1 Najskuteczniejsze sposoby zabezpieczania baz danych, w jaki sposób je monitorować oraz jak audytować InfoTRAMS „Fusion Tematyczny, Bazy Danych, Kariera.

Prezentacja na temat: "1 Najskuteczniejsze sposoby zabezpieczania baz danych, w jaki sposób je monitorować oraz jak audytować InfoTRAMS „Fusion Tematyczny, Bazy Danych, Kariera."— Zapis prezentacji:

1 1 Najskuteczniejsze sposoby zabezpieczania baz danych, w jaki sposób je monitorować oraz jak audytować InfoTRAMS „Fusion Tematyczny, Bazy Danych, Kariera I Prywatny Sprzęt W Pracy” Bartosz Kryński Dział Usług Profesjonalnych, Clico Sp. z o.o. bartosz.krynski@clico.pl

2 2 Plan wystąpienia  Zagrożenia dla środowisk bazodanowych i związanych z nimi aplikacji web  Aplikacyjny firewall web jako pierwszy krok do ochrony DB  Zarządzanie uprawnieniami użytkowników i testy podatności środowiska bazodanowego  Monitoring dostępu do kluczowych informacji –Jak je zdefiniować? –Co i jak zapisywać?  Możliwości ochrony baz danych przy użyciu systemu database firewall  Testy podatności systemów

3 3 Naruszania bezpieczeństwa w systemach informatycznych (m.in. nieupoważniony odczyt z bazy danych, modyfikacja i uszkodzenie danych; zablokowanie usług) odbywają się z wykorzystaniem podatności (m.in. błędów implementacji w systemach operacyjnych i aplikacjach, błędów w konfiguracji zabezpieczeń, niskim poziomie świadomości ludzi). W praktyce nie ma możliwości usunięcia wszystkich podatności systemów komputerowych, głównie z uwagi na ich dynamiczny rozwój (m.in. nowe słabo przetestowane wersje oprogramowania). Wprowadzenie

4 4 Klasyfikacja zagrożeń: 1.Ataki sieciowe (np. włamania i penetracje, ataki DoS) 2.Zagrożenia transmisji danych (np. podsłuch sieciowy, przechwytywanie sesji) 3.Zagrożenia aplikacyjne (np. wirusy, robaki, konie trojańskie) 4.Zagrożenia kryptograficzne (np. nieaktualne, bądź zagubione klucze szyfrowania) 5.Przeciek informacji (np. informacje o klauzuli tajności Tajne są dostępne dla systemu komputerowego o klauzuli Jawne) 6.Zagrożenia komunikacyjne (np. przeciążenia sieci, niewłaściwy ruting sieci) 7.Awarie techniczne (np. awaria sprzętu, błąd oprogramowania) 8.Błędy ludzi (np. błędy użytkowników, administratorów) 9.Zagrożenie fizyczne (np. kradzież, pożar, zalanie) 10.Ulot elektromagnetyczny

5 5 Techniki rekonesansu Często spotykane podatności:  DNS Zone Transfer (niepoprawna konfiguracja DNS, firewall zezwala TCP-53)  Anonimowe FTP z plikami konfiguracyjnymi  Niezabezpieczony hasłem Listener w bazie Oracle  Niezabezpieczone hasłem aplikacje Web do zarządzania  Informacje o sieci i zabezpieczeniach na stronach Web  Nieświadomi pracownicy  Agent SNMP  Stosowanie domyślnych haseł i kont

6 6 Przykład symulacji włamań serwera bazy danych Oracle 1. Audytor z wykorzystaniem niezabezpieczonego hasłem procesu Listener uzyskał informacje o systemie i bazie danych Oracle (wersja, katalogi) # tnscmd10g.pl version -h --indent # tnscmd10g.pl status -h --indent 2. Audytor wykorzystując standardowe konto w Oracle 'dbsnmp' z hasłem 'dbsnmp' uzyskał dostęp do bazy danych i odczytał hashe haseł użytkowników (m.in. sys i system) w celu uzyskania hasła administratora bazy # sqlplus dbsnmp/dbsnmp@ /spac (...) SQL> select username, password from dba_users; USERNAME PASSWORD ------------------------------ SYS................ SYSTEM................ (...) 3. Audytor dokonał sprawdzenia haseł w bazie Oracle (narzędzia 'checkpwd') 4. Audytor uzyskał hasło dostępu i zalogował się na konto administratora serwera bazy danych i odczytał plik z hashami haseł użytkowników # ssh # cd /etc/security # cat passwd 5. Audytor zatrzymał proces bazy danych Oracle Listener # tnscmd10g.pl stop -h

7 7 Zagrożenia dla aplikacji web Raport według OWASP TOP 10:  A1: Injection  A2: Cross-Site Scripting (XSS)  A3: Broken Authentication and Session Management  A4: Insecure Direct Object References  A5: Cross-Site Request Forgery (CSRF)  A6: Security Misconfiguration  A7: Insecure Cryptographic Storage  A8: Failure to Restrict URL Access  A9: Insufficient Transport Layer Protection  A10: Unvalidated Redirects and Forwards

8 8  Ataki HTTP są poprawnymi zapytaniami do aplikacji, nie do wykrycia przez zapory sieciowe  Protokół HTTP jest bezstanowy, aplikacje są stanowe, SSL utrudnia analizę zdarzeń  Zróżnicowanie aplikacji –nie ma przygotowanych sygnatur stricte dla TWOJEJ aplikacji  System zabezpieczeń MUSI analizować nie tylko zapytania, ale również odpowiedzi  Niewiedza nie jest błogosławieństwem –brak narzędzi w korporacjach analizy/rejestrowania/raportowania ataków dotyczących HTTP Wyzwania dla znanych systemów zabezpieczeń

9 9 Jak przeciwdziałać atakom / nadużyciom? Monitoring wykorzystania Kontrola dostępu Zarządzanie uprawnieniami Chronić przed atakiem Kontrola reputacji Wprowadzać poprawki

10 10 OCHRONA PRZED ATAKAMI Z ZEWNĄTRZ

11 11 1. Ochrona warstwy prezentacji… Czym jest WAF ?  Web Application Firewall (WAF) zabezpieczenia dedykowane do ochrony aplikacji Web  System zabezpieczeń WAF bazuje w głównej mierze na automatycznie tworzonym i aktualizowanym profilu aplikacji Web.  Tworzenie profilu ma na celu niezależne odwzorowanie oczekiwanych, poprawnych zachowań użytkowników przy dostępie do aplikacji/serwisu web

12 12 Typy oraz akceptowalna długość ciągu znaków 1. Ochrona warstwy prezentacji… Imperva Web Application Firewall – zasada działania URLe Katalogi Parametry, pola formularzy Metody Program podnoszenia poziomu świadomości w zakresie bezpieczeństwa teleinformatycznego wśród pracowników Grupy TP

13 13 Web Servers Firewall IPS …%20UNION%20SELECT%201%2C1%2Cusername%... Intruz User Data Center INTERNET 1. Ochrona warstwy prezentacji… Przykład ochrony przed atakami aplikacyjnymi WAF - Intruz wysyła do serwera odpowiednio spreparowane zapytanie - Firewall oraz IPS nie wykrywają anomalii, gdyż komunikacja odbywa się na dozwolonym porcie oraz nie ma aktywnej sygnatury blokującej ruch / zapytanie zostało wielokrotnie zakodowane - Imperva WAF wykrywa anomalię na podstawie nie tylko sygnatur, ale również: typu znaków wpisanych w pole formularza, długości wpisanej frazy oraz nieodpowiedniego kodowania URLa.

14 14 IDENTYFIKACJA PRZYDZIELONYCH UPRAWNIEŃ W BAZIE DANYCH

15 15 2. Zarządzanie uprawnieniami użytkowników Inspekcja uprawnień użytkowników jest jednym z podstawowych wymagań regulacji, jak PCI DSS czy SOX – Nadmierne, niewykorzystywane uprawnienia powinny być wyłączane ze względu na zwiększenie prawdopodobieństwa wystąpienia naruszeń / nadużyć

16 16 2. Zarządzanie uprawnieniami użytkowników Jak zatem analizować uprawnienia? DAM Kto? JAN Dept? Dane wrażliwe? CCTA B Credit Card Użytkownik Waga Dostęp Prawa dostępu Jeden widok: Kto, Co, Kiedy… JAN CCTA B update Jakie prawa? JAN CCTA B Kiedy wykorzystane? Klasyfikacja, URM (DB)

17 17 MONITORING DOSTĘPU DO ISTOTNYCH INFORMACJI

18 18 3. Monitoring dostępu do istotnych informacji Definicja i podstawowe wymagania na system DAM „While a number of tools can monitor various level of database activity, Database Activity Monitors are distinguished by five features:  The ability to independently monitor and audit all database activity, including administrator activity and SELECT transactions...  The ability to store this activity securely outside the database.  The ability to aggregate and correlate activity from multiple heterogeneous Database Management Systems … (e.g., Oracle, Microsoft, IBM) and normalize transactions from different DBMSs despite differences between SQL flavors.  4. The ability to enforce separation of duties on database administrators.  The ability to generate alerts on policy violations. Tools don't just record activity, they provide real-time monitoring and rule-based alerting...” Źródło: http://securosis.com/reports/DAM-Whitepaper-final.pdf

19 19 3. Monitoring dostępu do istotnych informacji Sposób identyfikacji kluczowych informacji Grupa tabel podlegających analizie Definiowanie reguł rejestrowania transakcji Typ operacji Dostępne kryteria Identyfikacja danych na bazie predefiniowanych wzorców, jak email, CCNumber, hasła, lub zdefiniowanych przez użytkownika wyrażeń regularnych.

20 20 3. Monitoring dostępu do istotnych informacji Zarejestrowane szczegóły zdarzeń  SecureSphere DAM posiada funkcję identyfikacji unikalnych użytkowników łączących się przez aplikacje Web do baz danych.  System DAM posiada dodatkowo możliwość pobrania dodatkowych danych, np. na temat użytkowników z zewnętrznych źródeł, jak system biletowy, LDAP, bazy danych czy inne systemy, np. HR Kompletny ślad zarejestrowanych zdarzeń Gdzie? Kto? Do czego? Jak?

21 21 KONTROLA I OGRANICZANIE DOSTĘPU DO BAZ DANYCH DLA GRUP UŻYTKOWNIKÓW

22 22 4. Database Firewall Ochrona baz danych vs. rejestracja zdarzeń DAM  Ile procent ruchu ma podlegać analizie w celu ochrony DB przed atakami?  Ile procent tego samego ruchu ma być zapisywanych w DAM? –30%? 50%? 80%?...  Ochrona i audyt MUSZĄ być różnymi procesami, analizowanymi osobno Ruch DB Wybiórczy audyt Sygnatury T Anomalia profilu Podejrzane zachowanie TT Program podnoszenia poziomu świadomości w zakresie bezpieczeństwa teleinformatycznego wśród pracowników Grupy TP N NN

23 23 4. Database Firewall Identyfikacja nietypowych zachowań użytkowników  Profil wykorzystania danych budowany na bazie analizy ruchu sieciowego  Automatyczna aktualizacja profilu w przypadku zmian uprawnień  Niezgodność ruchu ze zbudowanym profilem może generować alarm lub zablokowanie ruchu Obiekt Istotność Obserwowane ‘typowe’ zachowanie Program podnoszenia poziomu świadomości w zakresie bezpieczeństwa teleinformatycznego wśród pracowników Grupy TP

24 24 4. Database Firewall Egzekwowanie zdefiniowanych reguł dostępu Predefiniowane i/lub własne reguły Alarm przy próbie wykonania operacji uprzywilejowanej Kto wykonał polecenie? Zidentyfikowane zapytanie

25 25 TESTY PODATNOŚCI SYSTEMÓW

26 26 5. Testy podatności systemów Wymagania przedsiębiorstw i regulacji  Automatyczne wykrycie podatności produkcyjnych / testowych elementów związanych z bazami danych  Definiowanie priorytetów dla systemów  Analiza i eliminacja podatności  Analiza ryzyka

27 27 5. Testy podatności systemów Konfiguracja i wybór testów „Vulnerability Assessments”  Ponad 1500 testów dla różnych platform oraz DB  Testy aktualizowane przez zespół Imperva ADC Dodaj własne testy/skrypty Wbudowane testy podatności Predefiniowane oraz konfigurowalne grupy testów

28 28 5. Testy podatności systemów Zarządzanie wykrytymi podatnościami  Śledzenie, zarządzanie oraz eliminacja podatności w systemie zabezpieczeń  Usuwanie podatności poprzez Virtual Patch dzięki integracji z DBF Virtual Patching Data Risk Navigator

29 29 6. Architektura systemu SecureSphere

30 30 7. Podsumowanie Ochrona przy wykorzystaniu specjalizowanej warstwy zabezpieczeń SecureSphere:  Zabezpiecza dostęp każdą możliwą metodą (bezpośrednio do bazy, poprzez ‘grube’ aplikacje, architekturę trójwarstwową, serwisy web)  Posiada dodatkowe funkcje, jak serwis reputacyjny oraz szczegółowe informacje o źródle ataku  System oprócz aktywnej ochrony może niezależnie rejestrować dostęp do kluczowych informacji, zarówno w bazach danych jak i danych niestrukturalnych w plikach  Administrator posiada na jednej centralnej konsoli informacje z wielu warstw zabezpieczeń (WAF/DBF/FF), dzięki czemu możliwe jest generowanie spójnych raportów i eliminacja fałszywych alarmów

31 31 DZIĘKUJĘ ZA UWAGĘ