Monitoração e Proteção de Dados Real-Time:...

© 2015 IBM Corporation

Guardium

Marcus MezzaranaGuardium Client Technical [email protected] Security

June 28, 2016

Monitoração e Proteção de Dados Real-Time: Overview

Alexandre [email protected]+5511999012075Database Security Sales LeaderIBM Security

mailto:[email protected]

mailto:[email protected]

2© 2015 IBM Corporation

IBM Security

Integrated capabilities delivered across a comprehensive security framework

QRadar

Trusteer

Identity and Access

Management

Guardium

AppScan

Network and

Endpoint Protection

IBM X-ForceMonitor and evaluate today’s threats

Detect, analyze, and prioritize threats

Reduce fraud and malware

Manage users and their access

Discover and harden valuable assets

Develop more secure applications

Protect infrastructure against attacks


Monitoração e Proteção de Dados: 3 Motivadores

1. Ameaças Internas

Mudanças não autorizadas (Governança)

Prevenção ao vazamento de dados

2. Ameaças Externas

Prevenção contra roubo de dados

3. Compliance

Simplificação do processo

Redução de custos


Quais são?

Onde estão?

Quem está acessando?

Como está sendo acessado?

SEUS DADOS SENSÍVEIS:

O que Administradores fazem com ele?


O desafio de proteger os dados

DINÂMICOOs dados se

multiplicam e se movem rapidamente

DISTRIBUÍDOOs dados estão em

toda parte, nasaplicações e infra-

estruturaDEMANDADO

Usuários necessitam de acessoconstante


ANALISE. PROTEJA. ADAPTE.

Discovery, classificação,vulnerability assessment, entitlement reports

Criptografia, mascaramento, e redaction

Monitoração da atividade para Dados e Arquivos

Bloqueio e Mascaramento dinâmicos, alertas e quarentena

Automação do processo de auditoria e compliance

ANALYTICS


Entender e Definir

ProtegerMonitorar e

Auditar

Localizar fontes de dados em

toda a empresa

Identifcar e classificar dados

sensíveis

Entender os relacionamentos

Definir políticas e métricas

Previnir o mal uso dos dados

sensíveis pelos usuários não

autorizados

Previnir contra roubo de dados e

invasões

Mascarar dados sensíveis

Auditar e reportar à compliance

Monitorar e aplicar políticas para

exceções

Mitigar as vulnerabilidades

Automatizar a proteção de dados

Escalar para

tratar big data

Suportar a

diversidade das

fontes de dados

Proporcionar

agilidade para

implantações

Uma Abordagem Holística para Proteção e Privacidade dos Dados


Requerimentos de

AuditoriaCOBIT

(SOX)PCI-DSS ISO 27002

Data

Privacy &

Protection

Laws

NIST

SP 800-53

(FISMA)

1. Acesso a Dados Sensíveis(SELECTs com Sucesso/Falha)

2. Mudanças no Schema

(DDL) (Create/Drop/Alter Tables, etc.)

3. Mudanças nos Dados

(DML)(Insert, Update, Delete)

4. Exceções de Segurança(Failed logins, SQL errors, etc.)

5. Accounts, Roles &

Permissões (DCL) (Grant, Revoke)

DDL = Data Definition Language (Mudanças no Schema)DML = Data Manipulation Language (Mudanças nos Dados)DCL = Data Control Language

Atendendo os Requerimentos de Compliance

8


Arquitetura e Componentes


Mas o que é o Guardium?

Ambiente

Mainframe: DB2,

VSAM, Files

Ambiente DB: DB2, Oracle, SQL,

Informix, etc.

Ambiente

Filesystem:

Ambiente BIG

DATA: Hadoop, No

SQL, Clodera, etc.

IBM Security Guardium

Políticas de

Segurança

Dashboard

de

Monitoração

Relatórios

de

Compliance

Análise

de

Vulnerabilidade

Alertas

Console

Centralizada

Monitoração

da Atividade

Análise de Vulnerabilidades

Identificação de Dados Sensíveis

Bloqueio da Atividade

Suspeita

Repositório de Eventos

de Auditoria

Agente de Monitoração


Componentes Básicos da Arquitetura

COLETOR

• Software Appliance

• Pode ser instalado em VM ou Servidor físico

• Portal para:

• Configuração de Políticas e Alertas

• Emissão de Relatórios

• Dashboard de Monitoração

• Configurações

• Recebe os eventos do agente S-TAP

• Agente instalado nos servidores a serem monitorados

• Roda no nível do Kernel do Sistema Operacional

• Coleta os eventos nos ambientes:

• Banco de Dados

• File System

• Baixo consumo de recursos (3% ~ 5%)

• Não requer nenhuma modificação no ambiente

• Envia os eventos ao Coletor

• Políticas criadas no Coletor são aplicadas no agente

AGENTE S-TAP


CENTRAL MANAGERArquitetura Escalável

Servidores de

Dados (DB e File)

com Agente

S-TAP

Coletores

Guardium

Agregador


Processo S-TAP

Agente S-TAP

Coletor Guardium

Database Server

Acesso via Porta 1521

Acesso via Shared Memory

Pacotes via Porta 16016

• Tráfego é copiado pelo

agente S-TAP e

encaminhado ao ColetorBuffer File

• Em caso de queda no

Coletor, o tráfego é

armazenado em um

buffer file e enviado ao

Coletor assim que a

comunicação for

reestabelecida


S-TAP Load Balancing

Indicado para ambientes com alto workload e muitos coletores

Processo S-TAP Load Balancer roda no Central Manager

A alocação do agente S-TAP é feita para o coletor com menor carga, de forma

automática

O Load Map é coletado periodicamente para identificar o coletor com menor carga

https://www-01.ibm.com/support/knowledgecenter/SSMPHH_10.0.0/com.ibm.guardium.doc.stap/stap/load_balancing.html?lang=en

COLETOR 1

COLETOR 2

CENTRAL

MANAGER

COLETOR 3

SERVIDOR

COM S-TAP

SERVIDOR

COM S-TAP

SERVIDOR

COM S-TAP

S-TAPS Buscam no

Load Map o coletor

menos utilizado

Load Map mapeia o S-TAP

para o coletor com menor

carga


Por Onde Começar?

1) Encontrar e Classificar os Dados Sensíveis

2) Estabelecer Políticas de Monitoração para os Dados

Sensíveis

3) Estabelecer Ações para as Políticas

4) Mitigar as Vulnerabilidades do Ambiente de Banco de Dados

5) Expandir a Proteção para Outros Ambientes


Encontrar e Classificar os Dados Sensíveis

SENSÍVEL

AUDITORIA

SOX

PCI

CONFIDENCIAL

PII

• Busca de Dados Sensíveis nos Repositórios

• Classificação de Dados a Partir do Padrão

• Busca de Repositórios com Dados Sensíveis

• Busca de Bancos de Dados


Políticas


Políticas - Regras


Políticas - Regras

Regra de Acesso


Políticas - Regras

Regra de Exceção


Políticas - Regras

Regra de Extrusão


Políticas - Ações

Dependedo da situação, é possível tomar

uma ou mais das seguintes ações:

• Bloquear a solicitação

• Terminar a conexão

• Colocar o usuário em quarentena

• Mascarar o resultado

• Logar ou ignorar o tráfego ou violação

• Gerar Alertas


Bloqueio de Acesso Não Autorizado

Guardium

Banco de Dados

Usuário

Privilegiado S-TAP

25© 2015 IBM Corporation25

Políticas de Mascaramento (Redact)


Historical Progress or

Regression

Overall Score

Detailed Scoring Matrix

Filter control for

easy use

Vulnerability Assessment


CAS – Configuration Auditing system

• Protege Arquivos de Configuração

do Banco de Dados

• SQLNET.ORA, INIT.ORA, Arquivos

de configuração do S.O., etc

• Rastreia todas as mudanças nos

arquivos

• Possui templates de configuração

segura para diversos SGBDs

• Complementa a proteção oferecida

pelo DAM


Identificação de Usuário da Aplicação

Edit the CICS

Connection

Definition.


File Activity Monitoring - FAM


Proteção para

arquivos de

configuração e

aplicação

Arquivos críticos de

aplicações que

podem ser facilmente

acessados e

modificados

IBM Security Guardium for Files – Casos de UsoProteja Dados Sensíveis Sem Impactar no Negócio

Proteção para

acesso a

documentos

contendo dados

sensíveis

Proteção para

arquivos contendo

dados sensíveis e/ou

confidenciais sem

que haja impacto nas

operações

Proteção para

acesso a

documentos de

aplicações

Necessidade de

bloqueio ao acesso

indevido a

documentos

gerenciados por

aplicações

Proteção do código

fonte

Proteção a códigos

fonte e outros

arquivos de

propriedade

intelectual.


Proteja arquivos e documentos críticos

Proteção a

Arquivos

Proteção

Databases & Big Data

Guardium

Proteção

Web Applications Classificação de arquivos com dados sensíveis

Visibilidade de mudanças de ownership e acesso a seus arquivos

Monitoração total de acesso aos arquivos (quem, onde, como, quando)

Controle de acesso a dados críticos atarvés de bloqueio e alertas

Detecção de atividade anormal e investigação de desvios

IBM Security Guardium Activity Monitor for Files - FAMNOVO!


1. Discovery – Localiza arquivos e/ou diretórios, extrai seus metadados (nome, path,

tamanho, última modificação, owner, privilégios, etc.) e aramazena em um repositório

seguro centralizado.

2. Classification – Categoriza arquivos de acordo com seu conteúdo, buscando

dados sensíveis como número de cartão, número de documentos e outros tipos de

dados sensíveis.

3. Activity Monitoring – Audita a atividade nos arquivos de acordo com a política,

alertas no acesso indevido, ou bloqueia seletivamente para previnir o vazamento de

dados. Todo tipo de arquivo é suportado.

IBM Security Guardium for Files - Componentes

DISCOVERY &

CLASSIFICATION

ACTIVITY

MONITORING GUARDIUM

COLLECTOR


IBM Security Guardium for Files – Monitoração e Bloqueio


IBM Security Guardium for Files – Relatórios


Nova Interface – V10


Encontre automaticamente os dados sensíveis e mitigue os riscos

Descubra e classifique osdados sensíviesautomatimacmente

Analise os dados utilizandopadrões de utilização

Entenda quem estáacessando os dados, identifique anomalías e garanta que não haja perda de dados

• Nova interface amigável, com melhor visibilidade, controle e relatórios

• Detecção forense e analítica melhorada

• Descoberta e classificação para file systems

NOVO!

Guardium disponibiliza uma interface gráfica para

identificação e providencias quando ocorrerem

desvios detectados por algorítimos

• Horas em que ocorreram

anomalías marcadas em

amarelo ou vermelho

• Clique para detalhes da

anomalía


Analise: Nova Interface, Analíticos, Desvios, Dashboards, e mais

Tarefas

delegáveis

Drag & Drop para

customização de

relatórios

Processo e cenários

guiados

Dashboards

Operacionais Quick Search


Plataformas Suportadas e Versões


Guardium helps support the most complex of IT environments …Examples of supported databases, Big Data environments, file shares, etc

Applications Databases

DB2Informix

IMS

Data Warehouses

NetezzaPureData for AnalyticsDB2 BLU

CICSWebSphere

SiebelPeopleSoftE-Business

Database ToolsEnterprise

Content Managers

Big Data

Environments

Files

VSAMz/OS Datasets FTP

DB

Cloud

Environments

Windows, Linux,

Unix


Security Guardium V10

DAM+

Advanced

DAM

Standard

Redaction

DAM

App User

DAM

App User

Classify

Enterprise

Integrator

Classify

Enterprise

Integrator

Vulnerability

Assessment

VA

Subscription

CAS

Classify

Enterprise

Integrator

Entitlements

Reports

Entitlements

Reports

Entitlements

Reports

BASE

Classify

Enterprise

Integrator

Entitlements

Reports

FAM

Standard

FAM

Advanced

Classify

Enterprise

Integrator

Entitlements

Reports

File

Monitoring

File

Monitoring

File Blocking

Blocking


O Que Há em Cada Versão

DAM – Database Activity Monitoring

DAM STANDARD

• Descoberta e Classificação de

Dados

• Monitoração Real Time da

Atividade em Banco de Dados

• Identificação do usuário de

Aplicação

• Alertas

• Relatórios de Compliance Pré-

Configurados

• Workflow

DAM ADVANCED

• Tudo do DAM STANDARD +

• Bloqueio do Acesso Não

Autorizado

• Colocar Usuários em

Quarentena

• Mascaramento em Tempo

Real (redact)

DISPONÍVEL PARA AS PLATAFORMAS:

• LUW (Linux, Unix e Windows)

• System Z (Mainframe)

• Data Warehouse

• Big Data

• Cloudhttp://www-01.ibm.com/support/docview.wss?uid=swg27045976



VA – Vulnerability Assessment

VULNERABILITY ASSESSMENT

• Assessment de Configuração

• Assessment de Vulnerabilidade

• Relatórios de Vulnerabilidade

• Recomendações

• Data Protection Subscription

• CAS (Configuration Audit System)

• Entitlement Reports (Privilégios)



• System Z (Mainframe)

• Data Warehouse

• Cloud

http://www-01.ibm.com/support/docview.wss?uid=swg27045976



FAM – File Activity Monitoring

FAM STANDARD

• Descoberta e Classificação de

Dados em Arquivos

• Monitoração Real Time da

Atividade em Filesystems

• Alertas

• Relatórios de Compliance Pré-

Configurados

FAM ADVANCED

• Tudo do FAM STANDARD +

• Bloqueio do Acesso Não

Autorizado a Arquivos

• Colocar Usuários em

Quarentena



• Cloud

http://www-01.ibm.com/support/docview.wss?uid=swg27046456


DAM – Plataformas Suportadas


Integrações


Integrações

SNMP DashboardsTivoli Netcool, HP Openview, etc.

Change Ticketing SystemsTivoli Request Manager, Tivoli Maximo, Remedy, Peregrine, etc.

Endpoint ManagementBigFix

Security Intelligence and ManagementQRadar SIEM, SiteProtector, QRadar Log Manager, zSecure Audit, ArcSight, RSA Envision, McAfee ePO, etc.

Business application integrationsPeopleSoft, Siebel, SAP

Load BalancersF5, CISCO Endpoint Management

BigFix

Long Term StorageIBM TSM, IBM PureData-Nettezza, Optim Archive, EMC Centers, FTP, SCP, etc.

Vulnerability StandardsCVE, STIG, CIS Benchmark, SCAP

Streamline Processes

Reduce Costs Increase Security

Long Term StorageIBM TSM, IBM PureData-Nettezza, Optim Archive, EMC Centers, FTP, SCP Application Security

AppScan, Policy Manager

Data Protection on zzSecure zSystems SIEM, zSecure zAdmin and RACF

Web Application Firewalls F5 ASM and ISMIBM Security Guardium

Directory Services

Security Directory Service,

Active Directory, LDAP

Identity Management

Privileged Identity Manager,

Identity and Access Management

Authentication

RSA SecureID, Radius, Kerberos, LDAP

Reduce Costs, Streamline Processes

& Increase SecurityClassification & Leak Protection

InfoSphere Discovery, Information

Governance Catalog, Optim Data

Masking - Credit Card, Social

Security number, phone, custom, etc.


Guardium para Big Data


Guardium para Big Data

Interface

Aplicação

Storage

Quem Submeteu o

Job/Query?

Quais Jobs?

Quais Queries?

São Jobs/Queries Autorizados?

São exceções de permissão?

Quais arquivos foram acessados?

Qual tabela Hbase foi acessada?

MO

NIT

OR

AÇ

ÃO

BigInsights

Hue

Hive

MapReduce

Oozie

HBase

HDFS

A monitoração em diferentes camadas possibilita o entendimento da atividade por

completo, bem como proporciona um nível de auditoria mais profundo e granular.


Arquitetura

Clients

Hbase

MasterJobTracker NameNode NameNode

Secundário

HiveServer

No SQL DB

HBase

Processamento de

dados distribuído

Map/Reduce

Storage dos dados distribuídos

HDFS

Procesamento

distribuído de

queries

Maste

rsS

laves Data Node

Task TrackerHbase Region

Data Node


Data Node


Data Node


Agente S-TAP

Agente S-TAP opcional, requerido somente no caso de monitoração dos comandos Hbase Put

• Cada agente S-TAP deve ser configurado com uma ou mais Inspection Engine.

• Assim o Guardium saberá quais portas deve monitorar. Ex: Caso o NameNode e Hive

master estiverem no mesmo servidor, será necessário um agente S-TAP com duas

Inspection Engines.


O desafio de proteger os dados

DINÂMICOOs dados se

multiplicam e se movem rapidamente

DISTRIBUÍDOOs dados estão em

toda parte, nasaplicações e infra-

estruturaDEMANDADO

Usuários necessitam de acessoconstante

• Classifier

• Sensitive Data Finder

• DB Discovery

• Agente S-TAP

• Repositório de Auditoria Independente

• Bancos de Dados

• File System

• Big Data

• Cloud

© Copyright IBM Corporation 2015. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any

kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor

shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use

of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and / or

capabilities referenced in these materials may change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product

or feature availability in any way. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries

or both. Other company, product, or service names may be trademarks or service marks of others.

Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside

your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks

on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access.

IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other

systems, products or services to be most effective. IBM DOES NOT WARRANT THAT ANY SYSTEMS, PRODUCTS OR SERVICES ARE IMMUNE FROM, OR WILL MAKE YOUR ENTERPRISE

IMMUNE FROM, THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.

THANK YOUwww.ibm.com/security

Monitoração e Proteção de Dados Real-Time:...

Documents

Transcript of Monitoração e Proteção de Dados Real-Time:...