Schutz sensibler Daten – egal “was, wie, wann und vor wem…!”

Schutz sensibler Daten –
egal “was, wie, wann und
vor wem…!”
ComProSec AG
Industriestrasse 24
CH-8404 Winterthur
Tel.: +41 (0)52 235 07 55
Fax: +41 (0)52 235 07 59
ComProSec SA
Monténa 85
CH-1728 Rossens
Tel.: +41 (0)26 411 47 77
Fax: +41 (0)26 411 48 32
SIGS Special Event: 5. Oktober 2016
ComProSec
Die ComProSec AG…
-
ist spezilisiert in den Bereichen IT Security Monitoring, Governance Risk & Compliance und sichere
Zugangslösungen
-
betreut Kunden mittlerer und grosser Unternehmen & Organisationen (Nahrungsmitel, Finanzdienstleistung,
Versicherung, Transport, Industrie, öffentlicher Bereich) aus der Schweiz und dem nahen Ausland
-
deckt deren Bedarf an Lösungen aus unseren Kernbereichen zusammen mit firmeneigenen Spezialisten
-
zählt auf die Kompetenz und das Know-How ihrer in sämtlichen Kernbereichen zertifizierten System-Engineers
-
lebt den Service, die Kunden individuell zu begleiten (Planung, Implementierung, Unterhalt, Schulung)
-
unterstützt nach Wunsch zudem den Betrieb der Lösungen während der Gesamtlaufzeit (bedarfsorientiert)
 Unser Erfolg basiert auf zufriedenen Kunden und Mitarbeitern.
ComProSec Confidential Information - © Copyright ComProSec AG.
Unsere Fachgebiete*
Monitoring & Vulnerability Assessment
•
Security Information and Event Management (SIEM)
•
Flow Monitoring
•
Datenbank Monitoring (DAM)
•
File Activity Monitoring (FAM)
•
Monitoring und Analyse von Packetdaten
Governance Risk & Compliance
•
Management unterschiedlicher Risiken auf einer Plattform
Sichere Zugangslösungen
•
Sicherer Zugriff für Anwender auf Cloud- und Unternehmensanwendungen
ComProSec Confidential Information - © Copyright ComProSec AG.
Ausgangslage
• Was sind sensible Daten?
• Wo befinden sich diese sensiblen Daten?
• Wie können wir diese schützen?
ComProSec Confidential Information - © Copyright ComProSec AG.
Lösungsansatz
Indem wir den Zugriff auf die Daten überwachen
und (wenn nötig) sperren…
ComProSec Confidential Information - © Copyright ComProSec AG.
SIEM für die Überwachung von sensiblen Daten
“Können wir nicht unser eigenes SIEM System verwenden?
Uns hat der Hersteller bei der Evaluation doch versprochen, dass
wir auch Datenbanken überwachen können…”
Logs von:
-
Security Devices
Servern & Hosts
Applikationen
…
Bedrohung
SIEM
Flows von:
-
Netzwerk Devices
Security Devices
…
ComProSec Confidential Information - © Copyright ComProSec AG.
Eine Lösung für alle Anforderungen
Databases
Databases and
Data Warehouses
Big Data
Platforms
File
Systems
Monitoring Layer
Collection Layer
Aggregation Layer
Central Manager
ComProSec Confidential Information - © Copyright ComProSec AG.
Die Lösung – Monitoring des Datenverkehrs*
Databases and
Data Warehouses
Big Data
Platforms
File
Systems
Monitoring Layer
Collection Layer
Aggregation Layer
Central Manager
Monitoring des Datenverkehrs
Netzwerk TAP oder SPAN Port
Shared Memory
System OS Agent/Driver
System OS Agent/Driver
Wird einmal pro Maschine auf OS-Ebene installiert (Kernel Modul) und von allen
Datenbank-Instanzen auf der Maschine benutzt
* überwacht (hooking) die Kommunikations-Mechanismen zwischen
Datenbank Client und Server
* “sieht” dadurch alle Datenbank-Zugriffe
* minimale Systembelastung von typischerweise 3%
ComProSec Confidential Information - © Copyright ComProSec AG.
Die Lösung – Sammeln der Daten
Databases and
Data Warehouses
Big Data
Platforms
File
Systems
Monitoring Layer
Collection Layer
Aggregation Layer
Central Manager
Sammeln der Daten
Sammeln und analysieren der Daten
in Echtzeit
Speichern der Daten zur weiteren
Analyse und für die Alarmierung
ComProSec Confidential Information - © Copyright ComProSec AG.
Die Lösung – Aggregieren der Daten
Databases and
Data Warehouses
Big Data
Platforms
File
Systems
Monitoring Layer
Collection Layer
Aggregation Layer
Central Manager
Aggregieren der Daten
Sammeln und zusammenführen der
Daten von mehreren Kollektoren
(und Aggregatoren)
ComProSec Confidential Information - © Copyright ComProSec AG.
Die Lösung – Zentrales Management
Databases and
Data Warehouses
Big Data
Platforms
File
Systems
Monitoring Layer
Collection Layer
Aggregation Layer
Central Manager
Zentrales Management
Sammeln und zusammenführen der
Daten von:
- Einem oder mehreren Kollektoren
- Einem oder mehreren
Aggregatoren
 Ganzheitliche Sicht auf die
gesamte Installation
ComProSec Confidential Information - © Copyright ComProSec AG.
Für spezielle Situationen - Zugang blockieren
1 Issue
SQL
5 Connection
X terminated
4 Policy Violation:
Drop Connection
2 Hold
SQL
3 Check
Policy
ComProSec Confidential Information - © Copyright ComProSec AG.
Administration
“Und jetzt? Die Administration dieses Systems ist
doch ein Albtraum…!”
ComProSec Confidential Information - © Copyright ComProSec AG.
Policies, Reports, Alerts, Investigations…
Policies
Investigations
Reports
ComProSec Confidential Information - © Copyright ComProSec AG.
Enterprise Search
 Local Search – search on the connected Managed Unit
(Appliance)
 Distributed Search – search in the whole environment
ComProSec Confidential Information - © Copyright ComProSec AG.
Lifecycle workflow: Discover, review, schedule, protect
Scenario- based task flow to discover and protect sensitive data
Creates a classification
process and policy
Creates a security policy
Creates an audit process
with receivers and a
schedule
ComProSec Confidential Information - © Copyright ComProSec AG.
Outlier Detection*
ComProSec Confidential Information - © Copyright ComProSec AG.
Threat Diagnostics Center*
Specialized threat detection analytics power the new Threat
Diagnostics Center, helping spot attack symptoms early.
First 2 Use Cases for the Diagnostics Center:
- SQL injections
- Malicious stored procedures
• Scans and analyzes data to detect
symptoms of data repository attacks
• Looks for specific patterns of events
and behaviors that indicate trouble
• Identifies both SQL injections and
malicious stored procedures
• Remains current and flexible, because
it does not rely on attack signature
dictionary comparisons
ComProSec Confidential Information - © Copyright ComProSec AG.
Integration
“Und jetzt? Haben wir ein weiteres Daten-Silo?”
ComProSec Confidential Information - © Copyright ComProSec AG.
Integration mit SIEM (Guardium & QRadar)*
Logs von:
-
Security Devices
Server
Servern&&Hosts
Hosts
Applikationen
…
Bedrohung
SIEM
Flows von:
-
Netzwerk Devices
Security Devices
…
Alerts
Database Discovery information
Classification information
Szenario
QRadar erkennt gefährliche IP Adressen.
Diese Information kann verwendet werden um Guardium so anzupassen,
dass Policies den Zugriff von diesen IP Adressen blockieren.
Guardium Data Protection Policies
können automatisch als Reaktion auf
Security Intelligence Events in QRadar
angepasst werden
ComProSec Confidential Information - © Copyright ComProSec AG.
Und wie bereits zu Beginn gesagt:
Wir unterstützen Sie gerne, so nah und so lange wie
Sie das wünschen!
Vielen Dank