BIENVENIDOS

Quién es Sentrigo? Equipo de Desarrolladores Nuestros Clientes

Cual es el activo más caro de su empresa?

Archivos de Clientes y PINs• Números de tarjetas de créditos,

números de cuentas, datos de facturación, datos de autenticación Información de Empleados

• Números de seguridad social,Salarios, datos personales

Datos Financieros y Propiedad Intelectual• Ingresos, deudores, créditos

Denunciado

Institución Datos Robados

Oct 2009 PayChoice Nombres de Usuarios y contraseñas, que se utilizaron en campañas de spear-phishing

Aug 2009 UMass Amherst Datos de estudiantes que cursaron en la Universidad entre los años 1982 y 2002

Aug 2009 Radisson Hotels Tarjetas de crédito de los huéspedes

July 2009 AT & T Empleado temporario robo 2,100 registros de empleados

July 2009 Lexis Nexis Información de los consumidores utilizada para extorsión y operar un falso cobro

May 2009 U Cal Berkeley Datos de 160,000 estudiantes

Jan 2009 Monster.com Datos de clientes y usurarios

Nov 2008 U of Florida Datos de 330,000 estudiantes

Fuente: Privacy Rights Clearinghouse

Están los datos a salvo?

Están los datos a salvo?

Reported

Institution Data Breached

July 2010 UCSF Medical Center

Empleado usó los numeros de seguro social de sus compañeros para llenar cientos de encuestas de Amazon para luego canjear sus vouchers de regalos.

June 2010 Digital River, Inc.

Hackers con ayuda de empleados robaron 200,000 registros

Mar 2010 TSA Desarrollador obtiene acceso e implanta un Malware a la BD

Feb 2010 Wyndam Hotels Se pierden los registros de (no se sabe cuantos) clientes

Feb 2010 CeridianAtaque consigue datos de cuentas de banco y numeros de seguridad social de 27,000 empleados de 1,900 compañias

Jan 2010 Iowa Racing & Gaming Comm.

Hacker logró obtener acceso a la base de datos de informacion personal de 80,000 empleados

Dec 2009 Rock You Una SQL injection resultó en el robo de 32 millones de contraseñas

Nov 2009 T-Mobile Empleado vende millones de registros de clientes a la competencia

Aug 2009 Heartland Robo de 130 millones de registros de Tarjetas de Credito

Source: Privacy Rights Clearinghouse

Fuente: Privacy Rights Clearinghouse

Cuanto valen sus datos?

Cuentas de Banco $ 10 – 1000

Tarjetas de Crédito $ .40 – 20

Identidad Personal $ 1 - 15

Intrusiones a las Bases de Datos

Servidores de Bases de Datos se ven involucrados en 25% de todas las infracciones.

Accesos indebidos a las Bases de Datos totalizan el 92% de todos los registros comprometidos

- Fuente: Verizon Business Study 2010

Protección Perimetral es buen inicio

Pero si ya están dentro?

Ningún metodo es 100% seguro

En muchos casos los intrusos ya estan dentro

Fuente: Privacy Rights Clearinghouse

Están los datos a salvo?

Según GARTNER Y FORRESTER

El 80 % de los Robos son Internos

El 90% de las personas despedidas dicen haberse llevado datos de la

empresa

Por que las bases de datos no están seguras?

Tecnología

• Acceso constante por multiples aplicaciones y usuarios

• Imposibilidad de bloquear sin afectar la accesibilidad

• Vulnerabilidades (SQL injection, buffer overflow)

Proceso

• Los Parches (ej. Oracle CPU) no se aplican en forma constante

• Implementaciones practicas (contraseñas compartidas y por defecto, etc.)

Personas

• Amenazas internas

Las amenazas internas

Los usuarios privilegiados fácilmente pueden pasar desapercibidos

• Abusar de los permisos

• Manipulación de registro de auditoría

• Dejar puertas traseras - la infraestructura y el código

A partir de la Version 10 de Oracle se puede encender y apagar la auditoría y nadie se da cuenta.

Soborno o extorsión Outsourcing, sub-

contratistas, servicios gestionados, etc, todo contribuye a una falta de control

Virtualización lo hace aún más difícil

Externos que pasaron a ser internos

Necesita cumplir con las regulaciones

PCI DSS, Sarbanes-Oxley, HIPAA, SAS 70, GLBA y otras reglas específicas a diferentes industrias

Como Ayudamos a certificarse?

Las regulaciones requieren que los datos sensibles se manejen de forma segura 

Se necesita una plataforma que puede adaptarse fácilmente a estas exigencias cambiantes

Protección desde el Interior

VS

Nuestro Producto Hedgehog Enterprise

Hedgehog: Protección desde el interior hacia afuera  Una solución 100% software que controla todas

las transacciones de la base de datos en tiempo real

Puede terminar las sesiones de usuarios o ponerlos en cuarentena

Políticas de seguridad predefinidas: virtual patching

Mínimo impacto sobre el desempeño – menos del 5% de una sola CPU

Escalabilidad completa para monitorear miles de DBs

Fácil: descargar, instalar, usar

Necesidad de controlar todos los tipos de acceso de los usuarios ... 

DB

DB

DBCRM

HR

ERP

Insiders Privileged UsersOutsiders

Co

rp

or

at

e F

ir

ew

all

Au

th

en

ti c

ati o

n &

Ac

ce

ss

Co

ntro

l

Desde adentro hacia afuera es más eficaz 

DB

DB

DBCRM

HR

ERP

Insiders Privileged UsersOutsiders

Co

rp

or

at

e

Fi

re

wa

ll

Au

th

en

ti

ca

ti

on

&

A

cc

es

s

Co

nt

ro

l

Intra-

Stored

Proc.

Trigger

ViewData

Shared Memory

DBMS

List

ener

Beq

ueath

Local Connection

Network Connection

Todas las transacciones de la base de datos (iniciadas externa o internamente) pasan por la memoria compartida

intra-db threats

Hedgehog: Vision general de la estructura

DB

Hedgehog JavaEE Server

(software)

Sensor

Web-based Admin

Console

Network

Alerts

3rd party mgmt tools

DB

Sensor

DB

Sensor

DB

Sensor

DB

Sensor

CloudDB

Como trabaja Hedgehog

Reglas

Trigger

Action

IFApp<>’SAPFinanzas’ AND object = ‘Tar_credito’ THENSend HIGH AlertSend mail to: security teamTerminate User SessionQuarantine User 60 minutes

Triggers

MANEJO DE PARCHES 

Protección contra las vulnerabilidades conocidas

Y ataques desde día cero

BASES DE DATOS SIN PARCHES?

CVE (Common Vulnerabilities and Exposures, Un laboratorio independiente) Número de Vulnerabilidades por DBMS:

129

90

54

35

5

4

0 50 100 150

Oracle

MySQL

DB2

Informix

Sybase

MS SQL

# de Vulnerabilidades ReportadasEncuesta realizada por Sentrigo a 315 Profesionales de Oracle

Estar sin parches representa un riesgo para las bases de datos 

Patch Installe

dPatch Issued

Zero-DayReported

Vulnerability

High

Low

Months/Years Months/Years

Exploits publicados en la web

El riesgo crece despues que el parche se publica

La aplicación de parches de seguridad DBMS es doloroso: El testeo requiere un amplio tiempo de inactividad A menudo resulta en la interrupción de negocios Versiones de DBMS que ya no están soportados por el proveedor

(por ejemplo, 8i)

Hedgehog vPatch

Hedgehog ve todas las actividades de la DB a nivel de la memoria

Cientos de reglas de protección inmediata Nuestro Equipo lidera las investigaciones

sobre seguridad de bases de datos:• Trabaja en conjunto con los principales

investigadores de todo el mundo para poder tener vPatches en 24-48 horas después de cada CPU de Oracle (4 de los ultimos 5 parches fueron acreditados a Sentrigo, según reporte de inicios del 2010)

Enfoques existentes  sobre la Seguridad de DB

El cifrado no siempre es posible, o seguro

• Difícil, consume tiempo para poner en práctica, requiere cambios en el código y/o fuentes

• Sigue siendo susceptible al robo de claves, sobre todo por los internos o de los hackers, y no hay rastro de auditoría

• Impacto sobre el rendimiento de la DB

Herramientas de auditoría de DBMS son insuficientes o poco prácticas:• Auditoría completa afecta el rendimiento• La auditoría y el registro de las transacciones son fáciles

de manipular• La auditoría es esencialmente reactiva, no proactiva

Porqué tantas amenazas a las BD?

Las Bases de Datos mantienen volumenes enormes de información, no obstante:

• No se Monitorean

• No se actualizan

• No se usan los Parches

Esto hace que una BD sea Vulnerable!

Que tan fácil se penetra una BD?

Así de Fácil!

BIENVENIDOS

Familia de Productos

Solución de Seguridad de Datos de SENTRIGO

Prevención de Intrusiones

ParcheoVirtual

Cumplimiento deEstandares

Evaluación deVulnerabilidades

Identificación deUsuarios MONITOREO

ACTIVO DE LASBASES DE DATOS

Hedgehog Enterprise

Hedgehog VPatch

Hedgehog Identifier

Rendición de cuentas de usuario final 

¿Realmente sabes quién está accediendo a qué?

IDentifier

• Rastrea el usuario final real de la aplicación  que accede a la base de datos en entornos de conexión agrupada

• Requisito clave para el cumplimiento de las regulaciones

Cubre amplia gama de aplicaciones y entornos (J2EE contenedores más populares (tales como WebLogic, WebSphere, Tomcat, JBoss),. NET Server (IIS), Oracle Forms, aplicaciones de Oracle, etc)

Application Server

Hedgehog

IDentifier

App User 1

App User 2

App User 3

Transactions

Pooled Connection

DBMS

App User 1

App User 2

App User 3

Hedgehog Enterprise

Cómo trabaja IDentifier

Commercially Classified

IDentifier – usuario final

Hedgehog DBscanner

EVALUACIÓN DE VULNERABILIDADES 

¿Cuán seguras son las bases de datos?

Hedgehog DBscanner

Interpretación de los riesgos 

DBscanner Evaluación de las vulnerabilidades• La mas completa herramienta para analizar y evaluar

vulnerabilidades de seguridad con más de de 3,000 verificaciones de seguridad

• Comprueba centralmente los niveles de parcheo• Contraseñas (por defecto, compartidas, fuertes)• Detecta Rootkits y otros cambios sospechosos

• Se integra con Hedgehog Enterprise para proteger de las vulnerabilidades descubiertas

Ejemplo de reporte de contraseñas

Preguntas?