-
© 2012 IBM Corporation
IBM Security Systems
1 © 2015 IBM Corporation
IBM Guardium – безопасность СУБД
Кириченко Денис
-
© 2015 IBM Corporation
IBM Security Systems
2
Содержание
• Что такое Guardium?
• Краткий обзор
• Лицензирование
• Новый уникальный функционал
-
© 2015 IBM Corporation
IBM Security Systems
3
Что такое Guardium?
Защита и мониторинг СУБД в реальном времени
-
© 2015 IBM Corporation
IBM Security Systems
4
Зачем нужен Guardium?
Внешние угрозы
• Предотвращение кражи данных
• Неавторизованные изменения
• Предотвращение утечек данных
Нормативные требования
• Упрощение процессов
• Сокращение затрат
Уменьшение нагрузки на СУБД
• Замена нативного аудита
• Сокращение затрат
-
© 2015 IBM Corporation
IBM Security Systems
5
Нормативные требования
• Как обеспечить конфиденциальность персональных данных
(152-ФЗ)?..
• Как отслеживать доступ к информации о платёжных картах
(PCI-DSS)?..
• Как гарантировать достоверность финансовой отчётности
(SOX)?..
• Как контролировать администраторов баз данных?..
• Как соответствовать корпоративным регламентам и стандартам
ИБ?..
+ = ?
Как пройти аудит?..
-
© 2015 IBM Corporation
IBM Security Systems
6
Функционал Guardium – Database Activity Monitoring (DAM)
Мониторинг активности СУБД, то есть:
• Аудит запросов к БД
• Аудит извлекаемой информации
• Аудит ошибок и исключений
• Блокирование нежелательной активности
• Контроль изменений в БД
• Анализ уязвимостей СУБД
• Поиск критичных данных
• И другое...
-
© 2015 IBM Corporation
IBM Security Systems
7
Архитектура – 2 компонента
-
© 2015 IBM Corporation
IBM Security Systems
8
Guardium - Мониторинг БД в реальном времени
• Продуманная архитектура
• Вне базы данных
• Минимальное влияние на
производительность (3 - 5%)
• Не нужно менять БД и приложение
• Универсальное решение для разных СУБД
• 100% контроля, включая локальный доступ DBA
• Обеспечивает разграничение полномочий
• Не полагается на логи в БД, которые могут
быть стерты злоумышленниками
• Детальные политики и аудит в реальном
времени
• Кто, что, когда, как
• Автоматическая отчетность (SOX, PCI,
NIST, и т.д.)
-
© 2015 IBM Corporation
IBM Security Systems
9
Политика безопасности
Состоит из правил
Может использоваться несколько политик
Набор встроенных политик
Может быть сформирована автоматически
Правило – критерии срабатывания и реакции
Правила трёх типов:
- доступ (запросы)
- извлечение (ответы)
- исключение (ошибки)
-
© 2015 IBM Corporation
IBM Security Systems
10
Отчёты и оповещения
Корреляционные
оповещения
(по заданному порогу)
Оповещения в реальном
времени (правила политики)
-
© 2015 IBM Corporation
IBM Security Systems
11
Оценка уязвимости
Активностьв БД
ОС
Тесты
Разрешения
Роли
Конфигурации
Версии
Частные тесты
Файлы конфигурации
Переменные среды
Значения в реестре
Частные тесты
БД
Основана на промышленных стандартах (наборы тестов CVE, STIG
&
CIS)
Настраиваемая (возможность создания частных тестов)
Скрипты ОС, SQL-запросы к СУБД, файлы...
Проверки различных типов обеспечивают широкое покрытие
уязвимостей:
Конфигурация СУБД
Файлы ОС
Активность в СУБД
Активностьв БД
ОС
Тесты
Разрешения
Роли
Конфигурации
Версии
Частные тесты
Файлы конфигурации
Переменные среды
Значения в реестре
Частные тесты
БД
-
© 2015 IBM Corporation
IBM Security Systems
12
Оценка уязвимости
Тренд
Общая
оценка
Детализированная
таблица
Фильтрация
результатов
-
© 2015 IBM Corporation
IBM Security Systems
13
Масштабируемая архитектура
Централизованное управление
– Политики выдаются на коллекторы с центрального сервера
Сбор данных
– Коллекторы собирают данные в центральный репозиторий
Различные платформы
– Унифицированный сбор данных
Запрет действий (S-Gate)
– Предотвращение несанкционированного доступа к важной
информации
Поддержка разных СУБД
– Oracle, DB2, SQL Server, Sybase, и т.д.
Test and Development
Интеграция с LDAP,
IAM, IBM Tivoli,
…SIEM, IBM TSM,
Remedy
-
© 2015 IBM Corporation
IBM Security Systems
14
Интеграция с инфраструктурой
Оповещеия в SIEM
- Qradar, Tivoli, ArcSight, EnVision, etcСлужбы каталогов
(Active Directory, LDAP, etc)
Сигнал в
SIEM
Группы аутентификации
Long Term Storage
Tivoli TSM, EMC Centera
FTP, SCP, etc
Резервные копии
Сервера приложений
Oracle EBS, SAP, Siebel,
Cognos, PeopleSoft, etc
Оценка уязвимостей
-CVE #’s, CIS Benchmark, STIGРезвертывание ПО
Tivoli, RPM’s, Native Distributions
Пользователи с правами
изменения процесса контроля
Автоматическая установка ПО
SNMP Monitoring Systems
Tivoli Netcool, Openview, etc
Выделение пользователей
(DB Pooled Connection)
Утечки данных
Критические
данные- ---- - - - - --
---- - - - - - - -
IT Service Management
- Remedy, Peregrine, etc
-
© 2015 IBM Corporation
IBM Security Systems
15
Стравнение со встроенными средствами
Уменьшение нагрузки на DBA
Аудит извлекаемых данных
Реагирование в реальном времени
Разграничение обязанностей (SoD)
Минимальная нагрузка на СУБД
Поддержка различных СУБД
ФункционалВстроенные
средства IBM Guardium
Мониторинг пользователей приложений
Централизация и агрегация
-
© 2015 IBM Corporation
IBM Security Systems
16
В Итоге - Решение Guardium
• Мониторинг транзакций СУБД в реальном времени
• Упрощение прохождения аудита и соответствия SOX, PCI-DSS
• Управление изменениями БД
• Управление уязвимостями СУБД
• Предотвращение утечки данных из БД
-
© 2015 IBM Corporation
IBM Security Systems
17
Лицензирование
-
© 2015 IBM Corporation
IBM Security Systems
18
Новый функционал – Quick Search
• Подобно поиску Google
• Динамический анализ «что если?» сценариев
• Поиск определенного выражения/запроса
• Использование условий: и, или, отрицание..
• Сортировка результатов: что, кто, когда, где..
• Поиск по разной активности: Все, СУБД активность, исключения,
нарушения
• Интерактивное добавление значений в поиск
-
© 2015 IBM Corporation
IBM Security Systems
19
Новый функционал – Quick Search
-
© 2015 IBM Corporation
IBM Security Systems
20
Новый функционал – Outlier Detection
• Поиск анамального поведения в большом количестве данных
• Адаптивный динамический алгоритм для моделирования шаблона
поведения поступающих данных (Machine Learning)
• Возможность интерактивного расследования подозрительного
поведения
• Результаты доступны через Quick Search и обычную
отчетность
-
© 2015 IBM Corporation
IBM Security Systems
21
Новый функционал – Outlier Detection
-
© 2015 IBM Corporation
IBM Security Systems
22
Новый функционал – Outlier Detection(детализация)
-
© 2015 IBM Corporation
IBM Security Systems
23
Новый функционал – Dynamic Data Masking for Databases (Query
Rewrite)
Горизонтально – по строкам
Вертикально – по колонкам
Маскирование значений – замена значений
-
© 2015 IBM Corporation
IBM Security Systems
24
Новый функционал – Enterprise Quick Search with Status View
Сервера имеют размерную и цветовую кодировкупо количесву данных
и статусу мониторинга
-
© 2015 IBM Corporation
IBM Security Systems
25
Новый функционал – Investigation Dashboard
Обзор интесивностипо разным комбинациям параметров
-
© 2015 IBM Corporation
IBM Security Systems
26
Новый функционал – новый UI(до и после)
-
© 2015 IBM Corporation
IBM Security Systems
27
Новый функционал – новый UI
-
© 2015 IBM Corporation
IBM Security Systems
28
Вопросы?
