DOAG Guardium und Optim 20121122 · 3 © 2012 IBM Corporation Guardium und Optim – starkes IBM...

© 2012 IBM Corporation

Information Management

Wolfgang Epting – Senior Technical Sales ProfessionalHeiko Lenzing – Principal Data Governance Solutions

Guardium und Optimstarkes IBM Doppel für Ihren Datenschutz !

© 2012 IBM Corporation2

Guardium und Optim – starkes IBM Doppel für Ihren Datenschutz

Liechtenstein: Steuerdaten Der Mann mit der CD - Heinrich Kieber, der RächerEr brachte die Steuerfestung Liechtenstein ins Wank en ...

Meldeverzeichnis veröffentlicht - Spektakulärer Datenklau erregt IsraelEin Angestellter hat das gesamte Einwohnermeldeverzeichnis Israels gestohlen .

Herausforderung und Problematik ...

2 SAP Growth Play24.03.11

50% der befragten Unternehmen haben keineMöglichkeit festzustellen, ob während der

Tests Daten “missbraucht” wurden

Quelle: The Ponemon Institute.The Insecurity of Test Data: The Unseen Crisis

52% der befragten Unternehmen vergeben

Entwicklungsarbeit nach aussen

62%der befragten Unternehmen nutzen reale

Kundendaten in nicht-produktiven Umgeb. (Testen, Q/A, Entwicklung)

Geldbußen bis 300.000 €: §§§§43 Absatz 2: für Verstoßgegen die Zweckbindung personenbezogener Daten.

Umfrage Balabit IT Security bei IT Profis: ~ 30% haben schon Daten geklaut und 25% auf sensible Firmendaten zugegriffen

http://www.spiegel.de/netzwelt/netzpolitik/0,1518,793924,00.html

http://www.sueddeutsche.de/geld/liechtenstein-steuerdaten-die-rache-des-heinrich-kieber-1.984131

http://www.cio.de/knowledgecenter/security/2297152/



IBM InfoSphere Optim Data Masking Solution

� Vermeidung von Missbrauchund Verstössen

� Schnelle Time-to-Market durchBeschleunigung der Tests

� Reduktion von Risiko und manuellem Aufwand

� Schutz vertraulicher Daten in Test-, Entwicklungs- und Schulungssystemen

� Konsistente Maskierung und Konsolidierung von DatenunterschiedlichsterzusammenhängenderAnwendungen zurSicherstellungproduktionsnaher Tests

� Anwendung von vordefiniertenund individuellenAnonymisierungsalgorithmen

Anforderungen

Benefits

Maskieren sensitiver Informationen mit realistischen -

jedoch fiktionalen - Daten für Test- und Entwicklungszwecke

Data Privacy

Optim Data Masking unterstützt verteilte Plattformen (LUW) und z/OS. Unterstützung der wichtigsten ERP/CRM Anwendungen

OtherOther



Datenanonymisierung in nicht-produktivenUmgebungen (Entwicklung, Test, Schulung)

� Maskieren oder anonymisieren von sensitiven Daten, die auf eine Einzelperson schließen lassen

� Sicherstellen, dass maskierte Daten dem Kontext der ersetztenDaten entsprechen, um die Testqualität nicht zu beeinflussen

• Realistische und dennoch fiktive Daten• Maskierte Daten innnerhalb der erlaubten Limits

� Unterstützung von referentieller Integritat der maskierten Datenzur Vermeidung von Fehlern beim Testen

Informationen, die Rück-schlüsse auf Einzelper-sonen erlauben, werdenfür Test und Entwicklungmit realistischen, aberfiktiven Daten ersetzt

JASON MICHAELSJASON MICHAELS ROBERT SMITHROBERT SMITH

PCI DSS Compliance



Auffinden von versteckten sensitiven Daten

� Sensitive Daten lassen sich durch einfache Suchen meist nicht lückenlos auffinden– Tabellen und Lookup Tabellen müssen miteinander verknüpft werden– In längeren Feldern versteckt (Substring) oder über mehere Felder gespeichert

(Concatenations)– Unterschiedliche Darstellung (Lookup Tabellen und Fallunterscheidungen)

� “Corporate memory” ist mangelhaft und weist Lücken auf– Unvollständige Dokumentation– Spezialisten kennen meist nur ein oder zwei Systeme

� Hunderte von Tabellen mit Millionen von Zeilen:– Komplex– Schwer zu verifizieren

� Mangelnde Datenqualität verstärkt das Problem

13:52:49555 908 121210-28-2008

TimePhoneDate

Table A

Transaction Number

Table B

1352555908121210282008

InfoSphereInfoSphereDiscoveryDiscovery

Secure &Protect

Monitor & AuditUnderstand &

Define

Information Governance Core DisciplinesSecurity and Privacy



6

DZ BANK AG„Bevor neue IT-Anwendungen oder Funktionalitäten in den operativen Betrieb übergehen, müssen sie in den Fachbereichen umfassend getestet werden“, erläutert Dr. Holger Kumm, Abteilungsleiter IT-Anwendungsentwicklung bei der DZ BANK AG. „Wir können es uns beispielsweise nicht leisten, im Handelssystem mit falschen Zahlen oder Kundendaten zu arbeiten.“



Das Lösungsszenario der DZ BANKKonzept



� www.ibm.com/de/events/informationgovernance_sap

� 28.11.2012 Hamburg – Museumsschiff Rickmer Rickmers

� 06.12.2012 München – BMW Museum / BMW Welt



IBM InfoSphere Optim Test Data Management Solution

� Schnelle Realisierungneuer Funktionalitäten mithoher Qualität

� Flexible und einfacheAktualisierung von Testumgebungen

� Reduktion von Speicherkosten und manuellem Aufwand

� Referentiell intakte, realistische Test-datenbanken

� Automatischer Vergleichvon Testresultaten

� Beschleunigung der Time-to-Market durch kürzereiterative Testzyklen

Requirements

Benefits

Erzeugung von zielgenauen Teilmengen an Daten für Entwicklungs-, Test- undSchulungsumgebungen

Test Data Management

Discover&Define

Optimize, Archive & Access

Consolidate &RetireDevelop &

Test

Information Governance Core DisciplinesLifecycle Management



Was bringt’s ?

� Mehr wertvolle Zeit zum Testen– 30-40% der zum Testen zur Verfügung stehenden Zeit wird alleine zur

Bereitstellung geeigneter Daten verwendet. Ein effizientes Testdatenmanagementreduziert diese Zeit auf ein Minimum und ermöglicht die Duchführung von weiteren Testfällen

� Reduktion der Kosten– Maximierung des Infrastrukturinvestments– Frühere Entdeckung von Fehlern im Testzyklus– Verlagerung von Software Defects von Produktion nach Test

� Höhere Datenqualität– Aktualisierung von Testdaten auf Basis eines konstanten Ausgangszustandes

minimiert die erforderliche, manuelle Intervention bei deren Neuerstellung und maximiert die Wiederholbarkeit der Tests

� Strukturierung der Datenhoheit– Test Data Management bietet ein rollenbasiertes Zugriffskonzept um eine

horizontale Aufteilung der Entwicklungs- und Testteams zu unterstützen

� Autarke Daten für autarke Teams– Unterschiedliche Testfälle benötigen oft die gleichen Date, jedoch können

unterschiedliche Tests negative Auswirkungen auf andere Test mit identischenDaten haben. Test Data Management erlaubt die Erstellung einer unbegrenztenAnzahl von Testdatenmengen und generiert eindeutige Schlüssel, um qualitativhochwertige, suabere Daten sicherzustellen

Discover&Define

Optimize, Archive & Access

Consolidate &RetireDevelop &

Test

Information Governance Core DisciplinesLifecycle Management



Unternehmensweites Datenmanagement

Unternehmensumgebungen sind meist miteinander verbunden. Integrierte Lösungen müssen demzufolge das Management von Informationen über Plattform- und Datenbankgrenzen hinweg unterstützen.

Data GrowthData PrivacyTest Data Management Application Retirement

Discovery

Guardium - Monitor and Protect



Agenda

2 Datenbank Auditing & Absicherung in Echtzeit

1 Bedeutung von Datenbanksicherheit & Compliance

3 Wrap Up & Diskussion



Sicherheitsherausforderungen beeinflussen die Informationsnutzung

� Cyber-Angriffe

� Organisierte Kriminalität

� Industriespionage

� Angriffe durch Staaten

� Social Engineering

Externe Gefahren

Starker Anstieg an externen Angriffen durch neue Angreifer

� Administrative Fehler

� Unvorsichtiges Insiderverhalten

� Interne Sicherheitsverstöße

� Unzufriedene Mitarbeiter

� Vermischung von privaten Daten und Firmendaten

Interne Gefahren

Risiken durch bösartiges und unvorsichtiges Insiderverhalten

� Gesetzliche Vorschriften

� Industriestandards

� Lokale Richtlinien

Compliance

Steigende Notwendigkeit, immer mehr Richtlinien zu entsprechen

Mobilität Cloud / Virtualisierung Social Business

Einfluss auf die Informationsnutzung

Business Intelligence



Das Ergebnis: Sicherheit wird ein Thema in Vorstandssitzungen

Geschäfts-ergebnisse

Sony schätzt möglicherweise 1 Mrd. US$ Schaden als Langzeitfolge –171 Mio. US$ / 100 Kunden

Lieferkette

Epsilons Datenleck beeinflusst über 100 amerikanische Marken

Juristische Angreifbarkeit

TJX schätzt 150 Mio. US$ Vergleich für Sammelklage bezüglich der Herausgabe von Kredit-kartendaten

Einfluss von Hacktivismus

Lulzsecs 50-tägige Hack-serie trifft Nintendo, CIA, PBS, UK NHS, UK SOCA, Sony …

Risiko bei Audits

Zurich Insurance PLc: 2,275 Mio. £(3,8 Mio. US$) Geldstrafe für Offenlegung von 46.000 Kundendaten

Image der Marke

Datenleck bei HSBC legt Daten von 24.000 privaten Bank-kunden offen

Kann uns das passieren?



Datenbankserver sind das primäre Angriffsziel von Datendieben

Quellen: Verizon Business Data Breach Investigations Report 2009, 2010, 2011

% gestohlener Daten

2009 2010

75%

92%

Datenbankserver

Laptops & Backupbänder

Desktop ComputerAndereWarum?

� Datenbanken enthalten die wertvollstenInformationen des Unternehmens

– Personenbezogene Daten

– Geistiges Eigentum

– Finanzinformationen

– Kreditkartendaten und andereKontoinformationen

� Gut strukturiert für einfachen Zugriff

94%

2011



Gesetzliche Regelwerke in Deutschland(… ohne Anspruch auf Vollständigkeit!)

GWGAO

HGB

GoBS

KWG

SGB BDSG

VAG

Vorgaben für Geschäftsbetrieb, Buchhaltung, Steuersachve rhalte, Datenschutz, ..… - mit Regelungen für papierbasierteVerfahren und die elektronische Datenverarbeitung

Ziele der gesetzlichenRegelungen

BaFinMArisk

Regulierungsumfeld

StGb§§§§203

GDPdU

Z1,Z2,Z3

Grundschutz-Handbuch,ISO 27xxx

Ergänzend vertragliche Regelungen mit Geschäftspartnern …



10 Datenbanaktivitäten, die Unternehmen

überwachen müssen

10 Datenbanaktivit10 Datenbanaktivitääten, ten, die Unternehmen die Unternehmen

üüberwachen mberwachen müüssenssen

Privilegierte User

End User

Entwickler/ Tester IT-Operations

Zugang zu Daten und deren Modifikation/Löschung

Zugang über unerlaubte Kanäle

Modifizierung vonDB-Schemata

Unerlaubtes Hinzufügen/Ändern von User Accounts

Zugang über unerlaubte Kanäle

Zugang zu übermäßigem oder irrelevantem Datenvolument

Datenzugriff außerhalb der standardmäßigen Arbeitszeiten

Out-of-cycle Patching

Zugang zu realenProduktionssystemen

Unerlaubte Änderung von DB oder Applikationen, die auf DB zugreifen



Agenda


1 Bedeutung von Datenbanksicherheit & Compliance

3 Wrap Up & Diskussion



Bisher werden kaum Reportingansätze verfolgt, das sie teuer, nicht wirkungsvoll und arbeitsintensiv sind.

� Signifikante Mitarbeiterkosten für Review und Pflege

� Keine Echtzeit-Auswertungen der Zugriffe, kein aktives Blocking

� Sind oftmals nicht Auditkonform gemäß “Vier-Augen-Prinzip” (Segregation of Duties)

� Der Audit-Trail ist vor Manipulationen durch privilegierte Nutzer nicht geschützt

� Deutlicher Performance-Einfluß auf die Datenbank (i.d.R. >30%)

• Native Datenbank Logs

• Perl/ Unix Scripte/ C++

• Analyse der Daten

• Zentrale Repositories

Erstellung von Berichten

Manuelle Kontrolle

Manuelle Weiterleitung und Nachverfolgung



Oft dauert es Tage oder sogar Wochen bis unberechtigte Zugriffeund Datenabzug entdeckt werden

Zeitverlauf in Prozent

http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf



Mit Infosphere Guardium wird eine Datenbankabsicherung in Echtzeit mit nur minimalen Auswirkungen auf die DB-Leistung gewährleistet.

• Nicht-invasive Architektur

• Zentrales Auditing im gehärteten Collector

• 100%ige Transparenz der DB-Aktivitäten, inkl.

Zugriffe lokaler DBAs

• Unterstützung heterogener Systemlandschafen

• Verlässt sich nicht auf lokale DBMs Logs, die von

Angreifern verändert werden können

• Minimaler Einfluss auf die Performance (2-5%)

• Automatisiertes Compliance Reporting

• Realisiert Funktionstrennung (Segregation of Duties)

DB Server

Audit Collector

Application Server

Privileged User(DBA)

SecurityAdministrator

Auditor

Kernel Agent

User



Beispiel: Zugang über unsachgemäße Kanäle

AlarmiertAlarmiert bei jedem Login des Application Accounts, der über eine nicht festgelegte IP kommt.Application

Server10.10.9.244

Database Server

10.10.9.56

APPUSER



DBFireall Stop SQLVerbindung unterbrochen

Privilegierte Nutzer

SQL

Überprüfung der Regelnauf der Appliance

Beispiel: Unerlaubter Zugang zu Daten

Session beendet

Externer DBA

Regelverletzung:Verbindung wird

abgebrochen



Beispiel: Standard-Report „One User One IP“

Die Lösung sollte zahlreiche Standard-Reports bieten. Als Beispiel ein Report „One User One IP“ – er liefert eine schnelle Übersicht darüber, wie viele verschiedene IPs bestimmte DB-User nutzen. Somit können eventuelle Betrugsfälle, bzw. unauthorisierte Zugänge einfach erkannt werden.



Wichtig ist eine skalierbare Architektur für anspruchsvolle Umgebungen.

Integration mit LDAP/AD, Change Management, SIEM, Archiving, etc.

Development, Test & Training

Data Center 2

Data Center 1

Agent

Collector

Collector

Collector

z/OS Mainframe

DB Firewall Central Policy Manager & Audit Repository

• Zentrales Management zur Reduzierung derAdministrationsaufwände

• Einheitliche Lösung fürLUW und z Landschaften

Agent Agent

Agent

Agent



Die Informationen aus dem Datenbank Audit System sollten in viele andereSysteme integriebar und somit weiter analysierbar sein.

SIEM

� Q1 Labs� TSIEM� ArcSight, ...

Directory Services

� Active Directory� LDAP� ...

Authentication

� RSA SecurID� Kerberos� ...

Long Term Storage

� IBM TSM� EMC Centera� ...

Application Servers

� WebSphere� WebLogic� ...

Applications

� SAP� PeopleSoft� ...

Change Ticketing Systems

� Remedy� Peregrine� ...

SNMP Dashboards

� HP OpenView� Tivoli� ...



Agenda


1 IBM Infosphere Guardium – volle Sicherheit in Echtze itIBM Infosphere Guardium – volle Sicherheit in Echtze itBedeutung von Datenbanksicherheit & Compliance

3 IBM Infosphere Guardium – volle Sicherheit in Echtze itIBM Infosphere Guardium – volle Sicherheit in Echtze itWrap Up & Diskussion



IBM Infosphere Guardium - Funktionsübersicht

• Verhindern von Cyber-Attacken• Überwachen & Blockieren privil. Nutzer• Erkennen von Betrugsversuchen

über die Anwendungsschicht• Änderungskontrollen• Real-time Alerts• Forenische Datenanalyse• SIEM Integration

• Automatisierte & zentralisierte Kontrollen• Datenbankübergreifendes Audit-

Repository • Vorkonfigurierte Regeln/ Berichte

• Sign-off Verwaltung • Archivierung (Retention) • Keine Datenbankänderungen

• Keine Beinflussung der Laufzeit

• Festellen von DB Schwachstellen (VA)

• Auditing von DB Konfigurationen • Verhaltensbasierte Schwachstellen

• Vorkonfigurierte Tests basierend auf Best Practices & Standards (STIG, CIS)

• Aufinden & Klassifizieren sensiblen Daten

• Kontinuierliche Aktualisierung der Regeln

• Erkennen von Schadsoftware

Überwachen & Umsetzen

Audit &Bericht

Bewerten &Verbessern

Finden &Klassifizieren



Wolfgang [email protected]+49 160 9064 3048

IBM Software GroupSenior Technical Sales ProfessionalIBM Optim Classic, - zOS, - SAP, IBM InfoSphere Disco very

Please feel free to contact us if you have any questions ...

Heiko [email protected]+49 175 265 6532

PrincipalData Governance SolutionsGuardium & Optim Certified ProfessionalGeprüfter Compliance Manager SGS/TÜV

DOAG Guardium und Optim 20121122 · 3 © 2012 IBM Corporation Guardium und Optim – starkes IBM...

Documents

Transcript of DOAG Guardium und Optim 20121122 · 3 © 2012 IBM Corporation Guardium und Optim – starkes IBM...