LA PROTECTION DES DONNÉES

Transcription

1 LA PROTECTION DES DONNÉES PROTECTION DES BASES DE DONNÉES 22/11/2012, Swissôtel Métropole

2 INTRODUCTION UNE CIBLE DE CHOIX Contient énormément de données confidentielles Rarement protégée autrement que par son système d authentification natif Configurations par défaut encore trop souvent en place, fonctions inutilisées, MONITORING & PROTECTION TEMPS RÉEL Suivre les connexions légitimes et détecter les connexions illicites Détecter les tentatives d attaque et les bloquer Audit complet et détaillé répondant aux besoins de conformité SÉCURISATION PRÉVENTIVE : DÉTECTION DE VULNÉRABILITÉS Détection des vulnérabilités classiques Recherche des fonctionnalités inutilisées et de code PL/SQL exploitable Proposition de scripts de remédiation 2

3 RESSOURCE CRITIQUE À NE SURTOUT PAS NÉGLIGER

4 DATABASES SECURITY UNE SOURCE DE DONNÉES À NE SURTOUT PAS NÉGLIGER Contient la majorité des données à haute valeur : Informations sur les clients & informations personnelles Informations sur les employés Informations financières et stratégiques Malgré cela, très souvent délaissée d un point de vue sécuritaire SUITE À CE CONSTAT : CRÉATION DE LA SOCIÉTÉ SENTRIGO Produit développé avec Alexander Kornbrust (Red Database Security) Société rachetée par McAfee en avril 2011 et ayant développée 3 produits : Database Activity Monitoring Vulnerability Manager for Databases Integrity Monitor for Databases 4

5 MCAFEE DATABASE SECURITY UNE APPROCHE "DÉCOUVERTE PROTECTION MONITORING" Discovery & Assessment : Vulnerability for Databases Monitoring : Virtual Patching (inclu dans Database Activity Monitoring) Monitoring : Database Activity Monitoring DISCOVER PROTECT MONITOR Database Assessment Database Protection OS Assessment OS Protection Database Activity Monitoring (Virtual Patching) Network Protection Network Monitoring Database Activity Monitoring OS Monitoring 5

6 MENACES TECHNOLOGIQUES QUELS EN SONT LES MENACES? Accès simultanés et en continu par de multiples applications / utilisateurs Impossible à verrouiller sans impacter la disponibilité des données Vulnérable à certaines attaques (injection SQL, buffer overflow, ) MENACES LIÉES À L IMPLÉMENTATION Mauvaises pratiques d implémentation (mot de passe par défaut, installation de fonctionnalités inutilisées, ) Application des patchs hors délais MENACES LIÉES AU FACTEUR HUMAIN Menaces liées aux insiders (DBA, administrateur système, ) 6

7 DATABASE ACTIVITY MONITORING

8 DATABASE ACTIVITY MONITORING PROTECTION FACE AUX FUITES PROVOQUÉES PAR LES INSIDERS Produit basé sur un agent à installer sur le serveur SGBD Driver bas niveau situé entre la mémoire physique de la machine et les processus permet de monitorer tous les types de connexions FONCTIONNALITÉS CLEFS Capacité à terminer les sessions utilisateurs (afin de stopper une attaque en cours) et de placer les utilisateurs en quarantaine Souplesse apporté par le Patching virtuel face aux nouvelles vulnérabilités Impact très faible sur les performances (moins de 5% d un core CPU). Evolutive avec la possibilité de monitorer des centaines de bases de données. Audit complet et temps réel permettant de remplir certains critères de conformité. 8

9 DATABASE ACTIVITY MONITORING LES ACCÈS POTENTIELS Une base de données peut être accédée de 3 façons différentes : Depuis le réseau. Depuis le serveur hôte. Depuis la base de données elle-même. Menaces Intra-DB DBA, Administrateurs systèmes, Développeurs, Connexions locales Connexions réseaux Listener Bequeath DBMS Shared Intra- Memory Data Stored Proc. Trigger View Applications accédant à la base de données 9

10 ARCHITECTURE epo Réseau Alertes / Evènements McAfee Database Security Server Sonde DB Sonde DB DB Sonde DB Console d administration Web 10

11 INTERFAÇAGE AVEC EPO 11

12 VIRTUAL PATCHING BASES DE DONNÉES NON PATCHÉES = RISQUE IMPORTANT Zero Day Vulnérabilité reportée Publication du Patch Patch Installé High Low Mois / Années Mois / Années Exploits publiés sur Internet Souvent aucunes compétences DBA ne sont nécessaires et des outils automatisés sont disponibles Le risque est plus grand après la publication du patch La fenêtre de vulnérabilité peut durer des mois voir des années 12

13 RAISONS D UTILISER LE VIRTUAL PATCHING L APPLICATION DES PATCHS DE SÉCURITÉ DB EST PÉNIBLE Nécessite de nombreux tests de validation Entraîne des downtime des DB conduisant le plus souvent à des interruptions de l activité PARFOIS, CELA RELÈVE DE L IMPOSSIBLE Nécessité d être disponible 24/7/365 en général une fenêtre de maintenance tous les X mois Version du SGBD qui n est plus supporté (ex : Oracle 8i) Moyens humains limités LA SOLUTION : LE VIRTUAL PATCHING Protège contre les vulnérabilités connues et 0 day sans aucun downtime ni changement de code et ce jusqu à l application effective du patch 13

14 VULNERABILITY MANAGER FOR DATABASES

15 VULNERABILITY MANAGER FOR DATABASES UNE SOURCE DE DONNÉES À NE SURTOUT PAS NÉGLIGER Comporte plus de 3800 points de vérification incluant notamment : Niveau de patch, les mots de passe faibles Recherche d informations sensibles Recherche de code PL/SQL vulnérable Détection de backdoors et des fonctionnalités non-utilisées FONCTIONNALITÉS CLEFS Découverte automatique des bases de données et des informations sensibles Fournit des conseils & des solutions réellement applicables Reporting centralisé et basé sur des tests concrets Priorisation des résultats prioritaires en y incluant des scripts correctifs et des recommandations d'experts Possibilité de créer des rôles et des sorties différentes selon les acteurs (DBA, développeurs, responsable sécurité, ) 15

16 LIVE DÉMO DATABASE SECURITY

17 INTERLOCUTEURS Benoît RAMILLON, IT Security Manager Lionel HUYET, Head of Sales Carlo MUNARI, Director, Business Developer Marilyn COMBET, Sales & Marketing Assistant VOUS AVEZ DES QUESTIONS? ANSWER S.A. 29, CHEMIN DU PRE FLEURI POST BOX PLAN-LES-OUATES GENEVE SWITZERLAND T +41 (0) F +41 (0) NOUS AVONS LES RÉPONSES! 17