Sentrigo Hedgehog Eine kurze Vorstellung Gerret Bachmann Senior Berater OPITZ CONSULTING Hamburg GmbH Hamburg, 21.10.2010 OPITZ CONSULTING GmbH 2010 Seite 1
Agenda 1. Wer ist Sentrigo? 2. Welche Produkte gibt es noch? 3. Architektur 4. Installation 5. Demo 6. Lizenzen und Preise OPITZ CONSULTING GmbH 2010 Seite 2
1 Wer ist Sentrigo? OPITZ CONSULTING GmbH 2010 Seite 3
Wer ist Sentrigo? Internet www.sentrigo.com Köpfe ("Advisory Board") Alexander Kornbrust Pete Finnigan Julian Dyke Vision Datenbankschutz für Alle Abwehr von Gefahr durch Insider Compliance durch mehr Sicherheit OPITZ CONSULTING GmbH 2010 Seite 4
2 Produkte OPITZ CONSULTING GmbH 2010 Seite 5
Hedgehog Produkte Intrusion Prevention Virtual Patching OPITZ CONSULTING GmbH 2010 Seite 6
Produkte Passwordizer Tool für MS SQL Server, verhindert Zugriff auf Passwörter FuzzOr Freies Tool zum Aufspüren von Schwachstellen in PL/SQL-Code RepScan "Vulnerability Assessment Lösung" Applikation zum Aufspüren von Schwachpunkten in der Datenbank Verfügbar für Oracle, SQL Server, DB2 und MySQL OPITZ CONSULTING GmbH 2010 Seite 7
Hedgehogs Hedgehog DBScanner Durchsucht das Netzwerk nach Datenbanken und sucht dort nach wichtigen Daten (Passwörter, Kredikarten-Nummern etc.) Oracle, SQL Server, DB2, MySQL Hedgehog IDentifier Ermittelt End-User Connection bei Pooled-Connections Plugin für Hedgehog Enterprise Hedgehog vpatch Führt virtuelles Patching von Sicherheits-Updates durch Plugin für Hedgehog Enterprise Hedgehog Enterprise Darum geht es heute OPITZ CONSULTING GmbH 2010 Seite 8
Hedgehog Identifier (1/2) Ermittelt End-User Connection bei Pooled-Connections Sendet Client ID, Original IP und benutzte URL (für Web- Applikationen) zum Hedgehog Sensor Verfügbar für JAVA/J2EE apps and.net Arbeitet nahtlos mit Oracle JDBC (inklusive Weblogic, Websphere, JBoss, Tomcat) OPITZ CONSULTING GmbH 2010 Seite 9
Hedgehog Identifier (2/2) OPITZ CONSULTING GmbH 2010 Seite 10
Hedgehog vpatch (1/1) Basiert auf der gleichen Technologie wie Hedgehog Enterprise Bietet sofortigen Schutz gegen Hunderte von Schwachstellen Bietet "virtual hardening" Häufige Updates Automatisce Auslieferung Bietet Erkennung und Schutz Alerts Session unter Quarantäne stellen Session abbrechen OPITZ CONSULTING GmbH 2010 Seite 11
Hedgehog Enterprise Prinzip: Bewache die Daten, nicht die Zufriffspfade Überwache alle Aktivitäten, unabhängig von der Herkunft und greife ein, wenn nötig Beachte Zugriffspfade, Zugriffsmethode, Umgebungsvariablen und Datenstruktur Das beste DB Sicherheits-Produkt "in the world" Schützt sensible Daten, unabhängig vom Zugriffsvektor (Stored Procedures, Trigger, Views, Verschlüsselung etc.) Bietet Virtuelles Patching OPITZ CONSULTING GmbH 2010 Seite 12
Hedgehog Host-basierte Software-Lösung zur Überwachung aller Datenbank-Transaktionen in Echtzeit Schützt vor Angreifern, normalen und hoch privilegierten Benutzern Sicherheitsrichtlinien werden durch entsprechende Regeln abgebildet Virtuelles Patchen (vpatch Rules) Wizard unterstützt mit Templates Regeln für Compliance Individuelle (kundenbezogene)m Regeln (Custom Rules) Abbruch von User-Sessions bei Regelverletzungen (optional), User kann beliebig lange in Quarantäne gestellt werden Keine erkennbaren Auswirkungen auf die Leistung des DB- Servers - belegt weniger als ca. 1-2 % einer einzigen CPU Einfach Herunterladen, Installieren und Verwenden OPITZ CONSULTING GmbH 2010 Seite 13
3 Architektur OPITZ CONSULTING GmbH 2010 Seite 14
Überwachung aller Datenbank-Aktivitäten CRM DB HR DB ERP DB Zugriff von außen Zugriff von innen Privilegierte Benutzer OPITZ CONSULTING GmbH 2010 Seite 15
D B Überwachung aller Datenbank-Aktivitäten Zugriff von außen ERP Zugriff von Innen HR CRM Privilegierte Benutzer Alle DB-Transaktionen (extern oder intern) gehen über Shared Memory D B D B Lokale Verbindung Netzwerk Verbindung Listener Bequeath DBMS Shared Memory Data Stored Proc. Trigger View OPITZ CONSULTING GmbH 2010 Seite 16
Hedgehog Architektur 3 rd party mgmt tools Alerts Network Hedgehog JavaEE Server (Software) Sensor Sensor Sensor Sensor Sensor DB DB DB DB DB Web-basierte Admin Console OPITZ CONSULTING GmbH 2010 Seite 17
4 Installation OPITZ CONSULTING GmbH 2010 Seite 18
Installation des Sensors (1/2) # chmod +x sentrigo-sensor-4.0.0-6847.i386.rpm.bin #./sentrigo-sensor-4.0.0-6847.i386.rpm.bin Please enter your response to the license (ACCEPT/DECLINE): ACCEPT OPITZ CONSULTING GmbH 2010 Seite 19
Installation des Sensors (2/2) Extracting archive: sentrigo-sensor-4.0.0-6847.i386.rpm.exe... done Validating checksum... valid UnZipSFX 5.50 of 17 February 2002, by Info-ZIP (Zip-Bugs@lists.wku.edu). inflating: /tmp/sentrigo-sensor-4.0.0-6847.i386.rpm Preparing... ########################################### [100%] 1:sentrigo-sensor ########################################### [100%] Please provide the IP address for the Sentrigo Server (localhost):192.168.1.1 Please provide the port number for the Sentrigo Server (1996): Using default value for port: 1996 Sentrigo Sensor installed successfully Start Sentrigo Sensor (yes/no): yes Starting Sentrigo Sensor. Calling : /etc/init.d/sentrigo-sensor start Starting Sentrigo Sensor: [ OK ] [root@urdbms sentrigo]# OPITZ CONSULTING GmbH 2010 Seite 20
Hedgehog in der Anwendung Rule Policy Layers Trigger Action Rule 1 Stop known attacks IF App<> SAPFinance AND object = CC_Table THEN Send HIGH Alert Send mail to: security team Terminate User Session Quarantine User 60 minutes Rule 2 Rule 3 Rule 4 Rule 5 Compliance Templates Community Best Practices Customized OPITZ CONSULTING GmbH 2010 Seite 21
5 Demo OPITZ CONSULTING GmbH 2010 Seite 22
6 Lizenzen und Preise OPITZ CONSULTING GmbH 2010 Seite 23
Lizenzen und Preise Testversionen Für alle Produkte sind 14tägige Demos verfügbar Keine Einschränkungen in der Funktionalität Lizenzen Lizenzkosten ca. 1.260 pro DB-Server-Core Beispiel: 2 Knoten RAC mit 2 * QuadCore = 2*2*4=16 Cores Summe: 16*1.260 = 20.160 Euro Support: 315 Euro pro Core = 5.040 Euro / Jahr OPITZ CONSULTING GmbH 2010 Seite 24
Alternativen DBMS Audit Tools unzureichend oder nicht praktikabel: Maximales Auditing verschlechtert merklich die Performance Werden häufig erst nach dem Einbruch eingesetzt Audit- und Transaktions-Logs manipulierbar Anspruchsvolle Access Control Anwendungen zu schwerfällig und zu teuer umzusetzen Netzwerk-basierter DB Schutz Schwierige und zeitraubende Installation und Konfiguration, geringe Wirkung in virtualisierten Umgebungen Nach wie vor anfällig gegen Angriffe von innen Teuer OPITZ CONSULTING GmbH 2010 Seite 25
Fragen und Antworten OPITZ CONSULTING GmbH 2010 Seite 26
Ansprechpartner bei OC Gerret Bachmann OPITZ CONSULTING Hamburg GmbH Gerret.Bachmann@opitz-consulting.com Telefon +49 40 74 11 22 1377 Mobil +49 173 38 46 47 9 Björn Bröhl OPITZ CONSULTING Gummersbach GmbH Bjoern.Broehl@opitz-consulting.com Telefon +49 22 61 6001-0 OPITZ CONSULTING GmbH 2010 Seite 27