bienvenidos. quién es sentrigo? equipo de desarrolladores nuestros clientes
TRANSCRIPT
BIENVENIDOS
Quién es Sentrigo? Equipo de Desarrolladores Nuestros Clientes
Cual es el activo más caro de su empresa?
Archivos de Clientes y PINs• Números de tarjetas de créditos,
números de cuentas, datos de facturación, datos de autenticación Información de Empleados
• Números de seguridad social,Salarios, datos personales
Datos Financieros y Propiedad Intelectual• Ingresos, deudores, créditos
Denunciado
Institución Datos Robados
Oct 2009 PayChoice Nombres de Usuarios y contraseñas, que se utilizaron en campañas de spear-phishing
Aug 2009 UMass Amherst Datos de estudiantes que cursaron en la Universidad entre los años 1982 y 2002
Aug 2009 Radisson Hotels Tarjetas de crédito de los huéspedes
July 2009 AT & T Empleado temporario robo 2,100 registros de empleados
July 2009 Lexis Nexis Información de los consumidores utilizada para extorsión y operar un falso cobro
May 2009 U Cal Berkeley Datos de 160,000 estudiantes
Jan 2009 Monster.com Datos de clientes y usurarios
Nov 2008 U of Florida Datos de 330,000 estudiantes
Fuente: Privacy Rights Clearinghouse
Están los datos a salvo?
Están los datos a salvo?
Reported
Institution Data Breached
July 2010 UCSF Medical Center
Empleado usó los numeros de seguro social de sus compañeros para llenar cientos de encuestas de Amazon para luego canjear sus vouchers de regalos.
June 2010 Digital River, Inc.
Hackers con ayuda de empleados robaron 200,000 registros
Mar 2010 TSA Desarrollador obtiene acceso e implanta un Malware a la BD
Feb 2010 Wyndam Hotels Se pierden los registros de (no se sabe cuantos) clientes
Feb 2010 CeridianAtaque consigue datos de cuentas de banco y numeros de seguridad social de 27,000 empleados de 1,900 compañias
Jan 2010 Iowa Racing & Gaming Comm.
Hacker logró obtener acceso a la base de datos de informacion personal de 80,000 empleados
Dec 2009 Rock You Una SQL injection resultó en el robo de 32 millones de contraseñas
Nov 2009 T-Mobile Empleado vende millones de registros de clientes a la competencia
Aug 2009 Heartland Robo de 130 millones de registros de Tarjetas de Credito
Source: Privacy Rights Clearinghouse
Fuente: Privacy Rights Clearinghouse
Cuanto valen sus datos?
Cuentas de Banco $ 10 – 1000
Tarjetas de Crédito $ .40 – 20
Identidad Personal $ 1 - 15
Intrusiones a las Bases de Datos
Servidores de Bases de Datos se ven involucrados en 25% de todas las infracciones.
Accesos indebidos a las Bases de Datos totalizan el 92% de todos los registros comprometidos
- Fuente: Verizon Business Study 2010
Protección Perimetral es buen inicio
Pero si ya están dentro?
Ningún metodo es 100% seguro
En muchos casos los intrusos ya estan dentro
Fuente: Privacy Rights Clearinghouse
Están los datos a salvo?
Según GARTNER Y FORRESTER
El 80 % de los Robos son Internos
El 90% de las personas despedidas dicen haberse llevado datos de la
empresa
Por que las bases de datos no están seguras?
Tecnología
• Acceso constante por multiples aplicaciones y usuarios
• Imposibilidad de bloquear sin afectar la accesibilidad
• Vulnerabilidades (SQL injection, buffer overflow)
Proceso
• Los Parches (ej. Oracle CPU) no se aplican en forma constante
• Implementaciones practicas (contraseñas compartidas y por defecto, etc.)
Personas
• Amenazas internas
Las amenazas internas
Los usuarios privilegiados fácilmente pueden pasar desapercibidos
• Abusar de los permisos
• Manipulación de registro de auditoría
• Dejar puertas traseras - la infraestructura y el código
A partir de la Version 10 de Oracle se puede encender y apagar la auditoría y nadie se da cuenta.
Soborno o extorsión Outsourcing, sub-
contratistas, servicios gestionados, etc, todo contribuye a una falta de control
Virtualización lo hace aún más difícil
Externos que pasaron a ser internos
Necesita cumplir con las regulaciones
PCI DSS, Sarbanes-Oxley, HIPAA, SAS 70, GLBA y otras reglas específicas a diferentes industrias
Como Ayudamos a certificarse?
Las regulaciones requieren que los datos sensibles se manejen de forma segura
Se necesita una plataforma que puede adaptarse fácilmente a estas exigencias cambiantes
Protección desde el Interior
VS
Nuestro Producto Hedgehog Enterprise
Hedgehog: Protección desde el interior hacia afuera Una solución 100% software que controla todas
las transacciones de la base de datos en tiempo real
Puede terminar las sesiones de usuarios o ponerlos en cuarentena
Políticas de seguridad predefinidas: virtual patching
Mínimo impacto sobre el desempeño – menos del 5% de una sola CPU
Escalabilidad completa para monitorear miles de DBs
Fácil: descargar, instalar, usar
Necesidad de controlar todos los tipos de acceso de los usuarios ...
DB
DB
DBCRM
HR
ERP
Insiders Privileged UsersOutsiders
Co
rp
or
at
e F
ir
ew
all
Au
th
en
ti c
ati o
n &
Ac
ce
ss
Co
ntro
l
Desde adentro hacia afuera es más eficaz
DB
DB
DBCRM
HR
ERP
Insiders Privileged UsersOutsiders
Co
rp
or
at
e
Fi
re
wa
ll
Au
th
en
ti
ca
ti
on
&
A
cc
es
s
Co
nt
ro
l
Intra-
Stored
Proc.
Trigger
ViewData
Shared Memory
DBMS
List
ener
Beq
ueath
Local Connection
Network Connection
Todas las transacciones de la base de datos (iniciadas externa o internamente) pasan por la memoria compartida
intra-db threats
Hedgehog: Vision general de la estructura
DB
Hedgehog JavaEE Server
(software)
Sensor
Web-based Admin
Console
Network
Alerts
3rd party mgmt tools
DB
Sensor
DB
Sensor
DB
Sensor
DB
Sensor
CloudDB
Como trabaja Hedgehog
Reglas
Trigger
Action
IFApp<>’SAPFinanzas’ AND object = ‘Tar_credito’ THENSend HIGH AlertSend mail to: security teamTerminate User SessionQuarantine User 60 minutes
Triggers
MANEJO DE PARCHES
Protección contra las vulnerabilidades conocidas
Y ataques desde día cero
BASES DE DATOS SIN PARCHES?
CVE (Common Vulnerabilities and Exposures, Un laboratorio independiente) Número de Vulnerabilidades por DBMS:
129
90
54
35
5
4
0 50 100 150
Oracle
MySQL
DB2
Informix
Sybase
MS SQL
# de Vulnerabilidades ReportadasEncuesta realizada por Sentrigo a 315 Profesionales de Oracle
Estar sin parches representa un riesgo para las bases de datos
Patch Installe
dPatch Issued
Zero-DayReported
Vulnerability
High
Low
Months/Years Months/Years
Exploits publicados en la web
El riesgo crece despues que el parche se publica
La aplicación de parches de seguridad DBMS es doloroso: El testeo requiere un amplio tiempo de inactividad A menudo resulta en la interrupción de negocios Versiones de DBMS que ya no están soportados por el proveedor
(por ejemplo, 8i)
Hedgehog vPatch
Hedgehog ve todas las actividades de la DB a nivel de la memoria
Cientos de reglas de protección inmediata Nuestro Equipo lidera las investigaciones
sobre seguridad de bases de datos:• Trabaja en conjunto con los principales
investigadores de todo el mundo para poder tener vPatches en 24-48 horas después de cada CPU de Oracle (4 de los ultimos 5 parches fueron acreditados a Sentrigo, según reporte de inicios del 2010)
Enfoques existentes sobre la Seguridad de DB
El cifrado no siempre es posible, o seguro
• Difícil, consume tiempo para poner en práctica, requiere cambios en el código y/o fuentes
• Sigue siendo susceptible al robo de claves, sobre todo por los internos o de los hackers, y no hay rastro de auditoría
• Impacto sobre el rendimiento de la DB
Herramientas de auditoría de DBMS son insuficientes o poco prácticas:• Auditoría completa afecta el rendimiento• La auditoría y el registro de las transacciones son fáciles
de manipular• La auditoría es esencialmente reactiva, no proactiva
Porqué tantas amenazas a las BD?
Las Bases de Datos mantienen volumenes enormes de información, no obstante:
• No se Monitorean
• No se actualizan
• No se usan los Parches
Esto hace que una BD sea Vulnerable!
Que tan fácil se penetra una BD?
Así de Fácil!
BIENVENIDOS
Familia de Productos
Solución de Seguridad de Datos de SENTRIGO
Prevención de Intrusiones
ParcheoVirtual
Cumplimiento deEstandares
Evaluación deVulnerabilidades
Identificación deUsuarios MONITOREO
ACTIVO DE LASBASES DE DATOS
Hedgehog Enterprise
Hedgehog VPatch
Hedgehog Identifier
Rendición de cuentas de usuario final
¿Realmente sabes quién está accediendo a qué?
IDentifier
• Rastrea el usuario final real de la aplicación que accede a la base de datos en entornos de conexión agrupada
• Requisito clave para el cumplimiento de las regulaciones
Cubre amplia gama de aplicaciones y entornos (J2EE contenedores más populares (tales como WebLogic, WebSphere, Tomcat, JBoss),. NET Server (IIS), Oracle Forms, aplicaciones de Oracle, etc)
Application Server
Hedgehog
IDentifier
App User 1
App User 2
App User 3
Transactions
Pooled Connection
DBMS
App User 1
App User 2
App User 3
Hedgehog Enterprise
Cómo trabaja IDentifier
Commercially Classified
IDentifier – usuario final
Hedgehog DBscanner
EVALUACIÓN DE VULNERABILIDADES
¿Cuán seguras son las bases de datos?
Hedgehog DBscanner
Interpretación de los riesgos
DBscanner Evaluación de las vulnerabilidades• La mas completa herramienta para analizar y evaluar
vulnerabilidades de seguridad con más de de 3,000 verificaciones de seguridad
• Comprueba centralmente los niveles de parcheo• Contraseñas (por defecto, compartidas, fuertes)• Detecta Rootkits y otros cambios sospechosos
• Se integra con Hedgehog Enterprise para proteger de las vulnerabilidades descubiertas
Ejemplo de reporte de contraseñas
Preguntas?