Doag Regio Gruppe Freiburg

Transkript

1 Doag Regio Gruppe Freiburg <Insert Picture Here> Oracle Audit Vault and Database Firewall

2 Oracle Database Security Solutions Defense-in-Depth for Maximum Security PREVENTIVE DETECTIVE ADMINISTRATIVE Encryption Activity Monitoring Privilege Analysis Redaction and Masking Database Firewall Sensitive Data Discovery Privileged User Controls Auditing and Reporting Configuration Management

3 Oracle Database Security Solutions Detect and Block Threats, Alert, Audit and Report PREVENTIVE DETECTIVE ADMINISTRATIVE Encryption Activity Monitoring Privilege Analysis Redaction and Masking Database Firewall Sensitive Data Discovery Privileged User Controls Auditing and Reporting Configuration Management

4 Oracle Audit Vault Konsolidiertes Auditing Software Appliance Agenten für diverse Datenbanken Audit Daten & Event Logs OS & Storage Repository! SOC Alerts Vorgefertigte SDK zum Erstellen eigener Agenten für beliebige IT Komponenten Directories Databanken Weitere und eigene Berichte Policies Auditor Alerts Security Berichte und Testate Analyst

5 Auditing Default Auditing System Startup und Shutdown Standard Auditing Systemprivilegien Befehle Objekte Fine Grained Auditing -> BS -> SYS.AUD$ oder BS -> SYS.FGA_LOG$ oder BS Auditieren in Abhängigkeit von zu definierenden Bedingungen SYS Auditing -> BS Alle Aktionen von SYSDBA oder SYSOPER Database Vault Auditing -> DVSYS.AUDIT_TRAIL$

6 Database Firewall Database Firewall Effiziente SQL Analyse SQL in Echtzeit schützt vor SQL Injection und Privilegienmissbrauch Positiv- und Negativlisten Software Appliance Repository Anwendungen Erlauben Protokollieren Alarmieren Ersetzen Blocken Vorgefertigte Berichte Eigene Berichte Policies (Baselines) DB2

7 Oracle Audit Vault and Database Firewall Benutzer Database Firewall Erlauben Protokollieren Alarmieren Anwendungen Ersetzen Blocken Firewall Events SOC Alerts! Auditor Vorgefertigte und eigene Audit Daten Berichte Security Analyst Policies (Baselines) Audit Vault Repository Datei System & beliebige Audit Logs + SDK

8 Audit, Report, and Alert in Real-Time Aufgaben des Repository s Oracle Audit Vault und Database FW Unabhängiges, Zentrales und Konsolidiertes Sicherheits Warehouse Endecken verdächtiger Aktivitäten (flexibles Regelwerk) CRM Database! Alerts SOC Generieren von Alarmen Out-of-the box compliance Berichte z.b. SOX, PCI, etc. und benutzerdefinierbare Berichte Funktionen zur automatische Berichtsgenerierung, automatisierter Mailversand von Berichten, Funktionen zur Notification, Attestation, Archivierung, etc. Separation of duties HR Databases ERP Database Built-in Reports Custom Reports Policies Auditor Integration zu anderen Systemen (z.b. F5.) Databases DBA Security Analyst

9 Why are Databases so Vulnerable? 80% of IT Security Programs Don t Address Database Security Forrester Research Network Security Enterprises are taking on risks that they may not even be aware Authentication & User Security SIEM of. Especially as more and more attacks against databases exploit legitimate access. Security Database Security Virus Protection Web Application Firewall

10 Billions of Database Records Breached Globally 97% of Breaches Were Avoidable with Basic Controls 98% records stolen from databases 84% records breached using stolen credentials 71% fell within minutes 92% discovered by third party

11 SQL Injection Definition (Quelle Wikipedia) SQL-Injection (dt. SQL-Einschleusung) bezeichnet das Ausnutzen einer Sicherheitslücke in Zusammenhang mit SQL-Datenbanken, die durch mangelnde Maskierung oder Überprüfung von Metazeichen in Benutzereingaben entsteht. Der Angreifer versucht dabei, über die Anwendung, die den Zugriff auf die Datenbank bereitstellt, eigene Datenbankbefehle einzuschleusen. Sein Ziel ist es, Daten auszuspähen, in seinem Sinne zu verändern, die Kontrolle über den Server zu erhalten oder einfach größtmöglichen Schaden anzurichten.

12 SQL Injection Prinzip Situation: Eine Anwendung hat 3 Ausgabefelder und ein Suchfeld in dem die Abteilung gesucht werden kann Soll (auf DB Seite): select DEPTNO,ENAME,PHONE from dept where deptno = 10' Wenn das Eingabefeld nicht validiert wird: select DEPTNO,ENAME,PHONE from dept where deptno = 10 or 1=1; select DEPTNO,DNAME,LOC from dept where deptno = 10 union select 42,USERNAME,cast(USER_ID as varchar2(15)) from all_users;...

13 SQL Injection Beispiel

14 Oracle Database Firewall im Überblick Anwendungen Erlauben Protokollieren Alarmieren Ersetzen Blocken Standardberichte Eigene Berichte Policies (Baselines) Effiziente Analyse des SQL in Echtzeit schützt vor SQL Injection, Eskalieren von Privilegien und Rollen Bietet damit sogar einen Schutz vor nicht geschlossenen Sicherheitslücken (zero day exploits) auf der SQL Ebene Flexible Reaktionsmöglichkeiten Genauigkeit ist von zentraler Bedeutung DB2

15 Negativlisten SELECT * FROM v$session Black List DBA activity from Application? DBA activity from Approved Workstation SELECT * FROM v$session Block Allow + Log Unterbindet unerwünschte SQL Befehle Kann Benutzer ausschließen, Zugriff auf Objekte verhindern Verhindert die Eskalation von Privilegien oder Rollen sowie nicht authorisierte Zugriffe auf sensible Daten Faktoren wie Tageszeit, Wochentag, Netzwerkinformationen, Anwendungsname können berücksichtigt werden

16 Beispiel - Vergleiche, Mustererkennung Wenn man unterstellt, dass eine Bedingung verdächtig ist, die immer den Wert WAHR liefert, dann müssen z.b. SQL Abfragen mit einer solchen Bedingung abgefangen werden. Folgende Bedingungen sind alle WAHR: 1 = = ( ) SIN(45) = COS(45) hund = hund 10 = 10 SQRT(49) = (8-1)/1 LEFT( catastrophe, 3) = cat katze <> maus

17 Genauigkeit zählt Die Firewall muss erkennen können, was das SQL in der Datenbank bewirkt DML, SELECT, DCL, DDL, TCL, Stored Procedure, RPC? Wer veranlasst die Aktion und von wo? Mit welchen Schemaobjekten wird gearbeitet? War die Aktion erfolgreich? Anders als alle vergleichbaren Produkte verwendet die Oracle Database Firewall zur Analyse von SQL keine regulären Ausdrücke oder Zeichenkettenvergleiche SQL ist über Vergleichsoperationen nicht zu interpretieren Vergleichsoperationen sind ungenau und wenig effektiv

18 Positivlisten SQL Injection Protection with Positive Security Model SELECT * from stock where catalog-no='phe8131' White List Allow Applications SELECT * from stock where catalog-no= ' union select cardno,0,0 from Orders -- Block Databases Positivlisten können automatisch generiert werden Für jede Anwendung oder Applikation zu definieren Faktoren wie Tageszeit, Wochentag, Netzwerk, Anwendung,... können berücksichtigt werden Aktionen, die nicht auf der Positivliste stehen, werden nicht ausgeführt

19 Protokollieren (Logging) Ergebnisse werden zur Sicherung gegen Manipulationen signiert Umfang der Aufzeichnungen ist konfigurierbar Nur bestimmte Befehle Abweichungen von Policies Daten können maskiert werden...

20 Oracle Audit Vault and Database Firewall Default Reports

21 Oracle Audit Vault and Database Firewall Out-of-the Box Compliance Reporting

22 Oracle Audit Vault and Database Firewall Report with Data from Multiple Source Types

23 Oracle Audit Vault and Database Firewall Auditing Stored Procedure Calls Not Visible on the Network

24 Oracle Audit Vault and Database Firewall Extensive Audit Details

25 Oracle Audit Vault and Database Firewall Blocking SQL Injection Attacks

26 Out of Band Monitor Only Modus Technisch: Wird auch als "SPAN", "Span Port", "Mirrored" oder "Tap" bezeichnet Kein Abblocken von Aktionen Ausschließlich zur Protokollierung und für Berichte Leicht aufzusetzen Kein Einfluß auf laufende Datenbanken oder Anwendungen

27 In-Line Blocking und Monitoring Technisch: Wird auch als bridge oder transparent bridge bezeichnet SQL wird im Hinblick auf die festgelegten Regeln überprüft Durch Einsatz von Netzwerk Bypass Karten kein Ausfall der Firewall

28 For More Information Oracle Audit Vault and Database Firewall

29 Live Demo

30

31