© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security...

© 2011 | magellan netzwerke GmbH

Data Leak Prevention – Datenbank Security und File Security

Referent Björn Welling



Bedeutung und Bedrohung von „Data Leakage“

Database Firewall

File Server Firewall



Reale Szenarien:




Reale Szenarien:


Steuer-CDs



Reale Szenarien:


Steuer-CDs

scheidende Mitarbeiter



Reale Szenarien:


Steuer-CDs


WikiLeaks



Reale Szenarien:


Steuer-CDs


WikiLeaks

USB Sticks



Reale Szenarien:


Steuer-CDs


WikiLeaks

USB SticksOffener Layer2 Zugriff



Reale Szenarien:


Steuer-CDs


WikiLeaks

USB SticksOffener Layer2 ZugriffEmail



„Data Leakage“, „Data Loss“ Angriffe zielen auf fremdes Eigentum!




„Data Leakage“, „Data Loss“ Angriffe zielen auf fremdes Eigentum!Þ per Definition: „Diebstahl“




„Data Leakage“, „Data Loss“ Angriffe zielen auf fremdes Eigentum!Þ per Definition: „Diebstahl“

Im technischen Kontext:

unbefugtes beschaffen (Datenursprung)

&

unbefugtes wegschaffen (Datentransport)




Kosten und Gewichtung in Deutschland:

zwischen ca. 370.000 und ca. 6 Millionen € Schaden pro Vorfall

Zwischen 3000 und 63 000 verlorene Datensätze pro Vorfall

(Ponemon Institute, 2010 Global Cost Of Data Breach – Studie durch persönliche Befragung)




Kosten und Gewichtung in Deutschland:

zwischen ca. 370.000 und ca. 6 Millionen € Schaden pro Vorfall

Zwischen 3000 und 63 000 verlorene Datensätze pro Vorfall

(Ponemon Institute, 2010 Global Cost Of Data Breach – Studie durch persönliche Befragung)

Meldepflicht:

Verschärfung des Bundesdatenschutzgesetzes seit 01. September 2009:

Unternehmen und Behörden müssen Datendiebstahl melden & die Betroffenen

Informieren, wenn schwerer Schaden droht.




Wo bieten sich DLP Maßnahmen an :





Beim Datentransport viele Möglichkeiten, unterschiedlichen Technologien & Infrastrukturen zu schützen.





Beim Datentransport viele Möglichkeiten, unterschiedlichen Technologien & Infrastrukturen zu schützen.

Am DatenursprungJedes Szenario entwickelt sein Gefährdungspotential an der Quelle der Daten.


Definition „Daten-Quellen“: strukturierten und unstrukturierten Daten



strukturierte Daten:

- Logisch gruppierte Informationseinheiten- User Interaktion erfolgt durch vorgeschaltete Applikation

mit definierten Funktionen- eine übergeordnete Zugriffsregelung für alle Informationseinheiten

im gleichen „Container“

Þ Datenbanksystem (DBS)

Þ Lösungsansatz: Database Firewall




unstrukturierte Daten:- Beliebige Informationsobjekte:

Beschaffenheit, Ort und Zugriff sind nicht einheitlich- User Interaktion erfolgt durch verschiedene Applikationen- Pro Informationseinheit erfolgt autonome Zugriffsregelung

Þ Fileserver

Þ Lösungsansatz: File Firewall




Database Firewall:

Wie werden Datenbanken genutzt?

Auf welche Art drohen Gefahren?



Database Firewall



Database Firewall

Deployment Möglichkeiten



Database Firewall

PORT 80

PORT 443

Angriffe richten sich gegen die AppliaktionenPerimeter Security

ist stark,

aber offen fürWeb Traffic

Welche Datenbank Abfragen sind legitim?Was macht eine Benutzer Interaktion zu einem Angriff?

Cross-Site ScriptingSQL Injection

Cookie Poisoning Hidden-Field Manipulation

Parameter Tampering



Vorteile:

- Lösungen bedienen den Markt „Web2.0“ und unterstützen die Technologien der web - basierenden, dynamischen sowie e-Commerce Plattformen (Unterstützen die typischen Betriebssysteme und Scriptsprachen)

- bestehende Server Landschaft muss nicht verändert werden

- vorgefertigte Angriffssignaturen für verschiedene Datenbank Modelle

Database Firewall

Bewertung der Datenbank – Schutzmaßnahmen im Web Application Kontext:



Database Firewall

Bewertung der Datenbank – Schutzmaßnahmen im Web Application Kontext:

Nachteile:

- Schutzmaßnahmen sind „hard-wired“ mit dem Übertragungsweg Web bzw. HTTP und Bedienen daher nicht alle Szenarien.- Technische Grenzen - Paradebeispiel URL Encoding in URI / Header:

<script>alert(Hello)</script> != %3Cscript%3Ealert(Hello)%3C%2Fscript%3E Falls URL Decoding betrieben wird: Maßnahmen-bedingte Einbußen bei der Performance hinterlassen Spuren im Internet (Latenzen, TCP Window Size…) und suggerieren Angriffsfläche

- Keine oder eingeschränkte Betrachtung von Anomalien (Schwellwerte für Query Aufkommen & Art, User Wechsel)



Database Firewall

• Überwachung aller der Zugriffe auf die Datenbank:• Netzwerk Zugriffe• Lokale Aktivitäten auf dem Datenbanksystem (durch Agents)• Web Apps• Datenbank Clients & Schnittstellen

• Überwachung bezüglich:• Bekannter Angriffe• Regelwerksverletzungen• Einhaltung von User Berechtigungen• Anormales Verhalten

• Reaktionen auf Events:• Alarmierung/Reporting/Block

Anforderungen an eine vollwertige Datenbank Security Lösung

Selbsthilfe



Database Firewall

• Transparent Inline Bridge– Unterstützt das vollständige

Featureset– Hoher Durchsatz, idealerweise

geringe Latenz– Fail-open interfaces für Hardware Bypass

• Non-inline Deployment (passiv)– Nur für Monitoring, keine Netzwerk Latenz,

kein Policy Enforcement

•Mehrere Units können implementiert und

zentral administriert werden.

•Host basierende Agenten unterstützen

beide Implementierungsformen.

Switch

DB-Firewall

Daten CenterDB-Firewall

Aktive (inline) ImplementierungPassive Implementierung

Implementierungsformen



Database Firewall

MSSQL Worm Propagation Blocked

Beispiel: Überwachung bekannter Angriffe



Database Firewall

Beispiel: Überwachung von Regelwerksverletzungen

Policies werden verwendet, um spezielle Anforderungen umzusetzen:• Compliance Anforderungen• Umsetzung der Zugriffskontrolle (User Rights Management)

Vordefinierte Compliance Regeln:PCI-DSS, SOX, HIPAA, ISO27001, GLB Act

oder eigene Anpassungen denkbar

Gruppe der Tabellen, die überwacht werden soll

Art der Operation

Kriterien auswählen

Policy Enforcement für welche Daten?



Database Firewall

Beispiel: Überwachung von Regelwerksverletzungen

Alarmierung:

Die Betrachtung des gesamten Kontext ermöglicht die Visualisierung von:

Wer?Was?Wann?Wo?



Database Firewall

Beispiel: Überwachung von Anomalien

• Erstellen von Profilen, welche „normales“ Verhalten für ein Objekt beschreiben – „Baselining“

• Profil - Abweichungen erzeugen einen Alert, und / oder Blocken die Ausführung

Objekt & Empfindlichkeit “normales” Verhalten



Unstrukturierte Daten:

File Firewall



File Firewall

Definition des Problems beim Umgang mit Dateien auf File Servern oder NAS Storage:

• Firmenrichtlinien bzgl. der Daten nur schwer umsetzbar:oft mangelt es an ordnungsgemäßer Klassifizierung und anschließenderUmsetzung der Restriktionen.

• Mit den Jahren gewachsene File Server und Verzeichnisdienst Strukturenerschweren die Sicht auf die „effektiven Berechtigungen“

• Gruppenrichtlinien, ACLs und Vererbungshierarchien bestehen aus der Historiebedingt parallel, bzw. kollidieren.



File Firewall

Anforderungskatalog ähnlich wie bei Datenbanken:

• Visualisieren: wer greift auf Dateien zu? Wie ist das Nutzungsverhalten bestimmter User / Daten? Wie sehen „effektive Berechtigungen“ aus?

• Kategorisierung („Vereinheitlichung“) der Daten bzw. Dateien

• Erstellen und umsetzen von Regelwerken bzgl. der Zugriffe auf die Dateien und bzgl. der User Rechte

• Auswerten der Zugriffe und Events



File Firewall

File Activity Monitoring

File Firewall

ManagementServer

Nutzer

File Server NAS SystemeMögliche Implementierung:



File Firewall

• Transparent Inline Bridge– Unterstützt alle Möglichkeiten:

File Audit & File Firewall & URM– Hoher Durchsatz, idealerweise

geringe Latenz– Fail-open interfaces (sinnvoll)

• Non-inline Deployment (passiv)– Nur für Audit Monitoring & URM,

keine Netzwerk Latenz, kein Policy Enforcement

Switch

File Firewall

File ServerFile Audit Monitoring

Aktive (inline) ImplementierungPassive Implementierung




File Firewall


Merkmale beider Implementierungsformen:

• Umfassende Visualisierung: alle Dateien und Verzeichnisse von allen Systemen (Windows File Server, NAS Systeme)

• keine Beeinträchtigung der Dateisystem Performance

• keine Anpassung von Applikationen, Servern oder Clients nötig

• Informationsgehalt von User-bezogenen Daten kann angepasst werden (4 Augen Prinzip, Datenschutz / Betriebsrat Vorgaben)



File Firewall

Veranschaulichung des Funktionsprinzips einer implementierten File Firewall:

• Auf Basis von Audit Ergebnissen wurden Policies für Dateizugriffe und User Berechtigungen erstellt.

• Policies werden angewendet – zweifelhafte Lesevorgänge per Block unterbinden.

• Darüber hinaus: Monitoring von File Server Aktivitäten und Alarmierung.

NAS

File Servers

Joe, IT

Jim, HR

• Dateisysteme “crawlen”• “Inventarisierung” von Name,

Typ, Besitzer, Berechtigungen…• Klassifizierung des Daten- bestandes und Policy erstellen

File Firewall / File Activity Monitoring

X

Policies anwendenWer Was Aktion

Non Finance

Update Financial

Block

Any Read Marketing

Audit

Audit LogWer Was Wann Aktion

Joe Read CEO salary.xls

1/1/2010 12:50

Block

Jim Read promo

files.doc

1/1/201012:51

Audit

Ergebnis: Data/Permission MapWer Gruppe Was Klasse

Joe, IT Fin-CC Lesen CEO

salary.xls

Financial

Jim, HR HR-Exec Lesen promo

files.doc

Marketing

21 3

OK



File FirewallBeispiel: Klassifizierung und Policy Erstellung

Audit Ergebnis: Pfade, Unterordner, Dateien

Automatische Klassifizierung auf Basis von Meta Daten

Excel Dateien im “Budget” Ordner, welche “Finance” gehören, sind vom

Typ “Financial Data”

Klassifizierung + Policy = Umsetzen der

Unternehmensrichtlinien



File FirewallBeispiel: Visualisierung von File Server Operationen

Filter: Financial Data

Wer hat die meisten Zugriffe?



File FirewallBeispiel: Visualisierung von File Server Operationen

Zugriff anderer Abteilungen auf Daten der Klasse “Financial” ?

Was wurde wann aufgerufen?



File FirewallBeispiel: Visualisierung von Berechtigungen

Zugriff von “allen Benutzern” erlauben?

Welche Rechte werden nicht

benötigt?



File FirewallBeispiel: Alarmierung von Policy Violation

Blocke und alarmiere, wenn ein User außerhalb der Finanz-Gruppe zugreift

In die Tiefe gehen: “wer, was,wann und wo”

Alarmierungstrigger



Zusammenfassung



Zusammenfassung

• Datendiebstahl definiert sich technisch durch unbefugtes beschaffen (Datenursprung)und unbefugtes wegschaffen (Datentransport)

• Es wurde ein neuer, technologischer Ansatz für den Schutz der Daten am Ursprungin Form von Database Firewall und File Firewall geschaffen

• Seit September 2009 besteht Meldepflicht laut BDSG

• Datenbank Firewalls im Web Application Kontext bedienen den Web2.0 Markt, aber: Technische Grenzen und "hard-wired" mit dem Übertragungsweg HTTP.Sie adressieren daher nicht alle möglichen Data Leakage Szenarien.

• Autarke Datenbank Firewalls im Backend bewerten und schützen den Gesamtkontext der Datenbanknutzung mit Hilfe der Disziplinen Audit & Activity Monitoring, Policy Enforcement, User Rights Management, Klassifizierung von Daten und Nutzungsprofile



Zusammenfassung

• File Server Firewalls visualisieren und steuern alle File Server Aktivitäten, ermöglichenKategorisierung von Daten sowie die Anwendung von Regelwerken.

• File Server Firewalls arbeiten transparent und belasten die Dateisystem Performancenicht. Anpassungen an Server, Client oder Applikationen sind nicht notwendig.

• Vorgefertigte Policies, anpassbar oder als Basis für eigene Policies, ermöglichen die Umsetzung von Unternehmensrichtlinien und Compliance Anforderungen.



Vielen Dank für Ihre Aufmerksamkeit!

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security...

Documents

Transcript of © 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security...