Seguridad guardium
-
Upload
ibm-espana -
Category
Software
-
view
463 -
download
6
Transcript of Seguridad guardium
© 2014 IBM Corporation
SEGURIDAD InfoSphere GuardiumProteger datos sensibles en tiempo real y garantizar el cumplimiento
mediante auditoría de bases de datos, data warehouses, Hadoop systems, file shares y aplicaciones
Sonia Márquez PazzIM Client Technical [email protected]
© 2014 IBM Corporation
Guardium – Agenda
Introducción a Guardium y propuesta de valor
Qué es Guardium
Guardium y plataforma z:
- DB2
- Data sets
- IMS
Información adicional
1
3
2
4
© 2014 IBM Corporation3
Normativas y regulaciones: seguridad de los datos
Canada:
Personal Information Protection
& Electronics Document Act
Canada:
Personal Information Protection
& Electronics Document Act
USA:
Federal, Financial & Healthcare
Industry Regulations & State Laws
USA:
Federal, Financial & Healthcare
Industry Regulations & State Laws
Mexico:
E-Commerce Law
Mexico:
E-Commerce Law
Colombia:
Political Constitution –
Article 15
Colombia:
Political Constitution –
Article 15
Brazil:
Constitution, Habeas Data &
Code of Consumer Protection
& Defense
Brazil:
Constitution, Habeas Data &
Code of Consumer Protection
& Defense
Chile:
Protection of
Personal Data Act
Chile:
Protection of
Personal Data Act
Argentina:
Habeas Data Act
Argentina:
Habeas Data Act
South Africa:
Promotion of Access
to Information Act
South Africa:
Promotion of Access
to Information Act
United Kingdom:
Data Protection
Act
United Kingdom:
Data Protection
Act
EU:
Protection
Directive
EU:
Protection
Directive
Switzerland:
Federal Law on
Data Protection
Switzerland:
Federal Law on
Data Protection
Germany:
Federal Data Protection
Act & State Laws
Germany:
Federal Data Protection
Act & State Laws
Poland:
Polish
Constitution
Poland:
Polish
Constitution
Israel:
Protection of
Privacy Law
Israel:
Protection of
Privacy Law
Pakistan:
Banking Companies
Ordinance
Pakistan:
Banking Companies
Ordinance
Russia:
Computerization & Protection of Information
/ Participation in Int’l Info Exchange
Russia:
Computerization & Protection of Information
/ Participation in Int’l Info Exchange
China
Commercial
Banking Law
China
Commercial
Banking Law
Korea:
3 Acts for Financial
Data Privacy
Korea:
3 Acts for Financial
Data Privacy
Hong Kong:
Privacy Ordinance
Hong Kong:
Privacy Ordinance
Taiwan:
Computer- Processed
Personal Data
Protection Law
Taiwan:
Computer- Processed
Personal Data
Protection LawJapan:
Guidelines for the
Protection of Computer
Processed Personal Data
Japan:
Guidelines for the
Protection of Computer
Processed Personal Data
India:
SEC Board of
India Act
India:
SEC Board of
India Act
Vietnam:
Banking Law
Vietnam:
Banking Law
Philippines:
Secrecy of Bank
Deposit Act
Philippines:
Secrecy of Bank
Deposit ActAustralia:
Federal Privacy
Amendment Bill
Australia:
Federal Privacy
Amendment Bill
Singapore:
Monetary Authority of
Singapore Act
Singapore:
Monetary Authority of
Singapore Act
Indonesia:
Bank Secrecy
Regulation 8
Indonesia:
Bank Secrecy
Regulation 8
New Zealand:
Privacy Act
New Zealand:
Privacy Act
3
© 2014 IBM Corporation
¿Cuál es el riesgo?El incumplimiento provoca brechas de datos… y multas
Hackers obtained credit card information on 1.5 million usersApril 2012: Cost to contain the breach tens of mill ions of dollars
SQL Injection Infects Millions of Web Pages; Attacks up 69%September 2012: Attacker takes full control of oper ating system, database and Web application
Unprotected test data misused by third-party consultantsFebruary 2009: Vendor exposes PII of 45,000+ employ ees
Utah Health data breach affects nearly 800,000April 2012: Joint effort between hackers and inside rs
© 2014 IBM Corporation
Evolución de los ataques
© 2014 IBM Corporation
El reto de la seguridad de datos: mínimos controles en la capa de base de datos
Insiders:DBAs
DevelopersOutsourcers
Help DeskEnd-Users
Hackers:SQL Injection,
Stolen Credentials,Etc.
Toad,MS-Excel,
ssh,Etc.
Oracle
DB2SQL Server
Sybase
MySQLTeradata
Netezza
� Heterogéneos y distribuidos
� Múltiples caminos de acceso
� Sin mecanismos prácticos para conseguir cumplimiento
� Sin visibilidad de qué está pasando realmente – especialmente en el caso de usuarios privilegiados
© 2014 IBM Corporation
Retos relativos a Seguridad y Protección de Datos
¿Dónde están mis datos sensibles y quién accede a ellos (incluyendo usuarios privilegiados)?
¿Cómo hacer cumplir un control de accesos e implantar políticas de control de cambios para bases de datos?
¿Cómo comprobar las vulnerabilidades y proteger las configuraciones de bases de datos?
¿Cómo reducir costes mediante la automatización y descentralización de controles de cumplimiento?
© 2014 IBM Corporation
Retos relativos a Seguridad y Protección de Datos
VISIBILIDAD
DETECCIÓN
VULNERABILIDAD
AUTOMATIZACIÓN
© 2014 IBM Corporation
Proposición de valor de IBM InfoSphere Guardium
� Prevenir peligros Internos– Identificar accesos y cambios no
autorizados
– Prevenir fuga de información
� Prevenir peligros Externos– Prevenir robo
– Bloqueo de acceso a datos confidenciales
� Monitorización– Usuarios privilegiados
– Bases de datos y tablas críticas
� Cumplimiento Regulaciones– Simplificar y automatizar el proceso de auditoría
– Reducción de costes
� Análisis de Vulnerabilidades y gestión de incidenci as
9
© 2014 IBM Corporation
Características
Clave
IBM InfoSphere Guardium: monitorización de actividad en tiempo real para seguridad y cumplimiento
� Appliance Integrado
� Arquitectura multi-plataforma no-invasiva/disruptiva
� Escalable dinámicamente
� Promueve la separación de roles para accesos de DBAs
� Auto descubrimiento de recursos y datos sensibles
� Detecta o bloquea actividad no autorizada o sospechosa
� Políticas granulares, en tiempo real
� Quién, qué, cuándo, cómo
� Monitorización continua, basada en políticas, en tie mpo real de todas las actividades de tráfico de datos, incluyendo las de usuarios privilegiados
� Escaneo de la infraestructura de bases de datos par a detectar parches no aplicados, privilegios mal conf igurados y otras vulnerabilidades
� Automatización del cumplimiento de la protección de datos
� 100% visibilidad incluyendo acceso local DBA
� Mínimo impacto en el rendimiento
� No se basa en logs residentes que pueden ser fácilmente borrados por atacantes externos o internos
� Sin cambios en el entorno
� Informes preconfigurados de cumplimiento SOX, PCI, etc y base de datos de conocimiento
� Integración con gran número de componentes y herramientas de seguridad y visión de la gestión del cumplimiento
Collector Appliance
Host-based Probes(S-TAP)
Data Repositories (databases, warehouses,
file shares, Big Data)
Central Manager Appliance
© 2014 IBM Corporation
Arquitectura jerárquica y escalable de Guardium
QRadar, ZSecure
© 2014 IBM Corporation
Módulos FuncionalesMonitorización y seguridad de bases de datos en tiempo real
Audit&
Report
Monitor &
Enforce
12
© 2014 IBM Corporation
1 Descubrimiento y Clasificación de Información Sensible
Descubrimiento y Clasificación de la Información Sensible
Auto-descubrimiento de Bases de Datos
13
© 2014 IBM Corporation
2 Monitorización y Auditoría de bases de datos
Monitorización de la actividad (DDLs, DMLs, DCLs)
Logins y conexiones
Monitorizar tráfico local y remoto
Informes de Gestión de Incidencias
Envío de Alertas y Bloqueos
Políticas para la Gestión de Incidencias
14
© 2014 IBM Corporation
3 Protección y Cumplimiento
Capacidad de generar nuevos informes
Evidencias para demostrar el cumplimiento con normativas
Informes Predefinidos para el cumplimiento con políticas y regulaciones tales como PCI DSS, SOX y directivas sobre Privacidad de Datos
Automatiza el proceso de Cumplimiento – Advanced Workflow
Sign-offs & escalados
Automatización de proceso completo de auditoría evitando tareas manuales (proclives a errores)
15
© 2014 IBM Corporation
4 Análisis de Vulnerabilidades
� Descubrimiento de vulnerabilidades en bases de datos mediante tests predefinidos o customizables, basados en Best Practices de la Industria (STIG, CIS, CVE…)
� Actualizaciones cuatrimestrales para evitar nuevas amenazas
� Realización periódica de chequeos de vulnerabilidades
� Identificación de riesgos: parches no aplicados y críticos, privilegios mal configurados, passwords débiles, cuentas por defecto
Los Auditores quieren evidencia de controles, proce sos y procedimientos adecuados
16
© 2014 IBM Corporation
Monitorización en tiempo real de datos (DAMP) y protección de datos sensibles en data warehouses, Big Data y file shares
InfoSphere BigInsights
NEW
InfoSphere Guardium
DATABASES
FTP
ExadataExadataExadataD A T A B A S ED A T A B A S ED A T A B A S E
HANA
Optim
Archival
Optim
Archival
Optim
Archival
Siebel,
PeopleSoft,
E-Business
Siebel,
PeopleSoft,
E-Business
Siebel,
PeopleSoft,
E-Business
Master Data
Management
Master Data
Management
Master Data
Management
Data
Stage
Data
Stage
Data
Stage
CICS
© 2014 IBM Corporation
Directory Services(Active Directory, LDAP, TDS, etc)
SIEM(IBM QRadar, Arcsight, RSA
Envision, etc)SNMP Dashboards
(Tivoli Netcool, HP Openview, etc)
Change Ticketing Systems
(Tivoli Request Mgr, Remedy, Peregrine, etc)
Vulnerability Standards
(CVE, STIG, CIS Benchmark)
Data Classification and Leak Protection
(Credit Card, Social Security, phone, custom, etc)
Security Management Platforms
(IBM QRadar, McAfee ePO )
Application Servers(IBM Websphere, IBM Cognos, Oracle
EBS, SAP, Siebel, Peoplesoft, etc )
Long Term Storage(IBM TSM, IBM Nettezza, EMC Centera,
FTP, SCP, etc)
Authentication(RSA SecurID, Radius, Kerberos,
LDAP)
Software Deployment(IBM Tivoli Provisioning Manager, RPM, Native
Distributions)
Send Alerts (CEF, CSV, Syslog, etc) Send
Events
• STAP
Integración con infraestructura IT y productos de seguridad
© 2014 IBM Corporation
Guardium
�DB2
�IMS
�VSAM
zSecure
�z/OS
�RACF
�ACF2, TSS
�CICS
Extensive Data Sources Deep Intelligence
Exceptionally Accurate and Actionable Insight+ =
AppScan
�Web Apps
�Mobile Apps
�Web services
�Desktop Apps
Security Intelligence: zSecure, Guardium, AppScan & QRadar
� Vistas centralizadas, alertas automáticas, mayor pre cision y cumplimiento
© 2014 IBM Corporation
Integración con QRadar
MainframeNetwork
Infrastructure
Save on storage costs for duplicating data audit logs
Save on network bandwidth for data audit logs
Improve analytics performance by offloading data analysis
Data WarehouseBig Data
File Shares
Real-time analysis and preventive measures
NEW
© 2014 IBM Corporation
Integración con otros productos IBM
Web Application PlatformWebSphere
SIEMQRadar
LDAP DirectorySecurity Directory Server
Transaction Application
CICS
Endpoint Configuration Assessment and Patch
ManagementTivoli Endpoint Manager
Help DeskTivoli Maximo
Event MonitoringTivoli Netcool
Software DistributionTivoli Provisioning Manager
Master Data ManagementInfoSphere MDM
Analytic EnginesInfoSphere Sensemaking
Static Data MaskingOptim Data Masking
Data Discovery/Classification• InfoSphere Discovery
• Business Glossary
share discovery
share discovery & classif.
Storage and Archival• Optim Archival
• Tivoli Storage Manager
mon
itor,
audi
t, ar
chiv
e
arch
ive
audi
tDatabase tools
• Change Data Capture
• Query Monitor
• Optim Test Data Manager
• Optim Capture Replay
• InfoSphere Data Stageend-user activity
leverage capture function
leverage audit change
share discovery
InfoSphere
Guardium
Databases• DB2 [LUW, i, z, native agent]
• Informix
• IMS
Datawarehouses• Netezza
• PureData
• PureFlex
Big DataBig Insights
© 2014 IBM Corporation
InfoSphere Guardium S-TAP for DB2 on z/OS
© 2014 IBM Corporation
IBM InfoSphere Guardium S-TAP for DB2 on z/OS
� El componente S-TAP para DB2 recoge información sob re el acceso a bases de datos DB2
� InfoSphere Guardium S-TAP for DB2 es capaz de captu rar los siguientes tipos de datos:
– Modificaciones a un objeto (SQL UPDATE, INSERT, DELETE)
– Lecturas de un objeto (SQL SELECT)
– Operaciones explícitas de GRANT y REVOKE (para capturar eventos en los que los usuarios podrían estar intentando modificar niveles de autorización)
– Asignación o modificación de authorization ID
– Intentos de autorización rechazados por permisos inadecuados
– Operaciones de CREATE, ALTER y DROP contra todo tipo de objetos DB2
– Accesos mediante Utilidades (utilidades IBM)
– Comandos DB2 y usuarios que los lanzan
© 2014 IBM Corporation
Procesos elegibles para descarga zIIP� System z Integrated Information Processor (ZIIP)
– Diseñado para ayudar a liberar capacidad general de máquina y reducir el coste global de procesado para datos y cargas de trabajo específicas
� Procesos elegibles para descarga a zllPs
– Procesos de filtrado del agente colector
– Proceso de mensajes TCP/IP desde el agente colector
� Propiedad que se activa a través de un parámetro de configuración del agente
– ZIIP_FILTER(Y)
– ZIIP_TCP(Y)
� Mensajes que aparecen en la tarea
• ADHQ1062I ZIIP SUPPORT IS INSTALLED ADHQ9999I ADHTCPWS SRB ENTEREDADHQ9999I ZIIP OFFLOAD ROUTINE TCPWS STATUS IS ACTIVEADHQ9999I ZIIP OFFLOAD ROUTINE TCPWS STATUS IS INACTIVE
© 2014 IBM Corporation
InfoSphere Guardium Data Set S-TAP for z/OS
© 2014 IBM Corporation
IBM InfoSphere Guardium Data Set S -TAP on z/OS
� Guardium Data Set S-TAP recoge eventos de auditoría relacionados con el acceso a distintos tipos de datasets
–Data Collection
• Acceso a data sets y violaciones de seguridad tal como son registradas por SMF
• Las operaciones sobre data sets -como deletes o renames- tal como las registra el SMF
• Acceso a registros específicos en data sets VSAM KSDS o RRDS capturados según se producen
–En eventos de data sets tales como
• Open, Update, Delete, Rename, Create, Alter• Data Set Create / Close (for input/output) / SAF violations• Related RACF events (Alter, Control, Update, Read)
–Tipos de ficheros
• VSAM ESDS, KSDS, RRDS, VRRDS, LDS• PS, PDS, PO, DA
© 2014 IBM Corporation
InfoSphere Guardium S-TAP for IMS on z/OS
© 2014 IBM Corporation
IBM InfoSphere Guardium S-TAP for IMS on z/OS
� S-TAP for IMS recoge información de auditoría sobre accesos a bases de datos y objetos IMS (artifacts)
� Datos de Auditoría Recogidos– Accesos a bases de datos y segmentos
• IMS Online regions• IMS DLI/DBB batch jobs• INSERT (ISRT), UPDATE (REPL), DELETE,(DLET) and GET• Obtener clave concatenada y datos de segmentos• Links Get Hold y Replace calls que permiten imágenes antes y después de segmentos
ACTUALIZADOS (UPDATED)
– Acceso a bases de datos, image copy y RECON data sets, así como violaciones de seguridad tal como se registran en el SMF
– IMS Online region START y STOP, actividad de cambio de estado de bases de datos y PSB así como sign-on y sign-off de usuario tal como se registra en los data sets de IMS Archived Log
� 4 fuentes para recoger información de auditoría• IMS Online regions• IMS DLI/DBB batch jobs• SMF (System Management Facility )• IMS Archive Log (SLDS)
© 2014 IBM Corporation
Líderes en diversos sectores – Referencias de Clientes
� 9 de los 10 Bancos globales
� 2 de las 3 empresas de Retail globales
� 5 de las 6 aseguradoras globales
� 3 de las empresas de refrescos globales
� La marca más reconocida de PCs
� 9 de las 10 empresas de telco
• #1 dedicada a Seguridad
• Proveedores de Energía
• Proveedores de Salud
• Media & entretenimiento
• Líneas aéreas internacionales
© 2014 IBM Corporation
Información adicional sobreInfoSphere Guardium
© 2014 IBM Corporation
Modalidades de entrega de la solución de IBM InfoSphere Guardium (Colector)
Delivered as a Preconfigured Hardware Appliance
Delivered as a Software Appliance in V.9
For deployment on user supplied virtual environment
For deployment on user supplied hardware server
HW Appliance SW Appliance Virtual Appliance
1 2 3
© 2014 IBM Corporation
¿Debería ver el departamento del servicio al Cliente 99 registros en una hora?
Supervisión de la fuga de datos de alto valor
¿Qué vio exactamente
Joe?
¿Es esto normal?
32
© 2014 IBM Corporation
Informes preconfigurados para cumplimiento PCI DSS
Introducción a PCI DSS
Planificar y organizar
Desglose de requisitos
© 2014 IBM Corporation
InfoSphere Guardium Report Builder – Visibilidad
© 2014 IBM Corporation
Audit Browser / Quick SearchEl usuario puede ver un resumen de toda la actividad con ‘Search/Browse’.El resumen muestra información de actividad clasificada como media o alta para facilitar la revisión.El usuario puede revisar esa información en más detalle, especialmente la clasificada como alta.
Anomaly Hours are marked in Red or Yellow. Click on the
bubble navigates to the Outlier View
© 2014 IBM Corporation
Detalles de los valores atípicos (Outliers)La pestaña de “Outliers” (valores atípicos) contiene más información acerca de la actividad en el rango de fechas seleccionado. El ‘Tipo’ explica la razón. Por ejemplo: New/Unique, Rare, Exceptional Volume, Exceptional Errors El usuario puede entonces investigar de manera interactiva cada búsqueda usando filtros o con el menú de contexto para navegar a las “Related Activities”, “Related Errors”, “History” u otra información relacionada.
© 2014 IBM Corporation
InfoSphere Guardium Policy – Detección – Real time alert
© 2014 IBM Corporation
Gestión de Políticas
Policy Violations Summary
© 2014 IBM Corporation
InfoSphere Guardium: Control de acceso a nivel de datos
S-GATES-GATEHold SQL
Connection terminated
Policy Violation:
Drop Connection
Privileged
Users
Issue SQL
Check Policy
On Appliance
Oracle,
DB2,
MySQL,
Sybase,
etc.
SQLApplication Servers
Outsourced DBA
Session Terminated
39
� Políticas cross-DBMS
� Bloquear acciones de usuarios
� Sin cambios en bases de datos
� Sin cambios de aplicación
© 2014 IBM Corporation
Identificar el usuario final de Aplicación
� Problema: El usuario del application server usa una cuenta de acceso genérica para acceder a bases de datos
– No identifica quién inició la transacción (connection pooling)
� Solución: Guardium realiza el seguimiento del acceso del applicationuser asociado con comandos específicos de SQL
– Soporte out-of-the-box para las principales aplicaciones de empresa (Oracle EBS, PeopleSoft, SAP, Siebel, Business Objects, Cognos…) y aplicaciones de cliente (WebSphere, WebLogic, ….)
– Deterministic vs. time-based “best guess” Application
ServerDatabase
Server
Joe Marc
User
40
© 2014 IBM Corporation
InfoSphere Guardium Entitlement Report
© 2014 IBM Corporation
InfoSphere Guardium Compliance Workflow Automation
© 2014 IBM Corporation
InfoSphere Guardium Compliance Workflow Automation
© 2014 IBM Corporation
Apertura del sistema y la integración con Universal FeedUniversal Feed abre el sistema InfoSphere Guardium, permitiendo que todas las capacidades se apliquen a aplicaciones de cliente y bases de datos singulares (“nicho”)
• Permite que el protocolo InfoSphere Guardium (agent e a colector) esté disponible a clientes y otras compañías� Proporciona un medio de soportar segmentos
fragmentados del mercado: aplicaciones de cliente, bases de datos nicho, etc.
� Modelo de auditoría de bases de datos; no es un SIE M
• El cliente/partner es responsable de desarrollar el interfaz con el sistema a integrar (p.ej. el equiva lente al S-TAP) � Se usa un protocolo estándar Open Industry para
simplificar el desarrollo
• Soporta capacidades completas, o un subconjunto de capacidades de InfoSphere Guardium� Monitorización y protección� Real-time � Secure audit trail, compliance workflow automation, etc.
© 2014 IBM Corporation
Permite exportar informes en formato SCAP(OVAL, XCCDF, CPE, CVE, CCE, CVSS)
Valor� Soporte para el cumplimiento con guías FISMA
� NIST SP 800-53, DOD 8500.2/8510
� Estandarización de información relacionada con segu ridad y vulnerabilidad� Explotación de los análisis de vulnerabilidades de Guardium en un formato estándar
� Reduce tiempo, esfuerzos y costes de revisar la inf ormación
� Automatiza los informes de cumplimiento
� Reduce la posibilidad de mala interpretación entre equipos auditores, inspección y operaciones
Integración y automatización para seguridad de datos y compliance
Introduce soporte para informes SCAP(Security Content Automation Protocol (SCAP))
© 2014 IBM Corporation
Enterprise Wide – Unit Utilization Monitoring
© 2014 IBM Corporation
One User One IP
© 2014 IBM Corporation
Configuration Audit System - CAS
� Monitoriza cambios en ficheros, variables de entorno, registry settings, scripts, etc.
� Mas de 200 templates pre-codificados para la mayor parte de las configuraciones de las bases de datos.
48
© 2014 IBM Corporation
QRadar
© 2014 IBM Corporation
QRadar – Eventos recibidos de Guardium
© 2014 IBM Corporation51
© 2014 IBM Corporation
Sonia Márquez Paz
Certified zIM Technical Presales
IBM Software Group