Post on 25-Jun-2015
description
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Novembro de 2014
Proteção de Banco de Dados
de Sistemas Industriais
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Agenda
• O valor da informação
• Vulnerabilidades em bases de dados industriais
• Database Activity Monitoring (DAM)
• Quebrando o paradigma da proteção
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
O Valor da Informação
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
O Perfil do Procurado
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
O Valor da Informação
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
O Valor da Informação
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
O Valor da Informação
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
O Valor da Informação
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
O Valor da Informação
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Vulnerabilidades em Bases de Dados
Industriais
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Grupos de Incidentes de Segurança
Dados são o principal alvo das violações de seguran ça...
.... e os bancos de dados são a principal fonte dos dados violados .
http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf
2012 Data Breach Report from Verizon Business RISK Team
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
INSTRUMENTAÇÃO
CONTROLE
SCADA
GESTÃO DA OPERAÇÃO
GESTÃO DO NEGÓCIO
A Pirâmide ISA…
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
… e as bases de dados na indústria
Nível Aplicações com Base de Dados Informações Sensív eis
GESTÃO DO NEGÓCIO ERP, MRP, CRM, SCM, Portais Clientes, Salários, Custos, Preços, Faturas, Contabilidade, etc.
GESTÃO DA OPERAÇÃO MES, PIMS, LIMS, PLM, etc. Set Points, Históricos, Fórmulas, Desenhos, Processos, etc.
SCADA Supervisório, Controle Avançado, Historians, Controle de Ativos, Repositório de Programas
Set Points, Tags, Dados Brutos, Programas Ladder, etc.
CONTROLE Sistemas Embarcados, IHMs, etc. Set Points, Tags, Medições, etc.
INSTRUMENTAÇÃO - -
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Risco de Extração dos Dados
EXTRAÇÃO DE DADOS
NÃO SE PODE REMEDIAR UM VAZAMENTO DE DADOS. TODOS OS ESFORÇOS DEVEM SER FEITOS PARA QUE ELE NÃO ACONTEÇA.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Risco de Alteração ou Exclusão de Dados
EM SISTEMAS INDUSTRIAIS, ALTERAÇÕES INDEVIDAS DOS DADOS PODEM CAUSAR DESDE PARADAS DE PRODUÇÃO ATÉ SITUAÇÕES MAIS
GRAVES COM RISCO AMBIENTAL E/OU ACIDENTES COM VIDAS.
12,5 1,25
ALTERAÇÃO DE DADOS
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Adicionalmente…
• Alterações em dados são mais fáceis de fazer do que extração dos mesmos:
• Não é necessário estar na rede.
• São mais fáceis de se construir.
• São mais fáceis de se propagar.
• São mais difíceis de rastrear.
Ataques deste tipo tendem a ser a principal ameaça a plantas
industriais e a infraestruturas críticas.
stuxnet
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Sensibilidade a vazamento
Nível Aplicações com Base de Dados
Informações Sensíveis
Sensibilidade
GESTÃO DO NEGÓCIO ERP, MRP, CRM, SCM, Portais
Clientes, Salários, Custos, Preços, Faturas, Contabilidade, etc.
Alta
GESTÃO DA OPERAÇÃO MES, PIMS, LIMS, etc.
Set Points, Históricos, Fórmulas, Desenhos, Processos, etc.
Média/Alta
SCADA SupervisórioControle AvançadoOPC
Set Points, Tags,Dados Brutos, etc.
Pequena/Média
CONTROLE OPC Set Points, Tags, Medições
Pequena
INSTRUMENTAÇÃO - SetPoints Pequena
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Sensibilidade a alteração
Nível Aplicações com Base de Dados
Informações Sensíveis
Sensibilidade
GESTÃO DO NEGÓCIO ERP, MRP, CRM, SCM, Portais
Clientes, Salários, Custos, Preços, Faturamento, etc.
Pequena
GESTÃO DA OPERAÇÃO MES, PIMS, LIMS, etc.
Set Points, Históricos, Fórmulas, Ativos, Interconexões, etc.
Pequena/Média
SCADA SupervisórioControle AvançadoOPC
Set Points, Tags,Dados Brutos, etc.
Média/Alta
CONTROLE OPC Set Points, Tags, Medições
Alta
INSTRUMENTAÇÃO - SetPoints Alta
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Perfil do Autor
Furto de Informação e Sabotagem
Hacker, Curioso, Ativista Usuário Corporativo
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Perfil do Autor
Furto de Informação e Sabotagem
Hacker, Curioso, Ativista Usuário Corporativo
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Segurança de base de dados
Não deixe que seu banco de dados seja o elo mais fraco da sua segurança.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Database Activity Monitoring
DAM
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
DAM
• Database Activity Monitoring se define como:
• Técnica para garantir segurança em banco de dados.
• Método de proteção que funciona em tempo real.
• Tecnologia que funciona independente com o RDMS monitorado.
• Processo de monitoramento e auditoria que independe dos logs e trilhas de
auditoria do banco de dados.
• Governança que funciona para qualquer usuário do banco de dados
independente de serem usuários normais, DBAs, com privilégios ou não.
DAM é hoje a principal técnica de segurança em base s de dados.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Como funciona ?
BANCO DE DADOS
USUÁRIO
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Appliance
BANCO DE DADOS
USUÁRIO
DAM
O Appliance mantém aspolíticas de segurança eregistra todas asocorrências nas bases dedados.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Appliance
• O Appliance é composto de software + SO próprio, rodando em servidor físico ou
virtual, com as seguintes características:
• Banco de dados próprio inacessível, inviolável, criptografado e sem possibilidade
de exclusão de dados.
• Todas as políticas de segurança são configuradas no appliance, indicando os
usuários, tabelas, campos e tipos de dados a serem monitorados.
• Todos os eventos relativos as políticas são registradas no appliance para
geração de alarmes, relatórios e acompanhamento de compliance.
• Possui console próprio acessível via web.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Software TAP
BANCO DE DADOS
USUÁRIO
DAM
TAP
É o “agente” do DAM.Escuta todo o tráfegode/para o banco e enviapara validação noappliance , que autoriza ounão a sequência.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Software TAP
• É um agente de software (processo), com as seguintes características:
• Funciona na camada de rede e no shared memory do banco de dados.
• Toda e qualquer transação de banco de dados é interceptada e enviada para o
appliance para registro e validação.
• Pode realizar um reset na conexão não autorizada ao banco.
• É altamente otimizado, com quase nenhum impacto em memória e CPU.
• É permanentemente monitorado pelo appliance. Em caso de parada forçada, o
appliance detecta e alerta imediatamente.
• Não é necessária qualquer alteração na base de dados e/ou nos aplicativos para
instalação.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Funcionamento Modo Monitor
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Funcionamento passo a passo
BANCO DE DADOS
USUÁRIO
SQL>select * fromsetpoint;
DAM
TAP
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Funcionamento passo a passo
BANCO DE DADOS
USUÁRIO
DAM
TAP
Log da Transação
SQL>select * fromsetpoint;ID Name Value1 SP2929 12,122 SP3039 190,443 SP4948 266,12SQL>_
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Funcionamento Modo Bloqueio
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Funcionamento passo a passo
BANCO DE DADOS
USUÁRIO
SQL>update setpoint_tableset sp=1,24 where id=1023;
DAM
TAP
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Funcionamento passo a passo
BANCO DE DADOS
USUÁRIO
SQL>update setpoint_tableset sp=1,24 where id=1023;
DAM
TAP
Valida Transação
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Funcionamento passo a passo
BANCO DE DADOS
USUÁRIO
SQL>update setpoint_tableset sp=1,24 where id=1023;
DAM
TAP
Validação NÃO OK
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Funcionamento Modo Mascaramento
(Redact)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Funcionamento passo a passo
BANCO DE DADOS
USUÁRIO
SQL>select * fromsetpoint;
DAM
TAP
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Funcionamento passo a passo
BANCO DE DADOS
USUÁRIO
DAM
TAP
Valida Transação
SQL>select * fromsetpoint;
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Funcionamento passo a passo
BANCO DE DADOS
USUÁRIO
DAM
TAP
Mascara: Value=99.9
SQL>select * fromsetpoint;ID Name Value1 SP2929 99,992 SP3039 99,993 SP4948 99,99SQL>_
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Gestão de Vulnerabilidades
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Gestão de Vulnerabilidades
• O appliance contém base de dados de vulnerabilidades de bancos de dados:
• Realiza testes pré-definidos e/ou customizados nos RDBMS para identificação
de vulnerabilidades
• Medições em tempo real e registros históricos
• Análises baseadas nas melhores práticas de mercado
• US DOD Security Technical Implementation Guides – STIG)
• Center for Internet Security (CIS) Benchmarks
• Análises de vulnerabilidade de compliance (SOX, PCI-DSS)
• Atualização trimestral com novas práticas (DPS) pela nuvem
Bases de VulnerabilidadesDAM
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Gestão de Vulnerabilidades
Resumo dos Resultados
Detalhes Resultados dos testes
Histórico dos Resultados
Descrição detalhadas das correções
Filtros e ordem dos controles
DAMIBM Guardium®
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Outras Funcionalidades
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Escalonamento
CENTRAL MANAGER
COLLECTOR
COLLECTOR
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Database Auto Discovery - DBAD
DAM
Databases ?
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Relatório de Privilégios
DAM
Privileged Users?
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Application End User Identifier
Application Server Database Server
Joe Marc
APPUSER
Proteção extra para aplicativos
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Aceleradores de Compliance
Sarbanes-Oxley
PCIGLBAHIPAABasiléia II
REALIZA CONJUNTO DE
TESTES DE COMPLIANCE
DISPONIBILIZA RELATÓRIOS
PARA AUDITORIA
AUTOMATIZAÇÃO DO PROCESSO DE COMPLIANCE
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Workflow
• Permite seguir um workflow na ocorrência de eventos
específicos ou na conclusão de algum teste
automático.
• Escala resultados em níveis de alçadas
• Informa a todos os envolvidos
• Pode requerer aprovação de ciência do evento ou
do resultado do relatório
• Programa tarefas repetitivas
• Notificações por e-mail
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Conclusão
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Flexibilidade
DAM
MODOS DE OPERAÇÃO
POLÍTICAS POR BASE DE DADOS, USUÁRIO, TABELA, CAMPO, TIPO DE DADO, IP DE CONEXÃO, ETC.
ENORME FLEXIBILIDADE E GARANTIA DE ATENDIMENTO AS POLÍTICAS DE
SEGURANÇA DE DADOS DA EMPRESA.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Ambientes suportados
DAM IBM Guardium®
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Obrigado!