Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
資料庫活動監控系統
根據2010年Verizon Business資料外洩調查報告,92%資料外洩來自於資料庫系統。IDC的分析指出,數位資料每年以兩倍的速度持續成長,敏感資料也隨著資料的成長而增加。庫柏dbAegis是一套獨立運作的資料庫活動監控系統(Database Activity Monitoring,DAM),可記錄並稽核所有造訪資料庫的存取軌跡,並可在不修改應用程式的前提下追蹤終端使用者的真實身分,達到人、
事、時、地、物五個面向的追蹤。dbAegis是企業預防資料庫個資外洩與遵循法規的最佳選擇。
資料庫活動即時監控
dbAegis可即時並持續監控分析多台異質資料庫活動。針對違反政策的資料庫活動可進行即時警示或阻擋,並
可記錄所有軌跡供事後查詢分析。
辨識終端使用者與責任追究
在目前市面上的DAM產品十之八九有一個難以突破的瓶頸,就是無法辨識終端使用者。一般DAM產品記錄的
是應用伺服器對資料庫伺服器的SQL指令,及其資料庫使用者,然而現今的應用系統架構,N-Tier的終端使用
者大多使用共用資料庫連線或共同帳號與資料庫伺服器溝通,換言之無法辨識SQL指令所對應到的真正終端
使用者。要解決這項瓶頸,大多數的DAM產品都必須修改應用程式才能解決,但對現今的企業來說,修改應
用程式不僅工程浩大且有其風險,企業多半不會採行。
dbAegis採取獨家專利技術,無論應用系統架構是集中式、主從式、或N-Tier,無需改變任何既有環境,包含
不修改應用程式、不加裝軟體於應用系統與終端使用者環境,即可辨識終端應用系統使用者的真實身分及其
存取資料庫的行為。dbAegis記錄終端使用者與應用伺服器的HTTP/HTTPS存取軌跡,利用特別的演算法,
比對應用伺服器與資料庫伺服器的存取軌跡,找出每個SQL活動是哪個終端使用者所為,達到追究責任的目
的。
資料庫活動監控系統
圖1.dbAegis圖形化分析協助稽核人員全面了解資料庫活動
終端使用者
網路交換器
應用伺服器網路交換器
HTTP/HTTPS
SQL
資料庫端監視代理程式
SQL
資料庫伺服器
資料庫活動監控系統
稽核人員
圖2.dbAegis可由主機端監控代理程式及網路端側錄的方式收集軌跡資料
產品特色
● 獨立硬體設備,穩定度高,不使用
虛擬機(Virtual Machine)。
● 彈性可擴充架構,安裝容易。
● 即時監控,即時事件警示。
● 獨立稽核,權責分離。
● 真實使用者追蹤。
● 完整軌跡紀錄,用於事後追蹤。
● 實施數位簽章,確保稽核資料的不
可否認性。
● 支援各類法規報表 。
● 操作簡單易懂。
● 多重訊息管道,可結合安控管理中
心(SOC)。
● 圖形化報表分析。
支援作業系統與資料庫
支援UNIX、LINUX及Windows等作業
系統,並可同時監控多種資料庫產品
及版本如Informix、Oracle、DB2、
Sybase、MS SQL、MySQL、MariaDB
及PostgreSQL等。
軌跡監控模式
無論是網路端或者本機端的資料庫存
取皆可透過dbAegis監控存取軌跡。提
供以下兩種監控模式:
�- 網路監聽模式(Sniffer Mode)側錄網
路存取資料庫行為。
�- 代理程式(Agent)記錄收集資料庫本
機端之存取行為。
系統管理
● 提供網頁式(WEB-Based GUI)管理
介面,支援語言包括繁體中文、簡
體中文及英文。
● 提供管理帳號密碼安全強度設定。
● 提供系統使用軌跡紀錄。
● 提供異常事件線上稽核簽核流程,
可彈性自訂簽核層級及待辦事項。
● 支援帳號角色分權管理,能依人員
權責劃分,提供不同權限。
● 提供報表敏感資料遮罩功能。
● 提供多重訊息傳送管道,事件通知
可透過簡訊(SMS)、Email、SNMP、
Syslog或客製化程式傳送。
● 結合LDAP認證系統。
備份與還原
● 支援備份加密。
● 具備資料加密壓縮功能,可藉由FTP
及SFTP方式,採用電子簽章演算
法將資料備份至外部儲存設備,並
可指定日期或日期區間,還原備份
資料至系統。
● 提供自動與手動還原指定日期方式
還原歷史備份檔案作為歷史軌跡紀
錄查詢之用。
法規政策制定
包含ISO27001、新巴賽爾協定(Basel II)、
個人資料保護法、沙賓法案(SOX)、
醫療業的聯邦健康保險法案(HIPPA)、
金融業的金融服務現代法(GLBA)、支
付卡產業資料安全標準(PCI-DSS)等。
稽核統計圖表與安全稽核儀表板
(Dashboard)
● 提供趨勢圖、長條圖及圓餅圖等圖
形化報表分析功能。
● 提供安全儀表板功能、以圖形化表
示整體稽核收錄與資安狀況,包含
網路收取封包量、收錄SQL數量、
警示事件統計、稽核主機CPU、I/O、
記憶體等使用情形。
● 可以圖形化顯示稽核紀錄,以挖掘
資安異常事件發生的詳細資訊,透
過縮小範圍查詢,逐步drill down到
觸發異常事件發生的該筆紀錄資訊。
● 可以顯示Top N統計圖形,可選擇
針對應用系統、資料庫類型、DB伺
服器IP、DB伺服器連接埠、DB客
戶端IP、DB客戶端連接埠、DB伺
服器、資料庫、DB使用者、OS使
用者、SQL執行程式、SQL分類、
資料影響筆數、SQL歷時等顯示統
計圖形,並以可設定統計圖的資料
起始、結束時間區間。
軌跡紀錄與報表
● 完整記錄使用者所有資料庫活動與
產生報表,如DML、DDL、DCL等,
可完整記錄資料庫SQL述句。
● 支援資料庫登入失敗活動等異常行
為紀錄。
● 支援5W(人、事、時、地、物)軌
跡紀錄,包含Web使用者、資料庫
使用者,時間(Web登入時間、資料
庫登入時間、SQL執行時間、SQL
完成時間),SQL述句,參數值,回
傳值,回傳筆數,錯誤碼,來源與
目的(IP/Port)、終端機資訊等。
● 可過濾敏感表格之存取活動,且可
限定記錄特定表格的SQL回傳值與
筆數限制,並可以中、英文字串搜
尋回傳值內容。
● 支援HTTP/HTTPS通訊協定,具備
Web行為網路側錄解析功能,可記
錄存取網頁、網頁傳送方式、Web
參數值、Web使用者名稱、執行時間。
● 可整合資料庫異動稽核軟體,無需
額外撰寫程式或建資料庫Trigger即
可完整且同時呈現資料庫異動SQL
指令類別及其異動前後值。
● 可整合程序軌跡紀錄軟體,記錄資
料庫本機作業系統層級的使用者行
為,包含存取資料庫之程式名稱、使
用者ID、操作指令及其執行時間。當
使用者以SSH/TELNET/Console方式
登入資料庫主機後使用UNIX/LINUX SU
指令變換身份時,可自動辨識原登
錄使用者。
● 稽核報表提供統計功能。
異常告警與通報機制
● 可依需求針對5W(人、事、時、地、
物)設定異常事件、建立警示報表並
發出告警通知。
● 提供E-Mail 及SMS(簡訊)兩種異常
告警機制,並支援SNMP及Syslog。
● 提供黑白名單群組設定,可針對資
料庫使用者、Web使用者、資料庫
客戶端IP、Web客戶端IP設定黑、
白名單方便稽核政策定義。
● 支援下列警示通報,包含登入失敗、
非上班時段存取資料庫、危險指令、
高危險群(黑名單)使用者及撈取大
量資料通報。
產品名稱 功能說明
資料庫異動稽核軟體
(CDA Agent)
程序軌跡記錄軟體
(Process Agent)
安全稽核控管設備
(SecuCenter)
紀錄鑑識設備
(Log Forensic Server)
紀錄收集解析器
(SecuEyes)
監控側錄資料庫本機端的SQL存取行為軌跡。資料庫本機SQL代理程式(SecuAgent)
安裝於被監控伺服器上,擷取程序相關資訊傳送至SecuCenter,可記錄資料庫主機本機作業系統層級的使用者行為,及應用程式存取資料庫的軌跡。
提供即時調閱歷史資料做為稽核鑑識使用,並可針對歷史紀錄給予新的稽核政
策,讓漏網之魚的歷史事件無所遁形,可將安全稽核控管設備(SecuCenter)上的稽核紀錄自動傳送至紀錄鑑識設備,並可搭配外接儲存設備長期保存軌跡資
料並提供歷史軌跡資料查詢。
以non-inline建置方式,避免影響資料庫效能,將透過網路存取資料庫的SQL/HTTP/HTTPS封包與通訊協定等資料庫存取行為解析成可讀資訊,並將解析紀錄傳輸至安全稽核控管中心(SecuCenter)產出稽核報表。
可支援紀錄被竄改,滅失等異動資料稽核功能(Update Before & After),當資料庫資料被異動時,可記錄異動前與異動後的資料並呈現於報表中。
將SecuEyes與各式Agent所傳送的稽核軌跡資料經過規則判定並發出警示與提供報表分析,安全稽核控管設備收錄來自Web/AP/DB存取軌跡紀錄,除了可以自動辨識前端登錄使用者功能外,也可以串聯使用者後端資料庫存取紀錄。
dbAegis產品家族
10694 台北市大安區忠孝東路四段322號3樓之1電話:+886-2-8771-3878 傳真:+886-2-8771-3790
Empower Your Database Secure Your Data
dbAegis & osAegis 產品介紹
庫柏資訊軟體股份有限公司
政府將帶動資安建設
資通安全管理法草案
政府資安計劃
1
2
3
政府高層
國安會與行政院於2016年8月召開「資安即國安策略會議」,並研訂「國家資通訊安全發展方案(106年-109年)」
資安將會納入「振興國防產業條例」。
行政院資通安全處2016年9月公佈資通安全管理法草案,以加速建構國家資通安全環境。
8大重點領域:能源、水資源、交通、通訊傳播、銀行金融、醫療、政府機關與高科技園區。
政府預計推動8大資安旗艦計畫為國家整體資安防護奠定基礎。
2017年度的資安預算編列高達25.7億元,比2016年增加一倍之多。
個資外洩不僅涉及「個資法」,也是「資安管理法」的重大事件
3
八大產業請注意! (能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方機關、高科技園區等 )
「資安管理法」對資通安全的定義:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、修改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
「資安管理法」即將拼今年三讀通過,個資外洩不僅涉及「個資法」,也是「資安管理法」的重大事件。八大產業需重新檢視、嚴陣以待。
遏止資料外洩將會是『資安管理法』稽查重點
4
美國隱私權資訊中心指出,駭客侵入資料庫以及植入惡意程式的行為,是2016年發生資料外洩案件最主要的原因。
2016年成為近5年來資料外洩筆數最多的一年。根據美國隱私權資訊中心數據顯示,2016年資安外洩事件數翻倍,外洩資料筆數更比2015年多了9倍。
圖片來源 & 資料來源:Privacy Rights Clearinghouse、Verizon,iThome整理製圖,2017年1月
【2017資安趨勢】資料外洩事件翻倍暴增
5
dbAegis
Database Activities Monitoring(DAM)
資料庫安全稽核
資料庫存取行為即時監控與記錄,包含存取軌跡之人+事+時+地+物
6
個人資料,無所不在
電信股份有限公司行動電話(租用/異動)申請書
新申租或異動後新資料
行動電話號碼
客戶名稱 統一編號
負責人 身分證號
聯絡電話 出生 年 月 日
戶籍地址
帳單地址
次要證件 健保駕照 證號
銀行信用卡申請書
中文姓名英文姓名(與護照同)
出生日期 學歷
身分證號 婚姻狀況
行動電話 現居電話
戶籍地址
帳單地址
個資無所不在
旅行社信用卡傳真刷卡單
持卡人姓名
身分證字號 出生 民國 年 月 日
地址 電話
卡號---
卡片背面末三碼
發卡銀行 消費日期 民國 年 月 日
消費金額 NT$ 費用型態 訂金尾款全額
信用卡種類 VISA MASTER
JBC
持卡人
簽名
會員編號
自訂密碼
密碼確認
中文姓名
出生日期
聯絡手機
公司電話
住家電話
電子信箱
聯絡住址
面對個資法的挑戰,企業主您準備好了嗎?
業者需自行證明其無故意或過失者
個資法最高賠償總額2億元
非法妨害個人資料正確性;五年以下有期徒刑
個資法可集體訴訟,對業者不利
意圖營利:五年以下有期徒刑
主管機關的稽查與罰則個資法
的挑戰
非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權 利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。 (SS29)
個資法施行細則必要措施—安全維護事項
依據個資法施行細則第12條:保護標的:防止個人資料被竊取、竄改、毀損、滅失或洩漏。
9
個資法施行細則必要措施 措施
一 配置管理之人員及相當資源 內部管理機制
二 界定個人資料之範圍 內部管理機制
三 個人資料之風險評估及管理機制 內部管理機制
四 事故之預防、通報及應變機制 建置資料庫安全稽核解決方案
五 個人資料蒐集、處理及利用之內部管理程序 內部管理機制
六 資料安全管理及人員管理 內部系統管理
七 認知宣導及教育訓練 內部管理機制
八 設備安全管理 內部管理機制
九 資料安全稽核機制 建置資料庫安全稽核解決方案
十 使用紀錄、軌跡資料及證據保存 建置資料庫安全稽核解決方案
十一
個人資料安全維護之整體持續改善 建置資料庫安全稽核解決方案
自行證明其無故意;或過失者
網路資安防護足以因應個資法嗎?
10
Webmail& Email
Network Application System OS Database
過去企業花80%的心力保護網路安全
應當控管資料外洩的源頭—資料庫系統
傳統資安建置,以網路防護為主,但能有效證明其無故意或過失嗎?
企業多數個依據2010年Verizon Business 資料外洩調查報告,其中92%資料外洩確認資是儲存在資料庫系統,是來自於資料庫系統。
企業個資多數儲存在資料庫,因應個資法需將「資料庫」納入保護範圍。
11
資安事件案例與因應對策
資安案例 1一 駭客竊取個資
2015/5/29國內知名的連鎖咖啡店,傳出近5千筆客戶資料遭駭客竊取,並將客戶姓名、電話、地址等個資,惡意刊登在俄羅斯的某網站上。是由一名民眾於5月10日瀏覽國外網站時,意外發現大筆的台灣民眾個資被披露在俄羅斯一個不知名網站上,有近5千筆個資外洩。
2015/9/29全台有十五家據點的某知名國際連鎖精品旅館集團(OHYA CHAIN BOUTIQUE MOTEL)遭駭長達十個月,去年被發現有五千筆會員和住宿客戶個資,遭中國網軍張貼在pastebin駭客網站上,流出的個資包括姓名、聯絡電話等,連訂房型式、房間都一覽無遺。由於業者疑未發現被駭,以致未修改主機漏洞,至今初估疑有萬筆個資流出。
2014年媒體報導:『台灣官方的資安相關官員透露,遭到駭客攻擊最頻繁的城市或地區,台灣排行全世界之冠,從軍事、政治乃至金融商業,台灣已籠罩著「駭客危機」』
資安案例 2一 竄改個資以詐領退稅款
事件緣由: 某甲係稅務機關書記,負責民眾綜合所得稅業務。96年9月間所屬機關,針對綜合所得稅國庫支票未兌領暨未送達清冊進行清查,發現有5張未兌領退稅支票所載禁止背書轉讓受款人姓名與原始申報書所載納稅義務人姓名不符,經深入查核,查獲某甲涉嫌自94年起利用職務機會,進入電腦系統竄改民眾綜合所得稅資料,詐領退稅款總計40筆,金額達3百多萬元。
成因係藉由財政部財稅資料中心,為避免系統程式誤判納稅義務人姓名及便於納稅義務人申請扶養親屬更換之需要,開放綜合所得稅核定檔變更權限予承辦人之作業,並利用系統程式核定檔欄項(除納稅義務人身分證字號外)可任意更改及未設計系統異常通報機制之漏洞,將已核定退稅並由納稅義務人兌領之資料,擅入系統進行第二次納稅義務人姓名、地址、免稅人數及扣繳稅額等項目變更,達成詐領退稅款之目的。
AP
System
AP User DB
User
Execution
Time
Web page SQL
Type
SQL Skeleton Data Data Before Change
Tax
System
Tim_Wa
ngBea
2005-07-02
12:03:32+0
8
Tax_return_form
.doUpdate
Update
TAX_Return_List
Set Name,
Address, Where ID
=?
王大同, 台北市內湖區瑞光路3號 2F
陳小明, 台北縣板橋市文化路一段123號
資安案例 3一 內賊竄改資料進行詐騙
事件緣由: 某乙為某IT通路商之法務人員,利用其職務權限登入ERP系統,竄改經銷商之授信額度與送貨住址,並偽造假訂單傳真給公司。公司依訂單核對該經銷商之授信額度符合出貨條件,立即安排百部筆電出貨。出貨前夕,某乙之共犯佯稱為了送貨之便利,改在假送貨住址附近路口的某貨車上交貨。該IT通路公司之高層主管在交貨前夕,巧遇真正經銷商老闆,遂及詢問百部筆電訂單,才發現此筆訂單大有問題,所幸在到貨前阻擋產品交貨,避免公司受詐騙損失。
Log-in
Fail
Order Amount: $ 5,000
Order Amount: $120,000
Order Amount: $150,000
資安案例 4一駭客盜竊個資進行詐騙
某購物網站接獲許多會員客訴電話,指控接到詐騙電話,懷疑該公司洩漏會員個資,因為詐騙集團可以清楚說出購買訂單資料,企圖詐騙會員,經協助追查,發現內部員工帳號有異常查詢訂單資料行為,且連線來源IP地址來自香港。
15
資安事件追查
提供客訴會員編號,訂單與訂單明細表格名稱,從監控記錄中搜尋查出可疑行為,過濾後發現內部某一員工帳號頻繁查詢訂單資料。
16
金管會對金融業個資相關裁罰案例
103年3月/金管會:遠雄人壽 將求職者個資外洩 判 罰鍰新台幣60萬元,違反保險業內部控制及稽核制度實施辦法」第6條,罰鍰新台幣60萬元。
103年1月/金管會:國泰世華商業銀行離職員工將客戶個人資料下載至私人外接儲存裝置,核未妥適建立資訊作業管理之內部控制制度,違反銀行法第45條之1第1項規定,依同法第129條第7款規定,核處新臺幣300萬元罰鍰。
103年1月/金管會:旺旺友聯產物保險股份有限公司未確實執行保戶個人資料保密相關內部控制制度,查有違反保險法規定,依保險法第171條之1第4項規定,核處罰鍰新臺幣60萬元整。
102 年10月/金管會:大眾商業銀行股份有限公司辦理信用貸款業務核有內部控制制度未建立及未確實執行之缺失,違反銀行法第45條之1第1項規定,依同法第129條第7款之規定,核處新臺幣400萬元罰鍰。
102 年8月/金管會:中國信託商業銀行辦理網路銀行業務發生疏失,導致客戶個人資料外洩,核有未落實執行內部控制制度之缺失,違反銀行法第
45條之1第1項規定,依同法第129條第7款規定,核處新臺幣400萬元罰鍰。
18
資料庫安全稽核解決方案
個資法與資料庫安全稽核的關係
個人資料保護法
需自行證明其無故意或過失者
資料庫安全稽核解決方案DAM (Database Activities Monitor)
個資外洩最大威脅是來自資料庫
擁有個資的各種行業需謹慎因應
個資法實行細則必要措施
個資使用紀錄、軌跡資料及證據保存
何為資料庫安全稽核系統 ?
20
資料庫安全稽核系統又稱為DAM (Database Activities Monitor) —資料庫存取行為監控系統 ,如同行車記錄器或大樓監視系統一般。
使用者登入應用系統
登入Application Server
進入Database Server
存取資料庫
dbAegis 是DAM系統,即時監控資料庫所有存取行為,記錄存取資料庫之人+事+時+地+物,提供自動異常偵測,發送告警通知,並產出符合法規稽核報表 。
資料庫安全稽核 &個資法的重點為何?
無法辨識真實使用者等於無法舉證。
個資法中的行為軌跡紀錄最重要有人+事+時+地+物,才能成為證據。其中最重要是『人』— 真實使用者
當應用程式共用DB User時,能否辨識真實使用者?
dbAegis可追蹤真實使用者身分
22
Web 或共用帳號User Tracking的優勢
廠牌 Web User Tracking 條件
dbAegis V 無需修改AP
iMpxxxa V X 需要加購WAF,增加額外成本
Guaxxxum X 需要修改AP,多數客戶無法接受
dbAegis在Web-N-Tier架構下,無需修改系統架構與應用程式,即可辨識真正使用者身份。
Real User AP User DB UserConnection
Pool
本技術已取得發明專利;中華民國專利證書 發明第 457774號
dbAegis Web AP User Tracking 活動報表
單一報表即可顯示完整資訊
23
dbAegis 特權使用者身分追蹤
執行命令資訊應完整記錄(Program Name 與 OS Command)
24
一般使用者(John) root
資料庫管理員(Mary)
su su SQL
資料庫
資料庫使用者(John)
SSH/Telnet cron job
使用者隱藏身分時,執行記錄應可分辨真實原始使用者
執行記錄應可分辨是否為自動程式(cron job)或是人為執行
dbAegis —記錄資料異動前後值 : 防竄改 (option)
25
需求 競爭廠商 dbAegis
個資法規範:非法妨害個人資料正確性(竄改/滅失) —5年以下有期徒刑
市售DAM產品只能記錄:SQL type=Update/
Delete + 變動後的Value
dbAegis可記錄:SQL type=Update/ Delete+ 變動後的Value與變動前的Value
異動資料稽核 Change Data Audit (選購)
(Update/Delete Before & After Image)
order num amount
A01208 5,000
A01209 1,000order num amount
A01208 100,000
A01209 1,000Users
將訂單A01208交易金額由5,000改為100,000 Update orders set amount=100,000 where
order_num=A01208
本技術已取得發明專利;中華民國專利證書 發明第 510938號
dbAegis稽核資料不可否認性
26
封存系統特權帳號(root) ,無法對系統資料做新增、刪除與修改,確保軌跡資料不被竄改。
數位簽章- 確保軌跡記錄備份檔不被篡改。
自我稽核-任何dbAegis操作皆被記錄。
dbAegis
dbAegis安全稽核儀表板(KPI Dashboard)
27
安全稽核儀表板(KPI Dashboard)的優點
以圖形化顯示稽核記錄,快速判別異常事件區段。
透過drill down尋找異常事件之稽核記錄。
圖形化顯示SQL執行時間提供SQL效能調校指標。
SQL活動— By DB UserSQL活動— By DB Client IP網路收取
dbAegis異常事件處理簽核流程
階層設定
待處理警示
處理流程紀錄
符合資訊安全管理系統 (ISMS)的PDCA循環 符合個資施行細則之個人資料安全維護之整體持
續改善
dbAegis巨量資料處理能力
Mobile Billing & Customer Care System
xx電信行動通信營運系統 dbAegis成功導入行動通信營運系統
完整資料庫與應用程式軌跡記錄
真實使用者身分辨識
異動前後值稽核記錄
資料庫資料檔案防護與監控
產出數種合規稽核報表
滿足稽核需求
建置完整異常通報簽核流程1. 資料庫系統主機20台。
2. C++/WEB應用系統主機共50台。
3. 資料庫線上最大連線數共30,000(含)個連線數以上。
4. 資料庫每秒執行SQL次數共60(含)萬次以上。
一周稽核記錄資料量10TB
dbAegis 資料處理能力超越其他競爭產品
dbAegis產品系列與彈性擴充架構圖
Remote Site
Headquarter
Database
Servers
Application
Servers
Log Forensics Server
紀錄鑑識系統 (option)
Agent (option )
Database
Application
Servers
SecuEye 行為解析器(option)
Oracle ;Informix ;MSSQL ;DB2 ;Sybase ;Mysql ;Postgres
軟體產品項目 說明
SecuCenter
安全控管中心
安全控管中心(SecuCenter)是dbAegis之監控中樞,可同時監控多台異質資料庫與應用伺服器。SecuCenter以人、事、時、地、物5個面向進行持續性、即時性的資料庫監測與記錄完整軌跡。提供稽核人員制定動態稽核政策料,並整合SecuEye及SQL Agent之監控資訊,提供即時與歷史稽核報表查詢及違規告警等功能。
SQL Agent 本機監控代理程式
SQL Agent監控資料庫系統本機端的存取與操作活動。
SecuEye 行為解析器行為解析器(SecuEye)可以記錄並解析網路封包,解析的範圍包含HTTP, HTTPS與各類資料庫的SQL存取記錄。
Log Forensic Server
紀錄鑑識系統 獨立的紀錄鑑識系統(Log Forensic Server)提供即時調閱歷史資料做為稽核鑑識使用。
SecuEye + SecuCenter
行為解析器 安全控管中心
31
osAegis
Privileged Access Management (PAM)
檔案安全
以”特權存取管理”為手段, 已達成”檔案與系統安全防護”的目的
資料安全的威脅
32
駭客入侵的目的無非是竊取或破壞。
內賊也是駭客的一種,是合法擁有特權帳號密碼的駭客,比一般駭客更危險
政府電子公文被駭,下載檔案被置換 –植入木馬,資料外洩
•聯x科員工非法複製資料-資料外洩
•玉x銀行網站被植入後門-資料外洩
某連鎖咖啡遭駭,5,000筆會員個外洩
2014年媒體報導:『台灣官方的資安相關官員透露,遭到駭客攻擊最頻繁的城市或地區,台灣排行全世界之冠,從軍事、政治乃至金融商業,台灣已籠罩著「駭客危機」』
網路資安防護難以遏阻駭客
33
Webmail& Email
Network Application System OS Database
過去企業花80%的心力保護網路安全
80%資料外洩是來自後端系統
網路型態的資安產品難以遏阻駭客,需加大資安縱深防禦
首先將駭客覬覦的目標 —「伺服器」納入保護範圍。
駭客入侵首要目的,竊取特權帳號
特權帳號
駭客入侵方式千變萬化,其首要目的是先竊取系統特權帳號
一旦獲得特權帳號可以讀取任何敏感資料、破壞系統,可以刪除任何罪證軌跡,甚至可以輕易的躲避稽核…。
駭客或內賊
osAegis資安防護的觀念
osAegis防駭觀念:不是阻止駭客入侵 (因可能已被入侵或有內賊 ),重點在於保護駭客欲破壞、竊取的系統檔案或機敏資料。
osAegis可有效限制特權使用者存取檔案,機敏檔案在osAegis防護下,如同保險箱防禦機制。
權限管理 – osAegis檔案防護功能
36
限制特權帳號只要特權帳號被限限制,檔案則無法存取
解決惡意竄改,偷竊與破壞粗心毀損
惡意或粗心威脅
駭客 外包商 離職員工 正職員工
特權帳號
機敏資料檔案 個資 文件 設計圖檔 設定檔 系統檔案
osAegis 特權存取管理與防駭解決方案
檔案防護檔案異動偵測BaseLine執行限制
檔案管理
外對內連線內對外連線程序連線
連線管理
特權程序指令限制程序信任程序終止防護
程序管理
密碼政策帳號凍結機制身分轉換限制登入時段限制
帳號管理
操作指令全記錄政策違反記錄政策觸發記錄
日誌管理
軌跡
角色-使用者-使用者程式-使用者連線(IP)
存取角色
對象-目錄-檔案-程式
存取對象管理與警示報通
警示/阻擋
以「特權存取管理」為手段, 達到「檔案與系統安全防護」的目的
osAegis檔案防護應用— 網頁防竄改
簡單設定:將網頁設成唯讀,只有HTML程式可以讀取
網頁防竄改無空窗期
防止釣魚網頁
防止被外掛木馬程式
意圖竄改網頁皆有軌跡記錄
HTML
osAegis檔案防護設定— 網頁防竄改
39
使用者系統操作訊息:
osAegis 日誌訊息:
osAegis應用範例—檔案防護+特權程序+程序防護
應用軟體
網頁/備份/軌跡/CAD/資料庫特權使用者
駭客
管理者讀/寫/刪除
執行/終止
讀/寫/刪除
4040
防駭解決方案網站竄改Log檔遭竄改
機敏資料解決方案CAD/CAM檔案Source code檔案
功能:1. 檔案防護權限管理2.特權程序3. 程序防護
2
1
3
osAegis應用範例— Baseline禁止執行後門
41
2015/11/01
安控管理員
設定Baseline
特權使用者
駭客
後門程式背景竊取程式
無法執行 無法執行
2015/11/03
情境:駭客植入背景程式駭客植入後門程式
解決方案:Baseline後任何執行檔都不可被執行
功能:Baseline管理
osAegis防駭應用
osAegis防火牆阻絕
禁用gcc, make指令
啟動osAegis Baseline
禁用adduser指令
執行檔設定唯讀可執行,包含管理者也無法修改
檔案異動偵測
日誌設定唯讀, 包含管理者也無法修改
下載原始碼
編譯後門程式
執行後門程式
建立帳號
竄改設定檔
竄改執行檔
竄改日誌檔
駭客入侵3大步驟:建立後門、竄改檔案、消除軌跡,全部被osAegis阻擋
osAegis防護應用面向
43
作業系統系統(指令)檔案防護 資料庫系統系統檔案防護 應用系統程式檔案防護
系統安全
醫療PACS影像檔案防護 電子病歷系統病歷檔案防護公文系統檔案 PLM系統機敏檔案防護版本控管應用程式檔案防護 機敏檔案伺服器檔案防護資料庫資料檔案防護 檔案伺服器機敏檔案防護
資料檔案安全
檔案存取軌跡記錄 操作指令軌跡記錄違反政策異常告警
軌跡監控與告警
檔案存取控制與告警 防止危險指令執行特權存取管理
網頁(檔案)防竄改防護網站安全
44
osAegis 架構與支援版本
檔案伺服器
應用程式伺服器
網頁伺服器
資料庫伺服器
osAegis
osAegis
osAegis
osAegis
osAegisEnterprise
Server
管理員
管理、設定
Supported OS:
• RedHat Enterprise Linux 4 ;5 ;6
• CentOS 4;5;6
• HP 11.23;11.31
• Solaris 8;9;10
• AIX 5.3;6.1;7.1
• Window Server 2003;2008;2012
20170511_cobrasonic_dbAegisDM_dbAegis20140925_P1DM_dbAegis20140121_P1DM_dbAegis20140121_2P2P3DM_dbAegis20140421_P4
DM_dbAegis20141104_P2DM_dbAegis20140925_P3DM_dbAegis20140925_P4
dbAegis & osAegis簡報-經銷商