Monitoração e Proteção de Dados Real-Time:...
Transcript of Monitoração e Proteção de Dados Real-Time:...
© 2015 IBM Corporation
Guardium
Marcus MezzaranaGuardium Client Technical [email protected] Security
June 28, 2016
Monitoração e Proteção de Dados Real-Time: Overview
Alexandre [email protected]+5511999012075Database Security Sales LeaderIBM Security
2© 2015 IBM Corporation
IBM Security
Integrated capabilities delivered across a comprehensive security framework
QRadar
Trusteer
Identity and Access
Management
Guardium
AppScan
Network and
Endpoint Protection
IBM X-ForceMonitor and evaluate today’s threats
Detect, analyze, and prioritize threats
Reduce fraud and malware
Manage users and their access
Discover and harden valuable assets
Develop more secure applications
Protect infrastructure against attacks
3© 2015 IBM Corporation
Monitoração e Proteção de Dados: 3 Motivadores
1. Ameaças Internas
Mudanças não autorizadas (Governança)
Prevenção ao vazamento de dados
2. Ameaças Externas
Prevenção contra roubo de dados
3. Compliance
Simplificação do processo
Redução de custos
4© 2015 IBM Corporation
Quais são?
Onde estão?
Quem está acessando?
Como está sendo acessado?
SEUS DADOS SENSÍVEIS:
O que Administradores fazem com ele?
5© 2015 IBM Corporation
O desafio de proteger os dados
DINÂMICOOs dados se
multiplicam e se movem rapidamente
DISTRIBUÍDOOs dados estão em
toda parte, nasaplicações e infra-
estruturaDEMANDADO
Usuários necessitam de acessoconstante
6© 2015 IBM Corporation
ANALISE. PROTEJA. ADAPTE.
Discovery, classificação,vulnerability assessment, entitlement reports
Criptografia, mascaramento, e redaction
Monitoração da atividade para Dados e Arquivos
Bloqueio e Mascaramento dinâmicos, alertas e quarentena
Automação do processo de auditoria e compliance
ANALYTICS
7© 2015 IBM Corporation
Entender e Definir
ProtegerMonitorar e
Auditar
Localizar fontes de dados em
toda a empresa
Identifcar e classificar dados
sensíveis
Entender os relacionamentos
Definir políticas e métricas
Previnir o mal uso dos dados
sensíveis pelos usuários não
autorizados
Previnir contra roubo de dados e
invasões
Mascarar dados sensíveis
Auditar e reportar à compliance
Monitorar e aplicar políticas para
exceções
Mitigar as vulnerabilidades
Automatizar a proteção de dados
Escalar para
tratar big data
Suportar a
diversidade das
fontes de dados
Proporcionar
agilidade para
implantações
Uma Abordagem Holística para Proteção e Privacidade dos Dados
8© 2015 IBM Corporation
Requerimentos de
AuditoriaCOBIT
(SOX)PCI-DSS ISO 27002
Data
Privacy &
Protection
Laws
NIST
SP 800-53
(FISMA)
1. Acesso a Dados Sensíveis(SELECTs com Sucesso/Falha)
2. Mudanças no Schema
(DDL) (Create/Drop/Alter Tables, etc.)
3. Mudanças nos Dados
(DML)(Insert, Update, Delete)
4. Exceções de Segurança(Failed logins, SQL errors, etc.)
5. Accounts, Roles &
Permissões (DCL) (Grant, Revoke)
DDL = Data Definition Language (Mudanças no Schema)DML = Data Manipulation Language (Mudanças nos Dados)DCL = Data Control Language
Atendendo os Requerimentos de Compliance
8
© 2015 IBM Corporation
Arquitetura e Componentes
10© 2015 IBM Corporation
Mas o que é o Guardium?
Ambiente
Mainframe: DB2,
VSAM, Files
Ambiente DB: DB2, Oracle, SQL,
Informix, etc.
Ambiente
Filesystem:
Ambiente BIG
DATA: Hadoop, No
SQL, Clodera, etc.
IBM Security Guardium
Políticas de
Segurança
Dashboard
de
Monitoração
Relatórios
de
Compliance
Análise
de
Vulnerabilidade
Alertas
Console
Centralizada
Monitoração
da Atividade
Análise de Vulnerabilidades
Identificação de Dados Sensíveis
Bloqueio da Atividade
Suspeita
Repositório de Eventos
de Auditoria
Agente de Monitoração
11© 2015 IBM Corporation
Componentes Básicos da Arquitetura
COLETOR
• Software Appliance
• Pode ser instalado em VM ou Servidor físico
• Portal para:
• Configuração de Políticas e Alertas
• Emissão de Relatórios
• Dashboard de Monitoração
• Configurações
• Recebe os eventos do agente S-TAP
• Agente instalado nos servidores a serem monitorados
• Roda no nível do Kernel do Sistema Operacional
• Coleta os eventos nos ambientes:
• Banco de Dados
• File System
• Baixo consumo de recursos (3% ~ 5%)
• Não requer nenhuma modificação no ambiente
• Envia os eventos ao Coletor
• Políticas criadas no Coletor são aplicadas no agente
AGENTE S-TAP
12© 2015 IBM Corporation
CENTRAL MANAGERArquitetura Escalável
Servidores de
Dados (DB e File)
com Agente
S-TAP
Coletores
Guardium
Agregador
14© 2015 IBM Corporation
Processo S-TAP
Agente S-TAP
Coletor Guardium
Database Server
Acesso via Porta 1521
Acesso via Shared Memory
Pacotes via Porta 16016
• Tráfego é copiado pelo
agente S-TAP e
encaminhado ao ColetorBuffer File
• Em caso de queda no
Coletor, o tráfego é
armazenado em um
buffer file e enviado ao
Coletor assim que a
comunicação for
reestabelecida
15© 2015 IBM Corporation
S-TAP Load Balancing
Indicado para ambientes com alto workload e muitos coletores
Processo S-TAP Load Balancer roda no Central Manager
A alocação do agente S-TAP é feita para o coletor com menor carga, de forma
automática
O Load Map é coletado periodicamente para identificar o coletor com menor carga
https://www-01.ibm.com/support/knowledgecenter/SSMPHH_10.0.0/com.ibm.guardium.doc.stap/stap/load_balancing.html?lang=en
COLETOR 1
COLETOR 2
CENTRAL
MANAGER
COLETOR 3
SERVIDOR
COM S-TAP
SERVIDOR
COM S-TAP
SERVIDOR
COM S-TAP
S-TAPS Buscam no
Load Map o coletor
menos utilizado
Load Map mapeia o S-TAP
para o coletor com menor
carga
16© 2015 IBM Corporation
Por Onde Começar?
1) Encontrar e Classificar os Dados Sensíveis
2) Estabelecer Políticas de Monitoração para os Dados
Sensíveis
3) Estabelecer Ações para as Políticas
4) Mitigar as Vulnerabilidades do Ambiente de Banco de Dados
5) Expandir a Proteção para Outros Ambientes
17© 2015 IBM Corporation
Encontrar e Classificar os Dados Sensíveis
SENSÍVEL
AUDITORIA
SOX
PCI
CONFIDENCIAL
PII
• Busca de Dados Sensíveis nos Repositórios
• Classificação de Dados a Partir do Padrão
• Busca de Repositórios com Dados Sensíveis
• Busca de Bancos de Dados
18© 2015 IBM Corporation
Políticas
19© 2015 IBM Corporation
Políticas - Regras
20© 2015 IBM Corporation
Políticas - Regras
Regra de Acesso
21© 2015 IBM Corporation
Políticas - Regras
Regra de Exceção
22© 2015 IBM Corporation
Políticas - Regras
Regra de Extrusão
23© 2015 IBM Corporation
Políticas - Ações
Dependedo da situação, é possível tomar
uma ou mais das seguintes ações:
• Bloquear a solicitação
• Terminar a conexão
• Colocar o usuário em quarentena
• Mascarar o resultado
• Logar ou ignorar o tráfego ou violação
• Gerar Alertas
24© 2015 IBM Corporation
Bloqueio de Acesso Não Autorizado
Guardium
Banco de Dados
Usuário
Privilegiado S-TAP
25© 2015 IBM Corporation25
Políticas de Mascaramento (Redact)
26© 2015 IBM Corporation
Historical Progress or
Regression
Overall Score
Detailed Scoring Matrix
Filter control for
easy use
Vulnerability Assessment
27© 2015 IBM Corporation
CAS – Configuration Auditing system
• Protege Arquivos de Configuração
do Banco de Dados
• SQLNET.ORA, INIT.ORA, Arquivos
de configuração do S.O., etc
• Rastreia todas as mudanças nos
arquivos
• Possui templates de configuração
segura para diversos SGBDs
• Complementa a proteção oferecida
pelo DAM
28© 2015 IBM Corporation
Identificação de Usuário da Aplicação
Edit the CICS
Connection
Definition.
© 2015 IBM Corporation
File Activity Monitoring - FAM
30© 2015 IBM Corporation
Proteção para
arquivos de
configuração e
aplicação
Arquivos críticos de
aplicações que
podem ser facilmente
acessados e
modificados
IBM Security Guardium for Files – Casos de UsoProteja Dados Sensíveis Sem Impactar no Negócio
Proteção para
acesso a
documentos
contendo dados
sensíveis
Proteção para
arquivos contendo
dados sensíveis e/ou
confidenciais sem
que haja impacto nas
operações
Proteção para
acesso a
documentos de
aplicações
Necessidade de
bloqueio ao acesso
indevido a
documentos
gerenciados por
aplicações
Proteção do código
fonte
Proteção a códigos
fonte e outros
arquivos de
propriedade
intelectual.
31© 2015 IBM Corporation
Proteja arquivos e documentos críticos
Proteção a
Arquivos
Proteção
Databases & Big Data
Guardium
Proteção
Web Applications Classificação de arquivos com dados sensíveis
Visibilidade de mudanças de ownership e acesso a seus arquivos
Monitoração total de acesso aos arquivos (quem, onde, como, quando)
Controle de acesso a dados críticos atarvés de bloqueio e alertas
Detecção de atividade anormal e investigação de desvios
IBM Security Guardium Activity Monitor for Files - FAMNOVO!
32© 2015 IBM Corporation
1. Discovery – Localiza arquivos e/ou diretórios, extrai seus metadados (nome, path,
tamanho, última modificação, owner, privilégios, etc.) e aramazena em um repositório
seguro centralizado.
2. Classification – Categoriza arquivos de acordo com seu conteúdo, buscando
dados sensíveis como número de cartão, número de documentos e outros tipos de
dados sensíveis.
3. Activity Monitoring – Audita a atividade nos arquivos de acordo com a política,
alertas no acesso indevido, ou bloqueia seletivamente para previnir o vazamento de
dados. Todo tipo de arquivo é suportado.
IBM Security Guardium for Files - Componentes
DISCOVERY &
CLASSIFICATION
ACTIVITY
MONITORING GUARDIUM
COLLECTOR
33© 2015 IBM Corporation
IBM Security Guardium for Files – Monitoração e Bloqueio
34© 2015 IBM Corporation
IBM Security Guardium for Files – Relatórios
© 2015 IBM Corporation
Nova Interface – V10
36© 2015 IBM Corporation
Encontre automaticamente os dados sensíveis e mitigue os riscos
Descubra e classifique osdados sensíviesautomatimacmente
Analise os dados utilizandopadrões de utilização
Entenda quem estáacessando os dados, identifique anomalías e garanta que não haja perda de dados
• Nova interface amigável, com melhor visibilidade, controle e relatórios
• Detecção forense e analítica melhorada
• Descoberta e classificação para file systems
NOVO!
Guardium disponibiliza uma interface gráfica para
identificação e providencias quando ocorrerem
desvios detectados por algorítimos
• Horas em que ocorreram
anomalías marcadas em
amarelo ou vermelho
• Clique para detalhes da
anomalía
37© 2015 IBM Corporation
Analise: Nova Interface, Analíticos, Desvios, Dashboards, e mais
Tarefas
delegáveis
Drag & Drop para
customização de
relatórios
Processo e cenários
guiados
Dashboards
Operacionais Quick Search
38© 2015 IBM Corporation
© 2015 IBM Corporation
Plataformas Suportadas e Versões
40© 2015 IBM Corporation
Guardium helps support the most complex of IT environments …Examples of supported databases, Big Data environments, file shares, etc
Applications Databases
DB2Informix
IMS
Data Warehouses
NetezzaPureData for AnalyticsDB2 BLU
CICSWebSphere
SiebelPeopleSoftE-Business
Database ToolsEnterprise
Content Managers
Big Data
Environments
Files
VSAMz/OS Datasets FTP
DB
Cloud
Environments
Windows, Linux,
Unix
41© 2015 IBM Corporation
Security Guardium V10
DAM+
Advanced
DAM
Standard
Redaction
DAM
App User
DAM
App User
Classify
Enterprise
Integrator
Classify
Enterprise
Integrator
Vulnerability
Assessment
VA
Subscription
CAS
Classify
Enterprise
Integrator
Entitlements
Reports
Entitlements
Reports
Entitlements
Reports
BASE
Classify
Enterprise
Integrator
Entitlements
Reports
FAM
Standard
FAM
Advanced
Classify
Enterprise
Integrator
Entitlements
Reports
File
Monitoring
File
Monitoring
File Blocking
Blocking
42© 2015 IBM Corporation
O Que Há em Cada Versão
DAM – Database Activity Monitoring
DAM STANDARD
• Descoberta e Classificação de
Dados
• Monitoração Real Time da
Atividade em Banco de Dados
• Identificação do usuário de
Aplicação
• Alertas
• Relatórios de Compliance Pré-
Configurados
• Workflow
DAM ADVANCED
• Tudo do DAM STANDARD +
• Bloqueio do Acesso Não
Autorizado
• Colocar Usuários em
Quarentena
• Mascaramento em Tempo
Real (redact)
DISPONÍVEL PARA AS PLATAFORMAS:
• LUW (Linux, Unix e Windows)
• System Z (Mainframe)
• Data Warehouse
• Big Data
• Cloudhttp://www-01.ibm.com/support/docview.wss?uid=swg27045976
43© 2015 IBM Corporation
O Que Há em Cada Versão
VA – Vulnerability Assessment
VULNERABILITY ASSESSMENT
• Assessment de Configuração
• Assessment de Vulnerabilidade
• Relatórios de Vulnerabilidade
• Recomendações
• Data Protection Subscription
• CAS (Configuration Audit System)
• Entitlement Reports (Privilégios)
DISPONÍVEL PARA AS PLATAFORMAS:
• LUW (Linux, Unix e Windows)
• System Z (Mainframe)
• Data Warehouse
• Cloud
http://www-01.ibm.com/support/docview.wss?uid=swg27045976
44© 2015 IBM Corporation
O Que Há em Cada Versão
FAM – File Activity Monitoring
FAM STANDARD
• Descoberta e Classificação de
Dados em Arquivos
• Monitoração Real Time da
Atividade em Filesystems
• Alertas
• Relatórios de Compliance Pré-
Configurados
FAM ADVANCED
• Tudo do FAM STANDARD +
• Bloqueio do Acesso Não
Autorizado a Arquivos
• Colocar Usuários em
Quarentena
DISPONÍVEL PARA AS PLATAFORMAS:
• LUW (Linux, Unix e Windows)
• Cloud
http://www-01.ibm.com/support/docview.wss?uid=swg27046456
45© 2015 IBM Corporation
DAM – Plataformas Suportadas
46© 2015 IBM Corporation
DAM – Plataformas Suportadas
© 2015 IBM Corporation
Integrações
48© 2015 IBM Corporation
Integrações
SNMP DashboardsTivoli Netcool, HP Openview, etc.
Change Ticketing SystemsTivoli Request Manager, Tivoli Maximo, Remedy, Peregrine, etc.
Endpoint ManagementBigFix
Security Intelligence and ManagementQRadar SIEM, SiteProtector, QRadar Log Manager, zSecure Audit, ArcSight, RSA Envision, McAfee ePO, etc.
Business application integrationsPeopleSoft, Siebel, SAP
Load BalancersF5, CISCO Endpoint Management
BigFix
Long Term StorageIBM TSM, IBM PureData-Nettezza, Optim Archive, EMC Centers, FTP, SCP, etc.
Vulnerability StandardsCVE, STIG, CIS Benchmark, SCAP
Streamline Processes
Reduce Costs Increase Security
Long Term StorageIBM TSM, IBM PureData-Nettezza, Optim Archive, EMC Centers, FTP, SCP Application Security
AppScan, Policy Manager
Data Protection on zzSecure zSystems SIEM, zSecure zAdmin and RACF
Web Application Firewalls F5 ASM and ISMIBM Security Guardium
Directory Services
Security Directory Service,
Active Directory, LDAP
Identity Management
Privileged Identity Manager,
Identity and Access Management
Authentication
RSA SecureID, Radius, Kerberos, LDAP
Reduce Costs, Streamline Processes
& Increase SecurityClassification & Leak Protection
InfoSphere Discovery, Information
Governance Catalog, Optim Data
Masking - Credit Card, Social
Security number, phone, custom, etc.
© 2015 IBM Corporation
Guardium para Big Data
50© 2015 IBM Corporation
Guardium para Big Data
Interface
Aplicação
Storage
Quem Submeteu o
Job/Query?
Quais Jobs?
Quais Queries?
São Jobs/Queries Autorizados?
São exceções de permissão?
Quais arquivos foram acessados?
Qual tabela Hbase foi acessada?
MO
NIT
OR
AÇ
ÃO
BigInsights
Hue
Hive
MapReduce
Oozie
HBase
HDFS
A monitoração em diferentes camadas possibilita o entendimento da atividade por
completo, bem como proporciona um nível de auditoria mais profundo e granular.
51© 2015 IBM Corporation
Arquitetura
Clients
Hbase
MasterJobTracker NameNode NameNode
Secundário
HiveServer
No SQL DB
HBase
Processamento de
dados distribuído
Map/Reduce
Storage dos dados distribuídos
HDFS
Procesamento
distribuído de
queries
Maste
rsS
laves Data Node
Task TrackerHbase Region
Data Node
Task TrackerHbase Region
Data Node
Task TrackerHbase Region
Data Node
Task TrackerHbase Region
Agente S-TAP
Agente S-TAP opcional, requerido somente no caso de monitoração dos comandos Hbase Put
• Cada agente S-TAP deve ser configurado com uma ou mais Inspection Engine.
• Assim o Guardium saberá quais portas deve monitorar. Ex: Caso o NameNode e Hive
master estiverem no mesmo servidor, será necessário um agente S-TAP com duas
Inspection Engines.
52© 2015 IBM Corporation
O desafio de proteger os dados
DINÂMICOOs dados se
multiplicam e se movem rapidamente
DISTRIBUÍDOOs dados estão em
toda parte, nasaplicações e infra-
estruturaDEMANDADO
Usuários necessitam de acessoconstante
• Classifier
• Sensitive Data Finder
• DB Discovery
• Agente S-TAP
• Repositório de Auditoria Independente
• Bancos de Dados
• File System
• Big Data
• Cloud
© Copyright IBM Corporation 2015. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any
kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor
shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use
of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and / or
capabilities referenced in these materials may change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product
or feature availability in any way. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries
or both. Other company, product, or service names may be trademarks or service marks of others.
Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside
your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks
on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access.
IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other
systems, products or services to be most effective. IBM DOES NOT WARRANT THAT ANY SYSTEMS, PRODUCTS OR SERVICES ARE IMMUNE FROM, OR WILL MAKE YOUR ENTERPRISE
IMMUNE FROM, THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.
THANK YOUwww.ibm.com/security