Bezpečně před cílenými útoky, bez obav ze zneužití nebo ztráty dat… Jan Strnad Sales Engineer McAfee
Proč chránit databáze? • Organizace ukládají svá kritická, citlivá a tajná
data v databázích • Většina organizací aktivně nechrání své
databáze před útoky a před neautorizovaným přístupem
• Vlastní ochrana uvnitř databázového systému a
standardní způsoby ochrany nechrání databáze dostatečně
2
Database Security
Databáze obsahují citlivá a důležitá data Zákaznické údaje • Čísla kreditních karet, čísla účtů, fakturační údaje, autentikační údaje
3
Database Security
Informace o zaměstancích • seznamy, výplaty, přehledy
Finanční data • Výnosy, pohledávky, průzkumy
Realita je……
Database Breaches account for
96%
Sources: Verizon Business Study 2012
4
Database Security
of all records breached
Kam umístit ochranu databází? Vzdálení uživatelé a WAN
G G DB
3rd Party
Kritická poslední linie ochrany ve
Internet
víceúrovňové bezpečnostní strategii
Poštovní, webové, aplikační servery Database Databázové servery Servers
Pobočka
G 5
Database Security
Řešení na perimetru stále nechává databáze zranitelné před: Privilegovaný uživatel (DBA, Sys Admins, vývojáři) není kontrolován
Standardní uživatel ve vnitřní síti
Zneužití oprávnění
Smazání auditních logů
Nebezpečné chování, neúmyslné chyby, lidská zvědavost
Síťové skenování
Ponechání backdoorů
Hekeři mají za cíl získat administrátorské oprávnění
Útoky na hesla
Zneužití autorizovaného přístupu
Navýšení úrovně oprávnění
6
Database Security
McAfee Database Security řešení
Vynucení Posouzení Detekce zranitelností
Monitorování Záplatování
Hrozby a rizika
Shoda
$ € Komplení VIDITELNOST 7
Database Security
Plná SPRÁVA
Velká EFEKTIVNOST
Vlastnosti McAfee DB Security řešení • Pouze software řešení, které se rychle a snadno instaluje a používá (rychlý čas k ochraně databáze) • Snadné na vyzkoušení (méně než hodina pro nastavení) • Navržené pro použití správci, kteří nejsou DBA • Komplexní pokrytí databází a komplexní ochrana před DB útoky • Neintruzivní & malý agent • Neustále aktualizované z McAfee Labs • Plně inegrované do ePO • Škálovatelné řešení • Použitelné ve virtuálním nebo cloud prostředí
McAfee Database Security produkty Produkt
Popis Detekce zranitelností databázových serverů s více než 4,700 checků pro Oracle, SQL Server, DB2, Sybase...
Mcafee Vulnerability Manager For Databases (DVM)
Obsahuje modul pro vyhledávání databází a citlivých dat Generuje detailní reporty a doporučení na nápravu detekovaných zranitelností Bezagentové řešení, správa pomocí do ePO serveru
Mcafee Virtual Patching For Databases (VPATCH)
vPatch nabízí ochranu nezáplatovaných databází proti útokům jako SQL injections, buffer overflow attacks apod. a chrání všechny databáze před běžnými hekerskými technikami Ochrana v reálném čase bez výpadku nebo restartu databáze Agentové řešení, správa pomocí do ePO serveru Monitoring neautorizavaných přístupů, alertování v reálném čase, ochrana přímo na databázovém serveru – ukončení spojení Integrován do ePO serveru
Mcafee Database Activity Monitoring (DAM)
Generuje detailní auditní reporty o detekovaných událostech i ve shodě s regulacemi a normami jako SOX, HIPAA/HITECH, PCI-DSS Samostatný memory-based sensor podporuje ja fyzické, tak virtuální prostředí Agentové řešení, správa pomocí do ePO serveru
9
Database Security
Vulnerability Manager for Databases - DVM for DB
Vyhledává veškeré databáze, skenuje databáze na zranitelnosti a nastavení a doporučuje, jak je možné zajistit vyšší bezpečnost.
10
Database Security
McAfee Vulnerability Manager for Databases • Vyhledává veškeré databáze, které existují v podnikovém prostředí • Dává pohled na zabezpečení každé z detekovaných databází (i těch, o kterých správce nevěděl) • Poskytne výsledky skenování a doporučení odborníků na slabá místa, což šetří čas a náklady na drahé konzultace třetí strany • Snižuje čas a úsilí pro přípravu a reakci na audity • Správa řešení přímo z ePO management konzole
“Kde jsou všechny moje databáze a jak jsou zabezpečeny?“ 11
Database Security
Vyhledávání a skenování databází Vytvořen na základě hluboké znalosti databází
Poskytuje praktické rady a řešení nalezených problémů
• Vyvinut ve spolupráci s předními odborníky na databáze • Ne jen na základě doporučení výrobců databází
• Testuje a reportuje reálné problémy • Priorizace výsledků včetně expertních doporučení na řešení
12
Database Security
Připraveno pro • Plně integrované do ePO • Centrální reportování pro tisíce databází • Možnost vytvoření různých rolí a výstupů pro různé uživatele
Obsáhlá knihovna checků na zranitelnosti pro běžně používané databáze Auditing
OS Tests
Backdoor Detection
PCI DSS Checks
CIS Benchmarking
Password Discovery
DB Configuration checks
Patch Checks
Credit Discovery
STIG Benchmarks
Custom checks
Unused Features
Data Discovery
Known Vulnerabilities
Default Password Checks
Vulnerable Code
Encryption Discovery
Weak Passwords
Vulnerability Manager může provést více než 4,700 individuálních checků zranitelností 13
Database Security
DVM for DB - Architektura
DVM for DB je extenze do McAfee ePolicy Orchestratoru • Bezagentové řešení • Přístup/správa přes web prohlížeč • Provádí vyhledávání a skenování přes síť • Skenuje více databází paralelně • Skenování na základě zadání autentizace
Email
SIEM
McAfee ePO / DVM DB
Oracle
Konzole pro správu (prohlížeč)
MSSQL
DB2 MySQL, Sybase, PostgresSQL…
14
Database Security
DVM podporované databáze • • • • • • • •
Oracle 8i or later Microsoft SQL Server 2000 or later Microsoft SQL Azure IBM DB2 8.1 or later for Linux, Unix, and Windows MySQL version 4.0 or later PostgreSQL version 8.3 or later Sybase ASE version 12.5 or later Teradata v12, v13, v14 — Database discovery, sensitive data discovery, custom checks, and password cracking • Informix v10.0, v11.1, v11.5, v11.7 — Database discovery, sensitive data discovery and custom checks • SAP HANA v1 — Database discovery, data discovery and custom checks 15
Database Security
McAfee Database Virtual Patching (vPatch)
Ochrana databáze před externími i interními útoky na základě známých zranitelností, zero-day útoků, a dalších podezřelých chování – automaticky, neintruzivně a v reálném čase
16
Database Security
Nezáplatovaná databáze = obrovské riziko Exploits publikován na webu
Riziko je mnohem vyšší po vydání záplaty
Okno rizika ja často dlouhé měsíce, někdy i roky
Často nevyžaduje velkou znalost DB a k dispozici jsou hekerské nástroje
High
Zero Day Reportovaná zranitelnost měsíce/roky
17
Database Security
Vydání záplaty
měsíce/roky
Záplata instalována
Low
McAfee Virtual Patching for Databases • Pomáhá dosáhnout zabezpečení databáze stejně jako se záplatami s nulovým výpadkem nebo porušením databáze • Nižší cena správy bez nutnosti testování nových záplat nebo upgrade DB • Jediný způsob, jak zajistit ochranu před zranitelnostmi databází, která již nejsou podporovány výrobcem
“Nemohu držet krok se všemi záplatami na mých databázích a tím nás vystavovat významným rizikům a neshody s politikou” 18
Database Security
vPatching podporované databáze
• MySQL 5.1, 5.5 and 5.6 on Linux • IBM DB2 LUW 9.5, 9.7, 10.1 and 10.5 • Oracle version 8.1.7 or later, running on Sun Solaris, IBM AIX, Linux, HP-UX, Microsoft Windows • Microsoft SQL Server 2000 or later on any supported Windows platform • Sybase ASE 12.5 on all supported platforms
19
Database Security
Database Activity Monitoring (DAM)
Monitorování, logování a ochrana databáze v reálném čase proti neautorizovaným a podezřelým přístupům a aktivitám
20
Database Security
McAfee Database Activity Monitoring • Out-of-the-box ochrana proti známým zranitelnostem a běžným hrozbám napříč všemi vektory přístupu • Alertování v reálném čase při porušení politiky, dokonce i privilegovaným uživatelem • Ukončení spojení a karanténa uživatele/systému • Flexibilní pravidla, které reflektují požadavky společnosti nebo regulací “Jak mohu ochránit databázi a splňovat požadavky norem a regulací?” 21
Database Security
Ochrana databáze napříč všemi vektory Databáze může být přístupná ze třech různých bodů:
1
2
3
Ze sítě
Z konzole
Z databáze (Intra-DB)
SAP
22
Síťový přístup
Database Security
Listener
Lokální přístup
Bequea th
DB Admin Sys Admin programátor
DBMS
Stored Proc.
Shared Memory
Trigger
Data
View
intra-DB threats
Host-Based Sensor technologie Veškeré databázové transakce, externí i interní, musí procházet přes shared / cache paměť
Host-based Sensor
Minimální vliv na výkon – obvykle 3% z jednoho jádra CPU
Listene r
Network Conn
Bequea th
Local Conn
DBMS
Stored Proc
Shared Memory
Trigger
Data
View
Neintruzivní, žádné změny jádra, uživatelského nastavení, fail-open řešení, žádné I/O operace, žádně zpoždění Žádné přerušení obchodních aktivit - restart databáze, serveru
McAfee DAM - Enterprise deployment Cloud DB
Alerts / Events
ePO management konzole
Network
Sensor
DB DB DB DB 24
Sensor
Sensor
DB
DB
DB Database Security
Admin konzole v ePO serveru
Řešení pro virtuální a cloudové prostředí • Virtualizace – Memory-based monitoring vidí VM-to-VM provoz – Efektivní lokální pravidla – Pracuje bez problémů v dynamickém prostředí
• Cloud Computing – Distribuovaný model pracuje bez problémů i ve WAN prostředí – Bezpečná vzdálená správa systému v cloudu přes ePO agenta
25
Database Security
Cloud Computing Infrastructure
DB DB DB DB
Database monitoring podporované databáze • Oracle version 8.1.7 or later, running on Sun Solaris, IBM AIX, Linux, HP-UX, Microsoft Windows • Teradata 12, 13, 13.10 and 14 on Linux • MySQL 5.1, 5.5 and 5.6 on Linux • Microsoft SQL 2000 and higher on any supported Windows platform • IBM DB2 LUW 9.5, 9.7, 10.1 and 10.5 • IBM DB2 for Z/OS • IBM DB2 for iSeries (AS/400) • Sybase ASE 12.5 or later on all supported platforms
26
Database Security
McAfee Database Security shrnutí Neintruzivní implementace • Samostatný ovladač monitoruje paměť a nevyžaduje žádné změny ve stávající infrastruktuře ani databázi • Minimální vliv na výkon (< 3%) • Žádné výpadky během instalace a provozu
Ochrana v reálném čase napříč všemi vektory přístupu
Ideální pro virtuální a cloudové prostředí
• Memory-based monitor umožňuje okamžitou odpověď na hrozbu • Virtual patching umožňuje okamžité záplatování a ochranu před útoky na zranitelnosti databází
• Memory-based monitoring sleduje VM-to-VM provoz • Funkční distribuční model i pro WAN prostředí
Snadná instalace a správa 27
Database Security
