les 8 étapes de la sécurité globale des bases de … · 2 les 8 étapes de la sécurité globale...

Gestion de l’information Livre blanc

Les 8 étapes de la sécurité globale des bases de données

8 Steps to Holistic Database SecurityBy Ron Ben Natan, Ph.D., IBM Distinguished Engineer, CTO for Integrated Data Management

White PaperInformation Management

Par Ron Ben Natan, Ph.D., ingénieur émérite IBM et directeur des techniques informatiques pour la gestion de données intégrée

2 Les 8 étapes de la sécurité globale des bases de données

2 8 Steps to Holistic Database Security

Cyberattacks, malfeasance by insiders and regulatory requirements are driving organizations to find new ways to secure their corporate and customer data found in commercial database systems such as Oracle, Microsoft SQL Server, IBM DB2 and Sybase. This paper discusses the 8 essential best practices that provide a holistic approach to both safeguarding databases and achieving compliance with key regulations such as SOX, PCI-DSS, GLBA and data protection laws.

Safeguarding databases and achieving complianceFinancially-motivated attacks, malfeasance by insiders and regulatory requirements are driving organizations to find new ways to secure their corporate and customer data.

Most of the world’s sensitive data is stored in commercial database systems such as Oracle, Microsoft SQL Server, IBM DB2 and Sybase – making databases an increasingly favorite target for criminals. This may explain why SQL injection attacks jumped 134 percent in 2008, increasing from an average of a few thousand per day to several hundred thousand per day according to a recently-published report by IBM1.

To make matters worse, Forrester2 reports that 60 percent of enterprises are behind in applying database security patches, while 74 percent of all Web application vulnerabilities – which are predominantly SQL Injection vulnerabilities – disclosed in 2008 did not even have an available patch by the end of 2008, according to IBM.

“You can’t secure what you don’t know. You need good mapping of your sensitive assets — both of your database instances and your sensitive data inside your databases.”

Whereas most attention has previously been focused on securing network perimeters and client systems (firewalls, IDS/IPS, anti-virus, etc.), we are now entering a new phase where

information security professionals are being tasked with ensuring that corporate databases are secure from breaches and unauthorized changes.

Here are 8 essential best practices that provide a holistic approach to both safeguarding databases and achieving compliance with key regulations such as SOX, PCI DSS, GLBA and data protection laws:

1. Discovery. You can’t secure what you don’t know. You need to have a good

mapping of your sensitive assets – both of your database instances and your sensitive data inside the databases. Plus, you should automate the discovery process since the location of sensitive data is constantly changing due to new or modified applications, mergers and acquisitions, etc.

Figure 1: Using discovery tools to bootstrap an implementation. You need to map database instances as well as where your sensitive data is located.

1 “IBM Internet Security Systems X-Force® 2008 Trend & Risk Report,” IBM Global Technology Services, Jan. 2009. 2 “Market Overview: Database Security,” Forrester Research, Feb. 2009.

Les cyberattaques, les méfaits commis par les employés et les exigences en matière de conformité poussent les organisations à trouver de nouveaux moyens de sécuriser les données clients et les données d’entreprise stockées dans leurs bases de don-nées commerciales – Oracle, Microsoft SQL Server, IBM DB2 et Sybase, entre autres marques. Le présent document présente les huit pratiques exemplaires essentielles procurant l’approche globale qui permet à la fois de sécuriser les bases de données et de se conformer aux réglementations clés telles que SOX, PCI-DSS, GLBA et les lois sur la protection des données.

Sécuriser les bases de données et assurer la conformité Les attaques à motifs financiers, les méfaits commis par les employés et les exigences en matière de conformité forcent les organisations à trouver de nouvelles façons de sécuriser leurs données et celles de leurs clients.

La majeure partie des données sensibles à l’échelle mondiale est stockée dans des bases de données commerciales – Oracle, Microsoft SQL Server, IBM DB2 et Sybase notamment – ce qui en fait des cibles de plus en plus prisées des criminels. Voilà sans doute pourquoi les attaques par injection SQL ont bondi de 134 % en 2008, haussant ainsi la moyenne quotidienne de ces attaques de quelques milliers à quelques centaines de mil-liers d’après un rapport récent d’IBM1.

Selon une étude de Forrester2, les choses s’enveniment puisque 60 % des entreprises accusent du retard dans l’application des rustines de sécurité des bases de données. Par ailleurs, IBM a déterminé qu’à la fin de 2008, aucune rustine n’était disponible pour 74 % des vulnérabilités liées aux applications Web qui ont été divulguées cette année-là – et qui, en majorité, sont sujettes à des injections SQL.

« On ne peut sécuriser ce que l’on ne connaît pas. Il faut donc une mise en correspondance adéquate des actifs sensibles – c’est-à-dire des instances de bases de données et des données sensibles contenues dans les bases de données. »

Jusqu’ici, nos efforts ont porté principalement sur la sécurisa-tion des périmètres de réseau et des systèmes clients (pare-feu, systèmes de détection et de prévention d’intrusion, antivirus, etc.). Nous entrons maintenant dans une nouvelle phase où l’on demande aux professionnels de la sécurité de l’information de faire en sorte que les bases de données d’entreprise soient protégées des effractions et des changements non autorisés.

Voici les huit pratiques exemplaires essentielles formant l’approche globale qui permet à la fois de sécuriser les bases de données et de se conformer aux réglementations clés telles que SOX, PCI-DSS, GLBA et les lois sur la protection des données :

1. Découverte On ne peut sécuriser ce que l’on ne connaît pas. Il faut donc une mise en correspondance adéquate des actifs sensibles – c’est-à-dire des instances de bases de données et des données sensibles contenues dans les bases de données. En outre, vous devez automatiser le processus de découverte puisqu’en raison de l’ajout ou de la modification d’applications, ainsi que des fusions et des acquisitions notamment, l’emplacement des données sensibles change continuellement.

1 IBM Internet Security Systems X-ForceMD 2008 Trend & Risk Report, IBM Global Technology Services, janvier 2009. 2 Market Overview: Database Security, Forrester Research, février 2009.

Figure 1: Utilisation d’outils de découverte pour lancer une mise en œuvre. Vous devez mettre en correspondance vos instances de bases de données et indiquer où se trouvent vos données sensibles.


Tournure intéressante, certains outils de découverte peuvent aussi détecter des logiciels malveillants introduits dans votre base de données par injection SQL. En plus de mettre les don-nées confidentielles à risque, les vulnérabilités à l’injection SQL permettent à un pirate d’intégrer à la base de données des attaques supplémentaires pouvant être perpétrées auprès des visiteurs du site Web.

2. Évaluation des vulnérabilités et de la configuration

Vous devez évaluer la configuration de vos bases de données afin de vous assurer qu’elles ne contiennent pas de failles de sécurité. Ainsi est-il nécessaire de vérifier la façon dont est installée la base de données dans le système d’exploitation (p. ex., les privilèges associés aux fichiers et aux éléments exécutables de la configuration) ainsi que les options de configuration dans la base de données même (p. ex. combien d’ouvertures de session échouées provoquent le verrouillage d’un compte ou quels privilèges ont été attribués aux tables critiques). Vous devez aussi vérifier si les versions de vos bases de données contiennent des vulnérabilités connues.

Les scanneurs traditionnels de vulnérabilités de réseau ne peuvent effectuer ce genre de tâches parce qu’ils ne sont pas dotés de fonctions intégrées de reconnaissance des struc-tures de base de données et des comportements prévus. Ils ne peuvent non plus émettre d’interrogations SQL (à la suite d’accès à la base de données à l’aide de justificatifs d’identité) en vue de dévoiler de l’information sur la con-figuration de la base de données.

Figure 2: Évaluation des vulnérabilités et suivi des changements

3. Renforcement Souvent, l’évaluation des vulnérabilités débouche sur un ensem-ble de recommandations précises. Il s’agit de la première étape dans le renforcement de la base de données. Celui-ci comprend aussi la suppression des fonctions et des options inutilisées.

4. Audit des modifications Une fois la configuration renforcée, vous devez la suivre de près sur une base continue afin de vous assurer de ne pas « dévier » de votre configuration idéale (sécurisée). Vous pouvez le faire à l’aide d’outils d’audit des modifications, qui comparent des copies instantanées des configurations (tant du système d’exploitation que des bases de données) et émettent une alerte aussitôt qu’est apportée une modification susceptible d’affecter la sécurité de votre base de données.

5. Surveillance de l’activité de base de données Permettant de détecter sur-le-champ les intrusions et les utilisations malveillantes, la surveillance en temps réel de l’activité des bases de données est essentielle à la réduction des risques encourus. À titre d’exemple, elle émet une alerte en cas de formes d’accès inhabituelles indiquant une attaque par injection SQL, une modification non autorisée des don-nées financières, un rehaussement des privilèges de compte et une modification de la configuration par commandes SQL.

La surveillance des utilisateurs jouissant de privilèges est ex-igée dans le cadre de réglementations sur la gouvernance des données, telles que SOX, et la confidentialité des données, comme PCI DSS. Il s’agit aussi d’une tâche importante pour la détection des intrusions puisque, souvent, les attaques deviennent possibles grâce à l’obtention d’un privilège d’accès par leurs auteurs (par l’entremise de justificatifs d’identité associés à vos applications d’affaires notamment).

Information Management 3

In an interesting twist, some discovery tools can also find malware placed in your database as a result of SQL injection attacks. In addition to exposing confidential information, SQL injection vulnerabilities allow attackers to embed other attacks inside the database that can then be used against visitors to the website.

2. Vulnerability and Configuration Assessment. You need to assess the configuration of your databases to ensure

they don’t have security holes. This includes verifying both the way the database is installed on the operating system (for example, checking file privileges for database configuration files and executables) and configuration options within the database itself (such as how many failed logins will result in a locked account, or which privileges have been assigned to critical tables). Plus, you need to verify that you’re not running database versions with known vulnerabilities.

Traditional network vulnerability scanners weren’t designed for this because they don’t have embedded knowledge about database structures and expected behavior, nor can they issue SQL queries (via credentialed access to the database) in order to reveal database configuration information.

Figure 2: Vulnerability assessment and change tracking use case.

3. Hardening. The result of a vulnerability assessment is often a set of specific

recommendations. This is the first step in hardening the database. Other elements of hardening involve removing all functions and options that you do not use.

4. Change Auditing. Once you’ve created a hardened configuration, you must

continually track it to ensure that you don’t digress from your “gold” (secure) configuration. You can do this with change auditing tools that compare snapshots of the configurations (at both the operating system level and at the database level) and immediately alert you whenever a change is made that could affect the security of the database.

Figure 3: Use case for database activity monitoring (DAM) and auditing.

5. Database Activity Monitoring (DAM). Real-time monitoring of database activity is key to limiting

your exposure by immediately detecting intrusions and misuse. For example, DAM can alert on unusual access patterns indicating a SQL injection attack, unauthorized changes to financial data, elevation of account privileges, and configuration changes executed via SQL commands.

Monitoring privileged users is also a requirement for data governance regulations such as SOX and data privacy regulations such as PCI DSS. It’s also important for detecting intrusions, since attacks will frequently result in the attacker gaining privileged user access (such as via credentials owned by your business applications).

Figure 3: Audit et contrôle d’activité de base de données

Information Management 3

In an interesting twist, some discovery tools can also find malware placed in your database as a result of SQL injection attacks. In addition to exposing confidential information, SQL injection vulnerabilities allow attackers to embed other attacks inside the database that can then be used against visitors to the website.

2. Vulnerability and Configuration Assessment. You need to assess the configuration of your databases to ensure

they don’t have security holes. This includes verifying both the way the database is installed on the operating system (for example, checking file privileges for database configuration files and executables) and configuration options within the database itself (such as how many failed logins will result in a locked account, or which privileges have been assigned to critical tables). Plus, you need to verify that you’re not running database versions with known vulnerabilities.

Traditional network vulnerability scanners weren’t designed for this because they don’t have embedded knowledge about database structures and expected behavior, nor can they issue SQL queries (via credentialed access to the database) in order to reveal database configuration information.

Figure 2: Vulnerability assessment and change tracking use case.

3. Hardening. The result of a vulnerability assessment is often a set of specific

recommendations. This is the first step in hardening the database. Other elements of hardening involve removing all functions and options that you do not use.

4. Change Auditing. Once you’ve created a hardened configuration, you must

continually track it to ensure that you don’t digress from your “gold” (secure) configuration. You can do this with change auditing tools that compare snapshots of the configurations (at both the operating system level and at the database level) and immediately alert you whenever a change is made that could affect the security of the database.

Figure 3: Use case for database activity monitoring (DAM) and auditing.

5. Database Activity Monitoring (DAM). Real-time monitoring of database activity is key to limiting

your exposure by immediately detecting intrusions and misuse. For example, DAM can alert on unusual access patterns indicating a SQL injection attack, unauthorized changes to financial data, elevation of account privileges, and configuration changes executed via SQL commands.

Monitoring privileged users is also a requirement for data governance regulations such as SOX and data privacy regulations such as PCI DSS. It’s also important for detecting intrusions, since attacks will frequently result in the attacker gaining privileged user access (such as via credentials owned by your business applications).


En outre, la surveillance de l’activité des bases de données est un élément essentiel de l’évaluation des vulnérabilités. En effet, elle permet d’aller au-delà des évaluations statiques traditionnelles en effectuant des évaluations dynamiques des vulnérabilités liées aux comportements – p. ex., le partage de justificatifs d’identité par de multiples utilisateurs ou un nom-bre excessif de tentatives d’ouverture de session.

« Les données et les utilisateurs ne sont pas tous sur un pied d’égalité. Vous devez authentifier les utilisateurs, assurer une imputabilité totale pour chacun d’eux et gérer leurs privilèges afin de limiter l’accès aux données. »

Finalement, certaines technologies de surveillance de l’activité des bases de données intègrent la surveillance de la couche d’applications. Cela vous permet de détecter les fraudes commises par l’entremise d’applications à plusieurs niveaux – notamment PeopleSoft, SAP et Oracle e-Business Suites – plutôt que par connexion directe à la base de données.

6 .Audits Des pistes d’audit sécuritaires et non répudiables doivent être générées et maintenues pour toute activité de base de données ayant une incidence sur la sécurité, l’intégrité des données ou l’accès aux données sensibles. Non seulement les piste de vérification modulaires sont-elles une exigence de conformité essentielle, mais elles sont importantes dans le cadre des enquêtes judiciaires.

Actuellement, la plupart des organisations emploient une forme quelconque d’audit manuel faisant appel à des fonc-tions natives traditionnelles d’ouverture de session. Cepen-dant, ces méthodes se révèlent souvent déficientes en raison de leur complexité et des coûts d’exploitation élevés résultant des efforts manuels. Elles comportent d’autres désavantages, notamment des coûts indirects élevés liés à la performance, un manque de séparation des tâches (les administrateurs de base de données peuvent facilement saboter le contenu des journaux, compromettant ainsi leur non-répudiation) et le besoin d’acheter et de gérer de grandes capacités de stockage afin de prendre en charge des volumes massifs d’informations non filtrées à propos des transactions.

Heureusement, une nouvelle classe de solutions de surveil-lance de l’activité des bases de données est maintenant of-ferte, procurant des fonctions d’audit granulaires, indépen-dantes du système de gestion de bases de donnée (DBMS) et n’affectant que légèrement les performances. Parallèlement, ces solutions permettent de réduire les coûts d’exploitation grâce à l’automatisation, au filtrage, à la compression ainsi qu’à des référentiels de politiques et d’audits centralisés et compatibles avec tous les systèmes DBMS.

7. Authentification, contrôle d’accès et gestion des droits

Les données et les utilisateurs ne sont pas tous sur pied d’égalité. Vous devez authentifier les utilisateurs des bases de données, assurer une imputabilité totale pour chacun d’eux et gérer leurs privilèges afin de limiter l’accès aux don-nées. Vous devez aussi faire en sorte que les droits accordés ne soient pas outrepassés – même pour les utilisateurs jouissant des plus hauts privilèges. Finalement, il est néces-saire de revoir périodiquement les rapports sur les droits (ou rapports d’attestation des droits des utilisateurs) dans le cadre d’un processus d’audit formel.

8. Chiffrement Servez-vous du chiffrement pour rendre illisibles les don-nées sensibles, de sorte qu’une personne mal intentionnée ne puisse y accéder de l’extérieur de la base de données. Chiffrez les données en transit afin qu’on ne puisse les intercepter au niveau de la couche réseau et y accéder lorsqu’elles sont transmises à la base de données client. Chiffrez aussi les données au repos pour éviter qu’un pirate puisse les extraire, même à partir des fichiers média.

Figure 4: Gestion du cycle de vie complet de la conformité

4 8 Steps to Holistic Database Security

DAM is also an essential element of vulnerability assessment, because it allows you to go beyond traditional static assessments to include dynamic assessments of “behavioral vulnerabilities” such as multiple users sharing privileged credentials or an excessive number of failed database logins.

“ Not all data and not all users are created equally. You must authenticate users, ensure full accountability per user, and manage privileges to limit access to data.”

Finally, some DAM technologies offer application-layer monitoring, allowing you to detect fraud conducted via multi-tier applications such as PeopleSoft, SAP and Oracle e-Business Suite, rather than via direct connections to the database.

6. Auditing. Secure, non-repudiable audit trails must be generated and

maintained for any database activities that impact security posture, data integrity or viewing sensitive data. In addition to being a key compliance requirement, having granular audit trails is also important for forensic investigations.

Most organizations currently employ some form of manual auditing utilizing traditional native database logging capabilities. However, these approaches are often found to be lacking because of their complexity and high operational costs due to manual efforts. Other disadvantages include high performance overhead, lack of separation of duties (since DBAs can easily tamper with the contents of database logs, thereby affecting non-repudiation) and the need to purchase and manage large amounts of storage capacity to handle massive amounts of unfiltered transaction information.

Fortunately, a new class of DAM solutions are now available that provide granular, DBMS-independent auditing with minimal impact on performance, while reducing operational costs via automation, centralized cross-DBMS policies and audit repositories, filtering and compression.

7. Authentication, Access Control and Entitlement Management.

Not all data and not all users are created equally. You must authenticate users, ensure full accountability per user, and manage privileges to limit access to data. And you should enforce these privileges – even for the most privileged database users. You also need to periodically review entitlement reports (also called User Right Attestation reports) as part of a formal audit process.

8. Encryption. Use encryption to render sensitive data unreadable, so that an

attacker cannot gain unauthorized access to data from outside the database. This includes both encryption of data-in-transit, so that an attacker cannot eavesdrop at the networking layer and gain access to the data when it is sent to the database client, as well as encryption of data-at-rest, so that an attacker cannot extract the data even with access to the media files.

Figure 4: Managing the entire compliance lifecycle.


À propos de l’auteur Ron Ben Natan compte vingt ans d’expérience dans le dével-oppement d’applications et de technologies de sécurité pour des sociétés de premier ordre telles que Merrill Lynch, J.P. Morgan, Intel et AT&T Bell Laboratories. Il aussi été conseiller en sécurité des données et en systèmes répartis auprès de Phillip Morris, du brasseur Miller, de HSBC, de HP, d’Applied Materials et des forces armées suisses.

Conseiller IBM de niveau Or (GOLD) et détenteur d’un doctorat en sciences de l’informatique, il est spécialiste des environnements d’applications réparties ainsi que de la sécu-rité des applications et des bases de données. Il a créé douze technologies brevetées et écrit douze ouvrages techniques, dont « Implementing Database Security and Auditing » (éditions Elsevier Digital Press), qui fait figure de norme dans son champ d’étude, et son tout dernier livre, « HOWTO Secure and Audit Oracle 10g and 11g » (éditions CRC Press), paru en 2009.

Les 8 étapes de la sécurité des bases de données

1. Découverte 2. Évaluation des vulnérabilités et de la

configuration 3. Renforcement 4. Audit des modifications 5. Surveillance de l’activité des bases

de données 6. Audits 7. Authentification, contrôle d’accès et gestion

des droits 8. Chiffrement

À propos d’InfoSphere Guardium IBM InfoSphere Guardium est la solution la plus répandue pour prévenir les fuites d’information du centre de données et assurer l’intégrité des données d’entreprise. Elle est utilisée par plus de 400 clients à l’échelle mondiale, dont les cinq plus grandes banques; quatre des six plus grandes compagnies d’assurance; des agences gouvernementales de premier plan; deux des trois plus grands détaillants; vingt des plus grandes entreprises de télécommunications; deux des fabricants de boissons les plus populaires; le fabricant d’ordinateurs person-nels le plus connu; les trois plus grands fabricants de voitures; les trois plus grandes entreprises du secteur de l’aérospatiale; et un des principaux fournisseurs de logiciels d’intelligence d’affaires. InfoSphere Guardium a été la toute première solu-tion à combler les lacunes en matière de sécurité des données essentielles grâce à une plateforme évolutive, compatible avec tout système DBMS. Cette plateforme protège les bases de don-nées en temps réel tout en automatisant le processus complet d’audit de la conformité.

Guardium fait partie d’InfoSphere IBM, une plateforme inté-grée permettant de définir, d’intégrer, de protéger et de gérer l’information sécurisée d’un bout à l’autre de vos systèmes. La plateforme InfoSphere comprend l’ensemble des composantes de base de l’information sécurisée, dont l’intégration des données, l’entreposage des données, la gestion des données principales et la gouvernance de l’information. Tous ces élé-ments s’articulent autour d’un ensemble partagé de métadon-nées et de modèles. Modulaire, la gamme de produits InfoS-phere vous permet de commencer avec n’importe quel élément et d’amalgamer les composantes de base InfoSphere avec les composantes d’autres fournisseurs. Vous pouvez aussi déployer ensemble de multiples composantes de base afin d’accélérer le processus et d’obtenir une plus grande valeur. Solution d’entreprise pour les projets à fort contenu d’information, InfoSphere procure les performances, l’évolutivité, la fiabilité et l’accélération dont vous avez besoin pour simplifier les défis importants et sécuriser plus rapidement l’information au profit de vos affaires.

Please Recycle

IMW14277-CAEN-01

InfoSphere®

software

© Copyright IBM Corporation 2010

IBM Corporation Route 100 Somers, NY 10589

US Government Users Restricted Rights - Use, duplication of disclosure restricted by GSA ADP Schedule Contract with IBM Corp.

Produced in the United States of America May 2010 All Rights Reserved

IBM, the IBM logo, ibm.com, Guardium and InfoSphere are trademarks of International Business Machines Corporation, registered in many jurisdictions worldwide. Other product and service names might be trademarks of IBM or other companies. A current list of IBM trademarks is available on the web at “Copyright and trademark information” at ibm.com/legal/copytrade.shtml

Please Recycle

IMW14277-CAEN-01

InfoSphere®

software






Please Recycle

IMW14277-CAEN-01

InfoSphere®

software








L’utilisation, la reproduction ou la divulgation est assujettie aux restrictions énoncées dans le contrat GSA ADP Schedule d’IBM Corp.

Produit aux États-Unis Mai 2010 Tous droits réservés

IBM, le logo IBM, ibm.com, Guardium et InfoSphere sont des marques de commerce d’International Business Machines Cor-poration enregistrées dans un grand nombre de juridictions dans le monde. Les autres noms de produits ou de services peuvent être des marques de commerce d’IBM ou d’autres entreprises. Une liste à jour des marques de commerce d’IBM est disponible à cette adresse, sous le titre « Copyright and trademark information » : ibm.com/legal/copytrade.shtml.

Veuillez recycler.

IMW14277-CAEN-01

les 8 étapes de la sécurité globale des bases de … · 2 les 8 étapes de la sécurité globale...

Documents