Post on 15-Nov-2014
description
DTCC PreDTCC Pre--SalesSales “DB Hardening” und Oracle SecurityVersion 1.0
Carsten Mützlitz
Grundbedrohungen der IT sind nachwievor gegebenVorbemerkungen
CorporateNetwork
INTERNET
CorporateNetwork
MobileComputing
Teleworking
Verlust der Vertraulichkeit Verlust der Verfügbarkeit
Verlust der Integrität Verlust der Verbindlichkeit
- Verarbeitungs-, Übertragungs-und Speicherfehler
- Manipulation von Daten z. B.durch spoofing attacks:
- ip spoofing (IP fälschen)
- DNS spoofing (Fälschungvon DNS-Einträgen)
- web spoofing (Fälschenvon Webseiten)
- Netzverkehr abhören(sniffer attacks)
- „Knacken“ kryptographischerSchlüssel und Verfahren(code breaking/key recovery)
- Angriffe auf Kennwörter(password guessing/cracking)
- Falsche Rechte-Konzept
- Ausfall
- Zerstörung
- Unterbrechung von Diensten(denial of service) durch:
- ping of death
- ICMP attacks
- SYN flooding, etc.
- Rechtsverbindlichkeitelektronisch abgeschlossenerVerträge, wie z.B. per:
- Fax, E-Mail
- Electronic Commerce
- Gesetzesauflagen
- Risiko-Früherkennung
- Authentizitätscheck (Who)
• Schlagwörter die alsBedrohung eingestuftwerden sind:
• Hacker, Fremdpersonal,eigenes Personal,
• Fehler, Ausfälle,
• Fernwartung und
• Wirtschaftsspionage
• u.v.m.
Eine Überwachung ist notwendig, um zu erkennen, ob eine Grundbedrohung ein Risiko darstellt.
Automatisierte Risikomanagement Prozesse können unterstützen: Analyse, Bewertung, Minimierung,Kontrolle, Verfolgung.
• Die zunehmende Technologieabhängigkeitführt dazu, dass die IT-Systeme in dieRisikobetrachtung miteinbezogen werden
• IT Risikofaktoren sind• Sicherheit: Angriffe, Schadcode,
Unautorisierte Zugriffe• Verfügbarkeit: Ausfälle, Downtimes,
Wartung etc.• Performance: Produktivität der
Endanwender/Kunden, Kundenverluste• Compliance: Einhaltung von
behördlichen und sonstigen Vorschriften• Erweiterte Haftung: KontraG,
Transparenzschaffung im Jahresbericht• Ansätze des IT-Service Managements
sollen unterstützen
Die IT als Bestandteil des Risikomanagements
Aktuelle Hard/Software, Regularien, moderneSicherheitseinrichtungenRedundante Auslegung der Systeme,Backup/Recovery, Spiegelung, VirtualisierungSkalierung von IT Systemen, Nutzung vonPeaks, GridsAufbewahrungspflicht, Sorgfaltsanforderungen,Überwachung, KontrolleRisikofrüherkennung, IT Infrastruktur muss alleAnforderungen erfüllen, Prozesse
ITIL, ISO/IEC 17799, ISO 2000, Cobit
Auswirkungen/Maßnahmen
IT wird HEUTE in das Risikomanagement einbezogenDarüber besteht heute weitgehend Konsens
IT Sicherheit/Compliance System Governance
Einführung in das Härten vonDatenbanken
• Was genau bedeutet „HÄRTEN“?• Welche Tools stehen zur Verfügung?• Was genau erreicht man durch das „HÄRTEN“?• Oracle Security Lösungen
Härten = Die Sicherheit eines Systems erhöhenKleine Auswahl von Möglichkeiten
Härtung
Definition• Unter Härten versteht man, die Sicherheit eines Systems zu erhöhen. Bas BSI sagt:
„...die Entfernung aller Softwarebestandteile und Funktionen, die zur Erfüllung dervorgesehenen Aufgabe durch das Programm nicht zwingend notwendig sind...“.
• Reduktion der Möglichkeiten zur Ausnutzung von Verwundbarkeiten• Minimierung der möglichen Angriffsmethoden• Beschränkung der einem Angreifer nach einem erfolgreichen Angriff zur Verfügung
stehenden Werkzeuge• Minimierung der einem Angreifer nach einem erfolgreichen Angriff zur Verfügung
stehenden Privilegien• Erhöhung der Wahrscheinlichkeit der Entdeckung eines erfolgreichen Angriffs• Nebenziel: Komplexität verringern
Ziele
• Entfernung/Deaktivierung von für den Betrieb nicht zwingend erforderlichenSoftwarekomponenten
• Verwendung unprivilegierter Benutzerkonten zur Ausführung von Server-Prozessen• Anpassung von Dateisystemrechten und ihrer Vererbung• Verwendung von chroot oder anderen Jails für die Ausführung von Software• Verwendung von Mandatory Access Control• Nutzung von Verschlüsselung, z.B. für die Datenübertragung• Verwendung möglichst fehlerfreier Software ohne bekannte Verwundbarkeiten• Backup Recovery, Deployment, Testing• Einheitliche Admin-Umgebung, Überwachung, SLAs
Methoden
Erläuterung
Einführung in das Härten vonDatenbanken
• Was genau bedeutet „HÄRTEN“?• Welche Tools stehen zur Verfügung?• Was genau erreicht man durch das „HÄRTEN“?• Oracle Security Lösungen
Dokumente und Checklisten
• Im Internet vorhanden
• Oracle StandardListen
Tools
• Security Scanner
• 3rd Party
• Oracle Tools
Wissen
• Wissen schützt immer
• Fortbildungensind Pflicht
Welche Tools existieren für das Härten von DBs?Kleine Auswahl von Möglichkeiten
Das Härten von DB-Systemen erfordert ein umfangreiches Wissen.
Egal welche Tools man nutzt. DasHärten von DB-Systemen ist einmanueller Vorgang, der jedoch durchden Einsatz von Tools unterstütztwerden kann.
UNBREAKABLEDATABASE
Dokumente und ChecklistenIn der virtuellen Welt stehen verschiedene Dokumente zur Verfügung
Dokumente
Oracle• Oracle Standard Dokumentation 11g Security Guide, Sec. Checklist 10g• Oracle Projekt Lockdown (Oracle Magazin):• Technical Whitepaper: „Security Checkliste“ :
• Zahlreiche Blogs von Security Experten• Internet googeln• Bundesamt für Sicherheit in der Informationstechnik
Öffentlich (privat)
• Beratungsunternehmen• Softwarehersteller• Oracle Partnerunternehmen• Freiberufliche Berater
3rd Parties (Business)
Erläuterung
Oracle liefert einigen Content ...
Oracle Tool: Der Enterprise ManagerConfiguration Management Pack
11
Oracle Configuration ManagementSchwachstellen Begutachtung & Sichere Konfiguration
• Datenbank Erkenntnisse darstellen (Reporting)
• Andauerndes Scanning von 375+ Best-Practices undIndustriestandards (“erweiterbar”)
• Aufdecken und verhindern unautorisierteKonfigurationsänderungen
• Änderungsmanagement Compliance Reports
Monitor
ConfigurationManagement
& AuditVulnerabilityManagement
Fix
Analysis &Analytics
Prioritize
PolicyManagement
AssessClassify MonitorDiscover
AssetManagement
Einführung in das Härten vonDatenbanken
• Was genau bedeutet „HÄRTEN“?• Welche Tools stehen zur Verfügung?• Was genau erreicht man durch das „HÄRTEN“?• Oracle Security Lösungen
Geringe KostenHohes Risiko
Hoch
Ris
iko
Hohe Kostengeringes Risiko
Risiko vs. Kosten
Hoch
Gering Kosten
?Gehärtetes System?
Ziel: Unwahrscheinlichkeit erhöhen, dass Risiko eintritt, bzw. die Folgen abgemildert werden.Fazit: Risiken erkennt man durch Überwachnung!!!
Das HÄRTEN vermindert das RisikoEin Risiko bewertet man durch eine Bedrohungs- und Risikoanalyse
?Nicht gehärtetes System?
Einführung in das Härten vonDatenbanken
• Was genau bedeutet „HÄRTEN“?• Welche Tools stehen zur Verfügung?• Was genau erreicht man durch das „HÄRTEN“?• Oracle Security Lösungen
Zugriffskontrolle
• Oracle Database Vault• Oracle Label Security
• Oracle Advanced Security• Oracle Secure Backup• Oracle Data Masking
Verschlüsselung / Maskierung
Audit und Tracking
• Oracle Audit Vault• Oracle Configuration Management• Oracle Total Recall
• Oracle Database Firewall
Monitoring und Blocking
Oracle Security LösungenZur Maßnahmenumsetzung und Überwachung