Upload
juan-carrillo
View
294
Download
2
Tags:
Embed Size (px)
DESCRIPTION
le invitamos a unirse a este Webcast On Demand, donde podrá aprender de los especialistas las mejores prácticas en la seguridad de los datos para evitar su ex filtración por amenazas y abusos de privilegios. Algunos de los temas que usted podrá escuchar son: La Seguridad y la Privacidad de los Datos Controles Preventivos (Encripción y Redacción, Enmascaramiento y Segmentación, Control de Usuarios Privilegiados, Seguridad en base a Etiquetas, Respaldos Seguros) Controles Detectivos (Monitoreo, Auditoría y Firewall de Base de Datos) Controles Administrativos (Descubrimiento y Clasificación de Datos Sensibles, Administración de llaves de Encripción, Administración de Privilegios, Administración de la Configuración) Lo invitamos a registrarse en cualquier momento y lugar: dando click en el siguiente link: Database Security Webcast On Demand
Citation preview
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Proteja los Datos más Sensiblesde su Empresa conOracle Database SecurityJuan Carlos CarrilloSecurity Sales SpecialistOracleSeptember, 2014
Webcast Database Security
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 2
Safe Harbor StatementThe following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 3
Today’s Speaker
• Juan Carlos Carrillo– Security Sales Specialist, Oracle
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 4
“故曰:知彼知己,百戰不殆;不知彼而知己,一勝一負;不知彼,不知己,每戰必殆。”
– 孫子
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 5
“Si conoces a los demás y te conoces a ti mismo, ni en cien batallas correrás peligro”
– Sun Tzu, General Militar, Estratega y Filosofo
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 6
Crimen Organizado
55%
Espionaje24%
Hacktivists2%
Source: Verizon Data Breach Investigations Report, 2013
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 7
Las violaciones internas representan casi el 70% de todos los incidentes
Source: 2013 Verizon Data Breach Investigations Report
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 8
Robo de Tarjetas de Pago (Credito y Debito)
$11BEN 2012
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 20120
2
4
6
8
10
12
PERDIDAS EN BILLONES DE DOLARES EN LA INDUSTRIA DE TARJETAS DE PAGO
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 9
D E L O S D A T O S S E N S I B L E S VIVEN EN BASES DE DATOS
66%
Webcast Database Security 10Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
De las fugas de información fueron detectados por programas de anti-virus o sistemas de prevención de intrusos
0%
Source: Verizon 2013 Data Breach Investigations Report
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 11
Los atacantes hackean via phishing a los provedores
1
El Malware envía los datos de tarjeta de credito a los propios servidores de archivos
5
El Malware busca información de tarjetas en texto claro (no cifrado)
4b
Buscan, encuentran e infectan los servidores de archivos
3Los atacantes usando credenciales robadas acceden al portal de provedores
2
Los datos son extraidos vía servidores de FTP
6
Encuentran e infectan los puntos de venta (POS) con malware
4a
PERIMETRO
Anatomía de una fuga de informaciónMillones de consumidores afectados
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 12
¿Por qué es importante la Seguridad de los Datos?
97% Evitables con Controles Simples
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 13
1. Inyecciones de SQL 2. Robo de Credenciales 3. Ataques de Fuerza Bruta
Los tres principales tipos de ataque
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 14
Escalada de privilegios a través de ataques de inyección SQL
Source: Online Web Application Security Project, 2014
Frecuente
Sencillo
Valioso
Riesgo#1
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 15
Ataques de Inyección de SQL
statement = "SELECT * FROM users WHERE name ='" + userName + "';"
1.El atacante inserta codigo malicioso (SQL) en el campo de aplicación web
2.SQL aprovecha la vulnerabilidad de la aplicación
3.La inyección comunica a través de la base de datos y lee / escribe a los datos
Name:
Address:
Phone:
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 16
Robo de Credenciales
1.Con un ataque de phishing a empleados privilegiadas o proveedores
2.Robo de credenciales de cuentas privilegiadas 3.
Utiliza las credenciales para acceder a datos sensibles, escondido debajo del radar
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 17
Las violaciones de datos están creciendo y las bases de datos son el objetivo
El crecimiento de fugas de información va de 53 millones de registros en 2005 a más de 250 millones de registros de datos personales el día de hoy
Credenciales robadas son la principal amenaza
“Bases de datos y servidores de archivos, son repositorios de información valiosa, los atacantes lo tienen como objetivo primario.”
Segundo objetivo más común de información privilegiada: las bases de datos
Source: Privacyrights.org; 2014 Verizon Data Breach Investigations Report
#1
Webcast Database SecurityCopyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Ejemplo: Ley Federal de Protección de Datos Personales en Posesión de Particulares
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 19
Ejemplo: LFPDPPP
• La Ley Federal de Protección de Datos Personales en Posesión de los Particulares en su articulo 19 menciona:
“Todo responsable que lleve a cabo tratamiento de datos personales deber establecer á́�y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.”
• Debido a que la mayoría de los datos personales de los individuos está en formato digital, el contar con un sistema de aseguramiento de las bases de datos es fundamental para el cumplimiento de la misma regulación, dichas medidas no pueden ser menores a aquellas que se mantienen para el manejo de su información.
La Seguridad como habilitador para proteger los Datos Personales
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 20
Ejemplo: LFPDPPP
• La Ley en el articulo 63, menciona que las vulneraciones a la seguridad de bases de datos constituyen infracciones a la Ley de hasta 21 millones de pesos (pueden duplicarse en caso de reincidencia y/o datos personales sensibles).
• A su vez el articulo 67, menciona las penas (3 meses a 3 años de prisón) a las que pueden ser objeto las personas que estando autorizados para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia.
Penas y Multas
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 21
Ejemplo: LFPDPPP
• El articulo 48 del Reglamento solicita que los responsables– Establecer un sistema de supervisión y vigilancia interna para comprobar el cumplimiento de las
políticas de privacidad. – Los reportes que la suite de seguridad en la base de datos Oracle ofrece entregarían dicha
información.
• A su vez el articulo 61 del Reglamento pide: – Llevar a cabo revisiones o auditorías
Medidas a Implementar
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 22
Ejemplo: LFPDPPP
• El mismo IFAI en su metodología de análisis de riesgos sugiere que el riesgo se vera disminuido si separamos la información en bases de datos de menor tamaño y que cada base de datos tenga una autenticación distinta.
• La misma metodología pide producir y almacenar registros de auditoría relacionados a las actividades de los usuarios, las excepciones, y eventos de seguridad, así como asegurar que los registros de auditoría no puedan modificarse.
• Descartar el acceso a los datos personales desde entornos que no sean específicamente necesarios aporta a la disminución del riesgo latente de los datos personales.
Metodología de Análisis de Riesgo (IFAI Marzo 2014)
http://inicio.ifai.org.mx/DocumentosdeInteres/Metodologia_de_Riesgo_BAA_marzo2014.pdf
Webcast Database SecurityCopyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Como mitigar el riesgo
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 24
Controles de Seguridad para Bases de Datos
Enmascaramiento y Segmentación
Control de Usuarios Privilegiados
Encripción y Redacción
PREVENTIVOS
Monitoreo de la Actividad
Firewall de Base de Datos
Auditoría y Reporteo
DETECTIVOS ADMINISTRATIVOS
Descubrimientode Privilegios y Datos
Administración de la Configuración
Administración de Llaves
Seguridad basada en Etiquetas
Respaldos Seguros
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 25
Licencias de los Controles de Seguridad
Masking and Subsetti ng
Database Vault
Advanced Security
PREVENTIVOS
Audit Vault and Database Firewall
DETECTIVOS ADMINISTRATIVOS
Enterprise Manager
Lifecycle Management
Key Vault
Label Security
Secure Backup
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 26
Oracle Advanced Security
• Encripción Transparente de Datos• Previene acceso a datos en reposo• No requiere cambios en la aplicación• Gestión de llaves de dos niveles• Sobrecarga con hardware
“Cercana a Cero”• Integración con tecnologías Oracle
– Ej. Exadata, Advanced Compression, ASM, GoldenGate, DataPump, etc.
Encripción Transparente de Datos para Ambientes Productivos
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 27
Oracle Advanced Security
• Redacción de datos sensibles en tiempo real basada en el contexto de la sesión de la base de datos
• Librería de políticas de redacción y definición de políticas apunta-y-clic
• Aplicación consistente, políticas aplicadas a los datos
• Transparente para las aplicaciones, usuarios, y actividades operacionales
Redacción de Datos para Ambientes Productivos
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 28
Oracle Data Masking and Subsetting
• Reemplaza datos sensibles de aplicación• Integridad referecial
detectada/preservada• Librería de plantillas y formatos
extensible• Plantillas de aplicación disponibles• Soporte a enmascaramiento de datos en
bases de datos no-Oracle(My SQL, Sybase, Microsoft, IBM)
Segmentación, Despersonalización y Enmascaramiento de Datos para Ambientes no Productivos y Bases de Datos Heterogéneas
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 29
Oracle Database Vault
• Limita el acceso del DBA a datos de aplicación
• Reglas Multi-factor de comandos SQL• Los reinos crean zonas de protección• Aplicación del gobierno de datos
empresarial, privilegios mínimos, segregación de funciones
• Políticas de aplicación incluidas
Control de Usuarios Privilegiados
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 30
Oracle Label Security
• Particionamiento virtual de la información para ambientes de Nube, SaaS, y Hosteo
• Clasificación de usuarios y datos usando etiquetas
• Etiquetas basadas en impulsores del negocio
• Control de acceso automáticamente aplicado a nivel de filas, transparente a las aplicaciones
• Las etiquetas pueden ser factores en otras políticas
Seguridad en base al Etiquetamiento de Datos
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 31
Administración de Respaldos Seguros de la Base de Datos hacia Cintas, NAS, la Nube de Amazon S3 y Exadata
Oracle Secure Backup
Librería Virtual de Cintas (VTL)Librería de Cintas
Servidor(es) de Media
LAN
Clientes
UNIX / Linux / Windows
Almacenamiento
ConectividadDirectamente Adjutna
(SCSI o SAS)
NAS
Servidor deAdministración
Exadata
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 32
Oracle Audit Vault and Database Firewall
• Monitoreo del tráfico de red, detección y bloqueo de actividad no autorizada
• Análisis altamente preciso de la gramática SQL
• Posibilidad de detectar/parar ataques de inyección SQL
• Enfoque de listas blancas para ejecutar la actividad
• Listas negras para controlar actividad de alto riesgo
• Appliance de software seguro y escalable
Monitoreo de la Actividad y Firewall de BD
Aplicaciones
Bloquear
RegistrarPermitir
AlertarSubstituir
ListasBlancas
ListasNegras
AnálisisSQL
Factoresde Políticas
Usuarios
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 33
Oracle Audit Vault and Database Firewall
• Repositorio seguro centralizado entregado como un appliance de software seguro y escalable
• Alertamiento poderoso - umbrales, agrupación-por
• Reportes incluidos y personalizados• Reporteo multi-fuente consolidado• Segregación de funciones de
granularidad fina
Auditoría, Reporteo y Alertas en Tiempo Real
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 34
Detección de Amenazas, Monitoreo de la Actividad y AuditoríaOracle Audit Vault and Database Firewall
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 35
Administración centralizada de llaves,Secrets, Oracle Wallets, Java Keystores, y más
Oracle Key Vault
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 36
Oracle Database Vault
• Activación del modo de captura de privilegios
• Reporteo sobre roles y privilegios actualmente usados en la base de datos
• Ayuda a revocar privilegios no necesarios
• Aplicación del menor privilegio y reducción del riesgo
• Incremento de la seguridad sin disrupción
Análisis de Roles y Privilegios
Análisis de Privilegios
Create…Drop…Modify…DBA roleAPPADMIN role
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 37
Oracle Enterprise Manager
• Escaneo de Oracle en busca de datos sensibles
• Definiciones de datos extensibles incluidas
• Descubrimiento de modelos de datos de aplicación
• Adecuada protección de datos sensibles: encriptar, redactar, enmascarar, auditar…
Descubrimiento de Bases de Datos y sus Datos Sensibles
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 38
Oracle Database Lifecycle Manager
• Descubrimiento y clasificación de bases de datos
• Escaneo por mejores prácticas y estándares
• Detección de cambios no autorizados
• Remediación automatizada
• Parcheo y aprovisionamiento
Administración de la Configuración de Bases de Datos
Descubrimiento
0 25 50 10
0
Number of servers
0 25 50 100
Number of CPUs
0 25 50 100
Memory
0 25 50 100
Local Storage (GB)
Escaneo yMonitoreo
Parcheo
$100K
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 39
Diagrama Conceptual
***
Firewall de Base de Datos
Respaldos Seguros
Análisis de Privilegios
Controles de Usuarios Privilegiados
Bóveda de Llaves
Bóveda de Auditoría
Auditoríay Eventos
Enmascaramiento
Encripción
Redacción
Etiquetamiento
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
Apps
Users
Advanced SecurityData Redaction
Data MaskingAdvanced Security TDE
Database VaultPrivilege Analysis
Database VaultPrivileged User Controls
OS & Storage DirectoriesDatabases Custom
Audit Data & Event Logs
Database Firewall
Reports
Alerts
Audit Vault
Policies
Events
Arquitectura de Seguridad
40
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 41
Acciones a realizar
Encontrar los datos sensibles y quien tiene acceso a ellos
Evitar el acceso no autorizado a los datos
Detectar comportamiento anómalo e informarlo
1
2
3
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |42
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Juan Carlos Carrillo || +52155-9195-5437 ||
@juan_carrillo || [email protected] ||
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Webcast Database Security 44