© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security Referent Björn Welling.

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security Reale Szenarien: Bedeutung und Bedrohung von „Data Leakage“ Steuer-CDs scheidende Mitarbeiter WikiLeaks USB Sticks

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security Reale Szenarien: Bedeutung und Bedrohung von „Data Leakage“ Steuer-CDs scheidende Mitarbeiter WikiLeaks USB Sticks Offener Layer2 Zugriff

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security Reale Szenarien: Bedeutung und Bedrohung von „Data Leakage“ Steuer-CDs scheidende Mitarbeiter WikiLeaks USB Sticks Offener Layer2 Zugriff Email

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security „Data Leakage“, „Data Loss“ Angriffe zielen auf fremdes Eigentum! Bedeutung und Bedrohung von „Data Leakage“

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security „Data Leakage“, „Data Loss“ Angriffe zielen auf fremdes Eigentum!  per Definition: „Diebstahl“ Bedeutung und Bedrohung von „Data Leakage“

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security „Data Leakage“, „Data Loss“ Angriffe zielen auf fremdes Eigentum!  per Definition: „Diebstahl“ Im technischen Kontext: unbefugtes beschaffen (Datenursprung) & unbefugtes wegschaffen (Datentransport) Bedeutung und Bedrohung von „Data Leakage“

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security Kosten und Gewichtung in Deutschland: zwischen ca. 370.000 und ca. 6 Millionen € Schaden pro Vorfall Zwischen 3000 und 63 000 verlorene Datensätze pro Vorfall ( Ponemon Institute, 2010 Global Cost Of Data Breach – Studie durch persönliche Befragung) Bedeutung und Bedrohung von „Data Leakage“

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security Kosten und Gewichtung in Deutschland: zwischen ca. 370.000 und ca. 6 Millionen € Schaden pro Vorfall Zwischen 3000 und 63 000 verlorene Datensätze pro Vorfall ( Ponemon Institute, 2010 Global Cost Of Data Breach – Studie durch persönliche Befragung ) Meldepflicht: Verschärfung des Bundesdatenschutzgesetzes seit 01. September 2009: Unternehmen und Behörden müssen Datendiebstahl melden & die Betroffenen Informieren, wenn schwerer Schaden droht. Bedeutung und Bedrohung von „Data Leakage“

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security Wo bieten sich DLP Maßnahmen an : Beim Datentransport viele Möglichkeiten, unterschiedlichen Technologien & Infrastrukturen zu schützen. Bedeutung und Bedrohung von „Data Leakage“

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security Wo bieten sich DLP Maßnahmen an : Beim Datentransport viele Möglichkeiten, unterschiedlichen Technologien & Infrastrukturen zu schützen. Am Datenursprung Jedes Szenario entwickelt sein Gefährdungspotential an der Quelle der Daten. Bedeutung und Bedrohung von „Data Leakage“ Definition „Daten-Quellen“: strukturierten und unstrukturierten Daten

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security strukturierte Daten: - Logisch gruppierte Informationseinheiten - User Interaktion erfolgt durch vorgeschaltete Applikation mit definierten Funktionen - eine übergeordnete Zugriffsregelung für alle Informationseinheiten im gleichen „Container“  Datenbanksystem (DBS)  Lösungsansatz: Database Firewall Bedeutung und Bedrohung von „Data Leakage“

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security unstrukturierte Daten: - Beliebige Informationsobjekte: Beschaffenheit, Ort und Zugriff sind nicht einheitlich - User Interaktion erfolgt durch verschiedene Applikationen - Pro Informationseinheit erfolgt autonome Zugriffsregelung  Fileserver  Lösungsansatz: File Firewall Bedeutung und Bedrohung von „Data Leakage“

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security Database Firewall PORT 80 PORT 443 Angriffe richten sich gegen die Appliaktionen Perimeter Security ist stark, aber offen für Web Traffic Welche Datenbank Abfragen sind legitim? Was macht eine Benutzer Interaktion zu einem Angriff? Cross-Site Scripting SQL Injection Cookie Poisoning Hidden-Field Manipulation Parameter Tampering

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security Vorteile: - Lösungen bedienen den Markt „Web2.0“ und unterstützen die Technologien der web - basierenden, dynamischen sowie e-Commerce Plattformen (Unterstützen die typischen Betriebssysteme und Scriptsprachen) - bestehende Server Landschaft muss nicht verändert werden - vorgefertigte Angriffssignaturen für verschiedene Datenbank Modelle Database Firewall Bewertung der Datenbank – Schutzmaßnahmen im Web Application Kontext:

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security Database Firewall Bewertung der Datenbank – Schutzmaßnahmen im Web Application Kontext: Nachteile: - Schutzmaßnahmen sind „hard-wired“ mit dem Übertragungsweg Web bzw. HTTP und Bedienen daher nicht alle Szenarien. -Technische Grenzen - Paradebeispiel URL Encoding in URI / Header: alert(Hello) != %3Cscript%3Ealert(Hello)%3C%2Fscript%3E Falls URL Decoding betrieben wird: Maßnahmen-bedingte Einbußen bei der Performance hinterlassen Spuren im Internet (Latenzen, TCP Window Size…) und suggerieren Angriffsfläche - Keine oder eingeschränkte Betrachtung von Anomalien (Schwellwerte für Query Aufkommen & Art, User Wechsel)

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security Database Firewall Überwachung aller der Zugriffe auf die Datenbank: Netzwerk Zugriffe Lokale Aktivitäten auf dem Datenbanksystem (durch Agents) Web Apps Datenbank Clients & Schnittstellen Überwachung bezüglich: Bekannter Angriffe Regelwerksverletzungen Einhaltung von User Berechtigungen Anormales Verhalten Reaktionen auf Events: Alarmierung/Reporting/Block Anforderungen an eine vollwertige Datenbank Security Lösung Selbsthilfe

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security Database Firewall Transparent Inline Bridge –Unterstützt das vollständige Featureset –Hoher Durchsatz, idealerweise geringe Latenz –Fail-open interfaces für Hardware Bypass Non-inline Deployment (passiv) –Nur für Monitoring, keine Netzwerk Latenz, kein Policy Enforcement Mehrere Units können implementiert und zentral administriert werden. Host basierende Agenten unterstützen beide Implementierungsformen. Switch DB-Firewall Daten CenterDB-Firewall Aktive (inline) Implementierung Passive Implementierung Implementierungsformen

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security Database Firewall Beispiel: Überwachung von Regelwerksverletzungen Policies werden verwendet, um spezielle Anforderungen umzusetzen: Compliance Anforderungen Umsetzung der Zugriffskontrolle (User Rights Management) Vordefinierte Compliance Regeln: PCI-DSS, SOX, HIPAA, ISO27001, GLB Act oder eigene Anpassungen denkbar Gruppe der Tabellen, die überwacht werden soll Art der Operation Kriterien auswählen Policy Enforcement für welche Daten?

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security Database Firewall Beispiel: Überwachung von Regelwerksverletzungen Alarmierung: Die Betrachtung des gesamten Kontext ermöglicht die Visualisierung von: Wer? Was? Wann? Wo?

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security Database Firewall Beispiel: Überwachung von Anomalien Erstellen von Profilen, welche „normales“ Verhalten für ein Objekt beschreiben – „Baselining“ Profil - Abweichungen erzeugen einen Alert, und / oder Blocken die Ausführung Objekt & Empfindlichkeit “normales” Verhalten

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security File Firewall Definition des Problems beim Umgang mit Dateien auf File Servern oder NAS Storage: Firmenrichtlinien bzgl. der Daten nur schwer umsetzbar: oft mangelt es an ordnungsgemäßer Klassifizierung und anschließender Umsetzung der Restriktionen. Mit den Jahren gewachsene File Server und Verzeichnisdienst Strukturen erschweren die Sicht auf die „effektiven Berechtigungen“ Gruppenrichtlinien, ACLs und Vererbungshierarchien bestehen aus der Historie bedingt parallel, bzw. kollidieren.

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security File Firewall Anforderungskatalog ähnlich wie bei Datenbanken: Visualisieren: wer greift auf Dateien zu? Wie ist das Nutzungsverhalten bestimmter User / Daten? Wie sehen „effektive Berechtigungen“ aus? Kategorisierung („Vereinheitlichung“) der Daten bzw. Dateien Erstellen und umsetzen von Regelwerken bzgl. der Zugriffe auf die Dateien und bzgl. der User Rechte Auswerten der Zugriffe und Events

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security File Firewall File Activity Monitoring File Firewall Management Server Nutzer File Server NAS Systeme Mögliche Implementierung:

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security File Firewall Transparent Inline Bridge –Unterstützt alle Möglichkeiten: File Audit & File Firewall & URM –Hoher Durchsatz, idealerweise geringe Latenz –Fail-open interfaces (sinnvoll) Non-inline Deployment (passiv) –Nur für Audit Monitoring & URM, keine Netzwerk Latenz, kein Policy Enforcement Switch File Firewall File ServerFile Audit Monitoring Aktive (inline) Implementierung Passive Implementierung Implementierungsformen

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security File Firewall Implementierungsformen Merkmale beider Implementierungsformen: Umfassende Visualisierung: alle Dateien und Verzeichnisse von allen Systemen (Windows File Server, NAS Systeme) keine Beeinträchtigung der Dateisystem Performance keine Anpassung von Applikationen, Servern oder Clients nötig Informationsgehalt von User-bezogenen Daten kann angepasst werden (4 Augen Prinzip, Datenschutz / Betriebsrat Vorgaben)

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security File Firewall Veranschaulichung des Funktionsprinzips einer implementierten File Firewall: Auf Basis von Audit Ergebnissen wurden Policies für Dateizugriffe und User Berechtigungen erstellt. Policies werden angewendet – zweifelhafte Lesevorgänge per Block unterbinden. Darüber hinaus: Monitoring von File Server Aktivitäten und Alarmierung.

NAS File Servers Joe, IT Jim, HR Dateisysteme “crawlen” “Inventarisierung” von Name, Typ, Besitzer, Berechtigungen… Klassifizierung des Daten- bestandes und Policy erstellen File Firewall / File Activity Monitoring X Policies anwenden WerWasAktion Non Finance Update Financial Block Any Read Marketing Audit Audit Log WerWasWannAktion JoeRead CEO salary.xls 1/1/2010 12:50 Block JimRead promo files.doc 1/1/2010 12:51 Audit Ergebnis: Data/Permission Map WerGruppeWasKlasse Joe, ITFin-CCLesen CEO salary.xls Financial Jim, HR HR-ExecLesen promo files.doc Marketing 2 2 1 1 3 3 OK

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security File Firewall Beispiel: Klassifizierung und Policy Erstellung Audit Ergebnis: Pfade, Unterordner, Dateien Automatische Klassifizierung auf Basis von Meta Daten Excel Dateien im “Budget” Ordner, welche “Finance” gehören, sind vom Typ “Financial Data” Klassifizierung + Policy = Umsetzen der Unternehmensrichtlinien

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security File Firewall Beispiel: Visualisierung von File Server Operationen Filter: Financial Data Wer hat die meisten Zugriffe?

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security File Firewall Beispiel: Visualisierung von File Server Operationen Zugriff anderer Abteilungen auf Daten der Klasse “Financial” ? Was wurde wann aufgerufen?

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security File Firewall Beispiel: Visualisierung von Berechtigungen Zugriff von “allen Benutzern” erlauben? Welche Rechte werden nicht benötigt?

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security File Firewall Beispiel: Alarmierung von Policy Violation Blocke und alarmiere, wenn ein User außerhalb der Finanz-Gruppe zugreift In die Tiefe gehen: “wer, was,wann und wo” Alarmierungstrigger

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security Zusammenfassung Datendiebstahl definiert sich technisch durch unbefugtes beschaffen (Datenursprung) und unbefugtes wegschaffen (Datentransport) Es wurde ein neuer, technologischer Ansatz für den Schutz der Daten am Ursprung in Form von Database Firewall und File Firewall geschaffen Seit September 2009 besteht Meldepflicht laut BDSG Datenbank Firewalls im Web Application Kontext bedienen den Web2.0 Markt, aber: Technische Grenzen und "hard-wired" mit dem Übertragungsweg HTTP. Sie adressieren daher nicht alle möglichen Data Leakage Szenarien. Autarke Datenbank Firewalls im Backend bewerten und schützen den Gesamtkontext der Datenbanknutzung mit Hilfe der Disziplinen Audit & Activity Monitoring, Policy Enforcement, User Rights Management, Klassifizierung von Daten und Nutzungsprofile

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security Zusammenfassung File Server Firewalls visualisieren und steuern alle File Server Aktivitäten, ermöglichen Kategorisierung von Daten sowie die Anwendung von Regelwerken. File Server Firewalls arbeiten transparent und belasten die Dateisystem Performance nicht. Anpassungen an Server, Client oder Applikationen sind nicht notwendig. Vorgefertigte Policies, anpassbar oder als Basis für eigene Policies, ermöglichen die Umsetzung von Unternehmensrichtlinien und Compliance Anforderungen.

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security Referent Björn Welling.

Ähnliche Präsentationen

Präsentation zum Thema: "© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security Referent Björn Welling."— Präsentation transkript:

Ähnliche Präsentationen

Über Projekt

Feedback

Anmelden

Anmeldung über soziales Netzwerk:

© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security Referent Björn Welling.

Ähnliche Präsentationen

Präsentation zum Thema: "© 2011 | magellan netzwerke GmbH Data Leak Prevention – Datenbank Security und File Security Referent Björn Welling."— Präsentation transkript:

Ähnliche Präsentationen

Über Projekt

Feedback