2011 Oracle Corporation 1

Transcripción

1 2011 Oracle Corporation 1

2 <Insert Picture Here> Oracle Database Firewall: Su primera linea de defensa Ismael Vega Hurtado GRC and Security Solution Specialist

3 Agenda Evolución de amenazas a la BD Oracle Database Firewall Modelos de Seguridad Políticas de despliegue Reportes Arquitectura y metodos de despliegue Demo Conclusion Preguntas y respuestas 2011 Oracle Corporation 3

4 Más de 900M brechas reportadas derivan en comprometer servidores de BD Type Category % Breaches % Records Database Server Servers & Applications 25% 92% Desktop Computer End-User Devices 21% 1% Verizon 2010 Data Breach Investigations Report 2011 Oracle Corporation 4

5 Ataques SQL Injection contra BD están en 89% de las brechas en datos SQL injection es una técnica para controlar respuestas desde el servidor de BD a través de la aplicación web No se resuelve con tan solo un parche, cambiando un parámetro o cambiando una única página Las vulnerabilidades SQL injection son endémicas y para remediarlas se necesita tener reacondicionar el código The versatility and effectiveness of SQL Injection make it a multi-tool of choice among cybercriminals. Verizon 2010 Data Breach Investigations Report 2011 Oracle Corporation 5

6 66% de las Organizaciones son vulnerables ante ataques SQL Injection Taken steps to prevent SQL injection attacks? 2010 IOUG Data Security Survey Report 2011 Oracle Corporation 6

7 Las soluciones tradicionales de seguridad dejan datos en las BDs Vulnerables Key Loggers Spear Phishing Malware Botware SQL Injection Social Engineering Espionage Database Applications Database Users and Administrators Defensa en profundidad en las BD Protección de los datos en la fuente 2011 Oracle Corporation 7

8 Oracle Database Firewall Primera linea de defensa Allow Log Alert Applications Substitute Block Alerts Built-in Reports Custom Reports Policies Monitoreo de actividad de BD para prevenir accesos no autorizados, inyecciones SQL, escalación de privilegios o roles, acceso ilegal a datos sensitivos, etc. Analizador gramatical SQL altamente robusto basado en análisis sin costos en falsos positivos Despliegue flexible de opciones a nivel SQL basado en listas blancas y listas negras Arquitectura escalable que provee desempeño empresarial en todos los modos de despliegue. Reportes de cumplimiento y preconstruidos para SOX, PCI y otros marcos Oracle Corporation 8

9 Oracle Database Firewall Modelo Positivo de Seguridad SELECT * from dvd_stock where [catalog-no] = 'PHE8131' and location = 1 White List Allow Applications Block SELECT * from dvd_stock where [catalog-no] = '' union select cardno, customerid, 0 from DVD_Orders -- and location = 1 Comportamiento autorizado puede ser definido para cualquier usuario o aplicación Las listas blancas pueden tenerse en cuenta mediante factores tales como hora del día, día de la semana, red, aplicación, etc. Generación automática de listas blancas para cada aplicación Transacciones que no hacen match con las políticas definidas son de manera inmediata rechazadas Las BD procesarán solo datos que son requeridos y esperados 2011 Oracle Corporation 9

10 Oracle Database Firewall Modelo de Seguridad Negativo Black List Allow Applications Block UPDATE employee SET salary = salary + (salary * 0.5) WHERE id= me ; Detiene transacciones SQL no esperadas, usuarios o acceso a esquemas. Prevenir escalación de privilegios o roles y accesos no autorizados hacia datos sensibles Listas negras pueden tomar factores tales como tiempo del día, día de la semana, red, aplicación, etc. Selectivamente bloquear cualquier parte de una transacción en contexto a sus negocios y objetivos de seguridad 2011 Oracle Corporation 10

11 Oracle Database Firewall Despliegue de Políticas Log Applications Allow SELECT * FROM accounts Alert Becomes SELECT * FROM Substitute dual where 1=0 Block Tecnología gramatical SQL innovadora reduce millones de sentencias SQL en un número reducido de caracterpisticas SQL o clusters Desempeño Superior y escalabilidad de política Altamente exacto sin consumo de costos y tiempo con falsos positivos Despliegue flexible al nivel SQL : block, substitute, alert and pass, log only Sustitución SQL ante ataques sin interrupción de servicio en aplicaciones 2011 Oracle Corporation 11

12 Oracle Database Firewall Reportes Oracle Database Firewall registra información consolidada en una BD de reportes. Docenas de reportes pueden ser personalizados y modificados Actividad de BD y reportes de usuarios privilegiados Reporte de Registros para confirmaciópn de BD y auditoría Soporte a controles para PCI, SOX, HIPAA, etc. Sentencias SQL registradas pueden ser can be depuradas para datos PII 2011 Oracle Corporation 12

13 Oracle Database Firewall Arquitectura Inbound SQL Traffic Applications In-Line Blocking and Monitoring Out-of-Band Monitoring HA Mode Management Server Policy Analyzer Bajo TCO en Oracle Enterprise Linux con base en una solución de software Soporte a HW Intel en plataformas para escalabilidad vertical y horizontal. Despliegue de políticas separadas para gestión de políticas y reportes Modelos de despliegue flexible : Inline, Out-of-Band, High Availability, Optional Host Based Agents Soporte agnóstico en BDs y aplicaciones 2011 Oracle Corporation 13

14 Oracle Database Firewall Resumen Allow Log Alert Applications Substitute Block Alerts Built-in Reports Custom Reports Policies Primera linea de defensa contra ataques Exactitud Despliegue flexible de Políticas Arquitectura escalable Despliegue transparente para BDs Oracle y no Oracle Databases Costo efectivo del cumplimiento regulatorio 2011 Oracle Corporation 14

15 D E M O N S T R A C I Ó N Protegiendo datos de aplicacion ante ataques SQL Injection con Oracle Database Firewall 2011 Oracle Corporation 15 15

16 <Insert Picture Here>

17 2011 Oracle Corporation 17

18 2011 Oracle Corporation 18

19 2011 Oracle Corporation 19

20 2011 Oracle Corporation 20

21 2011 Oracle Corporation 21

22 2011 Oracle Corporation 22

23 2011 Oracle Corporation 23

24 2011 Oracle Corporation 24

25 2011 Oracle Corporation 25

26 2011 Oracle Corporation 26

27 2011 Oracle Corporation 27

28 2011 Oracle Corporation 28

29 Soluciones de Seguridad Oracle BD Resumen defensa en profundidad Completa Global único vendedor direccionando todos los requerimientos Transparente sin cambios a aplicaciones existentes o BDs Fácil despliegue entrega de Interfases point-n-click Costo efectivo soluciones integradas reducen riesgo y menor TCO Madurez BD #1 desde hace 30 años de innovación en aseguramiento de información. Monitoreo & Bloqueo Auditoreo Control de Accesos Cifrado & Ofuscación Database Firewall Audit Vault Database Vault Advanced Security Total Recall Label Security Secure Backup Configuration Management Identity Management Data Masking 2011 Oracle Corporation 29

30 Para mayor información search.oracle.com database security o oracle.com/database/security oracle.com/goto/database/firewall 2011 Oracle Corporation 30

31 2011 Oracle Corporation 31

32 2011 Oracle Corporation 32

33 Major US East-Coast Bank Active Database Firewall Business Challenges Solution Business Results Protect business critical databases to prevent unauthorized access, data loss and PII exposure Monitor and protect over 600 databases across 7 international data centers. Minimal impact to existing database performance Oracle Database Firewall for real-time database protection and monitoring of billions of transactions per day Prevent unauthorized data access and malicious activity Passed internal and external audit Demonstrate active controls over data access and database systems Standardized security, alerts and reporting across the complete business 2011 Oracle Corporation 33

34 Major US Investment Bank Auditing Data Changes Business Challenges Solution Business Results Monitor 60+ databases Track every change to customer data Alert on unauthorized changes to stored procedures or user roles and privileges Automated report distribution to internal auditors Database Firewall deployed in heterogeneous environments providing monitoring and reporting on every change to customer data Monitor procedure and user role changes with full separation of duties from existing DBA team Passes daily audits Audit data ready for sign-off automatically ed before the start of business 2011 Oracle Corporation 34

35 Major European Government Protecting Government Data and PII Business Challenges Solution Business Results Prevent access to highly sensitive citizen data other than via certified application Enforce strict application behavior through white-list Monitor and audit every transaction 24 / 7 / 365 Six fully redundant pairs of Database Firewall to maintain a complete database security perimeter Critical high-availability architecture to meet strict service-level requirements Complete protection from unauthorized access, hacking of malicious changes to application code Highly sensitive citizen data protected by continuously available firewall perimeter Meets government standards for PII data storage 2011 Oracle Corporation 35