Acht Schritte zur ganzheitlichen Datenbanksicherheit 8 Steps to Holistic Database Security



Ähnliche Dokumente
Avira Server Security Produktupdates. Best Practice

Dominik Stockem Datenschutzbeauftragter Microsoft Deutschland GmbH

White Paper. Konfiguration und Verwendung des Auditlogs Winter Release

Endpoint Web Control Übersichtsanleitung. Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control

Mail encryption Gateway

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

IBM Software Group. IBM Tivoli Continuous Data Protection for Files

Endpoint Web Control Übersichtsanleitung

Spotlight 5 Gründe für die Sicherung auf NAS-Geräten

Mit den neuen Lexis Diligence Funktionen werden Ihre Due Diligence- Überprüfungen jetzt noch effizienter.

kurz erklärt Dokumentenmanagement & Archivierung 3 Schritte mit ELO QuickScan

Office 365 Partner-Features

Perceptive Document Composition

SCHWACHSTELLE MENSCH

Tutorial -

ISAP Kundencenter. Alles. Einfach. Online. Das Handbuch zum neuen ISAP Kundencenter ISAP AG. All rights reserved.

Die Lokation für Business und Technologie

TECHNISCHE INFORMATION LESSOR LOHN/GEHALT BEITRAGSNACHWEIS-AUSGLEICH BUCH.-BLATT MICROSOFT DYNAMICS NAV

Wiederherstellen der Beispieldatenbanken zum Buch Microsoft Project 2010

Installation & Konfiguration AddOn Excel Export Restriction

Schwachstellenanalyse 2012

Norton Internet Security

bizsoft Rechner (Server) Wechsel

ecaros2 - Accountmanager

Keine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY

Erste Schritte mit Desktop Subscription

Verwendung des Terminalservers der MUG

Installationsanleitung dateiagent Pro

Installation SQL- Server 2012 Single Node

SharePoint Demonstration

Handbuch. Artologik EZ-Equip. Plug-in für EZbooking version 3.2. Artisan Global Software

ERSTELLEN VON INCENTIVES IM ZANOX NETZWERK

Persönliche Einladung. Zur IT Managers Lounge am 4. November 2009 in Köln, Hotel im Wasserturm.

Microsoft SQL 2005 Express

How-to: Webserver NAT. Securepoint Security System Version 2007nx

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte

BEO-Sanktionsprüfung Eine Einführung zum Thema Sanktionsprüfung und eine Übersicht zur BEO-Lösung.

Wo finde ich die Software? - Jedem ProLiant Server liegt eine Management CD bei. - Über die Internetseite

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

White Paper. Installation und Konfiguration der Fabasoft Integration für CalDAV

Dokumentation. Black- und Whitelists. Absenderadressen auf eine Blacklist oder eine Whitelist setzen. Zugriff per Webbrowser

Installation & Konfiguration AddOn Excel Export Restriction

Die Beschreibung bezieht sich auf die Version Dreamweaver 4.0. In der Version MX ist die Sitedefinition leicht geändert worden.

SafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen

Alle gehören dazu. Vorwort

OP-LOG

Handbuch. NAFI Online-Spezial. Kunden- / Datenverwaltung. 1. Auflage. (Stand: )

crm-now/ps Webforms Webdesigner Handbuch Erste Ausgabe

Step by Step Webserver unter Windows Server von Christian Bartl

Verwendung des IDS Backup Systems unter Windows 2000

How to do? Projekte - Zeiterfassung

f Link Datenbank installieren und einrichten

Einsatzgebiete von Windows SharePoint Services. Installationsanweisung zur Installation der Beispielseiten

Mobiles Arbeiten in der Praxis mit Tablet, Smartphone & Co. Iacob Tropa

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Anleitung zum BW-Bank Computer-Check Windows-Firewall aktivieren

Professionelle Seminare im Bereich MS-Office

ENTDECKEN SIE DIE VORTEILE VON SUBSCRIPTION SUBSCRIPTION-VERTRÄGE VERWALTEN

Mit der in Windows Vista integrierten Firewall Schützen Sie Ihren Computer gegen Angriffe aus dem Internet.

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

Übung - Konfigurieren einer Windows-XP-Firewall

Tutorial: Wie kann ich Dokumente verwalten?

1. Schritt: Benutzerkontensteuerung aktivieren

Cloud-Computing. Selina Oertli KBW

BEO-SANKTIONSPRÜFUNG Eine Einführung zum Thema Sanktionsprüfung und eine Übersicht zur BEO-Lösung.

Fotostammtisch-Schaumburg

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

ERPaaS TM. In nur drei Minuten zur individuellen Lösung und maximaler Flexibilität.

Installation des Authorware Webplayers für den Internet Explorer unter Windows Vista

Datenbank-Verschlüsselung mit DbDefence und Webanwendungen.

ICS-Addin. Benutzerhandbuch. Version: 1.0

Nicht über uns ohne uns

System-Update Addendum

Zugriff auf Unternehmensdaten über Mobilgeräte

Shopz Zugang Neuanmeldung

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Patch-Management. Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011

Windows-Sicherheit in 5 Schritten. Version 1.1 Weitere Texte finden Sie unter

Gruppenrichtlinien und Softwareverteilung

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Schritt 1: Verwenden von Excel zum Erstellen von Verbindungen zu SQL Server Analysis Services-Daten

Windows 8 Lizenzierung in Szenarien

F-Secure Mobile Security for Nokia E51, E71 und E75. 1 Installation und Aktivierung F-Secure Client 5.1

Lizenzen auschecken. Was ist zu tun?

Private oder public welche Cloud ist die richtige für mein Business? / Klaus Nowitzky, Thorsten Göbel

Protect 7 Anti-Malware Service. Dokumentation

impact ordering Info Produktkonfigurator

Der einfache Weg zu Sicherheit

Aktivieren von Onlinediensten im Volume Licensing Service Center

Windows 10. Vortrag am Fleckenherbst Bürgertreff Neuhausen.

Anbindung des eibport an das Internet

Neues Modul für individuelle Anlagen. Änderung bei den Postleitzahl-Mutationen

Der Schutz von Patientendaten

Wichtig ist die Originalsatzung. Nur was in der Originalsatzung steht, gilt. Denn nur die Originalsatzung wurde vom Gericht geprüft.

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

IBM Lotus Greenhouse. Einfach ausprobieren Social Software von IBM. IBM Lotus Greenhouse erlaubt schnelle und unkomplizierte Evaluation

Mobile-Szenario in der Integrationskomponente einrichten

ELO 9 for Mobile Devices

Transkript:

Informationsmanagement White Paper Information Management White Paper Acht Schritte zur ganzheitlichen Datenbanksicherheit 8 Steps to Holistic Database Security Von Dr. Ron Ben Natan, CTO, IBM Guardium By Ron Ben Natan, Ph.D., CTO, Guardium, an IBM Company

2 Acht Schritte zur ganzheitlichen Datenbanksicherheit Cyberangriffe, Datenmissbrauch durch Insider und gesetzliche Vorgaben veranlassen Unternehmen, neue Wege zur Absicherung ihrer Unternehmens- und Kundendaten zu beschreiten. Diese Daten befinden sich in kommerziellen Datenbanksystemen wie Oracle, Microsoft SQL Server, IBM DB2 und Sybase. Das vorliegende Dokument stellt acht grundlegende Best Practices vor, die eine ganzheitliche Methodik zur Absicherung von Datenbanken sowie zur Einhaltung einschlägiger gesetzlicher Vorgaben wie SOX, PCI-DSS, GLBA und Datenschutzgesetzen bilden. Datenbanken absichern, Compliance erzielen Finanziell motivierte Angriffe, Datenmissbrauch durch Insider und gesetzliche Vorgaben veranlassen Unternehmen, neue Wege zur Absicherung ihrer Unternehmens- und Kundendaten zu beschreiten. Weltweit werden sensible Daten zumeist in kommerziellen Datenbanksystemen wie Oracle, Microsoft SQL Server, IBM DB2 und Sybase gehalten und folglich werden Datenbanken damit zum lohnenden Ziel für Kriminelle. Dies erklärt, warum SQL- Injections 2008 um 134 Prozent angestiegen sind. Wie in einem vor Kurzem veröffentlichten IBM Bericht1 vermerkt, entspricht dies einem Anstieg von wenigen Ttausenden Angriffen pro Tag auf mehrere Hhunderttausend täglich. Man kann nicht absichern, was man nicht kennt. Man benötigt eine gute Abbildung der sensiblen Assets und das gilt für die Datenbankinstanzen ebenso wie für die sensiblen Daten innerhalb der Datenbanken. Während bislang der Absicherung der Netzwerkinfrastruktur und der Clientsysteme (Firewalls, IDS/IPS, Antivirus usw.) die meiste Aufmerksamkeit zuteil wurde, folgt jetzt der Übergang in eine neue Phase, in der Fachkräften des Bereichs Informationssicherheit die Aufgabe zufällt, den Schutz der Unternehmensdatenbanken vor Sicherheitslücken und unbefugten Änderungen zu gewährleisten. Es gibt acht grundlegende Best Practices, die eine ganzheitliche Methodik zur Absicherung von Datenbanken sowie zur Einhaltung einschlägiger gesetzlicher Vorgaben bilden. Doch es kommen weitere Probleme hinzu: Forrester2 vermeldet, dass 60 Prozent der Unternehmen beim Einspielen von Datenbanksicherheitspatches im Verzug liegen, während für 74 Prozent aller 2008 gemeldeten Schwachstellen von Webanwendungen bei diesen handelt es sich primär um SQL-Injections laut IBM auch Ende 2008 noch kein Patch verfügbar war. 1 IBM Internet Security Systems X-Force 2008 Trend & Risk Report, IBM Global Technology Services, Januar 2009. 2 Market Overview: Database Security, Forrester Research, Februar 2009.

Informationsmanagement 3 1. Entdeckung Man kann nicht absichern, was man nicht kennt. Eine gute Dokumentation der schützenswerten Assets wird benötigt angefangen bei Datenbankinstanzen bis hin zu sensiblen Daten innerhalb der Datenbanken. Darüber hinaus gilt es, den Erkennungsprozess zu automatisieren, da sich der Speicherort der sensiblen Daten aufgrund von Veränderungen im Unternehmen infolge von neuen Anwendungen, Fusionen, Akquisitionen usw. fortlaufend ändern kann. Auch kann es dazu kommen, dass einige Erkennungstools Malware als Resultat von SQL-Injektions Angriffen in der Datenbank aufspüren. Neben der Preisgabe vertraulicher Informationen, ist es Angreifern auf Grund von SQL -Injektionen möglich, weitere Schwachstellen in der Datenbank zu implementieren, die sich beispielsweise gegen Besucher der Website richten. 2. Schwachstellen- und Konfigurationsbewertung Wer sich gegen Sicherheitslücken (so genannte Vulnerabilities ) wappnen will, muss die Konfiguration seiner Datenbanken überprüfen. Dazu zählt die Kontrolle der Datenbankinstallation im Betriebssystem (beispielsweise durch Prüfen der Zugriffsrechte für Datenbankkonfigurationsdateien und für ausführbare Dateien) sowie die Konfigurationsparameter innerhalb der Datenbanken (beispielsweise wie viele fehlgeschlagene Logins zur Accountsperrung führen oder welche Zugriffsrechte kritischen Tabellen zugewiesen wurden). Darüber hinaus ist zu verifizieren, dass keine Datenbankversionen mit bekannten Schwachstellen betrieben werden. Traditionelle Schwachstellenscanner für Netzwerke sind hierfür nicht konzipiert, denn sie verfügen über keine integrierten Kenntnisse der Datenbankstrukturen und des zu erwartenden Verhaltens. Ebenso wenig können sie SQL-Abfragen absetzen (mittels nachgewiesener Berechtigung zum Zugriff auf die Datenbank), um die Datenbankkonfiguration zu überprüfen. Abbildung 2. Anwendungsfall: Schwachstellenbewertung und Änderungsverfolgung. Abbildung 1. Nutzung von Erkennungstools zum Auffinden von Datenbankinstanzen und dem Speicherort sensibler Daten.

4 Acht Schritte zur ganzheitlichen Datenbanksicherheit 3. Absicherung Das Ergebnis der Schwachstellenbewertung ist oft eine Zusammenstellung gezielter Empfehlungen. Dies ist der erste Schritt zur Absicherung der Datenbank. Zu den weiteren Elementen der Absicherung zählt das Entfernen aller nicht benutzten Funktionen und Optionen. 4. Änderungsaudit Sobald die abgesicherte Konfiguration erstellt wurde, muss diese fortlaufend überprüft werden, um sicherzustellen, dass diese nicht von der (sicheren) goldenen Konfiguration abweicht. Dazu können Änderungsaudit-Tools eingesetzt werden, die Momentaufnahmen ( Snapshots ) der Konfigurationen (sowohl auf der Betriebssystem- als auch auf der Datenbankebene) vergleichen und eine Warnmeldung ausgeben, wenn eine Änderung erfolgt, welche die Sicherheit der Datenbank beeinträchtigen könnte. 5. Database Activity Monitoring (DAM) Überwachung der Datenbankaktivität in Echtzeit Die Echtzeitüberwachung der Datenbankaktivität ist der Schlüssel zur Gefahrenbegrenzung: Eindringversuche und Missbrauch werden sofort erkannt. DAM erkennt und meldet beispielsweise ungewöhnliche Zugriffsmuster, die auf einen SQL-Injektionsangriff, unberechtigte Änderungen an Finanzdaten, die Erhöhung von Accountberechtigungen und Konfigurationsänderungen durch SQL-Befehle hindeuten. Auch die Überwachung privilegierter Benutzer ist eine Voraussetzung zur Erfüllung von Data-Governance-Vorschriften wie SOX und Datenschutzverordnungen wie PCI DSS. Diese Überwachung ist insbesondere deshalb wichtig, weil Angreifer sich häufig über solch priveileigierte Benutzer unerlaubt Zugriff zur Datenbank verschaffen beispielsweise über Berechtigungen von Nutzern einer Geschäftsanwendung DAM ist auch ein Grundelement der Schwachstellen-bewertung, denn damit lassen sich traditionelle, statische Bewertungen um dynamische Bewertungen von Verhaltensschwachstellen erweitern, beispielsweise die gemeinsame Nutzung von Privilegien durch mehrere Benutzer oder eine übermäßig hohe Zahl fehlgeschlagener Datenbankanmeldungen. Abbildung 3. Anwendungsfall: Überwachung der Datenbankaktivität und Auditing Nicht alle Daten und nicht alle Benutzer sind gleich. Benutzer müssen authentifiziert werden. Über jeden einzelnen Benutzer muss Rechenschaft abgelegt werden. Beim Management der Zugriffsrechte ist auf die Einschränkung des Datenzugriffs zu achten.

Informationsmanagement 5 Schließlich ermöglichen einige DAM-Technologien die Überwachung auf der Anwendungsschicht, so dass ein Betrug auch über mehrschichtige Anwendungen wie PeopleSoft, SAP und Oracle e-business Suite statt nur über Direktverbindungen zur Datenbank erkennbar ist. 6. Audit Für alle Datenbankaktivitäten, welche die Sicherheit bzw. die Datenintegrität betreffen oder bei denen sensible Daten angezeigt werden, müssen sichere, nicht anfechtbare Prüfprotokolle angelegt werden. Neben ihrer Schlüsselbedeutung für die Erfüllung gesetzlicher Vorgaben sind differenzierte Prüfprotokolle auch für forensische Untersuchungen wichtig. Die meisten Unternehmen setzen derzeit auf eine Art manueller Audits unter Nutzung traditioneller, nativer Datenbankprotokollfunktionen. Diese Verfahren erweisen sich aber aufgrund ihrer Komplexität und ihrer hohen, durch manuellen Aufwand verursachten Kosten oft als unzulänglich. Zu den weiteren Nachteilen zählen hohe Performanceeinbußen, die mangelnde Aufgabenteilung (DBAs können ungehindert die Inhalte von Datenbankprotokollen manipulieren und beeinträchtigen dadurch die Unanfechtbarkeit) und die Notwendigkeit des Kaufs großer Datenspeicherkapazitäten, um die enormen Mengen ungefilterter Transaktionsdaten bewältigen zu können. Erfreulicherweise steht heute bereits eine neue Klasse von DAM- Lösungen zur Verfügung, die differenzierte, DBMS-unabhängige Audits mit minimaler Beeinträchtigung der Performance bieten und die Betriebskosten durch Automatisierung, zentralisierte und DBMS-übergreifende Regelungen und Audit-Depots, Filterung und Komprimierung senken. 7. Authentifizierung, Zugriffskontrolle und Berechtigungsmanagement Nicht alle Daten und nicht alle Benutzer sind gleich. Benutzer müssen authentifiziert werden. Über jeden einzelnen Benutzer muss Rechenschaft abgelegt werden. Beim Management der Zugriffsrechte ist auf die Einschränkung des Datenzugriffs zu achten. Und es gilt, diese Zugriffsrechte durchzusetzen auch bei den am höchsten privilegierten Datenbankbenutzern. Ferner müssen auch die Berechtigungsberichte ( User High Attestation Reports ) im Rahmen des formellen Auditprozesses regelmäßig geprüft werden. 8. Verschlüsselung Mittels Verschlüsselung sind sensible Daten unlesbar zu machen, so dass kein Angreifer von außerhalb der Datenbank unberechtigt auf die Daten zugreifen kann. Dazu zählen auch die Verschlüsselung der in Übertragung befindlichen Daten (der Angreifer soll nicht auf der Netzwerkschicht mitlauschen und auf Daten, die zum Datenbankc-Client gesandt werden, zugreifen können) und die Verschlüsselung der ruhenden Daten (der Angreifer soll die Daten auch nicht per Zugriff auf die Mediendateien extrahieren können). Abbildung 4: Management des gesamten Compliance-Lebenszyklus

6 Acht Schritte zur ganzheitlichen Datenbanksicherheit Acht Schritte zur Datenbanksicherheit 1. Entdeckung 2. Schwachstellen- und Konfigurationsbewertung 3. Absicherung 4. Änderungsaudit 5. Database Activity Monitoring (DAM) Überwachung der Datenbankaktivität 6. Audit 7. Authentifizierung, Zugriffskontrolle und Berechtigungsmanagement 8. Verschlüsselung Über den Verfasser Dr. Ron Ben Natan verfügt über mehr als zwanzig Jahre an Erfahrung in der Entwicklung von Unternehmensanwendungen und Sicherheitstechnologie für renommierte Konzerne wie Merrill Lynch, J.P. Morgan, Intel und AT&T Bell Laboratories. Dr. Ben Natan war auch als Berater für Datensicherheit und verteilte Systeme für Phillip Morris, Miller Beer, HSBC, HP, Applied Materials und die Streitkräfte der Schweiz tätig. Dr. Ben Natan, IBM GOLD Consultant und promovierter Informatiker, ist ein Experte für verteilte Anwendungsumgebungen, Anwendungssicherheit und Datenbanksicherheit. Er hat zwölf Patente angemeldet und zwölf Fachbücher verfasst, darunter Implementing Database Security and Auditing (Elsevier Digital Press), das Standardwerk auf diesem Gebiet. Sein neuestes Buch wurde 2009 veröffentlicht und trägt den Titel HOW TO Secure and Audit Oracle 10g and 11g (CRC Press).

Informationsmanagement 7 Über Guardium IBM Guardium schützt kritische Unternehmensinformationen durch die fortlaufende Überwachung des Zugriffs auf und Änderungen an unternehmenskritischen Datenbanken. Die skalierbare Plattform von Guardium vereinfacht die Governance mittels einheitlicher Regelungen für heterogene Infrastrukturen und senkt die Betriebskosten durch die Automatisierung von Compliance-Prozessen. Mit dieser Plattform können Unternehmen zuverlässige Informationen sicher nutzen, um ihren geschäftlichen Erfolg auszubauen. IBM Guardium ist bereits in über 450 Rechenzentren rund um den Globus installiert, darunter in den fünf größten Bankhäusern der Welt, bei vier der sechs weltgrößten Versicherer, in Ministerien und Behörden, bei zwei der drei weltgrößten Einzelhändler, in zwanzig renommierten Telekommunikationsunternehmen, bei zwei weltweit beliebten Getränkemarken, beim führenden PC-Hersteller, bei einem der drei führenden Automobilhersteller, in einer der drei weltweit führenden Luft- und Raumfahrtkonzerne und bei einem führenden Anbieter von Business-Intelligence- Software. Mit einer skalierbaren Plattform, die Datenbanken in Echtzeit schützt und den gesamten Compliance-Auditing-Prozess automatisiert, ist Guardium Vorreiter bei Lösungen zum Schließen von Datensicherheitslücken.

Copyright 2010, Guardium, an IBM Company. All rights reserved. IBM Guardium Deutschland is a registered GmbH trademark and Safeguarding Databases, S-GATE IBM-Allee and S-TAP 1 are trademarks of Guardium. 71139 Ehningen February 2010 All Rights Reserved. ibm.com/de IBM IBM, Österreich and the IBM logo are trademarks of International Business Machines Corporation in the United States, other countries or both. For a complete list Obere Donaustrasse 95 of IBM trademarks, see www.ibm.com/legal/copytrade.shtml. 1020 Wien ibm.com/at Other company, product and service names may be trademarks or service IBM marks Schweiz of others. Vulkanstrasse 106 References in this publication to IBM products or services do not imply that 8010 Zürich IBM intends to make them available in all countries in which IBM operates. ibm.com/ch Any reference in this information to non-ibm Web sites are provided for convenience only and do not in any manner serve as an endorsement of those Die Web IBM sites. Homepage The materials finden at Sie those unter: Web sites are not part of the materials for ibm.com this IBM product and use of those Web sites is at your own risk. IBM, das IBM Logo und ibm.com sind Marken der IBM Corporation in den USA und/ oder anderen Ländern. Sind diese und weitere Markennamen von IBM bei ihrem ersten Vorkommen in diesen Informationen mit einem Markensymbol ( oder ) gekennzeichnet, bedeutet dies, dass IBM zum Zeitpunkt der Veröffentlichung dieser Informationen Inhaber der eingetragenen Marken oder der Common-Law-Marken (common law trademarks) in den USA war. Diese Marken können auch eingetragene Marken oder Common-Law-Marken in anderen Ländern Please sein. Recycle Eine aktuelle Liste der IBM Marken finden Sie auf der Webseite Copyright and trademark Information unter ibm.com/legal/copytrade.shtml Guardium ist eine eingetragene Marke und Safeguarding Databases, S-GATE und S-TAP sind Marken von Guardium. Weitere Unternehmens-, Produkt- oder Servicenamen können Marken anderer Hersteller sein. Vertragsbedingungen und Preise erhalten Sie bei den IBM Geschäftsstellen und/oder den IBM Business Partnern. Die Produktinformationen geben den derzeitigen Stand wieder. Gegenstand und Umfang der Leistungen bestimmen sich ausschließlich nach den jeweiligen Verträgen. Hinweise in diesen Informationen auf Webseiten Dritter dienen nur zu Informationszwecken. Sie sind nicht als Unterstützung für diese Webseiten durch IBM zu verstehen. Die auf diesen Webseiten bereitgestellten Materialien sind nicht Bestandteil der Materialien für dieses IBM Produkt. Der Kunde nutzt diese Webseiten auf eigenes Risiko. Copyright IBM Corporation 2010 Alle Rechte vorbehalten. Recyclingfähig, Please Recycle bitte der Wiederverwertung zuführen IMW14277-DEDE-02

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback