In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Datenbank

Datenbanksicherheit Überwachung und Kontrolle

Werbung 
Datenbanksicherheit
Überwachung und Kontrolle
Dr. Ing. Oriana Weber
07/06/2011
Agenda
 Leitfragen
 Warum sind Datenbanken attraktive Ziele?
 Klassifizierung von DB Sicherheitsrisiken
 Die Komplexität der Steuerung und des Schutzes von
Datenbanken
 Best Practices für Datenbank-Sicherheit
 Der Datenbank-Sicherheit Zyklus
 Überwachung der Datenbank-Sicherheit
 Live Demo
Leitfragen
 Wissen Sie wo alle Ihre Datenbanken sind?
• Neue Anwendungen
• Test & Dev
 … und wissen Sie welche Datenbanken vertrauliche
Informationen speichern?
• Besonders diejenigen, die der Einhaltung gesetzlicher Vorschriften
unterliegen
 können Sie die notwendigen Berichte an Auditoren geben?
 … und wie sicher sind Ihre Datenbanken?
• Version/Patch Level
• Die häufigsten Konfigurationschwächen:
• Passwörter, geteilte Kennwörter, unsicherer Code, Backdoors, etc.
3
Warum sind Datenbanken
attraktive Ziele?
Handel mit Datenbanken
• Hohe Werte von digitalen Informationen
• Wert von mehreren Milliarden Dollar pro Jahr
• Legal oder illegal?
 Der Fall von “Darkmarket” (2008).
•
•
•
•
Die Seite hat drei Jahre bestanden
Handel von Kreditkarten-Daten
Austausch von Informationen für Computer-Betrug
In 6 Wochen wurden US $431,000 verdient, langfristig wären bis zu 20
Mio. möglich gewesen
 Der Fall von “Haupt-Schweizer Bank” (2009-2010).
4
• Diebstahl einer DB mit Daten zu ca. 15000 Schweizer Bankkonten
• Angebot der deutschen Regierung: US$3,5 Mio; US$500 Mio an
hinterzogenen Steuern könnten eingefordert werden
• Der Mann wird von der französischen Regierung geschützt
Klassifizierung von DB Sicherheitsrisiken
(1/2)




Vulnerabilität: Sicherheitslücke im Code eines DBMS
Audit-Kontrollen: Fehlen von Audit-Kontrollen
Konfiguration: Konfigurationsvariablen
Programmierung: Vulnerabilität (Buffer overflow, SQL
injection, etc.)
 Authentifizierung: Nutzer - Authentifizierung
 Datenübertragung: „Verpackungsmethoden“ von Daten
die zwischen Datenbankserver und Benutzeroberfläche
ausgetauscht werden
5
Klassifizierung von DB Sicherheitsrisiken
(2/2)
 Malware (Backdoors, Rootkits)
 Gestohlene Backup-Bänder und Festplatten
 Keine Überwachung des Zugangs und Transaktionen
der Datenbank in Echtzeit
DB
CRM
HR
ERP
Outsiders
6
Insiders
DB
DB
Privileged Users
Die Komplexität der Steuerung und des
Schutzes von Datenbanken
 Normalerweise erfolgt die Veröffentlichung (im Internet) der
neuen Schwachstellen und neuen Formen des Angriffs
schneller als die Veröffentlichung der Lösungen
 Kein Monitoring von Zugriffen und Transaktionen in Echtzeit
 Variierende Anzahl von Servern und Instanzen
 Data-Flow-Modell ist nicht einheitlich
 Die Informationen werden kontinuierlich repliziert
 Verschiedene Formen des Zugangs
 Patch Update
7
Best Practices für Datenbank Sicherheit
1.
Mapping und Documenting der DB Servern
2.
Änderung der Benutzer-Passwörter und Default-Scheme
3.
Änderung der Standard-Port der für den Listener des
Datenbank-Server definiert ist
4.
Kontrolle der Privilegien von aktiven DB Anwendern und den
Rollen und Privilegien von DBA, Entwicklern und SuperUsern klar begrenzen
5.
Wenn möglich löschen der Stored-Procedures mit Zugriff auf
das Betriebssystem von der Datenbank
8
Best Practices für Datenbank Sicherheit
6.
Definition von Passwort-Sicherheitsrichtlinien für
Datenbankanwender
7. Vermeiden Sie Embedded-Passwörter (| Info. verschlüsseln)
8. Beseitigen der Gefahr von SQL-Injection (verm. || & ‘’)
9. Behalten Sie Ihre RDBMS aktualisiert und gepatcht
10. Besuchen Sie regelmäßig die Sicherheits-Website Ihres
RDBMS-Herstellers
11. Regelmäßige Prüfung des Sicherheitsstatus Ihrer
Datenbanken (DB-Audit)
9
Der Datenbank-Sicherheit Zyklus
Auditierung
der Datenbank
Untersuchung
von mehreren
Datenbanken
Compliance
(compliance)
10
kontinuerliches
Monitoring
Identifizierung
Identificación
von
de generischen
problemas
Problemen
genéricos
Korrektur von
entdeckten
Corrección
de
Problemen
problemas
(risk mitigation)
Überwachung der Datenbank-Sicherheit
 Für eine wirksame Überwachung:
11
•
Definition der Phasen der normalen Aktivitäten in der
Datenbank: Benutzer-, Datenbank-Objekte, Sitzungen
•
Defininiton von Sicherheitspolitiken
•
Implementierung der aktuellen Patches
•
Umsetzung der internationalen und nationalen Standards für
Informationssicherheit
•
Mapping von Zugriffen auf die Datenbank in Echtzeit
Definition von Regeln
 Die Definition von Folgendem ist nötig:
•
Richtlinien (Regeln)
•
Sicherheitspolitiken, welche den internen oder internationalen
Vorschriften folgen
Rule
Trigger
Action
IF
App<>’SAPFinance’ AND
object = ‘CC_Table’
THEN
Send HIGH Alert
Send mail to: security team
Terminate User Session
Quarantine User 60 minutes
12
Policy
Layers
Rule 1
Customer-Defined
Rule 2
Shared Best Practices
Rule 3
Rule 4
Rule 5…
Compliance Templates
Patching
Erfüllung der Anforderungen der
Datenschutzgesetze
Gesetz
Anforderungen
Datenschutzgesetz(LOPD).
Sicherheitsmaßnahmen verordnungen, §98
Identifizierung und
Authentifizierung
Der verantwortliche Daten-Controller
soll einen Mechanismus definieren ,
der die wiederholten Versuche
begrenzt, wenn es ein en
unerwünschten oder unauthorisierten
Zugriff auf das Informationssystem gibt.
LOPD.RMS.A98.AI. Die nicht autorisierten
Zugriffsversuche sollten blockiert werden.
Regel: Wird der Zugriff nicht gestattet
,dann sollte er blockiert werden und die jeweillige
Informationen sind zu speichern
Datenschutzgesetz (LOPD).
Sicherheitsmaßnahmenverordnungen, §103.
Sicherheitsmaßnahmen bei
der Behandlung von
persönlichen Daten (3)
Die Mechanismen, die das
Zugriffsprotokoll ermöglichen sollen
unter der direkten Kontrolle des
zuständigen Sicherheitsverantworlichen
sein, ohne dass die Deaktivierung oder
deren Manipulation möglich ist.
LOPD.RMS.A103.3.MSTDCP. Nur der Administrator
überwacht die Aufzeichnungen des Zugangs zu
personenbezogenen Daten. Die Aufzeichnungen
dürfen nicht deaktivierrbar oder manipulierbar sein.
Regel1: Alle Zugriffe zu den persönlichen Daten sollten
gespeichert werden.
Regel 2: Profile die nur die Informationen lesen können
sollten definiert werden
Datenschutzgesetzes
(LOPD).
Sicherheitsmaßnahmenverordnungen, §103.
Sicherheitsmaßnahmen bei
der Behandlung von
persönlichen Daten (5)
Der Sicherheitsbverantworliche sollte
mindestens einmal im Monat
Auditinformationen nachprüfen und
sollte einen Bericht mit den
identifizierten Problemen und
Prüfungen erstellen
LOPD.RMS.A103.5.MSTDCP. Eine Überwachung der
gespeicherten Informationen sollte gemacht werden
und die identifizierten Probleme solltenin einem Bericht
beschrieben werden.
13
Sicherheitspolitik
Live Demo
Wie kann Hedgehog Enterprise Sie unterstützen ?
Vielen Dank für Ihre Aufmerksamkeit!
Fragen?
Kontakt: [email protected]
[email protected]
Zugehörige Unterlagen
Doc Datei
Doc Datei
Datenbank Neue Musik - Hochschule für Musik und Theater München
Datenbank Neue Musik - Hochschule für Musik und Theater München
01_AB_DB_Einf - Informatik regional Dresden
01_AB_DB_Einf - Informatik regional Dresden
Das Anlegen und Organisieren von Datenbanken
Das Anlegen und Organisieren von Datenbanken
Datenbanken mit SQL - egd
Datenbanken mit SQL - egd
Access 2000
Access 2000
Praktikant (m/w) für Competitor Database Design und
Praktikant (m/w) für Competitor Database Design und
Insertionstext - Bildungsberatung HTBLVA Spengergasse Wien 5
Insertionstext - Bildungsberatung HTBLVA Spengergasse Wien 5
Du suchst einen Berufseinstieg als Softwareentwickler (w/m)?
Du suchst einen Berufseinstieg als Softwareentwickler (w/m)?
Datenbank-Entwickler (m/w) – SQL Server
Datenbank-Entwickler (m/w) – SQL Server
Tabellen anderer Datenbanken exportieren
Tabellen anderer Datenbanken exportieren
Datenbank-Design Wahlpflichtangebot für das WS
Datenbank-Design Wahlpflichtangebot für das WS
Eine zentrale Datenbank erleichtert die Datenpflege. Alle Daten
Eine zentrale Datenbank erleichtert die Datenpflege. Alle Daten
alle datenbanken: mysql, oracle, as/400, sql server, informix
alle datenbanken: mysql, oracle, as/400, sql server, informix
03_8335_000-Die Themen im Überblick - Offene
03_8335_000-Die Themen im Überblick - Offene
Ein Vergleich zwischen NoSQL und relationalen Datenbanken
Ein Vergleich zwischen NoSQL und relationalen Datenbanken
Spezialist/in für Data Integration und Data Analysis
Spezialist/in für Data Integration und Data Analysis
Datenbanken und SQL
Datenbanken und SQL
SQL Anywhere 11.0 Fundamentals
SQL Anywhere 11.0 Fundamentals
perimetrix® safespace
perimetrix® safespace
Architekturüberlegungen bei der Automatisierung von Geschäftsregeln
Architekturüberlegungen bei der Automatisierung von Geschäftsregeln
Herunterladen
Werbung