Mejore la seguridad, visibilidad y protección de información en tiempo real. Enrique Gutiérrez Álvarez Líder Database Security Guardium América Latina y España Agosto 2011
Hacking es uno de los negocios más lucrativos.
Servidores de BBDD la fuente primaria de fuga de datos Fuente de los Registros Comprometidos SQL injection juega un rol del 79% de los registros comprometidos en brechas del 2009 Los dispositivos móviles o sistemas como laptops, no son los activos más comprometidos. 2010 Data Breach Report from Verizon Business RISK Team http://www.verizonbusiness.com/resources/reports/rp_2010-data-breach-report_en_xg.pdf 75% arriba del 2009
Defensas Perimetrales & Identity Management No Son Suficientes A fortress mentality will not work in cyber. We cannot retreat behind a Maginot Line of firewalls. William J. Lynn III, U.S. Deputy Defense Secretary 49% of new vulnerabilities are Web application vulnerabilities (X-Force) SQL Injection is a leading attack vector (X-Force) Insider Threat (DBAs, developers, outsourcers, etc.) 88% of F500 companies have employees infected with Zeus (RSA) Kneber Botnet stole 68,000 credentials & 2,000 SSL certificates over 4-week period (NetWitness) Epsilon data breach affects millions (outsourced provider) Stuxnet exploited SQL Server vulnerability to attack control systems #1 VM vulnerability is VM guest hopping (hypervisor escape) (X-Force)
Los desafíos de seguridad de BBDD contínuan creciendo en cifras alarmantes Se estima que 15% de los ataques ocurren sin siquiera saber que hubo un ataque Solamente toma 30 segundos en robar la información 78% de empresas no tienen un plan de seguridad de BBDD Solamente 20% tienen medidas de seguridad avanzadas 70% están atrasados en la instalación parches de seguridad Los DBAs gastan menos del 5% en seguridad de BBDD 75% creen que las top DBMS pueden, automáticamente proteger los datos. Fuente: Forrester
Retos de Seguridad de BBDD No se conoce la ubicación de todas las BBDD. Muchas organizaciones mantienen BBDD heterogéneas, lo que hace dificil protegerlas de manera uniforme Existe falta de comprensión sobre los datos de negocio, especialmente dónde están los datos confidenciales o privados Se permite el acceso excesivo a los datos de diferentes usuarios, ésto es una práctica común en muchas organizaciones Donde existen conexiones múltiples de aplicaciones, a veces es dificil diferenciar a un usuario legítimo de un hacker Los ambientes Virtualizados crean otros retos de seguridad para la organización de TI
Descubrir y Clasificar Autenticar, Autroizar Control de Accesos Administración de Parches Network & Data-at-Rest Encripción Data Masking Control de Cambios Auditoría de BBDD Monitoreo de Seguridad Análisis Vulnearibilidades Su estrategia de seguridad de BBDD Separación de Roles Reportes Disponibilidad Plataforma Base Prevención Detección Políticas y Estandares Comunes de Seguridad de BBDD Fuente: Forrester Políticas y Estándares de Seguridad de Información Regulaciones Compliance PCI, SOX, HIPAA, EU
Database Discovery & Classification Authentication, Authorization Access Control Patch Management Network & Data-at-Rest Encryption Data Masking Change Management Database Auditing Security Monitoring Vulnerability Assessment Data Monitoreo y Auditoría de BBDD complementa a otras soluciones de seguridad SIEM DLP IDP Reporting Role Separation Foundation Preventive Detection Common Database Security Policies & Standards
Qué podemos aprender de las artes marciales? From: The Fighter's Mind: Inside the Mental Game, by Sam Sheridan (Atlantic Monthly Press 2010) 9
Adaptación Constante a Nuevas Amenazas Si los malos: Roban credenciales de acceso para sistemas críticos (SAP, PeopleSoft, Siebel, etc.) Convencen a personal interno o DBAs (outsourcing) a que puede robaen información confidencial de datos almacenados en la nube (brechas de información) Lanzan ataques sobre BBDD que no tienen los parches necesarios de seguridad Almacenan malware y datos robados en nuestras propias BBDD Apagan el logging de la BBDD para borrar sus pasos (anti-forensics) 10 Nosotros podemos: Monitorizar contínuamente en tiempo real todos los accesos para identificar inmediatamente actividades maliciosas o sospechosas Implementar políticas granulares para restringir acceso a las tablas sensibles (además de monitoreo contínuo de todos los accesos) Implementar virtual patching para bloquear y/o alertar en intentos de acceso a objetos vulnerables Implementar descubrimiento automático que encuentre datos sensibles o malware Implementar el logging/monitoreo por fuera de la BBDD (sin necesidad de los logs nativos de la DBMS o capacidad de un SIEM)
Necesidades comunes en seguridad de BBDD Cómo producir todos los informes o reportes de Cumplimiento? (Auditoria Interna, SOX, PCI, Ley Priv, etc ) Cómo saber si los DBAs y otros Usuarios Privilegiados no abusan de sus privilegios? Cómo se puede evitar (bloquear) que los Administradores o usuarios Privilegiados de las Bases de Datos, o el personal de outsourcing, vea datos sensibles? Dónde está la información sensible? Normalmente se tienen arquitecturas complejas y heterogéneas Cómo se sabe que las bases de datos tienen los últimos parches y la configuración correcta y segura? 11
Encuesta Oracle : Muchas Organizaciones tienen controles débiles 3 de cada 4 no pueden impedir que los usuarios privilegiados lean o modifiquen los datos en las BBDD Casi la mitad dijeron que usuarios finales con herramientas de desktop o ad hoc podían accesar información sensible (o que no estaban seguros) 85% envían información de producción no-enmascarada a externos como testers o desarrolladores La mayoría no aplica parches críticos de forma rápida Source: 2010 Independent Oracle User Group (IOUG) Data Security Survey, based on survey of 430 members. http://www.oracle.com/dm/offers/fy11/50651_2010_report_ioug_data_security_survey.pdf
Regulaciones que requieren Seguridad de BBDD SOX/COBIT Prevenir cambios no autorizados a datos financieros, CRM, ERP etc Incluir cambios en datos (DML) y cambios en esquemas (DDL) PCI De acuerdo con Verizon Business Seguir & Monitorear todos los accessos a datos del tarjetahabiente (Req.10) Proteger datos almacenados del tarjetahabiente(req. 3) SQL injection & backdoors las 2 amenazas en brechas de tarjetas Muchas organizaciones tratan compliance como un event, en lugar de un proceso continuo Otros requerimientos de PCI que se cumplen con DAM Identificar sistemas sin parches & asegurar control de cambios (Req. 6) Control compensatorio a encripcion nivel columna (Req. 3) Control compensatorio para segmentación de red (Req. 7) Examinar sistemas regularmente (Req. 11) Leyes de privacidad de información Prevenir accesos no autorizados a información personal (PII), especialmente de usuarios privilegiados como DBAs, desarrolladores y personal de outsourcing
Cuáles son los métodos de auditoría de BBDD que se utilizan hoy? Generar Reportes Revisión Manual Remediación Manual, despacho y seguimiento 14
Operación Shady RAT, 72 empresas comprometidas en los últimos 6 años http://blogs.mcafee.com/mcafee-labs/revealed-operation-shady-rat
Solución IBM Guardium: Seguridad y Auditoría en Tiempo Real No Invasiva Arquitectura no-invasiva Fuera de la Base de Datos Impacto mínimo en rendimiento (2-3%) Sin cambios al DBMS o aplicativos Solución multi-plataforma 100% visibilidad incluyendo accesos locales y remotos Refuerza segregación de funciones No depende de los logs nativos del DBMS que pueden ser borrados por intrusos o personal interno Granular, políticas y auditoría en tiempo real Quién, dónde, cuándo, cómo Informes automatizados de cumplimiento, trazabilidad y escalado (SOX, PCI, NIST, etc.)
Arquitectura Escalable Multi-Capas Integration with LDAP, IAM, SIEM, CMDB, change management, S-GATE
Addressing the Full Lifecycle of Database Security & Compliance
Granular Policies with Detective & Preventive Controls APPUSER Application Server 10.10.9.244 Database Server 10.10.9.56 Sample Alert
Identifying Data Leakage At The Core Beyond End- Point DLP Should my analyst download 500 documents in a single day? Should my customer service rep view 99 records in an hour? Is this normal? What did he see?
Application-Layer Monitoring for Fraud: SAP Example Detailed information about SAP users & transactions Goes beyond information found in native SAP transaction logs Also monitors users that bypass SAP and connect directly to SAP database Complements SAP GRC module (Virsa) which only looks at business rules Easier to detect fraud and other unauthorized activity No application or database changes required Similar functionality available for PeopleSoft, Oracle EBS, Siebel, Cognos, Business Objects & custom apps
Proactive Real-Time Controls (Blocking) Privileged Users Outsourced DBA Application Servers Issue SQL Connection terminated SQL S-GATE Production Traffic Hold SQL Oracle, DB2, SQL Server, MySQL, Sybase, etc. No database or application changes Without inline appliances that add latency to application traffic and can t protect against policy violations by privileged users Unified solution with single set of policies for real-time monitoring, auditing, VA, data discovery, access control, Check Policy On Appliance Policy Violation: Drop Connection Session Terminated
Beyond Native Auditing: Tracking Privileged Users Who su How do you track users who 'switch' accounts (to cover their tracks)? Native DB audit logs (& SIEMs) can't capture original OS user information Other monitoring systems only provide OS shell account that was used 23
SharePoint Monitoring Verbs (e.g., Viewed, Deleted), objects (e.g., files, pages, privileges) & users
25 Identifying Unpatched & Misconfigured Systems (VA) Result History Summary Outlining Results Filters and Sort Controls Detailed Test Results Detailed Descriptions of Fixes
IBM Security Solutions PCI Compliance for McAfee.com Who: Global security company Need: Safeguard millions of PCI transactions Maintain strict SLAs with ISP customers (Comcast, COX, etc.) Automate PCI controls Environment: Guardium deployed in less than 48 hours Multiple data centers; clustered databases Integrated with ArcSight SIEM Expanding coverage to SAP systems for SOX Previous Solution: Central database audit repository with native DBMS logs Results Massive data volumes; performance & reliability issues Separation of Duties (SOD) issues McAfee needed a solution with continuous real-time visibility into all sensitive cardholder data in order to quickly spot unauthorized activity and comply with PCI-DSS but given our significant transaction volumes, performance and reliability considerations were crucial. 2011 IBM Corporation
Regional Bank for SOX, PCI, GLB, FINRA, Who: Regional bank with 800 branches Need: Ensure privileged users are not inappropriately accessing or jeopardizing the integrity of enterprise data such as: Financial and transactional data Credit card PAN data (magnetic stripe) ACH transaction data HR data Environment Oracle (initial focus), SQL Server, DB2 on mainframe, MySQL Solaris, AIX, Windows, Linux Alternatives considered Native logging/auditing from Oracle AuditDB from Lumigent (incumbent) Small vendor Results Monitoring for unauthorized or suspicious activities Passing audits faster Planning to expand to data leak prevention (data-level blocking) 2010 IBM Corporation
Securing Customer Data for European Telco Who: Global telco with 70M mobile customers; 30B revenue. Need: Ensure privacy of call records for compliance with data privacy laws. Phase 1: Safeguard OSS systems Phase 2: Safeguard BSS systems Environment: 15 heterogeneous, geographically-distributed data centers Oracle, SQL Server, Informix, Sybase HP-UX, HP Tru64, Solaris, Windows, UNIX SAP, Remedy plus in-house applications (billing, Web portal, etc.) Alternatives considered: Native auditing; Oracle Audit Vault. Not practical because of performance overhead; lack of granularity; non-support for older versions; need for multi-dbms support. Results Deployed to 12 initial data centers in only 2 weeks! Now auditing all traffic in high-traffic environment; centrally managed. Passed several external audits Future plans: Implement application user monitoring; 2-factor authentication; expand scope to other applications. 2010 IBM Corporation
Parte del IBM Security Framework Professional Services Managed Services GRC Security Governance, Risk and Compliance Security Information and Event Management (SIEM) & Log Management Products Cloud Delivered Identity & Access Management Identity Management Access Management Data Security Data Loss Prevention Data Entitlement Managment E-mail Security InfoSphere Application Security Guardium Web / URL Filtering Encryption & Key Lifecycle Management Database Monitoring & Protection Application Vulnerability Scanning Access & Entitlement Management Messaging Security Data Masking Web Application Firewall InfoSphere Optim SOA Security Infrastructure Security Vulnerability Assessment Virtual System Security Endpoint Protection Threat Analysis Security Event Management Managed Mobility Svcs Intrusion Prevention System Firewall, IDS/IPS MFS Management Mainframe Security Audit, Admin & Compliance Security Configuration & Patch Management Physical Security 29 2010 IBM Corporation
Information Management MANAGE INTEGRATE ANALYZE Oracle, DB2, InfoSphere Information Server InfoSphere BigInsights FileNet Netezza & soliddb InfoSphere InfoSphere Warehouse MDM Cognos, InfoSphere Warehouse InfoSphere Streams Quality Lifecycle GOVERN Security & Privacy Data Security, Compliance & Optimization DSCO Standards InfoSphere Information Server InfoSphere Optim InfoSphere Guardium InfoSphere Foundation Tools & Industry Models 30 2010 IBM Corporation
Beneficios de la solución IBM DAM con Guardium Gestión centralizada de la monitorización y auditoría en tiempo real de las diferentes plataformas y gestores de bases de datos de Produban (incluyendo DB2 en plataforma z/os) Escalabilidad y gestión jerárquica y centralizada de la solución para adaptarse a la arquitectura actual y futura de Produban Capacidad de integración con las soluciones corporativas (herramientas de control de cambios como Remedy, gestores de seguridad, herramientas SIEM, etc) Segregación de roles y funciones Automatización de procesos de auditoría, evitando tareas manuales (proclives a errores) Definición de políticas para la auditoría de usuarios privilegiados, bases de datos e información sensible o confidencial Capacidad de análisis forense Informes automatizados como evidencias ante una auditoría
IBM Security Solutions For More Information Download complimentary analyst reports from http://www-01.ibm.com/software/data/guardium/library.html Forrester: Your Enterprise Database Security Strategy 2010 Gartner: 10 Database Activities Enterprises Need to Monitor Check out HOWTO Secure and Audit Oracle 10g and 11g Definitive 454-page text for security, risk management & database pros Written by database security expert & IBM/Guardium CTO, Ron Ben Natan, Ph.D. Free chapter download here See InfoSphere Guardium Library " for case studies, ROI examples, white papers, lab reviews, webcasts Check out the Database Security TechCenter Latest news, tips & reports www.darkreading.com/database_security/ Attend a live seminar with industry experts: Best Practices for Database Security & Compliance See: http://events.techtarget.com/databasesecurity/?offer=seibmgrdpromo3 Stay tuned for information about our next Webcast 2011 IBM Corporation
Gracias