle EBS und PeopleSoft+ Vordefinierte Reports und Richtlinien für SAP, Oracle EBS und PeopleSoft Compliance und Sicherheit


Unterstützte Datenbanken

SecureSphere liefert gleiche Funktionalität in Sicherheitund Auditing über heterogene PlattformenAbdeckung wird kontinuierlich ausgebaut


Imperva SecureSphere Übersicht

Web Servers

Databases

WebApplication

Firewall

Internet

DatabaseActivity Monitoring /

Firewalling

File Activity Monitoring /Firewalling

ManagementServer (MX)

Imperva Agent

NetworkMonitoring

NativeAudit

Users File Servers and NASDevices


Zentrales Management - Agenten und Appliances

Installation, Konfiguration und Management aller Agenten von zentraler Lokation

Überwachung aller Gateways und Agenten von einerzentralen Konsole

Appliance Management

Agent Management

Danke

Documents

SecureSphere Datenbanksicherheit und -auditing...+ Vollständiges Auditing und Sichtbarkeit von Datenbankaktivitäten SecureSphere Database Firewall + DAM plus Echtzeitschutz kritischer