Post on 05-Jun-2015
description
© 2012 IBM Corporation
IBM Security Systems
1© 2012 IBM Corporation
Segurança & Governança de DadosInfoSphere Guardium & Optim
© 2012 IBM Corporation2
Agenda
� Introdução sobre Segurança de Dados
� Soluções IBM
� IBM InfoSphere Guardium
� IBM InfoSphere Optim
© 2012 IBM Corporation33
Introdução sobre Segurança de Dados
© 2012 IBM Corporation4
Dados são o principal alvo das violações de segurança…..… e os Bancos de Dados são a principal fonte de dados violados.
http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf
2012 Data Breach Report from Verizon Business RISK T eam
• Servidores de banco de dados contêm asinformações mais valiosas de seus clientes:
- Registros financeiros
- Informações de clientes
- Registros de cartão de crédito e outras contas
- Registros de pacientes
• Alto volume de dados estruturados
• Facilidade de acesso
Por
quê
?
© 2012 IBM Corporation5
A missão do time IBM X-Force ® de pesquisa e
desenvolvimento:
� Pesquisar e avaliar questões de ameaças e proteção
� Oferecer proteção de segurança para problemas de se gurança de hoje
� Desenvolver novas tecnologias para os desafios de s egurança de amanhã
� Educar os meios de comunicação e comunidades de usu ários
X-Force Research14B páginas web & imagens analisadas
40Mspam & phishing ataques
54K vulnerabilidades documentadas
Billions de tentativas de intrusão diárias
Millions de amostras únicas de malware
IBM Security Systems - X-Force®
© 2012 IBM Corporation66
IBM InfoSphere GuardiumIn-depth Data Protection
© 2012 IBM Corporation7
Desafios para proteção de Dados
Onde estão meus dados sensíveis? Quem está acessando os dados?
Como checar vulnerabilidades?
Como reduzir custos com compliance?
Como garantir o controle de acesso? Como policiar as alterações nos BDs?
© 2012 IBM Corporation8
Principais Características
DAM - Monitoramento e Auditoria Real-time
• Arquitetura não-invasiva- Executado sem impacto ao BD- Mínimo Impacto em performance (2% - 3%)- Nenhuma alteração em aplicações
• Solução Heterogênea Bancos de Dados• 100% de visibilidade, incluindo DBAs
� Contínuo e baseado em políticas, monitora em temporeal todas as atividades de tráfego de dados, incluindoações de usuários privilegiados
� Verificação de infra-estrutura de banco de dados paravalidação de ausência de patches de segurança,privilégio de usuários, falhas de configuração e outrasvulnerabilidades
� Automação dos processos de compliance
Collector Appliance
Host-based Probes (S-TAPs)
Repositório de Dados (Bancos de dados, Warehouses,
File sSares, Big Data)
• Os logs não podem ser apagados porattackers ou DBAs
• Permite auditoria granular – Políticas(Quem, O que, Quando, Onde, Como)
• Relatórios automáticos de compliance, (ex.: SOX, PCI, Basiléia II, etc)
© 2012 IBM Corporation9
InfoSphere Guardium - Solução Escalável & Multi-plataformasBancos de Dados, Data Warehouses, Big Data e File Shares
Integração com LDAP, IAM, SIEM, TSM, Remedy, …
© 2012 IBM Corporation10 10
Guardium – DBAD - Database Auto-Discovery
Componente que executa o mapeamento dos ambientes de Banco de Dados na Rede.
• Vasculha rede procurando por Portas e Banco de Dados.
• Relatórios com os Banco de Dados encontrados.
• Permite buscas programadas.
• Buscas e relatórios customizáveis.
© 2012 IBM Corporation11 11
Guardium – Classifier
Informações sensíveis podem estar presentes em diferentes Bancos de Dados.
• Procurar por informações sensíveis:• Conteúdos• Nome de colunas
• Informações sensíveis:• Número de cartão de crédito• Transações • Informações pessoais• Informações financeiras
© 2012 IBM Corporation12
S-GATEAguarda
SQLTérmino de conexão
Violação de
Política
=
Quebra
Conexão
Usuário
privilegiado
SQL
Valida política
no Appliance
DB2, Informix, Oracle,
MySQL, Sybase, etc.
“Software DBMS não protegem os dados dos seus Administradores, eles tem habilidade para ver ou manipular dados armazenados em um Banco de Dados.”
Forrester, “Database Security: Market Overview,”
Guardium – Bloqueio ( S-GATE )
Sessão Encerrada
Ferramentas de DBA
1
2
34
© 2012 IBM Corporation13
Guardium – Application End User Identifier
Proteção extra para aplicativos
� Detalhes sobre informações dos usuários SAP & transações.
� Além das informações dos Log nativos dos ERPs.
� Permite detecção de fraudes e atividades não autorizadas.
� Não requer alterações na base de dados ou aplicação
� Funcionalidade similar disponível para: PeopleSoft, Oracle EBS, Siebel, Cognos, Business Objects & custom apps
Application
ServerDatabase
Server
Joe Marc
APPUSER
Proteção extra para aplicativos
© 2012 IBM Corporation14 14
Guardium – Análise de Vulnerabilidade
• Testes pré-definidos e customizados para identificação de vulnerabilidades
• Medições em real-time e históricas
• Análises baseadas nas melhores práticas de mercado
• US DOD Security Technical Implementation Guides – STIG)
• Center for Internet Security (CIS) Benchmarks
• Análises de vulnerabilidade de compliance (SOX, PCI-DSS)
• Atualização trimestral com novas práticas (DPS)
• Sem impacto de performance ou estabilidade
© 2012 IBM Corporation15
Análise de Vulnerabilidade – Exemplo de Resultado
Resumo dos Resultados
Detalhes Resultados dos testes
Histórico dos Resultados
Descrição detalhadas das correções
Filtros e ordem dos controles
© 2012 IBM Corporation16 16
Guardium – Aceleradores de Compliance
• Módulo opcional para endereçar requerimentos mandatórios de segurança
• Relatórios customizáveis
• Garante a segurança e requerimentos de auditoria
• Aumento da eficiência operacional através da automação de compliance
• Simplifica a validação de vasta quantidade de requerimentos
Sarbanes-Oxley
PCIGLBAHIPAABasiléia II
Gramm-Leach-Bliley Act (GLBA), a US law (Law 106-102) passed on November 12, 1999, contains privacy provisions relating to consumers' financial information. It imposes restrictions on the disclosure of consumers' personal financial information to non-affiliated third parties
© 2012 IBM Corporation17
Guardium – Relatório de Privilégios
• Reporta usuários privilegiados e detalhes dos grupos de acesso.
• Usuários privilegiados são extremamente difíceis de serem gerenciados.
• Oferecem recomendações de políticas de auditoria e melhores práticas.
• Facilmente integrável com soluções de Gerenciamento de Identidade.
© 2012 IBM Corporation18
Fontes de Dados Heterogêneas
Guardium – Relatório de Privilégios
© 2012 IBM Corporation19 19
Guardium - Workflow
• Ferramenta automática de análise; monitorar; distribuir relatórios, escalar alçadas.
A automação do processo de workflow consiste em:
• Definição do processo;
• Definição de papeis e níveis de alçadas;
• Definição de tarefas;
• Programação de tarefas (schedule).
Notificação de um novo processo via e-mail, ocorre de duas formas:• Resultado com links – o e-mail conterá um hypertext link para os
resultados armazeandos no appliance do Guardium.• Resultado completo – anexo ao e-mail será enviado um arquivo PDF,
considerando as regras da lista de distribuição, alçadas e escalação.
© 2012 IBM Corporation20
InfoSphere BigInsights
DATABASES
FTP
ExadataExadataExadataD A T A B A S ED A T A B A S ED A T A B A S E
HANA
Optim
Archival
Optim
Archival
Optim
Archival
Siebel,
PeopleSoft,
E-Business
Siebel,
PeopleSoft,
E-Business
Siebel,
PeopleSoft,
E-Business
Master Data
Management
Master Data
Management
Master Data
Management
Data
Stage
Data
Stage
Data
Stage
CICSCICSCICSCICS
DAMEncryptionMasking
VARedaction
InfoSphere Guardium - Solução Escalável & Multi-plataformasBancos de Dados, Data Warehouses, Big Data, Application e File Shares
© 2012 IBM Corporation21
Guardium – Enterprise Integration (EDC)
Directory Services(Active Directory, LDAP, TDS, etc)
SIEM(IBM QRadar, Arcsight, RSA
Envision, etc) SNMP Dashboards(Tivoli Netcool, HP Openview, etc)
Change Ticketing Systems
(Tivoli Request Mgr, Remedy, Peregrine, etc)
Vulnerability Standards
(CVE, STIG, CIS Benchmark)
Data Classification and Leak Protection
(Credit Card, Social Security, phone, custom, etc)
Security Management Platforms
(IBM QRadar, McAfee ePO)
Application Servers(IBM Websphere, IBM Cognos, Oracle
EBS, SAP, Siebel, Peoplesoft, etc)
Long Term Storage(IBM TSM, IBM Nettezza, EMC Centera,
FTP, SCP, etc)
Authentication(RSA SecurID, Radius, Kerberos,
LDAP)
Software Deployment(IBM Tivoli Provisioning Manager, RPM, Native
Distributions)
Send Alerts (CEF, CSV, Syslog, etc) Send
Events
• STAP
© 2012 IBM Corporation2222
IBM InfoSphere OptimData Governance
© 2012 IBM Corporation23
Archive
Ambientes Produção
OE
M/IS
V
Cu
sto
m
Am
do
cs
Max
imo
JDE
dw
ard
s
Peo
ple
So
ft
Ora
cle
Sie
bel
Subset e Mascaramento
Ambientes Não Produção
OE
M/IS
V
Cu
sto
m
Am
do
cs
Max
imo
JDE
dw
ard
s
Peo
ple
So
ft
Ora
cle
Sie
bel
NAS SAN ATA CAS Optical Tape
Windows XP/2000 Solaris HP/UX Linux AIX OS/390 Z/OS
Oracle SQL Server Sybase Informix DB2 LUW DB2 Z IMS VSAM Adabas XML Teradata
Optim ™
Crescimento de dados, Privacidade de dados, Gerenci amento de ambiente de testes, Upgrade e aposentador ia de aplicações
Arquitetura Corporativa
Única, escalável, Solução de Gerenciamento de dados
© 2012 IBM Corporation24
� Conjunto ou subconjunto de tabelas relacionadas entre si, no banco ou na aplicação
� Suporte à federação de dados entre fontes de dados
Fiscal
Objeto de negócios completomodelo simplificado
© 2012 IBM Corporation25
Mascaramento completo dos objetos de negócio através de bancos de dados heterogeneos e aplicações
Subconjuntos de dados referencialmente-intactos em tabelas relacionadas eaplicações, incluindo metadados.
VisãoDBA
Visão geral "instantânea" do histórico de negócios, representado por dados de uma aplicação - por exemplo, pagamento, fatura do cliente, etc...
VisãoNegócio
Acesso federado aos objetos de negócio da Corporação
Custom App on SQL ServerERP / Financials
on DB2Custom Inventory Mgmt
on Oracle
© 2012 IBM Corporation262
Visão Geral da Solução Optim
Production Dev/Test
Archive
DiscoverUnderstand
Classify
� Ganho em performance
� Gestão do Ciclo de Vida da Informação (ILM)
� Atendimento às normas de retenção e compliance
Archive
� Permite definir o tamanho apropriado do ambiente de dados para Testes.
� Redução no tempo de disponibilização dos dados para os ambientes de Testes
� Ganhos em performance e storage
Test
� Acelera o entendimento da complexidade dos relacionamentos dos dados através dos sistemas.
Discover
• Archive• Retire
DATA
ApplicationDATA
• Subset • Mask• Compare• Refresh
Mask
� Mascaramento de dados
� Aderencia a práticas de mercado para mascaramento de dados sensíveis
© 2012 IBM Corporation2727
IBM InfoSphere OptimTest Data Managemet
© 2012 IBM Corporation28
Optim TDM - Algumas Práticas Comuns
#1 – Cópia de Produção
Wait
Cópia do BDProdução
Verificação Manual:Dados Corretos?
O que Mudou?Resultados Corretos?
Quem Alterou?
Depois
Cópia do BDProdução
Alterações
“Clone” de Produção
Solicita Cópia p/ DBA
#2 – Codificação em SQL e outros
Extração
• IR Correta?• Dados Corretos?
Alto Custo,Pessoal Dedicado,Manutenção
AlteraçõesDepois
• Complexidade• Sujeito a Alterações
Extração
Escreve SQL
© 2012 IBM Corporation292
IBM InfoSphere Optim Test Data Management Solution
Requirements
Benefits
• Disponibiliza novas funcionalidade mais rápido e com mais qualidade
• Facilita o refresh & manutenção do ambiente de teste
• Protege os dados sensíveis contra fraude e vazamento de dados
• Cria Bancos de Dados Teste com tamanho ideal
• Automatiza comparação de resultados de testes para identificar possiveis erros
• Protégé dados confidenciais usados em teste, treinamento e desenvolvimento
• Diminui o ciclo de teste e acelera o time to market
Criar ambiente não produção com "tamanho ideal" para testes de
aplicativos
Test Data Management
100 GB
25 GB
50 GB
25 GB
2TB
Development
Unit Test
TrainingIntegration Test
-Subset
-Mask
Produção ou Clone da Produção
InfoSphere Optim TDM suporta dados na plataforma distribuida (LUW) e z/OS.
Aceleradores para realizar subset dos principais pacotes ERP/CRM tal como:
Other
-Compare
-Refresh
© 2012 IBM Corporation3030
IBM InfoSphere OptimData Privacy (Masking)
© 2012 IBM Corporation313
IBM InfoSphere Optim Data Masking Solution
Personal identifiable information is masked
with realistic but fictional data for testing &
development purposes.
JASON MICHAELSJASON MICHAELS ROBERT SMITHROBERT SMITH
Requirements
Benefits
• Proteger dados sensíveis contra fraude
• Previne vazamento de dados
• Aprimora a gestão dos dados
• Protege os dados confidenciais usados nos ambientes de teste, treinamento e desenvolvimento
• Implementa tecnicas de mascaramento já comprovadas
• Suporta processos de compliance de regulamentaçoes de privacidade
De-identify sensitive informationwith realistic but fictional data for testing & development purposes
Data Masking
© 2012 IBM Corporation32
Example 2Example 1
PersNbr FstNEvtOwn LstNEvtOwn
27645 Elliot Flynn
27645 Elliot Flynn
Event Table
PersNbr FstNEvtOwn LstNEvtOwn
10002 Pablo Picasso
10002 Pablo Picasso
Event Table
Personal Info Table
PersNbr FirstName LastName08054 Alice Bennett19101 Carl Davis27645 Elliot Flynn
Personal Info Table
PersNbr FirstName LastName10000 Jeanne Renoir10001 Claude Monet10002 Pablo Picasso
Optim Data Privacy (Mascaramento)
Um conjunto abrangente de técnicas de mascaramento de dados para transformar ou de-identificar dados, incluindo:
�String literal values�Character substrings�Random or sequential numbers
�Arithmetic expressions�Concatenated expressions�Date aging
�Lookup values�Intelligence
Integridade referencial é mantida com a propagaçãodos dados da chave primária.
Patient Information
Patient No. SSNNameAddressCity State Zip
112233 123-45-6789
Amanda Winters
40 Bayberry Drive
Elgin IL 60123
123456 333-22-4444
Erica Schafer
12 Murray Court
Austin TX 78704
Os dados são mascarados com dados contextualmente corretos para preservar a integridade dos dados de teste.
© 2012 IBM Corporation33
Funções de Mascaramento
� Mapeamento de colunas
� Mapeamento de colunas com nomes diferentes
� Transformação/mascaramento de dados sensíveis
� Conversão de Datatypes
� Date aging
� Literais
� Expressões matemáticas
� Valores “default”
� Substring
� Exits
� Conversão de moedas
� Social Security (US ……)
� Cartão de Crédito
� Hash Lookup
� Lookup
� Lookup randômico
� Tabela de NOMES (US)
� Shuffle
� Manipulação de Strings
� …
© 2012 IBM Corporation34
Cópiaoriginal
Apósvalidação
Arquivos
Relatórios
Comparação
Optim Compare
• Mostra alterações inesperadas (ou valida as alterações esperadas)
• Para testes de aplicação e garantia de qualidade
• Comparação de uma ou várias tabelas
• Permite criar relatório com resultado da comparação
• Evidência de teste
© 2012 IBM Corporation35
Integration with LDAP/AD, IAM, Change Management,
SIEM, Archiving, etc.
Development, Test & Training
Rio de Janeiro Data Center
Sao Paulo Data Center
S-TAPCollector
Collector
Collector
Central Policy Manager & Audit Repository
z/OS Mainframe
S-GATE
35
35
Guardium & Optim
Optim
OPTIM TDM + DP
NÃO PRODUÇÃO PRODUÇÃO
OPTIM Archiving
Optim
Production
© 2012 IBM Corporation36
Segurança & Governança de DadosInfoSphere Guardium & Optim
Obrigado!