Daten - Allianz für Cybersicherheit

Werbung
Daten „von innen heraus“ so sicher
verwalten, dass Cyber Angriffe am
Schutzschild einer Datenbank abprallen
Rainer Meisriemler
ORACLE Deutschland B.V. & Co. KG
Liebknechtstr.35
70565 Stuttgart
email: [email protected]
Tel: 0711/72840162
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Safe Harbor Statement
The following is intended to outline our general product direction. It is intended for
information purposes only, and may not be incorporated into any contract. It is not a
commitment to deliver any material, code, or functionality, and should not be relied upon
in making purchasing decisions. The development, release, and timing of any features or
functionality described for Oracle’s products remains at the sole discretion of Oracle.
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
2
Aktuelles: Verteilung der Angriffe im Internet Stand 11.1.2017
Quelle: http://www.sicherheitstacho.eu
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Die Anzahl der Cyberattacken steigt und Angriffe werden
zunehmend anspruchsvoller
• Unternehmen / Behörden sind einer unendlich großen Anzahl und Vielfalt
von Bedrohungen durch Cyberattacken ausgesetzt (Tendenz steigend)
– Script Kiddies, Insider, Aktivisten, Regierungen, Terroristen, Kleinkriminelle und org.
Kriminelle, ....
• Schwierig zu entdecken und zu verhindern
• Kein Unternehmen/Behörde kann garantieren ohne Schadsoftware zu sein
• Ein gutes Sicherheitskonzept muss davon ausgehen, bereits einen
Angreifer im Haus zu haben / infiltriert zu sein
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
4
Security Konzept: Burggraben, Burgmauer, Burg-...
SECURITY
in jeder Schicht
SECURITY
zwischen den Schichten
SECURITY
zwischen Systemen
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
1
Datenbankhärtung
• Warum überhaupt nötig
– Datenbanken sind heute extrem mächtig und damit auch komplex
– Sehr oft haben Datenbanken eine Historie
– Auch Administratoren sind nur Menschen
• Quellen:
– Jeder Hersteller liefert entsprechende Dokumentation
– Neutrale Stellen wie BSI, NIST liefern Anregungen
– Neutrale Firmen bieten die Dienstleistung an
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
1
Datenbankhärtung
• Beispiele aus der Praxis:
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
2
Kontrolle / Was muss wann nachvollziehbar sein?
Datenbank
Audit Anforderungen
Accounts, Roles & Permissions
Berichte über GRANT und REVOKE Aktivitäten?
SOX
PCI
DSS
HIPAA
Basel II
FISMA
GLBA
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
Failed Logins
Berichte über misslungene Anmeldeversuche und
andere Besonderheiten?
Privileged User Activity
Berichte über DBA Aktivitäten?
Access to Sensitive Data
Berichte über Leseoperationen auf sensitive Daten
(SELECTs)?
Schema Changes
Informationen über CREATE, DROP und ALTER
Befehle auf relevanten DB Objekten?
●
Data Changes
Berichte über Datenveränderungen (Insert, Update,
Merge, Delete)?
●
●
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
2
Kontrolle / Datenauditierung
• Herausforderungen
–
–
–
–
–
–
Auditieren ist komplex
Auditing sollte nicht einfach ausschaltbar sein
Auditing sollte Performance nicht beeinflussen
Datenvolumen kann groß werden
Housekeeping & Langzeitaufbewahrung der Auditinformationen
Verschiedene Audit Datenquellen:
• Mandatory Audit, SYS Audit, Standard DB Audit, Fine grained auditing , Log Files .....
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
2
Möglichkeit: Das Data Warehouse für Audit-Daten
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
3
Verschlüsselung
• Daten gehen im Klartext über das Netzwerk, jeder kann mitlesen
• Daten stehen im Klartext auf der „Festplatte“
•
•
•
•
Angreifer kann mit einfachen Mitteln die Daten lesen
Storage Administrator kann Festplatten clonen
OS und DB Administrator kann Festplatten auslesen
.....
• Ein Virtualisierungsadministrator (z.B. VMWare...) kann ganze Systeme
clonen
• Ein Cloud Administrator kann ganze Systeme clonen
• Daten stehen unverschlüsselt im Backup
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
3
Verschlüsselung
• Angriffsmöglichkeiten der Praxis:
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
3
Verschlüsselung
• Unabsichtliche Verschlüsselung z.B. Ransomeware
• Lösungsansatz: logischer Datenbankspiegel
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
3
Verschlüsselung
• Wichtige Aspekte:
–
–
–
–
Transparenz (für die Anwendung und den Betrieb)
Alle Informationen auch z.B. Backups sollten verschlüsselt werden
Support der Hersteller sollte beachtet werden
Performanceauswirkungen sollten beachtet werden
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
4
Erweiterte Zugriffskontrolle
• Warum überhaupt nötig
– Separation of Duty/SOD wird oft gefordert (aber selten eingeführt)
– Systemverwalter müssen keine Echtdaten sehen oder bearbeiten können
• Angriffsmöglichkeiten der Praxis:
– jedes Werkzeug das SQL versteht
• Lösungsansätze:
– Kontrollierte Sprungserver
– Database Activity Monitoring/Control Werkzeuge
– Oracle Database Vault
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
5
Kontrolle der Anwendung
• SQL-Injection
– Definition: https://de.wikipedia.org/wiki/SQL-Injection
– Unnötig wenn die Anwendungen korrekt sind (aber selten garantiert)
• Angriffsmöglichkeiten der Praxis:
Anwendung:
SQL-Injection
Datenbank:
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
5
Kontrolle der Anwendung
• Lösungsansatz: SQL Firewall
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Agenda/Themen
1
Basis Härtung
2
Kontrolle Monitoring
3
Verschlüsselung
4
Erweiterte Zugriffskontrolle
5
Kontrolle der Anwendung
6
Fazit - Zusammenfassung
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
19
5
Fazit
• Es gibt keinen einzelnen Sicherheitsschalter
• Kombination von verschiedenen Techniken ist sinnvoll
• Organisatorische Massnahmen und regelmässige Kontrollen sind
essentiell
• Aber es ist machbar !
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
6
Quellen
• kostenfreies DBSat Werkzeug von Oracle:
– My Oracle Support ID 21382541.1, ‘Oracle Database Security Assessment Tool (DBSAT)’.
• Überblick Sicherheit:
– https://www.oracle.com/database/solutions/index.html#database-security
– https://www.oracle.com/security/index.html
• Überblick Hochverfügbarkeit:
– http://www.oracle.com/technetwork/database/features/availability/maa-096107.html
– http://www.oracle.com/technetwork/database/availability/maa-reference-architectures-2244929.pdf
• Datenbank Checklisten:
– https://web.nvd.nist.gov/view/ncp/repository/checklist/download?id=12516&checklistId=667
– https://benchmarks.cisecurity.org/downloads/show-single/?file=oracle12c.110
– https://security.uri.edu/uploads/CIS_Oracle_Database_12c_Benchmark_v1.0.0.pdf
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Herunterladen