Opn march30th security_track
-
Upload
oracle-espana -
Category
Education
-
view
323 -
download
3
Transcript of Opn march30th security_track
1
<Insert Picture Here>
Oracle PartnerNetwork Days – Satellite Event Spain. March, 30Seguridad Oracle
José Manuel Rodriguez de LlanoSenior Sales Manager Identity Management and SecurityJosé Manuel CarmonaPrincipal Sales Consultant. Identity Management and Security
Copyright Oracle Corporation. 2011. All rights reserved
AGENDA
• Estrategia de Oracle en Seguridad• Retos para nuestros clientes• Cómo proteger sus aplicaciones y datos frente a
ataques internos y externos• Cumplimiento de los requerimientos de leyes y
regulaciones• Gestión de Identidades basada en Roles• Reducción de los costes derivados del cumplimiento
de las normativas
4
Seguridad IT
5
6
• Cifrar y enmascarar• Control usuarios
privilegiados• Monitorización y auditoría
Gestión de Identidades
Seguridad de Documentos Base de Datos
Aplicaciones
Contenidos
Seguridad Oracle
Infraestructura
• Provisión de usuarios• Gestión de roles• Gestión de autorizaciones• Directorio virtual
• Monitorización uso de documentos• Control de acceso a documentos• Seguridad dentro y fuera de la
Empresa
Información
Seguridad en BBDD
7
Las areas de foco en Seguridad - 2010Forrester: State Of Enterprise IT Security And Emerging Trends: 2009 To 2010
Source Forrester September 2010
8
Más fugas de información que nunca…
0
100
200
300
400
2005 2006 2007 2008
FUGAS DE INFORMACION PUBLICAS
630%
Registros Expuestos (Millones)
Source: DataLossDB, Ponemon Institute, 2009
Coste medio: $202 por registro
Coste total medio por fuga: $6.6 million
9
Más fugas de información que nunca…
49% Fugas con responsables internos a las organizaciones
10
Causa #1 de fugas de informacion:Credenciales robadas y Aplicaciones Web modificadas con
“SQL Injection”
2010 Data Breach Investigations Report
Threat action categories by percent of breaches and records
Attack pathways by percent of breaches and percent of records
Types of hacking by percent of breaches within Hacking and percent of records
11
Cual es la fuente de las fugas?
2010 Data Breach Investigations Report
12
28%
Cifra sin excepciones la informacion personal identificable en las BB.DD
Los datos pueden ser leidos por cualquier usuario con privilegios de acceso a la base de datos
24%
Tiene medios para evitar que un usuario privilegiado leainformacion sensible de la Base de Datos
Los DBA o cualquiera con los privilegios necesarios pueden acceder a los datos almacenados
68%
No pueden detectar si sus usuarios estan abusando de sus privilegios
Los usuarios de base de datos pueden realizar actividades no permitidas si ser detectados
66%No estan seguros de si sus aplicaciones pueden sufrir “SQL injection”
Los datos pueden ser manipulados desde el exterior por hackers que acceden desde las aplicaciones
48%Copian informacion sensible a entornos fuera de produccion
Los desarrolladores pueden acceder a los datos reales de produccion
13
Mercado global de la seguridad Gasto estimado en 2009: 17.000 millones
Seguridad final (particulares) 3.700 millones
Gestión de Identidades 1.400 millones
Seguridad de red 2.000 millones
Gestión de vulnerabilidades 2.000 millones
Seguridad final (empresas) 2.800 millones
Seguridad eMail 1.500 millones
Otro tipo de seguridad 3.000 millones
Seguridad en BB.DD.¿SÓLO 500 millones?
Cifras en Dólares EE.UU.
14
Una paradoja
La seguridad de los datos está identificada como la primera prioridad en el ámbito de la Seguridad IT
La primera fuente de fugas de información (92%) son los servidores de base de datos
Sólo un 3% del presupuesto invertido en securizar las bases de datos (Gartner 2009)
2010 Data Breach Investigations Report
15
Proliferación de normativas
FISMA
Sarbanes-Oxley
Breach DisclosurePCI
HIPAA
GLBAPIPEDA
Basel IIEU Data Directives
Euro SOXJ SOX
K SOX
SAS 70
AUS/PRO
UK/PRO
Source: IT Policy Compliance Group, 2007.
COBIT
ISO 17799
90% Compañias e instituciones no cumplen
LOPD
Civil Liability
Government Sanctions
Criminal Prosecution
© 2010 Oracle Corporation – Proprietary and Confidential 16
Control de riesgos y Cumplimiento de Normativas: Complejos y Costosos
• Regulación internacional, nacional, local, por industria… añadiendo más normativa cada año
• Necesidad de cumplir y demostrar el cumplimiento
• Los costes de auditoria y cumplimiento pueden ser insostenibles
! Informes y auditoría
Nuevo Código Penal: responsabilidad penalde las personas jurídicas
17
PCI-DSS: Requisitos
17
18
• Cifrar y enmascarar• Control usuarios
privilegiados• Monitorización y auditoría
Gestión de Identidades
Seguridad de Documentos Base de Datos
Aplicaciones
Contenidos
Seguridad Oracle
Infraestructura
• Provisión de usuarios• Gestión de roles• Gestión de autorizaciones• Directorio virtual
• Monitorización uso de documentos• Control de acceso a documentos• Seguridad dentro y fuera de la
Empresa
Información
Seguridad en BBDD
19
Oracle Identity Management
Administración deIdentidades
Gestión deAcceso
Servicios deDirectorio
Aprovisionamiento de Usuario basado en Roles
Autoservicio de Peticiones y Aprobaciones
Gestión de Contraseñas
Prevención de Fraude y AutenticaciónSingle Sign-On y FederaciónAutorización y DerechosSeguridad de Servicios Web
Almacenamiento LDAPIdentidad de Acceso Virtualizada
Gobierno de Identidades Seguridad de la PlataformaAnálisis, Prevención de Fraude, Control de
PrivacidadServicios de Identidad para Desarrolladores
20
Gestión de Identidad basada en Roles
21
Oportunidad Gestión de Identidad basada en Roles
Necesidades
22
Oportunidad Gestión de Identidad basada en Roles
Necesidades
23
OportunidadGestión de Identidad basada en Roles
Solución Tecnológica
24
Sincronización de Datos de Permisos de Acceso
Provisión de Permisos en
corcondancia con las políticas de
SoD
Petición de Validación de SoD
!!
Respuesta de Validación de SoD
OportunidadGestión de Identidad basada en Roles
25
OportunidadGestión de Identidad basada en Roles
Solución Tecnológica
26
Conclusiones de Forrester• Modelo financiero basado en la metodología TEI de
Forrester• Se crea una organización tipo para poblar el modelo
• Basada en entrevistas con clientes reales• Asunciones básicas extraídas de 4 proyectos reales• Análisis completo de coste-beneficio y ajuste del
riesgo
27
• Gestión de Identidades 2.0• Proyectos apoyados desde negocio• Podemos posicionarlo en diferentes tipos de clientes :
• Sin gestión de Identidades• Con Gestión de Identidades No Oracle• Con Gestión de Identidades Oracle
OportunidadGestión de Identidad basada en Roles
28
Virtualización de Identidades
29
• Diferentes repositorios de Identidades con procesos complejos de sincronización
• Falta de servicios comunes de identidad• Proyectos parados o comprometidos en su planificación• Costes altos en administración y mantenimiento• Dificultad en consolidar un esquema global de identidad• La información de Identidad que no está en Directorios LDAP
queda fuera de la foto
Oportunidad Virtualización de Identidades
Necesidades
30
Active Directory
Directorio LDAP
BB.DD.
Oracle Virtual Directory
Servicios web
Oportunidad Virtualización de Identidades
Solución Tecnológica
31
BB.DD. de RR.HH.
Aplicación SSO
Oportunidad Virtualización de Identidades
Solución Tecnológica
32
AD ForestOracle Virtual Directory
AD PersonInetOrgPerson
Oportunidad Virtualización de Identidades
Solución Tecnológica
33
BB.DD.PeopleSoft/Siebel
Oracle Virtual Directory
Oportunidad Virtualización de Identidades
Solución Tecnológica
34
Active Directory Forest #1
Directorio LDAP
BB.DD.
Oracle Virtual Directory
Active Directory Forest #2
Oportunidad Virtualización de Identidades
Solución Tecnológica
35
Active Directory(o Novell o SUN DS)
Oracle Virtual Directory
BB.DD. Oracle
Oportunidad Virtualización de Identidades
Solución Tecnológica
36
Directorio LDAPOracle Virtual Directory
Oportunidad Virtualización de Identidades
Solución Tecnológica
37
• Proyecto táctico, de corto alcance y con resultados rápidos• Despierta interés y se entiende su beneficio rápidamente• Pieza tecnológica que puede acelerar proyectos complejos ( Gestión de
Identidades, Control de Acceso Web, …)• Complementario a soluciones de Portal, Gestión de Contenidos, …• Curva de aprendizaje rápida en el conocimiento de la tecnología• En la licencia se incluyen tres productos
OportunidadVirtualización de Identidades
38 Copyright © 2009, Oracle. All rights reserved
SSO Corporativo
39
• Mejora la experiencia de usuario• Reducción de costes en help-desk• Mejora de la seguridad• Uso de mecanismos de autenticación fuertes• No intrusión en las aplicaciones• Tecnología de aplicaciones heterogénea
Oportunidad SSO Corporativo
Necesidades
40
OportunidadSSO Corporativo
Solución Tecnológica
RepositorioeSSo
jperez01
juanpe
contab173ActiveDirectory
juan.perez*******
eSSO rellena la identificación
automáticamente
eSSO rellena la identificación automáticamente
41
• Proyecto corto, pero puede suponer una puerta de entrada a otras oportunidades ( Gestión de Identidades, Control de Acceso Web, …)
• Proyecto con mucha visibilidad de cara a los usuarios finales y a la Dirección
• Curva de aprendizaje rápida en el conocimiento de la tecnología
OportunidadSSO Corporativo
42
InformesIntegrados
Alertas
Informespersonalizados
!Auditoría
Consolidación Informes
Políticas
DataMasking
Backups Encriptados
Base de datosEncriptada
InformesEncriptados
Seguridad en Base de Datos
Contratación
HR
Financiero
Sensible PúblicoConfidencial
Seguridad en la administración de Base de
datos
No Autorizado
Aplicaciones
Block
Log
Permiso
Alertas
Sustitución
Bloqueo y Monitorización de
la red SQL
43
Protección del Dato y Cumplimiento Normativo
44
Oportunidad Protección del Dato y Cumplimiento
Necesidades
• Diferentes normativas que obligan a proteger el dato debidamente : LOPD, ENS, PCI/DSS
• Asegurar el ciclo de vida del dato• Control de las operaciones que pueden realizar los admininstradores de
base de datos Oracle• Auditoría de acceso al dato• Poder trabajar con datos de producción en entornos de desarrollo de
forma segura
45
Oportunidad Protección del Dato y Cumplimiento
Necesidades
46
Oportunidad Protección del Dato y Cumplimiento
Necesidades• ENS : todo órgano de la Administración Pública, incluso los ayuntamiento, deben disponer
formalmente de una Política de Seguridad que cubra los siguientes requisitos mínimos, en función de los riesgos identificados:
• Requisitos mínimos:• Organización e implantación del proceso de seguridad• Análisis y gestión de los riesgos• Gestión de personal• Profesionalidad• Autorización y control de los accesos• Protección de las instalaciones• Adquisición de productos• Seguridad por defecto• Integridad y actualización del sistema• Protección de la información almacenada y en tránsito• Prevención ante otros sistemas de información interconectados• Registro de actividad• Incidentes de seguridad• Continuidad de la actividad• Mejora continua del proceso de seguridad
47
OportunidadProtección del Dato y Cumplimiento
Solución Tecnológica
48
OportunidadProtección del Dato y Cumplimiento
Solución TecnológicaTransparent Data Encryption
• Encripta los datos de las aplicaciones• Encriptación columnas • Encriptación tablespaces y sus ficheros• 3DES168, AES128, AES192 (def), AES256
• Altamente eficiente• Alto rendimiento (overhead < 5%)• Integrado con Oracle Advanced
Compression• No se necesitan cambios en las
aplicaciones• Cualquier tipo de dato• Se permiten índices sobre datos
encriptados
Capa SQL
undo blocks
temp blocks
flashback logs
redo logs
Buffer Cache“SSN = 987-65-..”
49
OportunidadProtección del Dato y Cumplimiento
Consolida los registros de auditorías en un repositorio centralizado y seguro Detecta y alerta sobre actividades sospechosas, incluyendo usuarios privilegiados Informes predefinidos y personalizados de auditoría de usuarios privilegiados,
permisos, logins fallidos, acceso a datos sensibles, cambios de esquema, … Optimiza la auditoría con informes, notificaciones, archivado, certificaciones, etc. Recopila trazas de múltiples orígenes, Oracle, SQLServer, Sysbase, DB2
Datos CRM
Datos ERP
Databases
Datos RR.HH.
50
OportunidadProtección del Dato y Cumplimiento
Solución TecnológicaAnonimización irreversible de datos en entornos no productivos
51
• Proyecto resultado de un proceso de prescripción, asesoría de seguridad• Los productos por sí solos no resuelven el problema : es necesaria una
consultoría previa • Imprescindibles para procesos de “cloud” privada• Diferenciador en propuestas de “outsourcing”• Mercado objetivo : cualquier cliente de Oracle Enterprise Edition• Proyectos de medio-largo recorrido
OportunidadProtección del Dato y Cumplimiento
52
Firewall de Base de Datos
53
Oportunidad Firewall de Base de Datos
Necesidades
SQL INJECTIONCuando el programador incorpora en una sentencia SQL una variable cuyo valor es suministrado por el usuario final y su contenido no es correctamente filtrado, permitiendo que el usuario final pueda introducir valores que puedan ser interpretados como parte de una sentencia SQL.
“SELECT * FROM users WHERE name = '" + userName + "';" Con SQL Injection se puede conseguir: SELECT * FROM users WHERE name = '' OR '1'='1'; SELECT * FROM users WHERE name = 'a';DROP TABLE users; SELECT *
FROM userinfo WHERE 't' = 't'; Mediante SQL Injections se obtienen datos no permitidos de las bases de datos o se
realizan ataques de denegación de servicio.
54
Oportunidad Firewall de Base de Datos
Solución Tecnológica
55
Oportunidad Firewall de Base de Datos
Solución Tecnológica
56
Oportunidad Firewall de Base de Datos
Solución Tecnológica
57
Seguridad Oracle para Bases de datosResumen de Soluciones
• Oracle Advanced Security• Oracle Database Vault• Oracle Label Security• Oracle Audit Vault• Oracle Total Recall• Oracle Database Firewall• Oracle Data Masking
58
Protección de Documentos
59
Oportunidad Protección de Documentos
Necesidades
60
Oportunidad
Securizar las copias y saber quién ha accedido a ellas
Evitar que las copias sean enviadas o editadas inadecuadamente
Proteger la información confidencial para trabajar de forma colaborativa con terceros
Revocar el acceso a información confidencial a empleados que se han ido o personas en las que ya no confiamos
Implementar las políticas de clasificación documental (ISO 17799)
6. Auditoría detallada del acceso a los documentos
61
• Proyecto con mucha visibilidad de cara a los usuarios finales y a la Dirección
• Percepción alta de necesidad en este momento• Escaso en servicios tecnológicos y rico en servicios de consultoría• Curva de aprendizaje rápida en el conocimiento de la tecnología
Blog público de IRM : http://blogs.oracle.com/irm/
OportunidadProtección de Documentos
62
• Cifrar y enmascarar• Control usuarios
privilegiados• Monitorización y auditoría
Gestión de Identidades
Seguridad de Documentos Base de Datos
Aplicaciones
Contenidos
Seguridad Oracle
Infraestructura
• Provisión de usuarios• Gestión de roles• Gestión de autorizaciones• Directorio virtual
• Monitorización uso de documentos• Control de acceso a documentos• Seguridad dentro y fuera de la
Empresa
Información
Seguridad en BBDD
6363
<Insert Picture Here>
Trabajo en Equipo
Plan de trabajo conjunto Áreas de foco en producto Áreas de foco en mercado Plan de acción
Generación de demanda Formación a ventas y preventa “Security Whiteboard Session” Eventos conjuntos, visitas conjuntas a clientes Apoyo preventa. Cualificación, RFI/RFP Pruebas de concepto
64
PREGUNTAS
65