seguridad en bbdd (securityday bilbao)


The following is intended to outline our general product direction. It

is intended for information purposes only, and may not be

incorporated into any contract.

It is not a commitment to deliver any material, code, or functionality,

and should not be relied upon in making purchasing decisions. The

development, release, and timing of any features or functionality

described for Oracle’s products remains at the sole discretion of

Oracle.

Seguridad en Base de Datos

Juan Carlos Díaz

Principal Sales Consultant


Agenda

Introducción

Problemáticas típicas

– Solución de Oracle

Conclusiones

Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 5 Oracle Confidential 5

Oracle: Seguridad desde el Interior

Datos Aplicaciones Usuarios

BLOG BLOG

Social Social

Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 6 Oracle Confidential 6

Oracle: Seguridad desde el Interior

Data Apps Users

BLOG BLOG

Social Social

GESTION DE IDENTIDADES

Y ACCESOS

SEGURIDAD

BASE DE DATOS


Fugas de datos de servidores de BD Cerca de 1B de registros comprometidos en los últimos 6 años

2/3 de la información sensible y regulada reside en bases de datos

… y se dobla cada dos años

Source: Verizon, 2007-11 and IDC, "Effective Data Leak Prevention Programs: Start by

Protecting Data at the Source — Your Databases", August 2011

48% de fugas de

origen interno

89% registros

robados usando SQL

Injection

86% Hacking usando

credenciales robadas


Los datos no están sólo en Producción

8

Datos

Sensibles

Partners DW/Analytics Reports Stand By Test Dev Temp


32% Puede evitar que los DBAs accedan a datos o procedimientos

61% No monitorizan la escritura de datos sensibles de aplicaciones

65% No disponen de medidas para prevenir ataques de SQL injection

55% Copian datos de producción a entornos de desarrollo y test

68% Datos en ficheros de BD se pueden leer a nivel de S.O.

44% No puede impedir el acceso directo a la B.D. (application bypass)

¿Cómo es la seguridad de sus BB.DD.? Resultados 2012 IOUG Enterprise Data Security Survey


IT Security no prioriza la seguridad en BBDD Sólo el 20% tiene un plan

“Forrester estima que,

aunque el 70% de las empresas

tiene un plan de seguridad de la

información, sólo el 20% de las

empresas tiene un plan de

seguridad de base de datos.”

Endpoint Security

Vulnerability Management

Network Security

Email Security

Authentication and User Security

Database Security


Fuentes de amenaza

• System admin, DBA, Administrador de Aplicaciones

• Credenciales robadas, uso malicioso, errores

Cuentas de Administracion

• SQL Injection

• Bypass de aplicaciones Aplicaciones

• Acceso a datos de producción en entornos no seguros

• Acceso a datos en producción para resolución de problemas Test & Dev

• Acceso directo OS y Red

• Backups perdidos/robados Operaciones

Los ataques pueden venir de cualquier parte


Agenda

Introducción

Problemáticas típicas

– Solución de Oracle

Conclusiones


Desarrollador

Usuarios privilegiados Control de acceso y segregación de funciones

SELECT * FROM clientes

WHERE name LIKE ‘%’;

Martes 11:30 am

ALTER TABLE clientes

MODIFY name VARCHAR(60);

DBA

Sábado

1:00 am


Oracle Database Vault Control de acceso y seguridad en base de datos

• Segregación de funciones y cotos de seguridad

• Asegura quién, dónde, cuándo y cómo accede a la base de datos

• Asegura los mínimos privilegios a los usuarios privilegiados

• Evita el “puenteo” de las aplicaciones y asegura el gobierno de los datos

• Permite consolidar de forma segura los datos de aplicaciones multicompañía

Compras

RR.HH.

Financiero

Responsable

de aplicación

select * from finance.customers DBA

Responsable

de seguridad

Aplicación


Acceso indebido a los datos Datos y comunicaciones en claro


Oracle Advanced Security Proteger datos sensibles de usuarios no autorizados

Oracle Advanced Security

Autenticación fuerte

Oracle Advanced Security

Cifrado de red

Los datos

escritos a disco

son cifrados

automáticamente

Los datos se

descifran de forma

transparente y se

devuelven en claro

Oracle Advanced

Security

Cifrado de los datos

en disco

INSERT

Nombre: Juan Nadie

DNI: 12345678A

SELECT

Nombre: Juan Nadie

DNI: 12345678A

http://north.interactivedesignlab.com/wp-content/uploads/2010/02/smart-card1.gif


Entornos no productivos Pruebas funcionales y de rendimiento

Producción Desarrollo

HR: Datos personales

Datos sindicales

Datos …

Desarrollo = Producción Desarrollador


Oracle Data Masking

Enmascaramiento irreversible de datos en entornos no productivos

• Transfiere datos de aplicación de forma segura a entornos no productivos

• Evita que desarrolladores de aplicaciones accedan a datos reales de producción

• Librerías y políticas extensibles para la automatización del enmascaramiento de datos

• Se preserva la integridad referencial por lo que las aplicaciones continúan funcionando

correctamente

NOMBRE DNI SALARIO

ZFDGFAKJIJ 81331100-J 25,000

ASDTYHJUK 87766348-S 30,000

NOMBRE DNI SALARIO

ANA PÉREZ 12345678-A 30,000

PEDRO SÁNCHEZ 48765432-Z 25,000

Producción Desarrollo


Ataques externos Monitorización y protección frente a SQL Injections

Datos del

cliente AB345

SELECT nombre, nif, …

FROM clientes

WHERE id = ? ‘AB345’

SELECT nombre, nif, …

FROM clientes

WHERE id = ? ‘’ OR 1=1


Políticas Informes OOTB

Alertas Informes custom

Applications Bloqueo

Log

Permitir

Alertas

Sustitución

• Monitoriza la actividad de la BB.DD. para prevenir accesos no autorizados, SQL injections,

escalado de roles o privilegios, accesos ilegales a datos sensibles, etc.

• Análisis de alto rendimiento basados en gramática de SQL sin costosos falsos positivos

• Políticas flexibles basadas en listas blancas y negras

• Arquitectura escalable que permite el rendimiento requerido en todos los tipos de despliegue

• Informes preconstruidos y a medida para PCI, SOX y otras regulaciones

Oracle Database Firewall Primera línea de defensa


Configuración, auditoría y análisis forense

Auditor


Oracle Audit Vault Auditoría de la actividad de BB.DD. en tiempo real

• Consolida los registros de auditorías en un repositorio centralizado y seguro

• Detecta y alerta sobre actividades sospechosas, incluyendo usuarios privilegiados

• Informes predefinidos y personalizados de auditoría de usuarios privilegiados, permisos,

logins fallidos, acceso a datos sensibles, cambios de esquema, …

• Optimiza la auditoría con informes, notificaciones, archivado, certificaciones, etc.

• Recopila trazas de múltiples orígenes, Oracle, SQLServer, Sybase, DB2

Datos CRM

Datos ERP

Databases

Datos RR.HH.

Auditoría del dato

Políticas

Informes OOTB

Alertas

Informes Custom

!

Auditor


Completa – único proveedor que cubre todos sus requerimientos

Transparente – no requiere ningún cambio en las aplicaciones existentes

Fácil de desplegar – consolas que facilitan el despliegue en pocas horas

Rentable – soluciones integradas que reducen el riesgo con un bajo TCO

Probado – #1 en BB.DD. con más de 30 años innovando en seguridad!

• Database Vault • Advanced Security

• Data Masking

• Audit Vault

Encriptación y

enmascaramiento

Control de acceso

Auditoría

• Database Firewall

Monitorización

y bloqueo

Conclusiones Defensa en profundidad


www.facebook.com/OracleDatabase

www.twitter.com/OracleDatabase

blogs.oracle.com/OracleDatabase

www.oracle.com/database/security

seguridad en bbdd (securityday bilbao)

Documents