IBM Security Systems IBM Security Intelligence InfoSphere Guardium V9.0 Overview 2012 Vincent Jeansoulin IBM IT Senior Specialist +41 79 500 87 70 IBM InfoSphere Guardium 1
Agenda InfoSphere Guardium value proposition InfoSphere Guardium Bénéfices InfoSphere Guardium : Fonctionnalités et Cas d'usage Protection des données vs protection des Database Sécurité Intelligente Autres améliorations Discussion 2Points importants La protection des données ne peut plus être considérée comme optionnelle et les audits sont de plus en plus nombreux. InfoSphere Guardium est le leader dans la protection des données et s'intègre avec le portefeuille de sécurité IBM pour amener une protection complète. 2
Les serveurs de base de données sont la principale source de vol de données. % of Compromised Records 92% Other Desktop Computers Laptops & Backup Tapes 75% Database Servers 2009 2010 Sources: Verizon Business Data Breach Investigations Report 2009, 2010 Although much angst and security funding is given to offline data, mobile devices, and enduser systems, these assets are simply not a major point of compromise. 3
Compromises take days or more to discover in 96% of cases; and weeks or more to contain in over in 91% of cases Time span of events by percent of breaches 4 http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf?cmp=dmc-smb_z_zz_zz_z_tv_n_z038
InfoSphere Guardium: In-depth Data Protection 5 5
InfoSphere Guardium Value Proposition: Continuously monitor access to databases including data warehouses, big data environments and file shares to. Empêcher les fuites de données Prévenir les fraudes de données sensibles Assurer l'intégrité des données sensibles Empêcher les changements non-authorisé des données, des structures de bases des fichiers de configurations et des logs Réduction des couts de compliance Automatiser et centraliser les controles Simplifier les processus de validation des audits 6
Répondre aux différents responsables Responsable Sécurité Conformité & Audit Application & Base de Données Politiques en temps- réel Traçabilité sécurisé des Audits Data mining & forensics Séparation des tâches Rapports sur meilleurs pratiques Contrôles automatisés Impact Minimal Change management Optimisation de la Performance Guardium: une visibilité a 360 8
Les solutions - Maison - sont coûteuses et inefficaces Native Database Logging Native Database Logging Pearl/UNIX Scripts/C++ Scrape and parse the data Move to central repository Remediatio n dispatch and tracking manuel Native Database Logging Création de reports Revue Manuelle Native Database Logging Coût significatif pour valider les données générées et maintenir le processus Impact important sur les perfs de l'utilisation du log sur les RGBD Pas en temps réel Pas de séparation des roles => ne satisfait pas les auditeurs Stockage des données n'est pas sécurisé. Politique inconsistante à l'échelle de l'entreprise 9
IBM Guardium - sécurise les bases de données en temps réel. surveille continuellement les accès aux bases de données sur toutes les plateformes et les protocoles Génère une trace auditable sécurisée, infalsifiable, qui supporte la répartition des tâches requise par les auditeurs. Caractéristiques Principales Appliance intégrée Aucun changement sur le DBMS, architecture crossplatform Data Repositories (databases, warehouses, file shares, Big Data) Host-based Probes (S-TAPs) Collector Appliance 100% visibilité incluant les accès locaux des utilisateurs privilégiés Impact minimal sur les performances Module d'auto-découverte des données et ressources Ne s'appuie pas dur les systèmes de log sensibles traditionnels des bases pouvant être facilement désactivés par les administrateurs ou éffacés par Détecte ou bloque les activités suspectes & non-autorisées les hackeurs Politiques Granulaires, et surveillance temps réel Non intrusif Who, what, when, how KB Prépackagée de vulnérabilité et rapports de compliance pour SOX, PCI, etc. 10
Extend real-time Data Activity Monitoring to protect sensitive data in databases, data warehouses, Big Data environments and file shares DATA Big Data Environments InfoSphere BigInsights NEW Integration with LDAP, IAM, SIEM, TSM, Remedy, 11
Guardium integration avec le SI Réduction du TCO Directory Services (Active Directory, LDAP, TDS, etc) Authentication (RSA SecurID, Radius, Kerberos, LDAP) Data Classification and Leak Protection (Credit Card, Social Security, phone, custom, etc) SIEM (IBM QRadar, Arcsight, RSA Envision, etc) Send Alerts (CEF, CSV, Syslog, etc) SNMP Dashboards (Tivoli Netcool, HP Openview, etc) Send Events Change Ticketing Systems (Tivoli Request Mgr, Remedy, Peregrine, etc) Vulnerability Standards (CVE, STIG, CIS Benchmark) Long Term Storage (IBM TSM, IBM Nettezza, EMC Centera, FTP, SCP, etc) STAP Software Deployment (IBM Tivoli Provisioning Manager, RPM, Native Distributions) Security Management Platforms (IBM QRadar, McAfee epo ) Application Servers (IBM Websphere, IBM Cognos, Oracle EBS, SAP, Siebel, Peoplesoft, etc ) 14
Addressing the full data security and compliance lifecycle 15
Find uncataloged databases and identify sensitive data Crawls the network to find uncataloged instances Four algorithms to identify sensitive data in databases Policy-based responsive actions Alerts Add to group of sensitive objects 16
Reduce the cost of managing user rights Provides simple aggregation of entitlement information Enable understanding of existing privileges Eliminate inappropriate privileges Scheduled information scans (including groups and roles) Out-of-the box reports for common views Report writer for custom views Eliminates resource-intensive error-prone manual processes for examining each database and stepping through roles Sample Reports Accounts with system privileges All system and admin privileges (by user / role) Object privileges by user Roles granted (user and roles) Privilege grants Execute privileges by procedure 17
Fine-Grained Policies with Real-Time Alerts Policy Granularity Application Server 10.10.9.244 Database Server 10.10.9.56 Alert Result 18
Expanding Fraud Identification at the Application Layer Joe Marc APPUSER Issue: Application server uses generic service account to access DB Doesn t identify who initiated transaction (connection pooling) Application Server Database Server Solution: Guardium tracks access to application user associated with specific SQL commands Out-of-the-box support for all major enterprise applications (Oracle EBS, PeopleSoft, SAP, Siebel, Business Objects, Cognos ) and custom applications (WebSphere.) 19
Identify inappropriate use by authorized users Should my customer service rep view 99 records in an hour when the average is 4? Is this normal? What did he see?! 20
Automated Sign-offs & Escalations for Compliance 21
Prevent policy violations in real-time (blocking) No database changes No application changes No network changes Without the performance or availability risks of an in-line database firewall 22
Vulnerability & Configuration Assessment Architecture Based on industry standards (DISA STIG & CIS Benchmark) Customizable Via custom scripts, SQL queries, environment variables, etc. Combination of tests ensures comprehensive coverage: Database settings Operating system Observed behavior Database User Activity DB Tier (Oracle, SQL Server, DB2, Informix, Sybase, MySQL) OS Tier (Windows, Solaris, AIX, HP-UX, Linux) Tests Permissions Roles Configurations Versions Custom tests Configuration files Environment variables Registry settings Custom tests 23
Identifying Unpatched & Misconfigured Systems (VA) Result History Summary Outlining Results Filters and Sort Controls Detailed Test Results Detailed Descriptions of Fixes 24
Proof Of Concept Définir et documenter les critères de succés. Retourner la Database Inventory Spreadsheet Réception de l appliance physique sur site Personnel qualifié installe l appliance et vérifies la capture initiale des données Créer ou modifier les rapports et vues nécessaire pour atteindre les critères Effectuer les tests suivant le plan de test défini Présenter les conclusions à l équipe directrice Documenter les conclusions et identifier les critères non atteints Déconnecter et renvoyer l appliance 26
Product Functionality Components - Une Plateforme / Solution unifiée Discovery & Classification Entitlement Reporting Data Level Access Control (DLAC) Security Vulnerability Assessment Database Activity Monitoring (DAM) Enterprise Integrator Advanced Work Flow Automation Change Audit System 27
Implementation (DAM - High Level) Installation & Configuration Monitoring Setup & Verification Additional Functionality Setup Test Cycle Production Roll-Out Steady State 28
Implementation Schedule (Example) 29
Implementations étapes et participants 1. Installation Planning Analyze Requirements Identify Database servers in scope Data centers, locations and network considerations Installation of the appliances (process, steps and requirements) Basic configuration of the appliances Deployment plan of the Guardium appliances Installation of the S- TAP (process, steps and requirements) Basic configuration of the STAP 2. Appliance Installation Rack and connect each Guardium appliance to power and network Configure each Guardium appliance with Basic Configuration parameters. Verify systems are on the network (If applicable) Register all Guardium appliances to the Central Manager Review and complete basic configuration of each appliance 3. S-TAP agent Installation S-TAP agents are installed on database servers S-TAP agents are configured to capture traffic. Verification that the S-TAP is is registered and is is sending local traffic. Verify S-TAP traffic is is captured by the collector 4. Monitoring Requirements Configure Groups Privileged users Commands Applications Servers ips Source programs Sensitive objects Setup of Reports Setup of automated Audit process Setup of Policy rules based on the Monitoring Plan Alerting processes and procedures 5. Guardium Operations Aggregation Archiving Purging System Backup Appliance health Project Manager DBA Security Auditor Network Admin System Admin Guardium administrator 30 Project Manager Network Administrator Guardium Administrator Guardium Administrator DBA Database server system administrator Those responsible for monitoring, security and review of the logged data. This typically includes: Information Security Audit DBA Data Stewards/Architects IT infrastructure Guardium Admin Disk storage Admin
IBM InfoSphere Guardium vous permet de protéger vos informations les plus sensibles. Surveillant continuellement les accés aux bases de données à fotrte monitor access to high-value databases to: 1. Empécher les failles de sécurité Prévenir les menaces externes et internes 2. Assurer l intégrité des données sensibles Empêcher les modifications non-autorisées des données ou des structures sensibles 3. Réduire le coût de la compliance Automatisation et cen- tralisation des contrôles Across PCI DSS, data privacy regulations, HIPAA/HITECH, Across databases and applications Simplifiser les processus 31
Pourquoi Guardium: Les bénéfices Solution leader sur son marché Simple à mettre en place et à administrer Approche évolutive Rapidité de mise en place Respect de l architecture existante Support hétérogène Perfomance Auditabilité 100% visibilité sur toutes les transactions 32 32
InfoSphere Guardium Références 33 33
Référence client 1/3 Banque: Plusieurs Millions de Sessions/jour Qui: Banque cotée au NYSE avec 75 millions de clients Besoin: Améliorer la Sécurité des bases de données pour une mise en conformité avec des meilleures pratiques Métier, gouvernance de données et SOX Phase 1: Surveillance des activités relatives aux comptes privilégiés (modifications des sgbd). Phase 2: Focus sur la confidentialité des données. Environnement: 4 centres de données gérés par IBM Global Services 122 instances de bases de données sur + de 100 serveurs Oracle, IBM DB2, Sybase, SQL Server sur AIX, HP-UX, Solaris, Windows PeopleSoft ainsi que + de 75 applications développées en interne Autres Options Envisagées: Audit natif Problèmes et impact sur les performances et la disponibilité; Résultats: Audit de +1M sessions /jour (GRANTS, DDLs, etc.) Capture des accès par les DBA avec Excel & ou les autorisations partagées Production automatisée de rapports quotidiens sur la conformité; validation par les équipes BdD & Sécurité & Métiers Contrôle automatique sur les changements en réconciliant avec les tickets d incidents Passage de 2 Audits externes avec succès 34 34
Référence client 2/3 Leader européen Telecoms Qui: Opérateur mobile avec 70 millions d abonnes. + 30 milliards d euro Besoin: Garantir la confidentialité des données sensibles clients en conformité avec les réglementations et les lois en vigueur Phase 1: Protection et Audit des systèmes OSS Phase 2: Protection et Audit des systèmes BSS Environnement: 15 centres de données hétérogènes repartis géographiquement Oracle, Sybase, SQL Server, Sybase HP-UX, HP Tru64, Solaris, Windows, Unix SAP, Remedy, Comverse, applications spécifiques Autres Options Envisagées: Audit en mode natif; Oracle Audit Vault; Oracle Database Vault Problèmes et impact sur les performances et la disponibilité; manque de granularité; pas de séparation des taches; Bases de données multiples non-supportées Résultats: Reporting en temps-réel et visibilité sur les accès sur les applis et les SGBD Déploiement de 12 centres de données en 2 semaines Monitoring et audit de tous les trafics bases de données internes et externes avec une gestion centralisée Projets futurs: implémentation de l application user monitoring; authentification, extension du scope à d autres applications (SIEM, CRM, Marketing, HR); Vulnerability Assessment Passage d Audits internes et externes, périodiques et continus 35
Référence client 3/3 Chaîne de pharmacies US avec >$100B & 7000 magasins Besoin: Initialement PCI, puis étendu à SOX, SAS70, confidentialité des données personnelles Environnement: 5 Centres de Données (via M&A) Oracle, SQL Server, DB2, UDB sur AIX, Solaris, Windows Dell, IBM Midrange, Sun, IBM z10 sur RACF PeopleSoft, SAP et applications spécifiques Alternatives considérées Native Auditing; DB encryption; Symantec Résultats Implémentation en ~ 4 semaines, Certification PCI sur les données, leur a épargné des pénalités de retard, Protection des données des titulaires de cartes stockées (Exigence #3), Restreindre l'accès aux données de titulaire de carte aux seuls individus qui doivent les connaître (Exigence #7), Développer et gérer des systèmes et des applications sécurisés (Exigence #6), Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données de titulaire de carte (Exigence #10), Réduction des échecs de connexions intempestifs-> performance & disponibilité, Prévention des fraudes et fuites d'information Identification des utilisateurs + séparation des taches. 36