www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Novembro de 2014

Proteção de Banco de Dados

de Sistemas Industriais

TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Agenda

• O valor da informação

• Vulnerabilidades em bases de dados industriais

• Database Activity Monitoring (DAM)

• Quebrando o paradigma da proteção

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

O Valor da Informação

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

O Perfil do Procurado

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

O Valor da Informação

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

O Valor da Informação

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

O Valor da Informação

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

O Valor da Informação

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

O Valor da Informação

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Vulnerabilidades em Bases de Dados

Industriais

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Grupos de Incidentes de Segurança

Dados são o principal alvo das violações de seguran ça...

.... e os bancos de dados são a principal fonte dos dados violados .

http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf

2012 Data Breach Report from Verizon Business RISK Team

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

INSTRUMENTAÇÃO

CONTROLE

SCADA

GESTÃO DA OPERAÇÃO

GESTÃO DO NEGÓCIO

A Pirâmide ISA…

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

… e as bases de dados na indústria

Nível Aplicações com Base de Dados Informações Sensív eis

GESTÃO DO NEGÓCIO ERP, MRP, CRM, SCM, Portais Clientes, Salários, Custos, Preços, Faturas, Contabilidade, etc.

GESTÃO DA OPERAÇÃO MES, PIMS, LIMS, PLM, etc. Set Points, Históricos, Fórmulas, Desenhos, Processos, etc.

SCADA Supervisório, Controle Avançado, Historians, Controle de Ativos, Repositório de Programas

Set Points, Tags, Dados Brutos, Programas Ladder, etc.

CONTROLE Sistemas Embarcados, IHMs, etc. Set Points, Tags, Medições, etc.

INSTRUMENTAÇÃO - -

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Risco de Extração dos Dados

EXTRAÇÃO DE DADOS

NÃO SE PODE REMEDIAR UM VAZAMENTO DE DADOS. TODOS OS ESFORÇOS DEVEM SER FEITOS PARA QUE ELE NÃO ACONTEÇA.

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Risco de Alteração ou Exclusão de Dados

EM SISTEMAS INDUSTRIAIS, ALTERAÇÕES INDEVIDAS DOS DADOS PODEM CAUSAR DESDE PARADAS DE PRODUÇÃO ATÉ SITUAÇÕES MAIS

GRAVES COM RISCO AMBIENTAL E/OU ACIDENTES COM VIDAS.

12,5 1,25

ALTERAÇÃO DE DADOS

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Adicionalmente…

• Alterações em dados são mais fáceis de fazer do que extração dos mesmos:

• Não é necessário estar na rede.

• São mais fáceis de se construir.

• São mais fáceis de se propagar.

• São mais difíceis de rastrear.

Ataques deste tipo tendem a ser a principal ameaça a plantas

industriais e a infraestruturas críticas.

stuxnet

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Sensibilidade a vazamento

Nível Aplicações com Base de Dados

Informações Sensíveis

Sensibilidade

GESTÃO DO NEGÓCIO ERP, MRP, CRM, SCM, Portais

Clientes, Salários, Custos, Preços, Faturas, Contabilidade, etc.

Alta

GESTÃO DA OPERAÇÃO MES, PIMS, LIMS, etc.

Set Points, Históricos, Fórmulas, Desenhos, Processos, etc.

Média/Alta

SCADA SupervisórioControle AvançadoOPC

Set Points, Tags,Dados Brutos, etc.

Pequena/Média

CONTROLE OPC Set Points, Tags, Medições

Pequena

INSTRUMENTAÇÃO - SetPoints Pequena

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Sensibilidade a alteração

Nível Aplicações com Base de Dados

Informações Sensíveis

Sensibilidade

GESTÃO DO NEGÓCIO ERP, MRP, CRM, SCM, Portais

Clientes, Salários, Custos, Preços, Faturamento, etc.

Pequena

GESTÃO DA OPERAÇÃO MES, PIMS, LIMS, etc.

Set Points, Históricos, Fórmulas, Ativos, Interconexões, etc.

Pequena/Média

SCADA SupervisórioControle AvançadoOPC

Set Points, Tags,Dados Brutos, etc.

Média/Alta

CONTROLE OPC Set Points, Tags, Medições

Alta

INSTRUMENTAÇÃO - SetPoints Alta

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Perfil do Autor

Furto de Informação e Sabotagem

Hacker, Curioso, Ativista Usuário Corporativo

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Perfil do Autor

Furto de Informação e Sabotagem

Hacker, Curioso, Ativista Usuário Corporativo

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Segurança de base de dados

Não deixe que seu banco de dados seja o elo mais fraco da sua segurança.

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Database Activity Monitoring

DAM

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

DAM

• Database Activity Monitoring se define como:

• Técnica para garantir segurança em banco de dados.

• Método de proteção que funciona em tempo real.

• Tecnologia que funciona independente com o RDMS monitorado.

• Processo de monitoramento e auditoria que independe dos logs e trilhas de

auditoria do banco de dados.

• Governança que funciona para qualquer usuário do banco de dados

independente de serem usuários normais, DBAs, com privilégios ou não.

DAM é hoje a principal técnica de segurança em base s de dados.

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Como funciona ?

BANCO DE DADOS

USUÁRIO

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Appliance

BANCO DE DADOS

USUÁRIO

DAM

O Appliance mantém aspolíticas de segurança eregistra todas asocorrências nas bases dedados.

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Appliance

• O Appliance é composto de software + SO próprio, rodando em servidor físico ou

virtual, com as seguintes características:

• Banco de dados próprio inacessível, inviolável, criptografado e sem possibilidade

de exclusão de dados.

• Todas as políticas de segurança são configuradas no appliance, indicando os

usuários, tabelas, campos e tipos de dados a serem monitorados.

• Todos os eventos relativos as políticas são registradas no appliance para

geração de alarmes, relatórios e acompanhamento de compliance.

• Possui console próprio acessível via web.

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Software TAP

BANCO DE DADOS

USUÁRIO

DAM

TAP

É o “agente” do DAM.Escuta todo o tráfegode/para o banco e enviapara validação noappliance , que autoriza ounão a sequência.

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Software TAP

• É um agente de software (processo), com as seguintes características:

• Funciona na camada de rede e no shared memory do banco de dados.

• Toda e qualquer transação de banco de dados é interceptada e enviada para o

appliance para registro e validação.

• Pode realizar um reset na conexão não autorizada ao banco.

• É altamente otimizado, com quase nenhum impacto em memória e CPU.

• É permanentemente monitorado pelo appliance. Em caso de parada forçada, o

appliance detecta e alerta imediatamente.

• Não é necessária qualquer alteração na base de dados e/ou nos aplicativos para

instalação.

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Funcionamento Modo Monitor

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Funcionamento passo a passo

BANCO DE DADOS

USUÁRIO

SQL>select * fromsetpoint;

DAM

TAP

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Funcionamento passo a passo

BANCO DE DADOS

USUÁRIO

DAM

TAP

Log da Transação

SQL>select * fromsetpoint;ID Name Value1 SP2929 12,122 SP3039 190,443 SP4948 266,12SQL>_

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Funcionamento Modo Bloqueio

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Funcionamento passo a passo

BANCO DE DADOS

USUÁRIO

SQL>update setpoint_tableset sp=1,24 where id=1023;

DAM

TAP

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Funcionamento passo a passo

BANCO DE DADOS

USUÁRIO

SQL>update setpoint_tableset sp=1,24 where id=1023;

DAM

TAP

Valida Transação

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Funcionamento passo a passo

BANCO DE DADOS

USUÁRIO

SQL>update setpoint_tableset sp=1,24 where id=1023;

DAM

TAP

Validação NÃO OK

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Funcionamento Modo Mascaramento

(Redact)

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Funcionamento passo a passo

BANCO DE DADOS

USUÁRIO

SQL>select * fromsetpoint;

DAM

TAP

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Funcionamento passo a passo

BANCO DE DADOS

USUÁRIO

DAM

TAP

Valida Transação

SQL>select * fromsetpoint;

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Funcionamento passo a passo

BANCO DE DADOS

USUÁRIO

DAM

TAP

Mascara: Value=99.9

SQL>select * fromsetpoint;ID Name Value1 SP2929 99,992 SP3039 99,993 SP4948 99,99SQL>_

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Gestão de Vulnerabilidades

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Gestão de Vulnerabilidades

• O appliance contém base de dados de vulnerabilidades de bancos de dados:

• Realiza testes pré-definidos e/ou customizados nos RDBMS para identificação

de vulnerabilidades

• Medições em tempo real e registros históricos

• Análises baseadas nas melhores práticas de mercado

• US DOD Security Technical Implementation Guides – STIG)

• Center for Internet Security (CIS) Benchmarks

• Análises de vulnerabilidade de compliance (SOX, PCI-DSS)

• Atualização trimestral com novas práticas (DPS) pela nuvem

Bases de VulnerabilidadesDAM

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Gestão de Vulnerabilidades

Resumo dos Resultados

Detalhes Resultados dos testes

Histórico dos Resultados

Descrição detalhadas das correções

Filtros e ordem dos controles

DAMIBM Guardium®

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Outras Funcionalidades

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Escalonamento

CENTRAL MANAGER

COLLECTOR

COLLECTOR

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Database Auto Discovery - DBAD

DAM

Databases ?

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Relatório de Privilégios

DAM

Privileged Users?

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Application End User Identifier

Application Server Database Server

Joe Marc

APPUSER

Proteção extra para aplicativos

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Aceleradores de Compliance

Sarbanes-Oxley

PCIGLBAHIPAABasiléia II

REALIZA CONJUNTO DE

TESTES DE COMPLIANCE

DISPONIBILIZA RELATÓRIOS

PARA AUDITORIA

AUTOMATIZAÇÃO DO PROCESSO DE COMPLIANCE

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Workflow

• Permite seguir um workflow na ocorrência de eventos

específicos ou na conclusão de algum teste

automático.

• Escala resultados em níveis de alçadas

• Informa a todos os envolvidos

• Pode requerer aprovação de ciência do evento ou

do resultado do relatório

• Programa tarefas repetitivas

• Notificações por e-mail

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Conclusão

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Flexibilidade

DAM

MODOS DE OPERAÇÃO

POLÍTICAS POR BASE DE DADOS, USUÁRIO, TABELA, CAMPO, TIPO DE DADO, IP DE CONEXÃO, ETC.

ENORME FLEXIBILIDADE E GARANTIA DE ATENDIMENTO AS POLÍTICAS DE

SEGURANÇA DE DADOS DA EMPRESA.

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Ambientes suportados

DAM IBM Guardium®

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Obrigado!