Oracle Security: Противодействие внутренним угрозам до, во время и после инцидента

Сергей Базылько, к.ф.-м.н., CISSPДиректор по продажам продуктов безопасности Oracle СНГ

Copyright © 2014, Oracle and/or its affiliates. All rights reserved.

г. КАЗАНЬ15 ОКТЯБРЯ 2015

#CODEIB

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB

Информационная безопасность: status quo

ИБ ИТКонфиденциальность Целостность Доступность

3

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB

Меры противодействия внутренним угрозам

4

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB 5

S EC U R I T YS EC U R I T YS EC U R I T YS EC U R I T YS EC U R I T YS EC U R I T Y

S E C U R I T Y

ORACLE SECURITY INSIDE OUT ЗАЩИТА НА КАЖДОМ УРОВНЕ

76%ВЗЛОМ по СЕТИ УКРАДЕНЫЫЕ и СЛАБЫЕ ПАРОЛИ

Governance Risk & Compliance Оценка необходимости доступа, Выявлениеаномалий, Создание учетных записей, Управление привилегиямиМобильная безопасность, Привилегированныепользователи, сервисы директорий

Шифрование, маскирование, управление ключами, защита Big Data

Solaris Trusted Extensions,LDAP Host Access Control

Secure Live Migration

Крипто-акселераторыКонтроль целостности данных приложений

Secure backup, Шифрование дисковILM Security

ENTERPRISE M

ANAGER

80%

КОМПРОМЕТАЦИЯ СЕРВЕРОВ ПРИЛОЖЕНИЙ

94%КРАЖА ДАННЫХ С СЕРВЕРОВ

50%

РАСПРОСТРАНЕНИЕ ВОЗМОЖНО ИЗ-ЗА НЕПРАВИЛЬНЫХ

НАСТРОЕК

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB

Соответствие требованиямОтраслевые стандарты и законодательство

6

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB

12 требований PCI DSShttp://security-orcl.blogspot.co.uk/2014/05/blog-post.html

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB

Требования Национальной платежной системыhttp://security-orcl.blogspot.co.uk/2014/05/blog-post.html

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB

Персональные данные

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB

Персональные данные

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB

Identity and Access Management – защита доступа в приложения и управление учетными записями, проведены проверки на наличие не декларированных возможностей по 3-НСД и 2-НДВOracle Enterprise Single Sign-On – контроль доступа в информационные системы персональных данныхOracle DB 11gR2 + Database Vault – разграничение доступа к данным в приложениях на уровне СУБДOracle Enterprise Linux – защита сертифицированной БД Oracle на уровне операционной системы, по 3-НСД и 2-НДВOracle Fusion Middleware – по 3-НСД и 2-НДВExadata, ExalogicAudit Vault and Database Firewall

Продукты Oracle, сертифицированные ФСТЭК

S E C U R I T Y

S E C U R I T Y

S E C U R I T Y

S E C U R I T Y

S E C U R I T Y

S E C U R I T Y

S E C U R I T Y

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB Public Info

Сертификаты ФСТЭК Maximum performance

on Oracle Exa-stack#3215 – Oracle Exadata –

DB security features#3299 – Oracle Exalogic –

Java security features #soon – Oracle Exalytics

Maximum security level (Гостайна)

#3095 – Oracle Enterprise Linux (OEL) – operating system security features

#3196 – Oracle Fusion Middleware – Java security

features

#3295 – Oracle Identity & Access Management (IAMS) – Security as a

Service

Security for heterogeneous environment

#2858 – Oracle Database on Linux , Solaris &

Windows – DB security features

#3103 – Oracle Enterprise Single Sign-On – product

security features

#3364– Oracle Audit Vault and Database Firewall

#soon – Oracle Mobile Security Suite

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB

Соответствие требованиям или безопасность• Персональные данные

– Включает ли ваша модель угроз риски административного доступа?

– Как быстро можно закрыть доступ при увольнении?

– Как подтверждены защитные механизмы?

ПОДГОТОВИЛСЯ К СЮРПРИЗАМ?

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB 14

GOLD

BRONZESILVER

PLATINUM

Критичные для ограниченного исп.Quarterly results,M&A, IP, Source code…Для внутреннего

использованияTransactions,Orders…

СоответствиезаконодательствуPII, PCI,PHI, SOX…Не критичные

Internal portals,Org. directories,Test/dev systems…

Не все данные одинаково ценные

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB

Secure Data

Secure Access

Secure Configuration

Command & Control

Scan and patchSecure configurationAudit sensitive activities

Encrypt stored dataEncrypt network trafficMask and subset

15

Redact application dataRestrict DBA accessMonitor SQL traffic

Защитные меры и ценность данных

GOLD

BRONZESILVER

PLATINUM

Control DB operationsAnalyze runtime privilegesBlock unauthorized SQL trafficAudit comprehensively

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB Oracle Public 16

SIMPLIFIEDSECURITY

STANDARD CONFIGURATIONS

SECURITYROADMAP

SECURITY CONTROLS

Выгоды

Соответствует ценности данных

Больше защиты за те же вложения

Для всей организации

Планирование и управляемость

Адекватная защита для каждого класса

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB 17

MobileSecurity

Identity Governance

Directory Services

AccessManagement

Encryption& Redaction

PrivilegedUser Control

KeyManagement

ActivityMonitoring

ConfigurationManagement

DatabaseFirewall

ЗАЩИТА ДОСТУПА К ПРИЛОЖЕНИЯМ И ДАННЫМ

IDENTITY MANAGEMENT DATABASE SECURITY

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB

Oracle Identity Management

Полный спектр решений для защиты доступа

Identity Governance

Access Management

Directory Services

Cloud

On-Premise

Managed Cloud

Способы установки

Mobile Security

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB

• Возможность применения единых политик безопасности как к обычным, так и к привилегированным (разделяемым) учетным записям

• Устранение (уменьшение) потенциальных угроз от инсайдеров

• Упрощение соответствия требованиям регуляторов– Сертификация «владения» привилегированными учетными записями

Привилегированный пользователь как источник угроз

Базы данных

sys

OIG

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB Public 20

Контроль активности

Database Firewall

Аудит и отчетность

ДЕТЕКТИВНАЯ

Редакция иМаскирование

Контроль за действиями привилегированных

пользователей

Шифрование

ПРЕВЕНТИВНАЯ АДМИНИСТРАТИВНАЯ

Управление конфигурациями

Всесторонняя защита для максимальной безопасностиРешения Oracle по защите баз данных

Анализ привилегий ипоиск конфиденциальных

данных

Key & Wallet Management

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB

Exadata – машина баз данных для консолидации СУБД• Все яйца в одной

корзине?• Уникальное ПО firmware

для ячеек хранения• Доступ к данным

возможен как на уровне ОС, так и СУБД и приложений

• Кто контролирует привилегированный доступ?

adminsys/dba

Приложения

21

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB

Не заметно для работы

Программно-аппаратный комплекс средств для защиты Exadata

TDE

ODV

• Сертифицированная платформа (OFM, 2НДВ, 3СВТ) для Oracle Enterprise Manager

• Управление и разграничение доступа к сертифицированным средствам защиты Exadata

• Контроль доступа администраторов к СУБД и запись терминальных сессий

• Хранение ключей в сертифицированном HSM

adminsys/dba

Приложения

22

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB 23

INSIDEOUT

SECURITYМногоуровневая защита

Безопасностьсамого ценного

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB

Спасибо за внимание!

Сергей Базылько, к.ф.-м.н., CISSPДиректор по продажам продуктов безопасностиsergey.bazylko@oracle.com+7 915 018 8804

24