IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium...

© 2012 IBM Corporation

IBM Security Systems

1 © 2015 IBM Corporation

IBM Guardium – безопасность СУБД

Кириченко Денис



2

Содержание

• Что такое Guardium?

• Краткий обзор

• Лицензирование

• Новый уникальный функционал



3

Что такое Guardium?

Защита и мониторинг СУБД в реальном времени



4

Зачем нужен Guardium?

Внешние угрозы

• Предотвращение кражи данных

• Неавторизованные изменения

• Предотвращение утечек данных

Нормативные требования

• Упрощение процессов

• Сокращение затрат

Уменьшение нагрузки на СУБД

• Замена нативного аудита

• Сокращение затрат



5

Нормативные требования

• Как обеспечить конфиденциальность персональных данных (152-ФЗ)?..

• Как отслеживать доступ к информации о платёжных картах (PCI-DSS)?..

• Как гарантировать достоверность финансовой отчётности (SOX)?..

• Как контролировать администраторов баз данных?..

• Как соответствовать корпоративным регламентам и стандартам ИБ?..

+ = ?

Как пройти аудит?..



6

Функционал Guardium – Database Activity Monitoring (DAM)

Мониторинг активности СУБД, то есть:

• Аудит запросов к БД

• Аудит извлекаемой информации

• Аудит ошибок и исключений

• Блокирование нежелательной активности

• Контроль изменений в БД

• Анализ уязвимостей СУБД

• Поиск критичных данных

• И другое...



7

Архитектура – 2 компонента



8

Guardium - Мониторинг БД в реальном времени

• Продуманная архитектура

• Вне базы данных

• Минимальное влияние на

производительность (3 - 5%)

• Не нужно менять БД и приложение

• Универсальное решение для разных СУБД

• 100% контроля, включая локальный доступ DBA

• Обеспечивает разграничение полномочий

• Не полагается на логи в БД, которые могут

быть стерты злоумышленниками

• Детальные политики и аудит в реальном

времени

• Кто, что, когда, как

• Автоматическая отчетность (SOX, PCI,

NIST, и т.д.)



9

Политика безопасности

Состоит из правил

Может использоваться несколько политик

Набор встроенных политик

Может быть сформирована автоматически

Правило – критерии срабатывания и реакции

Правила трёх типов:

- доступ (запросы)

- извлечение (ответы)

- исключение (ошибки)



10

Отчёты и оповещения

Корреляционные

оповещения

(по заданному порогу)

Оповещения в реальном

времени (правила политики)



11

Оценка уязвимости

Активностьв БД

ОС

Тесты

Разрешения

Роли

Конфигурации

Версии

Частные тесты

Файлы конфигурации

Переменные среды

Значения в реестре


БД

Основана на промышленных стандартах (наборы тестов CVE, STIG &

CIS)

Настраиваемая (возможность создания частных тестов)

Скрипты ОС, SQL-запросы к СУБД, файлы...

Проверки различных типов обеспечивают широкое покрытие

уязвимостей:

Конфигурация СУБД

Файлы ОС

Активность в СУБД

Активностьв БД

ОС

Тесты

Разрешения

Роли

Конфигурации

Версии


Файлы конфигурации

Переменные среды

Значения в реестре


БД



12

Оценка уязвимости

Тренд

Общая

оценка

Детализированная

таблица

Фильтрация

результатов



13

Масштабируемая архитектура

Централизованное управление

– Политики выдаются на коллекторы с центрального сервера

Сбор данных

– Коллекторы собирают данные в центральный репозиторий

Различные платформы

– Унифицированный сбор данных

Запрет действий (S-Gate)

– Предотвращение несанкционированного доступа к важной информации

Поддержка разных СУБД

– Oracle, DB2, SQL Server, Sybase, и т.д.

Test and Development

Интеграция с LDAP,

IAM, IBM Tivoli,

…SIEM, IBM TSM,

Remedy



14

Интеграция с инфраструктурой

Оповещеия в SIEM

- Qradar, Tivoli, ArcSight, EnVision, etcСлужбы каталогов

(Active Directory, LDAP, etc)

Сигнал в

SIEM

Группы аутентификации

Long Term Storage

Tivoli TSM, EMC Centera

FTP, SCP, etc

Резервные копии

Сервера приложений

Oracle EBS, SAP, Siebel,

Cognos, PeopleSoft, etc

Оценка уязвимостей

-CVE #’s, CIS Benchmark, STIGРезвертывание ПО

Tivoli, RPM’s, Native Distributions

Пользователи с правами

изменения процесса контроля

Автоматическая установка ПО

SNMP Monitoring Systems

Tivoli Netcool, Openview, etc

Выделение пользователей

(DB Pooled Connection)

Утечки данных

Критические

данные- ---- - - - - --

---- - - - - - - -

IT Service Management

- Remedy, Peregrine, etc



15

Стравнение со встроенными средствами

Уменьшение нагрузки на DBA

Аудит извлекаемых данных

Реагирование в реальном времени

Разграничение обязанностей (SoD)

Минимальная нагрузка на СУБД

Поддержка различных СУБД

ФункционалВстроенные

средства IBM Guardium

Мониторинг пользователей приложений

Централизация и агрегация



16

В Итоге - Решение Guardium

• Мониторинг транзакций СУБД в реальном времени

• Упрощение прохождения аудита и соответствия SOX, PCI-DSS

• Управление изменениями БД

• Управление уязвимостями СУБД

• Предотвращение утечки данных из БД



17

Лицензирование



18

Новый функционал – Quick Search

• Подобно поиску Google

• Динамический анализ «что если?» сценариев

• Поиск определенного выражения/запроса

• Использование условий: и, или, отрицание..

• Сортировка результатов: что, кто, когда, где..

• Поиск по разной активности: Все, СУБД активность, исключения, нарушения

• Интерактивное добавление значений в поиск



19

Новый функционал – Quick Search



20

Новый функционал – Outlier Detection

• Поиск анамального поведения в большом количестве данных

• Адаптивный динамический алгоритм для моделирования шаблона поведения поступающих данных (Machine Learning)

• Возможность интерактивного расследования подозрительного поведения

• Результаты доступны через Quick Search и обычную отчетность



21

Новый функционал – Outlier Detection



22

Новый функционал – Outlier Detection(детализация)



23

Новый функционал – Dynamic Data Masking for Databases (Query Rewrite)

Горизонтально – по строкам

Вертикально – по колонкам

Маскирование значений – замена значений



24

Новый функционал – Enterprise Quick Search with Status View

Сервера имеют размерную и цветовую кодировкупо количесву данных и статусу мониторинга



25

Новый функционал – Investigation Dashboard

Обзор интесивностипо разным комбинациям параметров



26

Новый функционал – новый UI(до и после)



27

Новый функционал – новый UI



28

Вопросы?

IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium...

Documents

Transcript of IBM Guardium –безопасность СУБДkancler.by/docs/04.IBM Security Guardium...