Administratorzy kontrolują systemy IT, a kto kontroluje administratorów?

Transkrypt

1 Administratorzy kontrolują systemy IT, a kto kontroluje administratorów? Bartosz Kryński bartosz.krynski@clico.pl

2 O czym w trakcie tej sesji Strefa DMZ LAN Bazy danych

3 Czy: 1. naprawdę wiesz gdzie są istotne informacje? 2. masz pewność, że wszyscy użytkownicy mają właściwe uprawnienia? 3. środowisko jest sprawdzone pod kontem poprawek, podatności i błędów konfiguracji? 4. zostałbyś powiadomiony o nietypowym zachowaniu administracyjnym w sieci? 5. DBA oraz administrator serwera ma najwyższe uprawnienia, czy masz pewność że ich nie nadużywa? 6. wiedziałbyś, że ktoś starał się lub dostał do krytycznych danych?

4 Gdzie są dane istotne? Klasyfikacja danych jest kluczowa do ich właściwej ochrony Aplikacje Pliki Bazy danych

5 Klasyfikacja usług oraz informacji w organizacji Analiza i akceptacja Wybór wyników danych

6 Czy: 1. naprawdę wiesz gdzie są istotne informacje? 2. masz pewność, że wszyscy użytkownicy mają właściwe uprawnienia? 3. środowisko jest sprawdzone pod kontem poprawek, podatności i błędów konfiguracji? 4. zostałbyś powiadomiony o nietypowym zachowaniu w sieci? 5. DBA oraz administrator ma najwyższe uprawnienia, czy masz pewność że ich nie nadużywa? 6. wiedziałbyś, że ktoś starał się lub dostał do krytycznych danych?

7 Nadużywanie uprawnień Wyciek danych przez pracowników i firmy zewnętrzne

8 Narzędzia wspomagające w analizie uprawnień Cykliczny przegląd ról oraz uprawnień użytkowników Wykrycie nadmiernych uprawnień Wskazanie błędów w uprawnieniach

9 Przegląd uprawnień: Jeden widok: Kto, Co, Kiedy User Uprawnienie Waga Użycie Kim jest? Klasyfikacja, URM (DB) Dane wrażliwe? Jakie prawa? DAM Kiedy użyte ostatnio? JOE Dept? CCTA B Credit Card JOE update CCTA B JOE CCTA B

10 Autoryzacja uprawnień użytkowników Przegląd przydzielonych uprawnień Zarządzanie autoryzacją i usuwaniem uprawnień Przegląd i zatwierdzenie/odrzucenie praw użytkowników Szczegóły dotyczące przydzielonych uprawnień

11 Widok efektywnych uprawnień i ścieżki dostępu Wyjaśnienie uprawnień

12 Czy: 1. naprawdę wiesz gdzie są istotne informacje? 2. masz pewność, że wszyscy użytkownicy mają właściwe uprawnienia? 3. środowisko jest sprawdzone pod kontem poprawek, podatności i błędów konfiguracji? 4. zostałbyś powiadomiony o nietypowym zachowaniu w sieci? 5. DBA oraz administrator ma najwyższe uprawnienia, czy masz pewność że ich nie nadużywa? 6. wiedziałbyś, że ktoś starał się lub dostał do krytycznych danych?

13 Testy konfiguracji środowiska krytycznych danych Powinny uwzględniać aktualność systemu operacyjnego oraz usług, podatność na ataki oraz błędy konfiguracji Predefiniowane oraz konfigurowalne grupy testów Dodaj własne testy/skrypty Wbudowane testy podatności

14 Analiza ustawień w środowiskach Zarządzanie wykrytymi podatnościami Śledzenie, zarządzanie oraz eliminacja podatności w systemie zabezpieczeń Usuwanie podatności poprzez Virtual Patch dzięki integracji z rozwiązaniem Database Firewall Data Risk Navigator Virtual Patching

15 Czy: 1. naprawdę wiesz gdzie są istotne informacje? 2. masz pewność, że wszyscy użytkownicy mają właściwe uprawnienia? 3. środowisko jest sprawdzone pod kontem poprawek, podatności i błędów konfiguracji? 4. zostałbyś powiadomiony o nietypowym zachowaniu w sieci? 5. DBA oraz administrator ma najwyższe uprawnienia, czy masz pewność że ich nie nadużywa? 6. wiedziałbyś, że ktoś starał się lub dostał do krytycznych danych?

16 Co oznacza nietypowe zachowanie w sieci? Wykorzystywanie kont współdzielonych zamiast imiennych Wykonywanie nietypowych czynności w bazie danych Odczyt podejrzanie dużej ilości danych w skończonym czasie Nieuprawnione wykonywanie zmian / operacji uprzywilejowanych

17 Identyfikacja nadużyć oraz ataków przez DBF Lista użytkowników Dostępne zasoby DB Źródła zapytań Szablony zapytań

18 Wymagane dane na temat incydentów

19 Przykłady wykrycia złożonych problemów przez Imperva DBF Nadmierne używanie kont współdzielonych Wyciek istotnych informacji Ograniczenie dostępu (np. Data Across Border) Eliminacja podatności (Virtual Patching) Zarządzanie zmianami Ochrona danych VIP

20 Możliwość tworzenia własnych szczegółowych reguł DBF

21 Zarządzanie zmianami Integracja z zewnętrznymi systemami, np. system biletów System biletowy definiuje ID Administrator przedstawia się biletem SecureSphere zczytuje ID Imperva dopuszcza użytkownika śledząc jego działania

22 Czy: 1. naprawdę wiesz gdzie są istotne informacje? 2. masz pewność, że wszyscy użytkownicy mają właściwe uprawnienia? 3. środowisko jest sprawdzone pod kontem poprawek, podatności i błędów konfiguracji? 4. zostałbyś powiadomiony o nietypowym zachowaniu w sieci? 5. DBA oraz administrator ma najwyższe uprawnienia, czy masz pewność że ich nie nadużywa? 6. wiedziałbyś, że ktoś starał się lub dostał do krytycznych danych?

23 Rozwiązanie DAM powinno dawaj: Separację obowiązków (SOD) Korelację logów ze wszystkich baz danych Efektywność (rozwiązanie sieciowe, bez opóźnień) Bezpieczną archiwizację Czytelne logi oraz wiele widoków Szybki zwrot inwestycji

24 Monitoring dostępu do istotnych informacji Definiowanie reguł rejestrowania transakcji Typ operacji Grupa tabel podlegających analizie Dostępne kryteria Identyfikacja danych na bazie gotowych wzorców, jak , CCNumber, hasła, lub zdefiniowanych przez użytkownika wyrażeń regularnych.

25 Monitoring dostępu do istotnych informacji Kompletny ślad zarejestrowanych zdarzeń Gdzie? Kto? Jak? Do czego? SecureSphere DAM posiada funkcję identyfikacji unikalnych użytkowników łączących się przez aplikacje Web do baz danych. System DAM posiada dodatkowo możliwość pobrania dodatkowych danych, np. na temat użytkowników z zewnętrznych źródeł, jak system biletowy, LDAP, bazy danych czy inne systemy, np. HR

26 Zalety wdrożenia specjalizowanego DAM zamiast natywnego rozwiązania producenta

27 Przykład wdrożenia SecureSphere jako DAM Scentralizowane zarządzanie Archiwizacja danych online / offline Skalowanie archiwów Wysoka wydajność + brak opóźnień Elastyczne wdrożenie Automatyzacja konfiguracji aplikacji agenta Śledzenie użytkowników aplikacji Najmniejszy wpływ na architekturę sieci przedsiębiorstwa Elastyczne wdrożenie Bez nadmiarowych replikacji Lekkie aplikacje agentów Filtrowanie również na warstwie agenta Pakiety ADC Insights dla aplikacji biznesowych

28 Dziesięć dobrych praktyk ochrony danych przed administratorami Poznaj środowisko i sklasyfikuj informacje Security and operations have to be separated nie ufaj natywnym rozwiązaniom Chroń przed złymi, monitoruj dobrych i uprzywilejowanych Sieć musi zrozumieć standardowe zachowania Nie da się aresztować IP Logi muszą być przydatne Dane wrażliwe są w bazach chroń je Informacje są często przekazywane przez aplikacje chroń je również Jak znaleźć igłę w stogu siana?

29 Podsumowanie Rozwiązanie problemów ochrony baz danych oraz informacji poprzez wykorzystanie narzędzi dedykowanych do ochrony w warstwie aplikacyjnej Ochrona techniczna Audyt wykorzystania Ochrona logiki Zarządzanie uprawnieniami Dostęp zewn. Klienci Partnerzy Intruz Identyfikacja oszustw Kontrola dostępu Dostęp wewn. Pracownicy Złośliwi użytkownicy Stacje skompromitowane Data Center Administratorzy Założeniem Imperva jest dostarczenie kompletnego rozwiązania

30 Dziękuję za uwagę!