IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium...
Transcript of IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium...
![Page 1: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/1.jpg)
© 2012 IBM Corporation
IBM Security Systems
1 © 2015 IBM Corporation
IBM Guardium – безопасность СУБД
Кириченко Денис
![Page 2: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/2.jpg)
© 2015 IBM Corporation
IBM Security Systems
2
Содержание
• Что такое Guardium?
• Краткий обзор
• Лицензирование
• Новый уникальный функционал
![Page 3: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/3.jpg)
© 2015 IBM Corporation
IBM Security Systems
3
Что такое Guardium?
Защита и мониторинг СУБД в реальном времени
![Page 4: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/4.jpg)
© 2015 IBM Corporation
IBM Security Systems
4
Зачем нужен Guardium?
Внешние угрозы
• Предотвращение кражи данных
• Неавторизованные изменения
• Предотвращение утечек данных
Нормативные требования
• Упрощение процессов
• Сокращение затрат
Уменьшение нагрузки на СУБД
• Замена нативного аудита
• Сокращение затрат
![Page 5: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/5.jpg)
© 2015 IBM Corporation
IBM Security Systems
5
Нормативные требования
• Как обеспечить конфиденциальность персональных данных (152-ФЗ)?..
• Как отслеживать доступ к информации о платёжных картах (PCI-DSS)?..
• Как гарантировать достоверность финансовой отчётности (SOX)?..
• Как контролировать администраторов баз данных?..
• Как соответствовать корпоративным регламентам и стандартам ИБ?..
+ = ?
Как пройти аудит?..
![Page 6: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/6.jpg)
© 2015 IBM Corporation
IBM Security Systems
6
Функционал Guardium – Database Activity Monitoring (DAM)
Мониторинг активности СУБД, то есть:
• Аудит запросов к БД
• Аудит извлекаемой информации
• Аудит ошибок и исключений
• Блокирование нежелательной активности
• Контроль изменений в БД
• Анализ уязвимостей СУБД
• Поиск критичных данных
• И другое...
![Page 7: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/7.jpg)
© 2015 IBM Corporation
IBM Security Systems
7
Архитектура – 2 компонента
![Page 8: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/8.jpg)
© 2015 IBM Corporation
IBM Security Systems
8
Guardium - Мониторинг БД в реальном времени
• Продуманная архитектура
• Вне базы данных
• Минимальное влияние на
производительность (3 - 5%)
• Не нужно менять БД и приложение
• Универсальное решение для разных СУБД
• 100% контроля, включая локальный доступ DBA
• Обеспечивает разграничение полномочий
• Не полагается на логи в БД, которые могут
быть стерты злоумышленниками
• Детальные политики и аудит в реальном
времени
• Кто, что, когда, как
• Автоматическая отчетность (SOX, PCI,
NIST, и т.д.)
![Page 9: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/9.jpg)
© 2015 IBM Corporation
IBM Security Systems
9
Политика безопасности
Состоит из правил
Может использоваться несколько политик
Набор встроенных политик
Может быть сформирована автоматически
Правило – критерии срабатывания и реакции
Правила трёх типов:
- доступ (запросы)
- извлечение (ответы)
- исключение (ошибки)
![Page 10: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/10.jpg)
© 2015 IBM Corporation
IBM Security Systems
10
Отчёты и оповещения
Корреляционные
оповещения
(по заданному порогу)
Оповещения в реальном
времени (правила политики)
![Page 11: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/11.jpg)
© 2015 IBM Corporation
IBM Security Systems
11
Оценка уязвимости
Активностьв БД
ОС
Тесты
Разрешения
Роли
Конфигурации
Версии
Частные тесты
Файлы конфигурации
Переменные среды
Значения в реестре
Частные тесты
БД
Основана на промышленных стандартах (наборы тестов CVE, STIG &
CIS)
Настраиваемая (возможность создания частных тестов)
Скрипты ОС, SQL-запросы к СУБД, файлы...
Проверки различных типов обеспечивают широкое покрытие
уязвимостей:
Конфигурация СУБД
Файлы ОС
Активность в СУБД
Активностьв БД
ОС
Тесты
Разрешения
Роли
Конфигурации
Версии
Частные тесты
Файлы конфигурации
Переменные среды
Значения в реестре
Частные тесты
БД
![Page 12: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/12.jpg)
© 2015 IBM Corporation
IBM Security Systems
12
Оценка уязвимости
Тренд
Общая
оценка
Детализированная
таблица
Фильтрация
результатов
![Page 13: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/13.jpg)
© 2015 IBM Corporation
IBM Security Systems
13
Масштабируемая архитектура
Централизованное управление
– Политики выдаются на коллекторы с центрального сервера
Сбор данных
– Коллекторы собирают данные в центральный репозиторий
Различные платформы
– Унифицированный сбор данных
Запрет действий (S-Gate)
– Предотвращение несанкционированного доступа к важной информации
Поддержка разных СУБД
– Oracle, DB2, SQL Server, Sybase, и т.д.
Test and Development
Интеграция с LDAP,
IAM, IBM Tivoli,
…SIEM, IBM TSM,
Remedy
![Page 14: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/14.jpg)
© 2015 IBM Corporation
IBM Security Systems
14
Интеграция с инфраструктурой
Оповещеия в SIEM
- Qradar, Tivoli, ArcSight, EnVision, etcСлужбы каталогов
(Active Directory, LDAP, etc)
Сигнал в
SIEM
Группы аутентификации
Long Term Storage
Tivoli TSM, EMC Centera
FTP, SCP, etc
Резервные копии
Сервера приложений
Oracle EBS, SAP, Siebel,
Cognos, PeopleSoft, etc
Оценка уязвимостей
-CVE #’s, CIS Benchmark, STIGРезвертывание ПО
Tivoli, RPM’s, Native Distributions
Пользователи с правами
изменения процесса контроля
Автоматическая установка ПО
SNMP Monitoring Systems
Tivoli Netcool, Openview, etc
Выделение пользователей
(DB Pooled Connection)
Утечки данных
Критические
данные- ---- - - - - --
---- - - - - - - -
IT Service Management
- Remedy, Peregrine, etc
![Page 15: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/15.jpg)
© 2015 IBM Corporation
IBM Security Systems
15
Стравнение со встроенными средствами
Уменьшение нагрузки на DBA
Аудит извлекаемых данных
Реагирование в реальном времени
Разграничение обязанностей (SoD)
Минимальная нагрузка на СУБД
Поддержка различных СУБД
ФункционалВстроенные
средства IBM Guardium
Мониторинг пользователей приложений
Централизация и агрегация
![Page 16: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/16.jpg)
© 2015 IBM Corporation
IBM Security Systems
16
В Итоге - Решение Guardium
• Мониторинг транзакций СУБД в реальном времени
• Упрощение прохождения аудита и соответствия SOX, PCI-DSS
• Управление изменениями БД
• Управление уязвимостями СУБД
• Предотвращение утечки данных из БД
![Page 17: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/17.jpg)
© 2015 IBM Corporation
IBM Security Systems
17
Лицензирование
![Page 18: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/18.jpg)
© 2015 IBM Corporation
IBM Security Systems
18
Новый функционал – Quick Search
• Подобно поиску Google
• Динамический анализ «что если?» сценариев
• Поиск определенного выражения/запроса
• Использование условий: и, или, отрицание..
• Сортировка результатов: что, кто, когда, где..
• Поиск по разной активности: Все, СУБД активность, исключения, нарушения
• Интерактивное добавление значений в поиск
![Page 19: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/19.jpg)
© 2015 IBM Corporation
IBM Security Systems
19
Новый функционал – Quick Search
![Page 20: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/20.jpg)
© 2015 IBM Corporation
IBM Security Systems
20
Новый функционал – Outlier Detection
• Поиск анамального поведения в большом количестве данных
• Адаптивный динамический алгоритм для моделирования шаблона поведения поступающих данных (Machine Learning)
• Возможность интерактивного расследования подозрительного поведения
• Результаты доступны через Quick Search и обычную отчетность
![Page 21: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/21.jpg)
© 2015 IBM Corporation
IBM Security Systems
21
Новый функционал – Outlier Detection
![Page 22: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/22.jpg)
© 2015 IBM Corporation
IBM Security Systems
22
Новый функционал – Outlier Detection(детализация)
![Page 23: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/23.jpg)
© 2015 IBM Corporation
IBM Security Systems
23
Новый функционал – Dynamic Data Masking for Databases (Query Rewrite)
Горизонтально – по строкам
Вертикально – по колонкам
Маскирование значений – замена значений
![Page 24: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/24.jpg)
© 2015 IBM Corporation
IBM Security Systems
24
Новый функционал – Enterprise Quick Search with Status View
Сервера имеют размерную и цветовую кодировкупо количесву данных и статусу мониторинга
![Page 25: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/25.jpg)
© 2015 IBM Corporation
IBM Security Systems
25
Новый функционал – Investigation Dashboard
Обзор интесивностипо разным комбинациям параметров
![Page 26: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/26.jpg)
© 2015 IBM Corporation
IBM Security Systems
26
Новый функционал – новый UI(до и после)
![Page 27: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/27.jpg)
© 2015 IBM Corporation
IBM Security Systems
27
Новый функционал – новый UI
![Page 28: IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium 2016.pdf · 2019. 6. 3. · Функционал Guardium –Database Activity Monitoring](https://reader033.fdocuments.in/reader033/viewer/2022052022/6036d0001d587d61f3655082/html5/thumbnails/28.jpg)
© 2015 IBM Corporation
IBM Security Systems
28
Вопросы?