Proteja los Datos más Sensibles

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |

Proteja los Datos más Sensiblesde su Empresa conOracle Database SecurityJuan Carlos CarrilloSecurity Sales SpecialistOracleSeptember, 2014

Webcast Database Security

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 2

Safe Harbor StatementThe following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.


Today’s Speaker

• Juan Carlos Carrillo– Security Sales Specialist, Oracle


“故曰：知彼知己，百戰不殆；不知彼而知己，一勝一負；不知彼，不知己，每戰必殆。”

– 孫子


“Si conoces a los demás y te conoces a ti mismo, ni en cien batallas correrás peligro”

– Sun Tzu, General Militar, Estratega y Filosofo


Crimen Organizado

55%

Espionaje24%

Hacktivists2%

Source: Verizon Data Breach Investigations Report, 2013


Las violaciones internas representan casi el 70% de todos los incidentes

Source: 2013 Verizon Data Breach Investigations Report


Robo de Tarjetas de Pago (Credito y Debito)

$11BEN 2012

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 20120

2

4

6

8

10

12

PERDIDAS EN BILLONES DE DOLARES EN LA INDUSTRIA DE TARJETAS DE PAGO


D E L O S D A T O S S E N S I B L E S VIVEN EN BASES DE DATOS

66%

Webcast Database Security 10Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |

De las fugas de información fueron detectados por programas de anti-virus o sistemas de prevención de intrusos

0%

Source: Verizon 2013 Data Breach Investigations Report


Los atacantes hackean via phishing a los provedores

1

El Malware envía los datos de tarjeta de credito a los propios servidores de archivos

5

El Malware busca información de tarjetas en texto claro (no cifrado)

4b

Buscan, encuentran e infectan los servidores de archivos

3Los atacantes usando credenciales robadas acceden al portal de provedores

2

Los datos son extraidos vía servidores de FTP

6

Encuentran e infectan los puntos de venta (POS) con malware

4a

PERIMETRO

Anatomía de una fuga de informaciónMillones de consumidores afectados


¿Por qué es importante la Seguridad de los Datos?

97% Evitables con Controles Simples


1. Inyecciones de SQL 2. Robo de Credenciales 3. Ataques de Fuerza Bruta

Los tres principales tipos de ataque


Escalada de privilegios a través de ataques de inyección SQL

Source: Online Web Application Security Project, 2014

Frecuente

Sencillo

Valioso

Riesgo#1


Ataques de Inyección de SQL

statement = "SELECT * FROM users WHERE name ='" + userName + "';"

1.El atacante inserta codigo malicioso (SQL) en el campo de aplicación web

2.SQL aprovecha la vulnerabilidad de la aplicación

3.La inyección comunica a través de la base de datos y lee / escribe a los datos

Name:

Address:

Phone:


Robo de Credenciales

1.Con un ataque de phishing a empleados privilegiadas o proveedores

2.Robo de credenciales de cuentas privilegiadas 3.

Utiliza las credenciales para acceder a datos sensibles, escondido debajo del radar


Las violaciones de datos están creciendo y las bases de datos son el objetivo

El crecimiento de fugas de información va de 53 millones de registros en 2005 a más de 250 millones de registros de datos personales el día de hoy

Credenciales robadas son la principal amenaza

“Bases de datos y servidores de archivos, son repositorios de información valiosa, los atacantes lo tienen como objetivo primario.”

Segundo objetivo más común de información privilegiada: las bases de datos

Source: Privacyrights.org; 2014 Verizon Data Breach Investigations Report

#1

Webcast Database SecurityCopyright © 2014, Oracle and/or its affiliates. All rights reserved. |

Ejemplo: Ley Federal de Protección de Datos Personales en Posesión de Particulares


Ejemplo: LFPDPPP

• La Ley Federal de Protección de Datos Personales en Posesión de los Particulares en su articulo 19 menciona:

“Todo responsable que lleve a cabo tratamiento de datos personales deber establecer á́�y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.”

• Debido a que la mayoría de los datos personales de los individuos está en formato digital, el contar con un sistema de aseguramiento de las bases de datos es fundamental para el cumplimiento de la misma regulación, dichas medidas no pueden ser menores a aquellas que se mantienen para el manejo de su información.

La Seguridad como habilitador para proteger los Datos Personales


Ejemplo: LFPDPPP

• La Ley en el articulo 63, menciona que las vulneraciones a la seguridad de bases de datos constituyen infracciones a la Ley de hasta 21 millones de pesos (pueden duplicarse en caso de reincidencia y/o datos personales sensibles).

• A su vez el articulo 67, menciona las penas (3 meses a 3 años de prisón) a las que pueden ser objeto las personas que estando autorizados para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia.

Penas y Multas


Ejemplo: LFPDPPP

• El articulo 48 del Reglamento solicita que los responsables– Establecer un sistema de supervisión y vigilancia interna para comprobar el cumplimiento de las

políticas de privacidad. – Los reportes que la suite de seguridad en la base de datos Oracle ofrece entregarían dicha

información.

• A su vez el articulo 61 del Reglamento pide: – Llevar a cabo revisiones o auditorías

Medidas a Implementar


Ejemplo: LFPDPPP

• El mismo IFAI en su metodología de análisis de riesgos sugiere que el riesgo se vera disminuido si separamos la información en bases de datos de menor tamaño y que cada base de datos tenga una autenticación distinta.

• La misma metodología pide producir y almacenar registros de auditoría relacionados a las actividades de los usuarios, las excepciones, y eventos de seguridad, así como asegurar que los registros de auditoría no puedan modificarse.

• Descartar el acceso a los datos personales desde entornos que no sean específicamente necesarios aporta a la disminución del riesgo latente de los datos personales.

Metodología de Análisis de Riesgo (IFAI Marzo 2014)

http://inicio.ifai.org.mx/DocumentosdeInteres/Metodologia_de_Riesgo_BAA_marzo2014.pdf

http://inicio.ifai.org.mx/DocumentosdeInteres/Metodologia_de_Riesgo_BAA_marzo2014.pdf

Webcast Database SecurityCopyright © 2014, Oracle and/or its affiliates. All rights reserved. |

Como mitigar el riesgo


Controles de Seguridad para Bases de Datos

Enmascaramiento y Segmentación

Control de Usuarios Privilegiados

Encripción y Redacción

PREVENTIVOS

Monitoreo de la Actividad

Firewall de Base de Datos

Auditoría y Reporteo

DETECTIVOS ADMINISTRATIVOS

Descubrimientode Privilegios y Datos

Administración de la Configuración

Administración de Llaves

Seguridad basada en Etiquetas

Respaldos Seguros


Licencias de los Controles de Seguridad

Masking and Subsetti ng

Database Vault

Advanced Security

PREVENTIVOS

Audit Vault and Database Firewall

DETECTIVOS ADMINISTRATIVOS

Enterprise Manager

Lifecycle Management

Key Vault

Label Security

Secure Backup


Oracle Advanced Security

• Encripción Transparente de Datos• Previene acceso a datos en reposo• No requiere cambios en la aplicación• Gestión de llaves de dos niveles• Sobrecarga con hardware

“Cercana a Cero”• Integración con tecnologías Oracle

– Ej. Exadata, Advanced Compression, ASM, GoldenGate, DataPump, etc.

Encripción Transparente de Datos para Ambientes Productivos


Oracle Advanced Security

• Redacción de datos sensibles en tiempo real basada en el contexto de la sesión de la base de datos

• Librería de políticas de redacción y definición de políticas apunta-y-clic

• Aplicación consistente, políticas aplicadas a los datos

• Transparente para las aplicaciones, usuarios, y actividades operacionales

Redacción de Datos para Ambientes Productivos


Oracle Data Masking and Subsetting

• Reemplaza datos sensibles de aplicación• Integridad referecial

detectada/preservada• Librería de plantillas y formatos

extensible• Plantillas de aplicación disponibles• Soporte a enmascaramiento de datos en

bases de datos no-Oracle(My SQL, Sybase, Microsoft, IBM)

Segmentación, Despersonalización y Enmascaramiento de Datos para Ambientes no Productivos y Bases de Datos Heterogéneas


Oracle Database Vault

• Limita el acceso del DBA a datos de aplicación

• Reglas Multi-factor de comandos SQL• Los reinos crean zonas de protección• Aplicación del gobierno de datos

empresarial, privilegios mínimos, segregación de funciones

• Políticas de aplicación incluidas

Control de Usuarios Privilegiados


Oracle Label Security

• Particionamiento virtual de la información para ambientes de Nube, SaaS, y Hosteo

• Clasificación de usuarios y datos usando etiquetas

• Etiquetas basadas en impulsores del negocio

• Control de acceso automáticamente aplicado a nivel de filas, transparente a las aplicaciones

• Las etiquetas pueden ser factores en otras políticas

Seguridad en base al Etiquetamiento de Datos


Administración de Respaldos Seguros de la Base de Datos hacia Cintas, NAS, la Nube de Amazon S3 y Exadata

Oracle Secure Backup

Librería Virtual de Cintas (VTL)Librería de Cintas

Servidor(es) de Media

LAN

Clientes

UNIX / Linux / Windows

Almacenamiento

ConectividadDirectamente Adjutna

(SCSI o SAS)

NAS

Servidor deAdministración

Exadata


Oracle Audit Vault and Database Firewall

• Monitoreo del tráfico de red, detección y bloqueo de actividad no autorizada

• Análisis altamente preciso de la gramática SQL

• Posibilidad de detectar/parar ataques de inyección SQL

• Enfoque de listas blancas para ejecutar la actividad

• Listas negras para controlar actividad de alto riesgo

• Appliance de software seguro y escalable

Monitoreo de la Actividad y Firewall de BD

Aplicaciones

Bloquear

RegistrarPermitir

AlertarSubstituir

ListasBlancas

ListasNegras

AnálisisSQL

Factoresde Políticas

Usuarios


Oracle Audit Vault and Database Firewall

• Repositorio seguro centralizado entregado como un appliance de software seguro y escalable

• Alertamiento poderoso - umbrales, agrupación-por

• Reportes incluidos y personalizados• Reporteo multi-fuente consolidado• Segregación de funciones de

granularidad fina

Auditoría, Reporteo y Alertas en Tiempo Real


Detección de Amenazas, Monitoreo de la Actividad y AuditoríaOracle Audit Vault and Database Firewall


Administración centralizada de llaves,Secrets, Oracle Wallets, Java Keystores, y más

Oracle Key Vault


Oracle Database Vault

• Activación del modo de captura de privilegios

• Reporteo sobre roles y privilegios actualmente usados en la base de datos

• Ayuda a revocar privilegios no necesarios

• Aplicación del menor privilegio y reducción del riesgo

• Incremento de la seguridad sin disrupción

Análisis de Roles y Privilegios

Análisis de Privilegios

Create…Drop…Modify…DBA roleAPPADMIN role


Oracle Enterprise Manager

• Escaneo de Oracle en busca de datos sensibles

• Definiciones de datos extensibles incluidas

• Descubrimiento de modelos de datos de aplicación

• Adecuada protección de datos sensibles: encriptar, redactar, enmascarar, auditar…

Descubrimiento de Bases de Datos y sus Datos Sensibles


Oracle Database Lifecycle Manager

• Descubrimiento y clasificación de bases de datos

• Escaneo por mejores prácticas y estándares

• Detección de cambios no autorizados

• Remediación automatizada

• Parcheo y aprovisionamiento

Administración de la Configuración de Bases de Datos

Descubrimiento

0 25 50 10

0

Number of servers

0 25 50 100

Number of CPUs

0 25 50 100

Memory

0 25 50 100

Local Storage (GB)

Escaneo yMonitoreo

Parcheo

$100K


Diagrama Conceptual

***

Firewall de Base de Datos

Respaldos Seguros

Análisis de Privilegios

Controles de Usuarios Privilegiados

Bóveda de Llaves

Bóveda de Auditoría

Auditoríay Eventos

Enmascaramiento

Encripción

Redacción

Etiquetamiento

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.

Apps

Users

Advanced SecurityData Redaction

Data MaskingAdvanced Security TDE

Database VaultPrivilege Analysis

Database VaultPrivileged User Controls

OS & Storage DirectoriesDatabases Custom

Audit Data & Event Logs

Database Firewall

Reports

Alerts

Audit Vault

Policies

Events

Arquitectura de Seguridad

40


Acciones a realizar

Encontrar los datos sensibles y quien tiene acceso a ellos

Evitar el acceso no autorizado a los datos

Detectar comportamiento anómalo e informarlo

1

2

3

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |42

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |

Juan Carlos Carrillo || +52155-9195-5437 ||

@juan_carrillo || [email protected] ||

mailto:[email protected]


Business

Proteja los Datos más Sensibles