Najskuteczniejsze sposoby zabezpieczania baz danych w jaki sposb
Najskuteczniejsze sposoby zabezpieczania baz danych, w jaki sposób je monitorować oraz jak audytować Bartosz Kryński Dział Usług Profesjonalnych, Clico Sp. z o. o. bartosz. krynski@clico. pl 1 Info. TRAMS „Fusion Tematyczny, Bazy Danych, Kariera I Prywatny Sprzęt W Pracy”
Plan wystąpienia § Zagrożenia dla środowisk bazodanowych i związanych z nimi aplikacji web § Aplikacyjny firewall web jako pierwszy krok do ochrony DB § Zarządzanie uprawnieniami użytkowników i testy podatności środowiska bazodanowego § Monitoring dostępu do kluczowych informacji – Jak je zdefiniować? – Co i jak zapisywać? § Możliwości ochrony baz danych przy użyciu systemu database firewall § Testy podatności systemów
Wprowadzenie Naruszania bezpieczeństwa w systemach informatycznych (m. in. nieupoważniony odczyt z bazy danych, modyfikacja i uszkodzenie danych; zablokowanie usług) odbywają się z wykorzystaniem podatności (m. in. błędów implementacji w systemach operacyjnych i aplikacjach, błędów w konfiguracji zabezpieczeń, niskim poziomie świadomości ludzi). W praktyce nie ma możliwości usunięcia wszystkich podatności systemów komputerowych, głównie z uwagi na ich dynamiczny rozwój (m. in. nowe słabo przetestowane wersje oprogramowania). 3
Wprowadzenie 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 4 Klasyfikacja zagrożeń: Ataki sieciowe (np. włamania i penetracje, ataki Do. S) Zagrożenia transmisji danych (np. podsłuch sieciowy, przechwytywanie sesji) Zagrożenia aplikacyjne (np. wirusy, robaki, konie trojańskie) Zagrożenia kryptograficzne (np. nieaktualne, bądź zagubione klucze szyfrowania) Przeciek informacji (np. informacje o klauzuli tajności Tajne są dostępne dla systemu komputerowego o klauzuli Jawne) Zagrożenia komunikacyjne (np. przeciążenia sieci, niewłaściwy ruting sieci) Awarie techniczne (np. awaria sprzętu, błąd oprogramowania) Błędy ludzi (np. błędy użytkowników, administratorów) Zagrożenie fizyczne (np. kradzież, pożar, zalanie) Ulot elektromagnetyczny
Techniki rekonesansu Często spotykane podatności: Ü Ü Ü Ü DNS Zone Transfer (niepoprawna konfiguracja DNS, firewall zezwala TCP-53) Anonimowe FTP z plikami konfiguracyjnymi Niezabezpieczony hasłem Listener w bazie Oracle Niezabezpieczone hasłem aplikacje Web do zarządzania Informacje o sieci i zabezpieczeniach na stronach Web Nieświadomi pracownicy Agent SNMP Stosowanie domyślnych haseł i kont
Przykład symulacji włamań serwera bazy danych Oracle 1. Audytor z wykorzystaniem niezabezpieczonego hasłem procesu Listener uzyskał informacje o systemie i bazie danych Oracle (wersja, katalogi) # tnscmd 10 g. pl version -h <IP serwera> --indent # tnscmd 10 g. pl status -h <IP serwera> --indent 2. Audytor wykorzystując standardowe konto w Oracle 'dbsnmp' z hasłem 'dbsnmp' uzyskał dostęp do bazy danych i odczytał hashe haseł użytkowników (m. in. sys i system) w celu uzyskania hasła administratora bazy # sqlplus dbsnmp/dbsnmp@<IP serwera>/spac (. . . ) SQL> select username, password from dba_users; USERNAME PASSWORD ---------------SYS. . . . SYSTEM. . . . (. . . ) 3. 4. Audytor dokonał sprawdzenia haseł w bazie Oracle (narzędzia 'checkpwd') Audytor uzyskał hasło dostępu i zalogował się na konto administratora serwera bazy danych i odczytał plik z hashami haseł użytkowników # ssh <IP serwera> # cd /etc/security # cat passwd 5. Audytor zatrzymał proces bazy danych Oracle Listener # tnscmd 10 g. pl stop -h <IP serwera> 6
Zagrożenia dla aplikacji web Raport według OWASP TOP 10: § A 1: Injection § A 2: Cross-Site Scripting (XSS) § A 3: Broken Authentication and Session Management § A 4: Insecure Direct Object References § A 5: Cross-Site Request Forgery (CSRF) § A 6: Security Misconfiguration § A 7: Insecure Cryptographic Storage § A 8: Failure to Restrict URL Access § A 9: Insufficient Transport Layer Protection § A 10: Unvalidated Redirects and Forwards
Wyzwania dla znanych systemów zabezpieczeń § Ataki HTTP są poprawnymi zapytaniami do aplikacji, nie do wykrycia przez zapory sieciowe § Protokół HTTP jest bezstanowy, aplikacje są stanowe, SSL utrudnia analizę zdarzeń § Zróżnicowanie aplikacji § – nie ma przygotowanych sygnatur stricte dla TWOJEJ aplikacji System zabezpieczeń MUSI analizować nie tylko zapytania, ale również odpowiedzi § Niewiedza nie jest błogosławieństwem – brak narzędzi w korporacjach analizy/rejestrowania/raportowania ataków dotyczących HTTP
Jak przeciwdziałać atakom / nadużyciom? Chronić przed atakiem Monitoring wykorzystania Wprowadzać poprawki Zarządzanie uprawnieniami Kontrola reputacji Kontrola dostępu
OCHRONA PRZED ATAKAMI Z ZEWNĄTRZ 10
1. Ochrona warstwy prezentacji… Czym jest WAF ? § Web Application Firewall (WAF) zabezpieczenia dedykowane do ochrony aplikacji Web § System zabezpieczeń WAF bazuje w głównej mierze na automatycznie tworzonym i aktualizowanym profilu aplikacji Web. § Tworzenie profilu ma na celu niezależne odwzorowanie oczekiwanych, poprawnych zachowań użytkowników przy dostępie do aplikacji/serwisu web
1. Ochrona warstwy prezentacji… Imperva Web Application Firewall – zasada działania Metody Katalogi Typy oraz akceptowalna długość ciągu znaków Parametry, pola formularzy URLe Program podnoszenia poziomu świadomości w zakresie bezpieczeństwa teleinformatycznego wśród pracowników Grupy TP
1. Ochrona warstwy prezentacji… Przykład ochrony przed atakami aplikacyjnymi - - Intruz wysyła do serwera odpowiednio spreparowane zapytanie Firewall oraz IPS nie wykrywają anomalii, gdyż komunikacja odbywa się na dozwolonym porcie oraz nie ma aktywnej sygnatury blokującej ruch / zapytanie zostało wielokrotnie zakodowane Imperva WAF wykrywa anomalię na podstawie nie tylko sygnatur, ale również: typu znaków wpisanych w pole formularza, długości wpisanej frazy oraz nieodpowiedniego kodowania URLa. …%20 UNION%20 SELECT%201%2 Cusername%. . . Intruz Data Center INTERNET Web Servers Firewall User IPS WAF
IDENTYFIKACJA PRZYDZIELONYCH UPRAWNIEŃ W BAZIE DANYCH 14
2. Zarządzanie uprawnieniami użytkowników Inspekcja uprawnień użytkowników jest jednym z podstawowych wymagań regulacji, jak PCI DSS czy SOX – Nadmierne, niewykorzystywane uprawnienia powinny być wyłączane ze względu na zwiększenie prawdopodobieństwa wystąpienia naruszeń / nadużyć
2. Zarządzanie uprawnieniami użytkowników Jak zatem analizować uprawnienia? Jeden widok: Kto, Co, Kiedy… Użytkownik Prawa dostępu Klasyfikacja, URM (DB) Waga Dostęp DAM
MONITORING DOSTĘPU DO ISTOTNYCH INFORMACJI 17
3. Monitoring dostępu do istotnych informacji Definicja i podstawowe wymagania na system DAM „While a number of tools can monitor various level of database activity, Database Activity Monitors are distinguished by five features: § The ability to independently monitor and audit all database activity, including administrator activity and SELECT transactions. . . § The ability to store this activity securely outside the database. § The ability to aggregate and correlate activity from multiple heterogeneous Database Management Systems … (e. g. , Oracle, Microsoft, IBM) and normalize transactions from different DBMSs despite differences between SQL flavors. § 4. The ability to enforce separation of duties on database administrators. § The ability to generate alerts on policy violations. Tools don't just record activity, they provide real-time monitoring and rule-based alerting. . . ” Źródło: http: //securosis. com/reports/DAM-Whitepaper-final. pdf
3. Monitoring dostępu do istotnych informacji Sposób identyfikacji kluczowych informacji Definiowanie reguł rejestrowania transakcji Typ operacji Grupa tabel podlegających analizie Dostępne kryteria Identyfikacja danych na bazie predefiniowanych wzorców, jak email, CCNumber, hasła, lub zdefiniowanych przez użytkownika wyrażeń regularnych.
3. Monitoring dostępu do istotnych informacji Zarejestrowane szczegóły zdarzeń Kompletny ślad zarejestrowanych zdarzeń Gdzie? Kto? Jak? Do czego? § Secure. Sphere DAM posiada funkcję identyfikacji unikalnych użytkowników łączących się przez aplikacje Web do baz danych. § System DAM posiada dodatkowo możliwość pobrania dodatkowych danych, np. na temat użytkowników z zewnętrznych źródeł, jak system biletowy, LDAP, bazy danych czy inne systemy, np. HR
KONTROLA I OGRANICZANIE DOSTĘPU DO BAZ DANYCH DLA GRUP UŻYTKOWNIKÓW 21
4. Database Firewall Ochrona baz danych vs. rejestracja zdarzeń DAM § Ile procent ruchu ma podlegać analizie w celu ochrony DB przed atakami? § Ile procent tego samego ruchu ma być zapisywanych w DAM? § – 30%? 50%? 80%? . . . Ochrona i audyt MUSZĄ być różnymi procesami, analizowanymi osobno Wybiórczy audyt Ruch DB Sygnatury N T Anomalia profilu T N Podejrzane zachowanie T Program podnoszenia poziomu świadomości w zakresie bezpieczeństwa teleinformatycznego wśród pracowników Grupy TP N
4. Database Firewall Identyfikacja nietypowych zachowań użytkowników § Profil wykorzystania danych budowany na bazie analizy ruchu sieciowego § Automatyczna aktualizacja profilu w przypadku zmian uprawnień § Niezgodność ruchu ze zbudowanym profilem może generować alarm lub zablokowanie ruchu Obiekt Istotność Obserwowane ‘typowe’ zachowanie Program podnoszenia poziomu świadomości w zakresie bezpieczeństwa teleinformatycznego wśród pracowników Grupy TP
4. Database Firewall Egzekwowanie zdefiniowanych reguł dostępu Predefiniowane i/lub własne reguły Alarm przy próbie wykonania operacji uprzywilejowanej Kto wykonał polecenie? Zidentyfikowane zapytanie
TESTY PODATNOŚCI SYSTEMÓW 25
5. Testy podatności systemów Wymagania przedsiębiorstw i regulacji § Automatyczne wykrycie podatności produkcyjnych / testowych elementów związanych z bazami danych § Definiowanie priorytetów dla systemów § Analiza i eliminacja podatności § Analiza ryzyka
5. Testy podatności systemów Konfiguracja i wybór testów „Vulnerability Assessments” § Ponad 1500 testów dla różnych platform oraz DB § Testy aktualizowane przez zespół Imperva ADC Predefiniowane oraz konfigurowalne grupy testów Wbudowane testy podatności Dodaj własne testy/skrypty
5. Testy podatności systemów Zarządzanie wykrytymi podatnościami § Śledzenie, zarządzanie oraz eliminacja podatności w systemie zabezpieczeń § Usuwanie podatności poprzez Virtual Patch dzięki integracji z DBF Virtual Patching Data Risk Navigator
6. Architektura systemu Secure. Sphere
7. Podsumowanie Ochrona przy wykorzystaniu specjalizowanej warstwy zabezpieczeń Secure. Sphere: § § Zabezpiecza dostęp każdą możliwą metodą (bezpośrednio do bazy, poprzez ‘grube’ aplikacje, architekturę trójwarstwową, serwisy web) Posiada dodatkowe funkcje, jak serwis reputacyjny oraz szczegółowe informacje o źródle ataku System oprócz aktywnej ochrony może niezależnie rejestrować dostęp do kluczowych informacji, zarówno w bazach danych jak i danych niestrukturalnych w plikach Administrator posiada na jednej centralnej konsoli informacje z wielu warstw zabezpieczeń (WAF/DBF/FF), dzięki czemu możliwe jest generowanie spójnych raportów i eliminacja fałszywych alarmów
DZIĘKUJĘ ZA UWAGĘ 31
- Slides: 31