O que a Gartner pensa sobre Segurança de Banco de Dados?
DAP(Database Audit and Protection) é um termo Gartner desenvolvido para substituir o conceito anterior de monitoramento de atividade de banco de dados (DAM). Ferramentas DAM possuem a capacidade de realizar auditorias de conformidade para as atividades dos usuários privilegiados, controle de vulnerabilidades, e descoberta de dados. DAP, no entanto, refere-se a um conjunto mais abrangente de ferramentas que são usadas para realizar a identificação e emissão de alertas ou bloqueios para comportamentos impróprios, ilegais ou de outra forma indesejáveis dentro dos SGBDs, com um impacto mínimo sobre as operações do usuário e sobre a produtividade.
Conheça as 9 funcionalidades críticas que uma ferramenta DAP deve possuir
Empresas continuam a aumentar o tamanho e o escopo dos seus bancos de dados. Isso está sendo impulsionado pela necessidade de abordar um conjunto cada vez maior de casos de uso de negócio.
Os dados sensíveis, tais como pessoal, saúde, cartões de pagamento, financeiro e propriedade intelectual, estão sendo condensados nesses bancos de dados, mas a capacidade nativa de segurança dos dos SGBDs não são suficientes para gerir os riscos crescentes de ameaças internas e externas. De acordo com a Verizon, 96% dos registros de dados violados foram o resultado de servidores de banco de dados comprometidos em 2011.
Além disso, a gestão de SGBDs que são distribuídos por vários locais da empresa cria um aumento da dor de cabeça de gerenciamento de riscos para diretores de segurança, analistas de segurança da informação e líderes de segurança de TI. Isto é em parte porque os controles nativos dos SGBDs normalmente não oferecem suporte ou capacidade de gerenciamento centralizado para outros bancos de dados de fornecedores. Isso expõe a inadequação, em cada auditoria de SGBD e em capacidades de segurança, levando a falhas potencialmente críticas na estratégia de segurança de banco de dados heterogêneos.
Além de tudo, muitas funcionalidades nativas dos SGBDs não possuem alguns dos mais importantes mecanismos de segurança, tais como análises de vulnerabilidade para detectar e prevenir ataques de injeção de SQL, a avaliação e remediação de vulnerabilidades e políticas de segurança para auditoria de acessos suspeitos. Algumas dessas questões foram discutidas pelo Instituto SANS no seu relatório "CSIS: 20 Critical Security Controls Version 4.0."2 ferramentas DAP abordam 9 destas 20 criticas questões de segurança.
1 Política de Segurança de banco de Dados(Database Security Policy)
A obrigação de cumprir com diversos regulamentos destacou uma série de preocupações de segurança para auditores.
- Identificar dados sensíveis
- Avaliação de vulnerabilidades e conformidade com os padrões de configuração de segurança
- Gerenciar os privilégios de desenvolvedores para impedir o acesso a campos de dados sensíveis ou colunas através de sistemas de produção.
- Ser capaz de auditar mudanças em configurações e patchs dos prórios SGBDs
- Avaliar os direitos de acesso dos usuários altamente privilegiados, tais como DBAs, usuários de aplicação e administradores de sistema.
- Monitoramento de acesso inadequado ou excessivo às bases de dados por usuários de aplicação.
Questões de gestão de acesso só pode ser abordada através da monitorização e análise cuidadosa. Primeiro, os líderes de segurança de TI deve identificar quem deve ter acesso e, em seguida, associar o que cada usuário tem feito com os dados dentro do SGBD. Esse recurso é necessário para qualquer usuário do aplicação, DBA, equipe de TI, desenvolvedor ou a qualquer outro usuário com privilégios de acesso. Ferramentas DAP pode integrar com o Microsoft Active Directory ou Lightweight Directory Access Protocol (LDAP) para alavancar as informações de identidade para estabelecer as listas de controle de acesso. Isto também permite a extracção das identificações em associação com papéis, grupos ou locais, por exemplo. Enquanto outras ferramentas e capacidades de DBMS nativas pode fornecer alguns destes controles, apenas ferramentas DAP permitirá a capacidade mais ampla e o alinhamento de uma política de segurança centralizada para o gerenciamento de todos os SGBDs.
Recomendação
Use ferramentas de DAP para definir e alinhar a política de segurança com a política de governança da segurança do negócio. Definir a configuração, as regras de acesso e segregação de funções, bem como a comunicação de usuários de aplicação e contas de usuários privilegiados.
2 Descoberta e Classificação de Dados(Data Discovery and Classification)
Os regulamentos continuam a ser um dos principais fatores para a adoção de produtos de segurança de banco de dados relativos a informações pessoalmente identificáveis (PII), informações de saúde protegidas (PHI), e informações de cartão de crédito e de financeiras.
Gerenciar SGBDs e acompanhar alterações no conteúdo de dados não são tarefas triviais. Ferramentas de DLP são capazes de pesquisar dados não estruturados. Elas podem ser usadas para monitorar o acesso e uso contínuo de um usuário de dados, mas eles não estão bem adaptadas para procurar dentro de estruturas de SGBDS. No entanto, a DAP é a única ferramenta com a capacidade de procurar e encontrar tipos específicos de dados dentro dos campos de DBMS, bem como de acompanhar e controlar o acesso de usuários individuais para os dados. Alguns fornecedores também permitirá a integração dos recursos de pesquisa DAP em produtos de DLP.
Recomendação
Implantar a funcionalidade de descoberta de dados de DAP para identificar, classificar e controlar os dados regulamentados ou sensíveis dentro de SGBDs, e para fornecer monitoramento e auditoria de dados do usuário individual. E se possível, verificar a disponibilidade para a integração com soluções de DLP content-aware.
3 Avaliação dos Usuários e Permissões( Assessment of Users and Permissions)
O conceito de um usuário privilegiado pode muitas vezes ser interpretada erroneamente como indicando apenas um DBA ou administrador do sistema quando, na verdade, isso simplesmente significa que qualquer usuário com privilégios. Um usuário altamente privilegiado tende a ser um administrador, embora isso nem sempre é o caso, uma vez que também pode ser um usuário do aplicativo com altos requisitos de acesso. Mesmo administradores diferentes terão diferentes permissões de acesso. Por conseguinte, pode ser importante para extrair esses dados e analisá-la.
Alguns fornecedores DAP tem ferramentas especializadas para que os dados de permissões sejam extraído para monitoramento, avaliação,conformidade e auditoria. Se as permissões não combinam com a política de segurança, elas podem ser bloqueadas ou removidas. É uma das melhores práticas para definir conjuntos mínimos de privilégios e de rever regularmente os privilégios não utilizados como uma política em curso.
Recomendação
Avaliar, monitorar e gerenciar as permissões de usuários, administradores e desenvolvedores de segurança através de sua capacidade de acessar cada SGBD. Aplicar ao menos uma política de privilégio para minimizar os direitos de acesso concedidos as pessoas físicas.
4 Monitoramento e Auditoria de usuários privilegiados e Auditoria(Privileged User Monitoring and Auditing)
O acesso dos usuários altamente privilegiados é uma das principais preocupações para os auditores. Normalmente, a configuração padrão para SGBDs é conceder DBAs com acesso completo de dados e para eles definirem privilégios de usuário, enquanto os desenvolvedores teriam acesso aos DBMS de codificação. Contas privilegiadas são uma fonte privilegiada para uso indevido, fraude ou ataques direcionados. Portanto, os reguladores vão exigir um acompanhamento detalhado e auditoria dessas contas de usuário. Prevenir ou bloquear usuários privilegiados é difícil porque nem sempre é fácil diferenciar o acesso legítimo a partir de atividade maliciosa ou enganado. Criptografar ou mascarar dados sensíveis é uma capacidade emergente para DAP que podem ajudar com esta questão.
Recomendação
Monitorar as atividades do usuário altamente privilegiado com alertas em tempo real e relatórios em curso para identificar alterações de configuração inadequadas de SGBDs, acesso a dados, alterações ou conceções de permissões. Ferramentas DAP podem fornecer uma pista de auditoria que não é dependente de funções nativas de auditoria.
5 Aplicação de Monitoramento e Auditoria de usuário de aplicação(Application User Monitoring and Auditing)
Usuários finais de aplicações que acessam o SGBD podem ter permissões de acesso para diferentes SGBDs, dependendo de suas unidades de negócios, papéis e locais. Portanto, cada usuário terá uma impressão digital atividade diferente que diz respeito às operações de dados, tempos de conexões de acesso e de rede. DAP fornece a capacidade de identificar os usuários individuais e os seus padrões, mesmo quando alguns aplicativos usar o pool de conexão ou de serviços compartilhados de identidades. Ele mantém uma trilha de auditoria para acesso de usuário autorizado a dados e permite a verificação de qualquer abuso de permissões contra a política.
No entanto, as empresas devem estar cientes de que, uma vez que os dados são acessados a partir do DBMS, a capacidade de cometer fraude, roubo de dados ou ataques direcionados se estende para além do âmbito de apenas DAP. Outras ferramentas de segurança também deve ser considerada na rede.
Recomendações
Utilizar parâmetros que permitem a identificação do usuário final. Desta forma, regras podem ser aplicadas para monitorar usuários de aplicação que realizam atividades suspeitas ou exceções, como por exemplo: manipulação de um volume excessivo de dados, ou execuções em horas incomuns ou através de locais trabalho diferentes. Soluções DAP podem fornecer uma pista de auditoria que não é dependente de funções nativas de auditoria.
6 Relatórios, Análise e Coleta de Eventos(Event Collection, Analysis and Reporting)
Ferramentas DAP oferecem uma capacidade única para a coleta e análise de todo o tráfego, eventos e consultas via comandos SQL para o SGBD. Três abordagens tecnológicas diferentes são possíveis para agrupar esses dados: registro de DBMS nativa, agentes de rede (o que normalmente residem nos servidores) e dispositivos de rede. Na prática, a maioria das empresas utilizam mais de um SGBD, e reunir todos os dados a partir de auditoria nativas dos SGBDs torna-se impraticável. Além disso, os auditorias nativas tendem a ter capacidades limitadas para examinar o código SQL, e seu uso não é segregado de usuários privilegiados. Fornecedores DAP possuem interfaces especializadas para que cada SGBD realize o monitoramento centralizado.
Todos os comandos de acesso a dados e o tráfego de e para todos os SGBDs são monitorados, analisados e armazenados para produzir registros de auditoria e compliance. Validações em tempo real são feitas contra vulnerabilidades de SQL conhecidos ou ataques. Estes eventos podem ser bloqueados automaticamente, se necessário ou gravado para a análise do comportamento anormal. É comum que algumas organizações que também empregam rede forense para integrar estes resultados críticos de DAP.
Recomendação
Empresas que empregam vários SGBDs deve considerar a integração da análise de eventos DAP com outras ferramentas de rede, como SIEM, para uma estrutura de segurança mais abrangente.
7 Gerenciamento de Vulnerabilidades e Configuração(Vulnerability and Configuration Management)
A funcionalidade de scanner de vulnerabilidade vai monitorar continuamente os SGBDs afim de verificar suas vulnerabilidades de configuração. Esta capacidade está estreitamente alinhada com a identificação e bloqueio de ataques (veja a Prevenção e bloqueio de seção ataques).
A capacidade de varredura do DAP para SGBDs é muito mais abrangente do que as tecnologias de scanner de vulnerabilidade de redes. Ele pode identificar patches em falta, bem como detectar as definições de configuração padrão, alterações na configuração que conflitam com o controle de mudanças atualmente aprovado e senhas fracas. Versões mais antigas dos DBMS podem não estar mais suportadas pelo fornecedor.
Recomendação
Use a função de gerenciamento de vulnerabilidades e configuração para continuamente monitorar e aplicar patches atualizados. Corrija configurações fracas de DBMS e aplique uma política forte para gerenciamento de senhas.
8 Prevenção e bloqueio de ataques( Prevention and Blocking of Attacks)
Equipes dedicadas de fornecedores de SGBD investigam as fraquezas dos seus produtos para que possam evitar ataques. Quando eles encontram estas vulnerabilidades, eles disponibilizam patches para bloquear estes ataques.
Os patches de banco de dados são projetados para corrigir um código particular, já abordagem de soluções DAP consiste na capacidade de detectar usuários não autorizados ou acesso de usuário privilegiado com comportamentos suspeitos. A detecção do ataque prova bloqueio automático de certos comandos dos SGBDs.
Recomendação
Certifique-se de que a capacidade de bloqueio está ativada para bloquear ataques conhecidos. Estabelecer um processo de avaliação para bloquear outras vulnerabilidades, enquanto equilibra o efeito sobre as aplicações.
9 Criptografia, Tokenization e Macaramento de Dados(Encryption, Tokenization and Data Masking)
Funcionalidades de proteção de dados podem ser usadas para dados em repouso e também durante em uso. Se aplicado a nível de regisstro, de coluna ou tabela, alguns dados podem ser impedidos de serem visualizados.
A maioria dos SGBDs oferecem alguma forma de criptografia nativa como uma opção, com a capacidade de gerenciamento de chave externa. No entanto, uma vez que as chaves são normalmente armazenadas no banco de dados, DBAs podem ter acesso a eles.
Criptografia pode proteger arquivos inteiros, colunas ou campos em repouso pode fornecer proteção contra perda ou roubo dos dados, a oferta de isenções em relação aos requisitos de notificação de violação de dados em algumas jurisdições. Isso só será o caso se as chaves também são criptografados com uma chave mestra e gerida por uma ferramenta de gerenciamento de chave externa. A maioria das soluções DAP já oferecem essa criptografia externa e opção de chave de controle de gestão. Eles podem ser usados para impedir o acesso de usuários priveligiados ou autorizados de aplicações a específicos dados criptografados.
Tokenization, mascaramento de dados e criptografia podem ser aplicadas para manter a estrutura do banco de dados, permitindo simultaneamente a funcionalidade de pesquisa. Mascaramento de dados também pode ser aplicada para proteger os dados subjacentes, substituindo-o com os dados que tem nomes fictícios ou números de segurança social. No entanto, ele fornece dados significativos para desenvolvedores e administradores durante as atividades de teste ou de desenvolvimento.
Recomendação
Se um dado particular precisa ser protegido enquanto em uso ou em repouso o acesso de usuários privilegiados ou de certos usuários de aplicações,então deve-se utilizar soluções de criptografia, tokenization ou mascaramento de dados. Use proteção em nível de campo, se segregação adicional de funções for necessária.