Аудит доступа к базам данных

Аудит доступа к
базам данных: его
роль в обеспечении
безопасности баз
данных и методы
реализации
Владимир Дудченко
SoftBCom
Причины внимания к аудиту доступа к БД
и задачи такого аудита
1. Воровство данных происходит все чаще и увеличивается в объемах
• В 2005г. зарегистрировано свыше 100 случаев воровства данных 1
• Было незаконно раскрыто свыше 93 миллионов записей о клиентах (сентябрь 2006)1
• Стоимость каждого случая воровства - $14 миллионов 2
-> Помочь обнаружить инсайдеров по их поведению
2. Необходимость соблюдения законодательных норм может
потребовать огромных дополнительных затрат ИТ ресурсов
Процесс внедрения стандартов по безопасности данных и применения законодательных
требований быстро набирает силу в России:
• Закон о персональных данных,
• Стандарт Банка России СТО БР ИББС-1.0-2006,
• ГОСТ Р ИСО/МЭК 17799-2005 на основе стандарта ИСО 17799 2000 года,
• необходимость соблюдения стандартов PCI DSS, Basel II и Sarbannes-Oxley…)
-> Обеспечить необходимую регистрацию активности,
связанной с данными, и помочь пройти аудит
1 – Privacy Rights Clearinghouse http://www.privacyrights.org/ar/ChronDataBreaches.htm
2 - Ponemon Institute and PGP Corporation
Embarcadero Technologies
Page: 2
Задачи реализации аудита БД
1. Активный подход. По перехватываемой информации пытаемся
определить подозрительное поведение, выявить нарушения принятых
стандартов безопасности, и, возможно, злонамеренных пользователей.
Полная информация для проведения расследований
2. Пассивный подход (сохранение данных, без активного поиска
незаконной активности, например):
PCI DSS 10.2: Осуществляйте автоматизированную регистрацию
данных в процессе аудита. Это должно позволить выполнять
реконструкцию следующих событий для всех компонент системы:
•
•
•
•
•
•
•
Все индивидуальные факты доступа к данным о владельцах карточек
Все действия, выполненные любым пользователем с правами root или
администратора
Доступ ко всем журналам аудита
Попытки доступа, которые были заблокированы на логическом уровне
Использование механизмов идентификации и аутентификации
Инициализация журналов аудита
Создание и удаление системных объектов
Embarcadero Technologies
Page: 3
Основные требования к аудиту
•
Прозрачность
•
•
•
Внешняя реализация по отношению к объектной системе
•
•
•
•
•
Должен обеспечивать детальные записи об изменениях данных, изменениях в самой базе и всех связанных
событиях, независимо от платформы
Сохранение журнала в реляционной СУБД в сжатом виде, в форме, пригодной для анализа как
собственными средствами системы аудита, так и любыми внешними аналитическими инструментами
Масштабируемость и производительность
•
•
•
Внешний репозиторий
Внешний администратор
Поддержка кросс-платформенности
Полнота
•
•
Не должны требоваться внесения изменений в приложения
Аудит не должен приводить к потере производительности и доступности базы данных, системы или
приложения
Должен быть способен поддерживать высокие транзакционные нагрузки, множественность баз данных
Должен иметь гибкую архитектуру, позволяющую поддерживать распределенные структуры
Отчеты и нотификации
•


Должен обеспечивать стандартные и пользовательские отчеты
Должен предоставлять информацию для разных аудиторий – технических специалистов и руководства
Должен иметь механизм нотификации в реальном времени о критических событиях, связанных с
безопасностью
Embarcadero Technologies
Page: 4
Embarcadero DSAuditor и его архитектура
Внешний
репозиторий
(опционно)
Нотификации
и отчеты
!
Серверы баз
данных
Oracle
Sybase
MS SQL Server
DB2 UDB
Informix
Teradata
DSAuditor
Switch
Администраторы БД
Пользователи
приложений
Привилегированные
пользователи БД,
осуществляющие
несетевой доступ
DSAuditor использует TAP или SPAN технологию для перехвата
SQL пакетов на сетевом уровне, без влияния на сервер баз данных.
Перехват запросов привилегированных пользователей,
осуществляющих несетевой доступ, выполняется с помощью
специальных коллекторов на сервере БД. Соответствующая
информация также направляется на DSAuditor
Перехваченные SQL запросы:
Подвергаются он-лайновому анализу с графическим выводом
результатов и автоматическими нотификациями;
Накапливаются в репозитории в реляционном формате
для выдачи статистических отчетов и выполнения ad hoc запросов
Embarcadero Technologies
Page: 5
Распределенная структура с использованием
DSAuditor’а - I
Oracle 9i
DSAuditor
t
es ly
qu ep
e
R 0R
21 71
15 0/2
P 0
TC P 27
TC
Oracle 10g
P
TC
27
TCP 1521 Oracle
TCP 5000 Sybase
7
/2
00
10
Switch
T
TC CP
P 2 50
70 00
0/ R
27 eq
10 ue
R e st
ply
DB User/Application
Архитектурное решение
с применением аппаратной
реализации DSAuditor’а
(Appliance)
Sybase 12.5
Sybase 12.5
Co
nn
e ct
v
p
Tra
QL
S
ia
DBA/Privileged User
Embarcadero Technologies
Page: 6
Распределенная структура с использованием
DSAuditor’а - II
DSAuditor
Consolidator
AT/UT Client
DSAuditor
146.92.109.x
Switch
Users
Архитектурное решение
с применением нескольких
экземпляров аппаратных
реализаций DSAuditor’а
(Appliances)
DSAuditor
146.92.110.x
Embarcadero Technologies
Page: 7
Аудит доступа к данным
в общей концепции безопасности данных
•
Меры по обеспечению безопасности данных
применительно к БД (1):
•
ПРАВИЛА (Политики и стандарты безопасности):
• Архитектура данных (классификация данных)
• Дизайн (организация данных в соответствии с принятыми стандартами),
• Доступ (управление правами, доступом, организация бизнес-процессов, в
рамках которых осуществляется доступ)
• Управление изменениями (процедуры и контроль всех изменений схем БД
в процессе апдейтов и апгрейдов)
•
КОНТРОЛЬ СОБЛЮДЕНИЯ ПРАВИЛ (включает в себя аудит)
• Контроль всех изменений в архитектуре БД
• Контроль соблюдения правил доступа (с разрешенных ли рабочих мест, в
разрешенное ли время, из разрешенных ли приложений, контроль
неудачных логинов и пр.) – через аудит доступа к данным
• Контроль соблюдения авторизации в бизнес-процессах управления правами
– с использованием аудита доступа к данным
Embarcadero Technologies
Page: 8
Аудит доступа к данным
в общей концепции безопасности данных
•
Меры по обеспечению безопасности данных
применительно к БД (2):
•
ФОРМИРОВАНИЕ СТАТИСТИЧЕСКИХ ХАРАКТЕРИСТИК ДОСТУПА И
АНАЛИЗ ПОВЕДЕНИЯ ПОЛЬЗОВАТЕЛЕЙ
• Создание классификации пользователей
• Формирование профилей активности для всех групп пользователей
• Контроль статистических параметров активности для разных групп и
выделение случаев подозрительного поведения
•
РАССЛЕДОВАНИЕ ПОДОЗРИТЕЛЬНЫХ СЛУЧАЕВ В ПОВЕДЕНИИ
ПОЛЬЗОВАТЕЛЕЙ
• Ad hoc анализ на основе накопленной информации
Embarcadero Technologies
Page: 9
DSAuditor: основные черты
•
Детальный аудит данных
•
•
•
•
Обнаружение вторжений
•
•
•
•
Шаблоны и расписания выдачи отчетов
Поддержка основных форматов: PDF,
HTML, CSV, RTF, и XLS
Масштабируемая архитектура,
основанная на сетевом доступе
•
•
•
Нотификации в реальном времени о
подозрительных событиях или видах
активности
Контроль сессий
(успешные / неуспешные/ недействительные
логины)
Консолидированная отчетность
•
•
Непрерывный, автоматический,
параллельный аудит
Контроль запросов
‘Select’ и ‘update’
Отчеты по изменениям данных,
схем и прав доступа
Не вносятся изменения в объектную систему
Высокая транзакционная производительность
Кросс-платформенная поддержка
•
IBM DB2, Informix, Microsoft SQL Server, Oracle,
Sybase ASE, Sybase IQ, Teradata
Embarcadero Technologies
Page: 10
DSAuditor – Примеры отчетов
• Идентификация и
• Детальный аудит
аутентификация
•
•
•
•
Логины (успешные и неуспешные)
Изменения паролей
Активность в нерабочие часы
•
•
• Пользовательская активность
•
• Контроль доступа
•
•
•
•
•
Изменения прав
• grant, revoke, deny
Изменения аккаунтов
Изменения ролей
Изменения схем (DDL)
Изменения данных (DML)
Избранные виды активностей
•
•
Использование таблиц и колонок
Неиспользуемые таблицы
Долго выполняемые запросы
Создание/ удаление индексов
Результирующая статистика
• Обобщенный аудит
•
•
Авторизованные изменения (DDL, DML)
Неавторизованные изменения (DDL,
DML)
Embarcadero Technologies
Page: 11
Отчет DSAuditor’а
Embarcadero Technologies
Page: 12
Он-лайновый анализ: WEB клиент DSAuditor’а
Embarcadero Technologies
Page: 13
Вопросы?
Спасибо за внимание!
Контакты для получения
дополнительной информации:
http://www.softbcom.ru, тел. (495)232-2177
http://www.embarcadero.com
Embarcadero Technologies
Page: 14