Datenbanksicherheit Überwachung und Kontrolle. Dr. Ing. Oriana Weber 07/06/2011

Ähnliche Dokumente
AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Workflows verwalten. Tipps & Tricks

Kapitel 10 Aktive DBMS

1 Belastung. 1.1 Standortbestimmung 1.2 Belastungsvorhersage 1.3 Favoriten

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

-Machen.

Dokumentation. Black- und Whitelists. Absenderadressen auf eine Blacklist oder eine Whitelist setzen. Zugriff per Webbrowser

Keine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY

15 Social-Media-Richtlinien für Unternehmen!

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Schon mal gehackt worden? Und wenn nein woher wissen Sie das?

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom

» IT-Sicherheit nach Maß «

Software Design Patterns. Ausarbeitung über. Security Patterns SS 2004

Liste der Änderungen der UPS Grundsätze zum Datenschutz mit Wirkung vom 28. April 2005

Lehrer: Einschreibemethoden

Schlüsselaustausch. Version 1.1. APCS Power Clearing and Settlement AG

SharePoint s Best Practice Was funktioniert (wirklich)? DI(FH) Chris Holubarz Teamlead SharePoint

DIRECTINFO 5.7 SICHERHEITSKONZEPTE FÜR BENUTZER, INFORMATIONEN UND FUNKTIONEN

Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers

Norton Internet Security

Arbeitsschutzrecht: Schutzziele statt konkrete Vorgaben. Ass. Ursula Behrendsen Leiterin des Zentralreferats Rechtsfragen der Prävention

Benutzerhandbuch - Elterliche Kontrolle

inviu routes Installation und Erstellung einer ENAiKOON id

1. In welchen Prozess soll LPA eingeführt werden und warum? (Auslöser und Prozess)

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Prof. Dr. Norbert Pohlmann, Institut für Internet Sicherheit - if(is), Fachhochschule Gelsenkirchen. Lage der IT-Sicherheit im Mittelstand

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

ALFA Alle Fristen im Arbeitnehmerschutz

Objects in the rear view mirror are closer than they appear. Meat Loaf, Bat out of hell

INDIVIDUELLE SOFTWARELÖSUNGEN CUSTOMSOFT CS GMBH

MS Outlook Integration

Process4.biz Release Features Übersicht. Repository. Das Schützen von Diagrammen wurde optimiert (check-in, check-out)

Lizenz Verwaltung. Adami Vista CRM

- Zweimal Wöchentlich - Windows Update ausführen - Live Update im Norton Antivirusprogramm ausführen

Etikettendruck mit Works 7.0

Steuern. Die elektronische Lohnsteuerkarte

Besicomm Leistungserfassung

Business-Rule-Management als Instrument des Software-Reengineering

Datenschutz der große Bruder der IT-Sicherheit

BEDIENUNG ABADISCOVER

ATHOS Benutzertreffen

FRAGEBOGEN ANWENDUNG DES ECOPROWINE SELBSTBEWERTUNG-TOOLS

Herzlich willkommen bei tetraguard Ihrem Spezialisten für Sicherheitssoftware!

Internet online Update (Mozilla Firefox)

Der beste Plan für Office 365 Archivierung.

Mail-Server mit GroupWare

DATENSCHUTZ. Konzernweite Mailverschlüsselung. sselung

Erweiterungen Webportal


Schnelleinstieg BENUTZER

Installation OMNIKEY 3121 USB

Sichere Self-Service- Funktionen mit HISQIS

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Installation & Konfiguration AddOn AD-Password Changer

Information Governance Ergebnisse einer Marktbefragung zum Status Quo und Trends. Dr. Wolfgang Martin Analyst

Frankfurt,

Migration des Systems Universal in das URZ

Gesicherte Prozeduren

Datenschutz und Schule

PRIVILEGED ACCOUNT SECURITY EIN LEITFADEN FÜR DIE ERFOLGREICHE IMPLEMENTIERUNG

White Label-Programm (WL)

Wiederherstellen der Beispieldatenbanken zum Buch Microsoft Project 2010

Häufig gestellte Fragen zum Thema Migration

Datenbank LAP - Chefexperten Detailhandel

INSTALLATIONSANLEITUNG der Version 2.1 (Jänner 2014)

Die 4 Säulen der Datensicherheit

Step by Step Softwareverteilung unter Novell. von Christian Bartl

Control-M Workload Change Management 8

Umzug der Datenbank Firebird auf MS SQL Server

Netzwerk Management Potentielle Systemausfälle bereiten Ihnen Sorgen?

Informationssystemanalyse Problemstellung 2 1. Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse:

Anwendungsbeispiele Sign Live! Secure Mail Gateway

SMS/ MMS Multimedia Center

L i e f t d en oci l a M d e i di G a uid id l e i lines Dr. Jan Janzen

Das Starten von Adami Vista CRM

Anforderungen an die HIS

Zertifizierungsprozess

Synchronisations- Assistent

Nutzung dieser Internetseite

Einreichung zum Call for Papers

A1 Desktop Security Installationshilfe. Symantec Endpoint Protection 12.1 für Windows/Mac

ITIL & IT-Sicherheit. Michael Storz CN8

CosmosDirekt. Theorie und Praxis der IT - Sicherheit. Ort: Saarbrücken, Antonio Gelardi IT - Sicherheitsbeauftragter

TISIS - Industrie 4.0. Ereignis, Ort, Datum

MARCANT - File Delivery System

Handbuch. NAFI Online-Spezial. Kunden- / Datenverwaltung. 1. Auflage. (Stand: )

SCS School Community System

Identity & Access Management in der Cloud

Word 2010 Schnellbausteine

Kurzanleitung fu r Clubbeauftragte zur Pflege der Mitgliederdaten im Mitgliederbereich

Webseiten mit fragwürdigen Aufrufen von "spy & track" - Unternehmen

IBM SPSS Statistics Version 23. Einführung in Installation und Lizenzierung

Projektmanagement in Outlook integriert

Gesicherter Dokumentenversand mit LiveCycle Rights Management

Transkript:

Datenbanksicherheit Überwachung und Kontrolle Dr. Ing. Oriana Weber 07/06/2011

Agenda Leitfragen Warum sind Datenbanken attraktive Ziele? Klassifizierung von DB Sicherheitsrisiken Die Komplexität der Steuerung und des Schutzes von Datenbanken Best Practices für Datenbank-Sicherheit Der Datenbank-Sicherheit Zyklus Überwachung der Datenbank-Sicherheit Live Demo

Leitfragen Wissen Sie wo alle Ihre Datenbanken sind? Neue Anwendungen Test & Dev und wissen Sie welche Datenbanken vertrauliche Informationen speichern? Besonders diejenigen, die der Einhaltung gesetzlicher Vorschriften unterliegen können Sie die notwendigen Berichte an Auditoren geben? und wie sicher sind Ihre Datenbanken? Version/Patch Level Die häufigsten Konfigurationschwächen: Passwörter, geteilte Kennwörter, unsicherer Code, Backdoors, etc. 3

Warum sind Datenbanken attraktive Ziele? Handel mit Datenbanken Hohe Werte von digitalen Informationen Wert von mehreren Milliarden Dollar pro Jahr Legal oder illegal? Der Fall von Darkmarket (2008). Die Seite hat drei Jahre bestanden Handel von Kreditkarten-Daten Austausch von Informationen für Computer-Betrug In 6 Wochen wurden US $431,000 verdient, langfristig wären bis zu 20 Mio. möglich gewesen Der Fall von Haupt-Schweizer Bank (2009-2010). 4 Diebstahl einer DB mit Daten zu ca. 15000 Schweizer Bankkonten Angebot der deutschen Regierung: US$3,5 Mio; US$500 Mio an hinterzogenen Steuern könnten eingefordert werden Der Mann wird von der französischen Regierung geschützt

Klassifizierung von DB Sicherheitsrisiken (1/2) Vulnerabilität: Sicherheitslücke im Code eines DBMS Audit-Kontrollen: Fehlen von Audit-Kontrollen Konfiguration: Konfigurationsvariablen Programmierung: Vulnerabilität (Buffer overflow, SQL injection, etc.) Authentifizierung: Nutzer - Authentifizierung Datenübertragung: Verpackungsmethoden von Daten die zwischen Datenbankserver und Benutzeroberfläche ausgetauscht werden 5

Klassifizierung von DB Sicherheitsrisiken (2/2) Malware (Backdoors, Rootkits) Gestohlene Backup-Bänder und Festplatten Keine Überwachung des Zugangs und Transaktionen der Datenbank in Echtzeit CRM DB HR DB ERP DB Outsiders Insiders Privileged Users 6

Die Komplexität der Steuerung und des Schutzes von Datenbanken Normalerweise erfolgt die Veröffentlichung (im Internet) der neuen Schwachstellen und neuen Formen des Angriffs schneller als die Veröffentlichung der Lösungen Kein Monitoring von Zugriffen und Transaktionen in Echtzeit Variierende Anzahl von Servern und Instanzen Data-Flow-Modell ist nicht einheitlich Die Informationen werden kontinuierlich repliziert Verschiedene Formen des Zugangs Patch Update 7

Best Practices für Datenbank Sicherheit 1. Mapping und Documenting der DB Servern 2. Änderung der Benutzer-Passwörter und Default-Scheme 3. Änderung der Standard-Port der für den Listener des Datenbank-Server definiert ist 4. Kontrolle der Privilegien von aktiven DB Anwendern und den Rollen und Privilegien von DBA, Entwicklern und Super- Usern klar begrenzen 5. Wenn möglich löschen der Stored-Procedures mit Zugriff auf das Betriebssystem von der Datenbank 8

Best Practices für Datenbank Sicherheit 6. Definition von Passwort-Sicherheitsrichtlinien für Datenbankanwender 7. Vermeiden Sie Embedded-Passwörter ( Info. verschlüsseln) 8. Beseitigen der Gefahr von SQL-Injection (verm. & ) 9. Behalten Sie Ihre RDBMS aktualisiert und gepatcht 10. Besuchen Sie regelmäßig die Sicherheits-Website Ihres RDBMS-Herstellers 11. Regelmäßige Prüfung des Sicherheitsstatus Ihrer Datenbanken (DB-Audit) 9

Der Datenbank-Sicherheit Zyklus Auditierung der Datenbank Untersuchung von mehreren Datenbanken kontinuerliches Monitoring Identifizierung Identificación von de generischen problemas Problemen genéricos Compliance (compliance) Korrektur von entdeckten Corrección de Problemen problemas (risk mitigation) 10

Überwachung der Datenbank-Sicherheit Für eine wirksame Überwachung: Definition der Phasen der normalen Aktivitäten in der Datenbank: Benutzer-, Datenbank-Objekte, Sitzungen Defininiton von Sicherheitspolitiken Implementierung der aktuellen Patches Umsetzung der internationalen und nationalen Standards für Informationssicherheit Mapping von Zugriffen auf die Datenbank in Echtzeit 11

Definition von Regeln Die Definition von Folgendem ist nötig: Richtlinien (Regeln) Sicherheitspolitiken, welche den internen oder internationalen Vorschriften folgen Rule Policy Layers Trigger Action Rule 1 Customer-Defined IF App<> SAPFinance AND object = CC_Table THEN Send HIGH Alert Send mail to: security team Terminate User Session Quarantine User 60 minutes Rule 2 Rule 3 Rule 4 Rule 5 Shared Best Practices Compliance Templates Patching 12

Erfüllung der Anforderungen der Datenschutzgesetze Gesetz Anforderungen Datenschutzgesetz(LOPD). Sicherheitsmaßnahmen verordnungen, 98 Identifizierung und Authentifizierung Der verantwortliche Daten-Controller soll einen Mechanismus definieren, der die wiederholten Versuche begrenzt, wenn es ein en unerwünschten oder unauthorisierten Zugriff auf das Informationssystem gibt. LOPD.RMS.A98.AI. Die nicht autorisierten Zugriffsversuche sollten blockiert werden. Regel: Wird der Zugriff nicht gestattet,dann sollte er blockiert werden und die jeweillige Informationen sind zu speichern Datenschutzgesetz (LOPD). Sicherheitsmaßnahmenverordnungen, 103. Sicherheitsmaßnahmen bei der Behandlung von persönlichen Daten (3) Die Mechanismen, die das Zugriffsprotokoll ermöglichen sollen unter der direkten Kontrolle des zuständigen Sicherheitsverantworlichen sein, ohne dass die Deaktivierung oder deren Manipulation möglich ist. LOPD.RMS.A103.3.MSTDCP. Nur der Administrator überwacht die Aufzeichnungen des Zugangs zu personenbezogenen Daten. Die Aufzeichnungen dürfen nicht deaktivierrbar oder manipulierbar sein. Regel1: Alle Zugriffe zu den persönlichen Daten sollten gespeichert werden. Regel 2: Profile die nur die Informationen lesen können sollten definiert werden Datenschutzgesetzes (LOPD). Sicherheitsmaßnahmenverordnungen, 103. Sicherheitsmaßnahmen bei der Behandlung von persönlichen Daten (5) Der Sicherheitsbverantworliche sollte mindestens einmal im Monat Auditinformationen nachprüfen und sollte einen Bericht mit den identifizierten Problemen und Prüfungen erstellen LOPD.RMS.A103.5.MSTDCP. Eine Überwachung der gespeicherten Informationen sollte gemacht werden und die identifizierten Probleme solltenin einem Bericht beschrieben werden. 13 Sicherheitspolitik

Live Demo Wie kann Hedgehog Enterprise Sie unterstützen?

Vielen Dank für Ihre Aufmerksamkeit! Fragen? Kontakt: orianaw@sentrigo.com orianay.weber@googlemail.com

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback