© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security...
-
Upload
markus-kaiser -
Category
Documents
-
view
217 -
download
1
Transcript of © 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security...
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Referent Björn Welling
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Bedeutung und Bedrohung von „Data Leakage“
Database Firewall
File Server Firewall
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Bedeutung und Bedrohung von „Data Leakage“
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Reale Szenarien:
Bedeutung und Bedrohung von „Data Leakage“
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Reale Szenarien:
Bedeutung und Bedrohung von „Data Leakage“
Steuer-CDs
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Reale Szenarien:
Bedeutung und Bedrohung von „Data Leakage“
Steuer-CDs
scheidende Mitarbeiter
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Reale Szenarien:
Bedeutung und Bedrohung von „Data Leakage“
Steuer-CDs
scheidende Mitarbeiter
WikiLeaks
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Reale Szenarien:
Bedeutung und Bedrohung von „Data Leakage“
Steuer-CDs
scheidende Mitarbeiter
WikiLeaks
USB Sticks
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Reale Szenarien:
Bedeutung und Bedrohung von „Data Leakage“
Steuer-CDs
scheidende Mitarbeiter
WikiLeaks
USB SticksOffener Layer2 Zugriff
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Reale Szenarien:
Bedeutung und Bedrohung von „Data Leakage“
Steuer-CDs
scheidende Mitarbeiter
WikiLeaks
USB SticksOffener Layer2 ZugriffEmail
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
„Data Leakage“, „Data Loss“ Angriffe zielen auf fremdes Eigentum!
Bedeutung und Bedrohung von „Data Leakage“
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
„Data Leakage“, „Data Loss“ Angriffe zielen auf fremdes Eigentum!Þ per Definition: „Diebstahl“
Bedeutung und Bedrohung von „Data Leakage“
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
„Data Leakage“, „Data Loss“ Angriffe zielen auf fremdes Eigentum!Þ per Definition: „Diebstahl“
Im technischen Kontext:
unbefugtes beschaffen (Datenursprung)
&
unbefugtes wegschaffen (Datentransport)
Bedeutung und Bedrohung von „Data Leakage“
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Kosten und Gewichtung in Deutschland:
zwischen ca. 370.000 und ca. 6 Millionen € Schaden pro Vorfall
Zwischen 3000 und 63 000 verlorene Datensätze pro Vorfall
(Ponemon Institute, 2010 Global Cost Of Data Breach – Studie durch persönliche Befragung)
Bedeutung und Bedrohung von „Data Leakage“
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Kosten und Gewichtung in Deutschland:
zwischen ca. 370.000 und ca. 6 Millionen € Schaden pro Vorfall
Zwischen 3000 und 63 000 verlorene Datensätze pro Vorfall
(Ponemon Institute, 2010 Global Cost Of Data Breach – Studie durch persönliche Befragung)
Meldepflicht:
Verschärfung des Bundesdatenschutzgesetzes seit 01. September 2009:
Unternehmen und Behörden müssen Datendiebstahl melden & die Betroffenen
Informieren, wenn schwerer Schaden droht.
Bedeutung und Bedrohung von „Data Leakage“
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Wo bieten sich DLP Maßnahmen an :
Bedeutung und Bedrohung von „Data Leakage“
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Wo bieten sich DLP Maßnahmen an :
Beim Datentransport viele Möglichkeiten, unterschiedlichen Technologien & Infrastrukturen zu schützen.
Bedeutung und Bedrohung von „Data Leakage“
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Wo bieten sich DLP Maßnahmen an :
Beim Datentransport viele Möglichkeiten, unterschiedlichen Technologien & Infrastrukturen zu schützen.
Am DatenursprungJedes Szenario entwickelt sein Gefährdungspotential an der Quelle der Daten.
Bedeutung und Bedrohung von „Data Leakage“
Definition „Daten-Quellen“: strukturierten und unstrukturierten Daten
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
strukturierte Daten:
- Logisch gruppierte Informationseinheiten- User Interaktion erfolgt durch vorgeschaltete Applikation
mit definierten Funktionen- eine übergeordnete Zugriffsregelung für alle Informationseinheiten
im gleichen „Container“
Þ Datenbanksystem (DBS)
Þ Lösungsansatz: Database Firewall
Bedeutung und Bedrohung von „Data Leakage“
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
unstrukturierte Daten:- Beliebige Informationsobjekte:
Beschaffenheit, Ort und Zugriff sind nicht einheitlich- User Interaktion erfolgt durch verschiedene Applikationen- Pro Informationseinheit erfolgt autonome Zugriffsregelung
Þ Fileserver
Þ Lösungsansatz: File Firewall
Bedeutung und Bedrohung von „Data Leakage“
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Database Firewall:
Wie werden Datenbanken genutzt?
Auf welche Art drohen Gefahren?
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Database Firewall
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Database Firewall
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Database Firewall
Deployment Möglichkeiten
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Database Firewall
PORT 80
PORT 443
Angriffe richten sich gegen die AppliaktionenPerimeter Security
ist stark,
aber offen fürWeb Traffic
Welche Datenbank Abfragen sind legitim?Was macht eine Benutzer Interaktion zu einem Angriff?
Cross-Site ScriptingSQL Injection
Cookie Poisoning Hidden-Field Manipulation
Parameter Tampering
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Vorteile:
- Lösungen bedienen den Markt „Web2.0“ und unterstützen die Technologien der web - basierenden, dynamischen sowie e-Commerce Plattformen (Unterstützen die typischen Betriebssysteme und Scriptsprachen)
- bestehende Server Landschaft muss nicht verändert werden
- vorgefertigte Angriffssignaturen für verschiedene Datenbank Modelle
Database Firewall
Bewertung der Datenbank – Schutzmaßnahmen im Web Application Kontext:
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Database Firewall
Bewertung der Datenbank – Schutzmaßnahmen im Web Application Kontext:
Nachteile:
- Schutzmaßnahmen sind „hard-wired“ mit dem Übertragungsweg Web bzw. HTTP und Bedienen daher nicht alle Szenarien.- Technische Grenzen - Paradebeispiel URL Encoding in URI / Header:
<script>alert(Hello)</script> != %3Cscript%3Ealert(Hello)%3C%2Fscript%3E Falls URL Decoding betrieben wird: Maßnahmen-bedingte Einbußen bei der Performance hinterlassen Spuren im Internet (Latenzen, TCP Window Size…) und suggerieren Angriffsfläche
- Keine oder eingeschränkte Betrachtung von Anomalien (Schwellwerte für Query Aufkommen & Art, User Wechsel)
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Database Firewall
• Überwachung aller der Zugriffe auf die Datenbank:• Netzwerk Zugriffe• Lokale Aktivitäten auf dem Datenbanksystem (durch Agents)• Web Apps• Datenbank Clients & Schnittstellen
• Überwachung bezüglich:• Bekannter Angriffe• Regelwerksverletzungen• Einhaltung von User Berechtigungen• Anormales Verhalten
• Reaktionen auf Events:• Alarmierung/Reporting/Block
Anforderungen an eine vollwertige Datenbank Security Lösung
Selbsthilfe
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Database Firewall
• Transparent Inline Bridge– Unterstützt das vollständige
Featureset– Hoher Durchsatz, idealerweise
geringe Latenz– Fail-open interfaces für Hardware Bypass
• Non-inline Deployment (passiv)– Nur für Monitoring, keine Netzwerk Latenz,
kein Policy Enforcement
•Mehrere Units können implementiert und
zentral administriert werden.
•Host basierende Agenten unterstützen
beide Implementierungsformen.
Switch
DB-Firewall
Daten CenterDB-Firewall
Aktive (inline) ImplementierungPassive Implementierung
Implementierungsformen
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Database Firewall
MSSQL Worm Propagation Blocked
Beispiel: Überwachung bekannter Angriffe
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Database Firewall
Beispiel: Überwachung von Regelwerksverletzungen
Policies werden verwendet, um spezielle Anforderungen umzusetzen:• Compliance Anforderungen• Umsetzung der Zugriffskontrolle (User Rights Management)
Vordefinierte Compliance Regeln:PCI-DSS, SOX, HIPAA, ISO27001, GLB Act
oder eigene Anpassungen denkbar
Gruppe der Tabellen, die überwacht werden soll
Art der Operation
Kriterien auswählen
Policy Enforcement für welche Daten?
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Database Firewall
Beispiel: Überwachung von Regelwerksverletzungen
Alarmierung:
Die Betrachtung des gesamten Kontext ermöglicht die Visualisierung von:
Wer?Was?Wann?Wo?
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Database Firewall
Beispiel: Überwachung von Anomalien
• Erstellen von Profilen, welche „normales“ Verhalten für ein Objekt beschreiben – „Baselining“
• Profil - Abweichungen erzeugen einen Alert, und / oder Blocken die Ausführung
Objekt & Empfindlichkeit “normales” Verhalten
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Unstrukturierte Daten:
File Firewall
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
File Firewall
Definition des Problems beim Umgang mit Dateien auf File Servern oder NAS Storage:
• Firmenrichtlinien bzgl. der Daten nur schwer umsetzbar:oft mangelt es an ordnungsgemäßer Klassifizierung und anschließenderUmsetzung der Restriktionen.
• Mit den Jahren gewachsene File Server und Verzeichnisdienst Strukturenerschweren die Sicht auf die „effektiven Berechtigungen“
• Gruppenrichtlinien, ACLs und Vererbungshierarchien bestehen aus der Historiebedingt parallel, bzw. kollidieren.
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
File Firewall
Anforderungskatalog ähnlich wie bei Datenbanken:
• Visualisieren: wer greift auf Dateien zu? Wie ist das Nutzungsverhalten bestimmter User / Daten? Wie sehen „effektive Berechtigungen“ aus?
• Kategorisierung („Vereinheitlichung“) der Daten bzw. Dateien
• Erstellen und umsetzen von Regelwerken bzgl. der Zugriffe auf die Dateien und bzgl. der User Rechte
• Auswerten der Zugriffe und Events
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
File Firewall
File Activity Monitoring
File Firewall
ManagementServer
Nutzer
File Server NAS SystemeMögliche Implementierung:
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
File Firewall
• Transparent Inline Bridge– Unterstützt alle Möglichkeiten:
File Audit & File Firewall & URM– Hoher Durchsatz, idealerweise
geringe Latenz– Fail-open interfaces (sinnvoll)
• Non-inline Deployment (passiv)– Nur für Audit Monitoring & URM,
keine Netzwerk Latenz, kein Policy Enforcement
Switch
File Firewall
File ServerFile Audit Monitoring
Aktive (inline) ImplementierungPassive Implementierung
Implementierungsformen
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
File Firewall
Implementierungsformen
Merkmale beider Implementierungsformen:
• Umfassende Visualisierung: alle Dateien und Verzeichnisse von allen Systemen (Windows File Server, NAS Systeme)
• keine Beeinträchtigung der Dateisystem Performance
• keine Anpassung von Applikationen, Servern oder Clients nötig
• Informationsgehalt von User-bezogenen Daten kann angepasst werden (4 Augen Prinzip, Datenschutz / Betriebsrat Vorgaben)
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
File Firewall
Veranschaulichung des Funktionsprinzips einer implementierten File Firewall:
• Auf Basis von Audit Ergebnissen wurden Policies für Dateizugriffe und User Berechtigungen erstellt.
• Policies werden angewendet – zweifelhafte Lesevorgänge per Block unterbinden.
• Darüber hinaus: Monitoring von File Server Aktivitäten und Alarmierung.
NAS
File Servers
Joe, IT
Jim, HR
• Dateisysteme “crawlen”• “Inventarisierung” von Name,
Typ, Besitzer, Berechtigungen…• Klassifizierung des Daten- bestandes und Policy erstellen
File Firewall / File Activity Monitoring
X
Policies anwendenWer Was Aktion
Non Finance
Update Financial
Block
Any Read Marketing
Audit
Audit LogWer Was Wann Aktion
Joe Read CEO salary.xls
1/1/2010 12:50
Block
Jim Read promo
files.doc
1/1/201012:51
Audit
Ergebnis: Data/Permission MapWer Gruppe Was Klasse
Joe, IT Fin-CC Lesen CEO
salary.xls
Financial
Jim, HR HR-Exec Lesen promo
files.doc
Marketing
21 3
OK
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
File FirewallBeispiel: Klassifizierung und Policy Erstellung
Audit Ergebnis: Pfade, Unterordner, Dateien
Automatische Klassifizierung auf Basis von Meta Daten
Excel Dateien im “Budget” Ordner, welche “Finance” gehören, sind vom
Typ “Financial Data”
Klassifizierung + Policy = Umsetzen der
Unternehmensrichtlinien
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
File FirewallBeispiel: Visualisierung von File Server Operationen
Filter: Financial Data
Wer hat die meisten Zugriffe?
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
File FirewallBeispiel: Visualisierung von File Server Operationen
Zugriff anderer Abteilungen auf Daten der Klasse “Financial” ?
Was wurde wann aufgerufen?
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
File FirewallBeispiel: Visualisierung von Berechtigungen
Zugriff von “allen Benutzern” erlauben?
Welche Rechte werden nicht
benötigt?
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
File FirewallBeispiel: Alarmierung von Policy Violation
Blocke und alarmiere, wenn ein User außerhalb der Finanz-Gruppe zugreift
In die Tiefe gehen: “wer, was,wann und wo”
Alarmierungstrigger
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Zusammenfassung
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Zusammenfassung
• Datendiebstahl definiert sich technisch durch unbefugtes beschaffen (Datenursprung)und unbefugtes wegschaffen (Datentransport)
• Es wurde ein neuer, technologischer Ansatz für den Schutz der Daten am Ursprungin Form von Database Firewall und File Firewall geschaffen
• Seit September 2009 besteht Meldepflicht laut BDSG
• Datenbank Firewalls im Web Application Kontext bedienen den Web2.0 Markt, aber: Technische Grenzen und "hard-wired" mit dem Übertragungsweg HTTP.Sie adressieren daher nicht alle möglichen Data Leakage Szenarien.
• Autarke Datenbank Firewalls im Backend bewerten und schützen den Gesamtkontext der Datenbanknutzung mit Hilfe der Disziplinen Audit & Activity Monitoring, Policy Enforcement, User Rights Management, Klassifizierung von Daten und Nutzungsprofile
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Zusammenfassung
• File Server Firewalls visualisieren und steuern alle File Server Aktivitäten, ermöglichenKategorisierung von Daten sowie die Anwendung von Regelwerken.
• File Server Firewalls arbeiten transparent und belasten die Dateisystem Performancenicht. Anpassungen an Server, Client oder Applikationen sind nicht notwendig.
• Vorgefertigte Policies, anpassbar oder als Basis für eigene Policies, ermöglichen die Umsetzung von Unternehmensrichtlinien und Compliance Anforderungen.
© 2011 | magellan netzwerke GmbH
Data Leak Prevention – Datenbank Security und File Security
Vielen Dank für Ihre Aufmerksamkeit!