McAfee Database Security Andrei Novikau, Pre-Sale Engineer презентация

данных клиенты хранят свою самую важную и конфиденциальную информацию. Любые потери, сбои или бреши в базах данных могут привести к катастрофическим последствиям

Любая уязвимость, неправильная конфигурация или вторжение означают несоответствие требованиям аудиторов (HIPAA, SOX, PCI и т.д.)

издержки на защиту баз данных возглавляют списки затрат

В 92 % случаев взломов были затронуты базы данных

50 % вторжений совершены пользователями внутри предприятий

С точки зрения обеспечения защиты создание правильной конфигурации баз данных (БД) чрезвычайно сложно
- Нежелание добавлять программы защиты в систему из-за боязни снизить производительность или внести нестабильность в работу
- Обновление, даже с целью внесения исправлений в систему защиты, — тщательно контролируемый процесс, требующий обширного тестирования

● Базовые средства защиты, предлагаемые поставщиками систем управления базами данных (СУБД), не удовлетворяют их требованиям
- Большинство организаций имеют несколько поставщиков систем управления базами данных (СУБД)
- Отсутствует разграничение служебных обязанностей
- Легкие пути обхода системы защиты и ОТСУТСТВИЕ системы предотвращения вторжений

и информация личного порядка

● Номера кредитных карт и счетов,
данные аутентификации
● Информация о сотрудниках
Номера социального страхования, данные о зарплате, сводки

● Финансовые данные и интеллектуальная собственность
Данные о доходах компаний, дебиторской задолженности, исследованиях

Patching
Надежная технология
Масштабируемость решений позволяет защищать БД как средних и малых предприятий, так и крупнейших международных организаций
Совместимость с портфелем решений для контроля рисков и соответствия требованиям

McAfee расширяет свои решения для защиты баз данных благодаря приобретению компании Sentrigo.

данных

→ Зачастую они не могут поддерживать актуальное состояние БД в соответствии с последними обновлениями поставщиков

→ У них нет возможности узнать В РЕАЛЬНОМ ВРЕМЕНИ (не говоря уже о том, чтобы ПРЕДОТВРАТИТЬ) о несанкционированном доступе, в том числе со стороны привилегированных пользователей

→ Базы данных — это «мертвая зона» с точки зрения безопасности данных

обеспечения защиты
- Разработана при участии сотрудника компании Red Database Security Александра Корнбруста (Alexander Kornbrust), одного из самых авторитетных экспертов по защите БД
- Не просто основана на «руководствах по безопасности» поставщиков СУБД
Предлагает практические советы и решения
- Выполняет тестирование и формирование отчетов о реальных проблемах (в отличие от длинных нечитаемых отчетов)
- Результаты, структурированные в приоритетном порядке, включают сценарии исправлений и экспертные рекомендации

Готовое решение для предприятий
- Автоматическое обнаружение баз данных и конфиденциальных сведений
- Централизованное формирование отчетов для тысяч БД
- Легкая автоматизация и интеграция с другими продуктами
- Создание различных ролей и выводов данных для различных участников (администраторов баз данных (АБД), разработчиков, специалистов по ИТ-безопасности)

уязвимости
- Типы патчей
- Слабые пароли
- Выявление ошибок в конфигурациях путем их сравнения с базовыми конфигурациями
- Обнаружение конфиденциальных данных (информации личного порядка, номеров социального страхования и т. д.)
- Уязвимый код PL/SQL
- Обнаружение проникновений в систему обходными путями
- Неиспользуемые функции
- Пользовательские проверки

внедрения
Исключительно программное решение
Легкая возможность загрузки, ознакомления с пробной версией и приобретения продукта
Сокращение времени, необходимого для обеспечения соответствия требованиям

может быть осуществлен из трех источников:

, способный отреагировать в случае обнаружения угроз
Оповещение через информационную панель или другими средствами
Прекращение сессии через собственные интерфейсы программирования приложений баз данных (Application Programming Interface, API)
Карантин пользователей
Обновление межсетевого экрана

нормативно-правового соответствия определяют политики
Системные администраторы устанавливают датчики
Специалисты по ИТ-безопасности следят за оповещениями и состоянием датчиков

виртуальными вычислительными машинами (ВМ)
Эффективная обработка локальных правил
Хорошая эксплуатация в динамической среде
«Облачные» вычисления
Хорошая работа распределенной модели даже в средах WAN
Автоматизированный ввод в эксплуатацию и разграничение служебных обязанностей позволяет выполнять мониторинг управляемых услуг внутри предприятия

Инфраструктура «облачных» вычислений

БД

БД

БД

БД

Database Security Server (ПО)

Сеть

Датчик

Датчик

течение считанных минут
Готовая защита благодаря более 350 встроенным правилам
Шаблоны обеспечения соответствия требованиям закона Сарбейнса-Оксли и стандартов PCI DSS, HIPAA, SAS-70, GLBA на базе мастеров настройки
Создание защиты в соответствии с собственными требованиями
Сопоставление взаимосвязей на уровне приложений
Сбор информации о базах данных, приложениях и пользователях и обеспечение простого интерфейса для создания правил
Настраиваемые, созданные вручную правила для максимальной гибкости

процессом:
Требуется обширное тестирования; база данных простаивает
Нередко вызывает нарушение непрерывности бизнеса
Порой установка исправлений практически невозможна:
Круглосуточный непрерывный режим работы (один период обслуживания в год)
Чрезвычайно специализированные приложения
Версии СУБД, больше не поддерживаемые поставщиком (например, 8i)
Ресурсы ограничены
Решение: установка «виртуальных» исправлений
Защита от известных уязвимостей и уязвимостей «нулевого дня» без простоев или изменения кода до тех пор, пока вы не начнете установку исправлений

решение от компании McAfee

передаче или хранении

- Обнаружение, защита, управление и мониторинг

- Решения для сети, конечных точек и серверов

защите баз данных, не нарушая производительности и доступности. Мы делаем это благодаря следующему подходу:

Обнаружение и оценка среды базы данных
Защита всех аспектов среды базы данных
Управление и мониторинг для обеспечения нормативно-правового соответствия

ЗАЩИТА МОНИТОРИНГ

Создание отчетов в еPO

данных
Загрузите опрос (2011 г.), посвященный контролю рисков и соответствию требованиям
Прочитайте блог, посвященный защите баз данных
Посетите следующий вебинар Hacking Exposed («Всё о хакерстве»)
Узнайте больше о компании Sentrigo: целевая страница с информацией о приобретении компании
Попробуйте сами! Бесплатное ПО для оценки.

доступ к базе данных
- Ее невозможно заблокировать, не нарушая доступности
- Она уязвима (внедрение SQL-кода, переполнение буфера)
Процесс
- Исправления (например, Oracle CPU) не устанавливаются вовремя
- Методы реализации (пароли по умолчанию, общие пароли и т. д.)
Сотрудники
- Угроза изнутри — ваши АБД, системные администраторы, программисты и др.)

DSS, Sarbanes-Oxley, HIPAA, SAS 70, GLBA, FERPA и другие отраслевые положения

Законы, обязывающие сообщать о взломах, улучшают уровень контроля
- Закон SB1386, первоначально принятый в Калифорнии, сегодня принят в 46 штатах и во многих странах мира
- В декабре Палата представителей США приняла закон HR 2221; сегодня на рассмотрении Сената находятся 2 законопроекта

Внутреннее управление ИТ определяет процесс
- Своевременная установка исправлений
- Разграничение должностных обязанностей

риск; ее необходимо блокировать

Конфигурацию можно проверять вручную, но это очень трудоемкий процесс

три шага