database security - oracle€¦ · database security protegendo contra ... controles detectivos de...
TRANSCRIPT
Database Security Protegendo Contra Mega Violações
Troy Kitch Sr. Principal Director, Security Software Oracle Longinus Timochenco CISO SBC Brasil Junho 23, 2015
Oracle Public Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
Safe Harbor Statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
Oracle Public 3
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
Agenda
Violação e Compliance
A Era da Mega Violação
Proteção Centralizada vs. Proteção por Perímetro
Riscos Fora, Vulnerabilidades Dentro
Soluções Oracle Database Security
Oracle Public 4
1
2
3
4
5
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
Mitigar Violações de Dados Endereçar Conformidade Regulatória
Dois Motivos Pelos Quais Clientes Compram Oracle Database Security
Oracle Public 5
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
200M Credit Bureau
Mar ‘14
2M
Telecom OCT ‘13
150M eCommerce
May ‘14
22M Education
July ‘14
SA Banks OCT ‘13
Credit Cards
150M + Code HiTech Oct ‘13
98M Retailer DEC ‘13
20M Credit Bureau
12M Telecom
Jan ‘14
56M Retailer Sep ‘14
Immigration June’14 Personal Records
76M Fin Svcs Oct ‘14
A Era das Mega Violações
80M Healthcare
Feb ‘15
.5M
Oracle Public 6
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
Social Attacks
Command & Control
Hacking Força Bruta
Malware
Ataque SQL Injection
Credenciais Roubadas
Vetore Típicos de Ataque
Oracle Public Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | 7
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public Oracle Company Confidential – Shared Under Terms of OPN NDA 8
Como o Caso Sony Mudou a Segurança
8
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
52%
34%
11%
4%
Database
Network
Application
Middleware
Camadas de TI mais Vulneráveis a Ataques
67%
15%
15%
3%
Database
Network
Application
Middleware
Alocação de Recursos para Proteger a Camada de TI
Source: CSO Online MarketPulse, 2013
Oracle Public 9
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
As Vulnerabilidades Exploradas Estão Dentro Os Riscos Estão Fora
Oracle Public
76%
USARAM PASSWORDS FRACOS,
ROUBADOS OU PERDIDOS
60%
DAS EMPRESAS AMEAÇADAS EM MINUTOS
74%
DAS EMPRESAS LEVAM MAIS DE
3 MESES PARA APLICAR
PATCHES
99%
DAS VULNERABILIDADES COMPROMETIDAS 1 ANO
APÓS O LANÇAMENTO DO PATCH
Source: 2014 IOUG Data Security Survey; 2015, 2014 Verizon Data Breach Investigations Report
10
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
Mascaramento & Subsetting
Controles Operacionais DBA
Criptografia e Redaction
PREVENTIVA
Monitoração da Atividade
Database Firewall
Auditoria e Relatórios
DETECTIVA ADMINISTRATIVA
Descoberta de Privilégios e Dados Sensíveis
Gerenciamento de Configuração
Gerenciamento de Chaves
Oracle Database – Controles de Segurança
Oracle Public 11
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
*7#$%!!@!%afb ##<>*$#@34
Criptografia De Dados
Key Vault
Controles de BD
Access denied
“Insufficient Privilege”
Privileged Users
Data Redaction
ssn:xxx-xx-4321 dob:xx/xx/xxxx
Applications
Users
Região, Ano Tamanho
Subsetting De Dados
Dev/Test Parceiros, BI
ssn:423-55-3571 dob: 12/01/1987
Data Masking
Controles Preventivos de Segurança
Oracle Public 12
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
Controles Detectivos de Segurança Database Firewall
! ✔
Audit Data
Audit Data, Event Logs
Network Events
Applications
Users
Policies
Reports
Alerts !
Audit Vault
SYBASE
Oracle Public 13
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
Scan de Configuração
Busca de Dados Sensíveis
Análise de Privilégios
14
Controles Administrativos de Segurança
Oracle Public 14
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
Segurança no maior banco de dados de cartões de pagamento da América Latina SPC Brasil
Oracle Public
Serviços Financeiros Classificação de Crédito • 133M+ ciidadãos • 1.2 million empresas. Maior bano de dados de crédito em LAD Dados em tempo real sobre os pagamentos de cartão de crédito e inadimplência, prospecção de negócios, análise de crédito e muito mais
Desafios Proteger dados sensíveis de clientes em não-produção Reduzir a exposição de dados sensíveis a usuários não autorizados Endereçar requirementos regulatórios para acesso a dados Rastreabilidade de acesso a dados sensíveis e usuários privilegiados
Solução Oracle Data Masking and Subsetting
Proteger não-produção para teste e desenvolvimento Oracle Audit Vault and Database Firewall
Relatórios consolidados, alertas e auditorias Monitoração e auditoria constante de sistemas Endereçar requerimentos regulatórios
15
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public 16
Classifque Dados e Usuários
Antecipe-se às Ameaças
Mapeie Controles
ESTRATÉGIA DE SEGURANÇA
DE DADOS
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
Mapeie os Controles de Segurança aos Dados
Oracle Public 17
BRONZE Totalmente Sensível e Restrito Resultados, Campanhas Código Fonte… Corporativo
Interno Transações, Test/dev …
Regulamentado Compliance PII, PCI, PHI, SOX… Não Sensíveis
Portais Internos…
GOLD SILVER
PLATINUM
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
Mapeie os Controles de Segurança aos Dados
Dados Seguros
Acesso Seguro
Configuração Segura
Controlado
Scan e patch
Configuração Segura
Auditar Atividade
Criptografar Dados
Criptografar Pacotes
Mascaramento e Subset
18
Redaction
Restringir acesso DBA
Monitorar tráfego SQL
GOLD
BRONZE SILVER
PLATINUM
Controlar operações no DB
Analizar privilégios
Bloquear tráfego não autorizado
Oracle Public
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public 19
SEGURANÇA SIMPLIFICADA
CONFIGURAÇÕES PADRÃO ROADMAP
CONTROLES DE
SEGURANÇA
Benefícios de Mapear os Controles aos Dados
Alinhado com o Valor dos Dados
Alta Segurança A Baixo Custo
Em toda a Empresa
Planejamento e Gerenciamento
$
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public
PROTEGER DADOS E APLICAÇÕES DE DENTRO PARA FORA ECONOMIZA TEMPO, DINHEIRO E REDUZ O RISCO
Bancos de Dados são o segundo alvo mais comum de ataques (Verizon DBIR 2014)
52% enxergam o BD o mais vulnerável a um ataque (CSO Online 2013)
65% dos dados no mundo residem em Banco de Dados Oracle (Oracle PR April 2012)
80% dos ataques usaram credenciais perdidas ou roubadas (Verizon DBIR 2014)
20
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public 21
SABER UM POUCO MAIS SOBRE NÓS
PUBLIC INFORMATION
This document has been classified by the Information Security and access is authorized only for public use. PUBLIC INFORMATION
Controles Internos Longinus Timochenco
CISO
Agenda
Negócio SPC BRASIL Estrutura Controles Internos Cenários Segurança da Informação Benefícios solução de Segurança Oracle Encerramento.
Olá a todos, Eu sou o CID
1955 2002 1995 2000
Armazenagem de informações de inadimplência em fichas de papel
Linha do Tempo – SPC BRASIL
1955 2002 1995 2000
Início da discussão para a interligação das CDLs
Linha do Tempo – SPC BRASIL
1955 2002 1995 2000
Bancos de dados interligados. Nasce o SPC BRASIL
Linha do Tempo – SPC BRASIL
1955 2002 1995 2000
Implantação do sistema de consulta
Linha do Tempo – SPC BRASIL
SPC BRASIL
Um provedor de serviços e soluções que auxiliam empresas a proteger-se de prejuízos, maximizarem seus lucros e promover ações de vendas e cobrança
O SPC BRASIL é
MISSÃO Nossa missão é prover soluções para que as empresas associadas vendam mais e recebam, e gerar receitas novas para nossa rede de negócios, proporcionando assim o fortalecimento e a perenidade das nossas entidades. VALORES Capacidade de entrega, Simplicidade, Paixão, Criatividade, Transparência, Excelência, Capacidade de Foco, Humildade, Objetividade, Mente Visionária, Capacidade de trabalho em Grupo. VISÃO Até 2021 nós seremos o melhor bureau de crédito e informações e a maior rede de negócios do Brasil.
SPC BRASIL SPC Brasil é um bureau de crédito e informações? E o maior banco de dados da América Latina.
No entanto, nós fazemos muito mais do que? Analisar crédito. Nossos serviços ajudam as empresas a facilitar novos negócios com segurança e construir a sua história.
This document has been classified by the Information Security and access is authorized only for public use. PUBLIC INFORMATION
INTEGRAR / PROCESSO DE DADOS
DESENVOLVER PRODUTOS
PROMOVER EDUCAÇÃO E FORMAÇÃO
PROFISSIONAL
SPC BRASIL - SERVIÇOS
This document has been classified by the Information Security and access is authorized only for public use. PUBLIC INFORMATION
CICLO DE NEGÓCIOS Temos soluções para todos os segmentos de mercado.
Serviços Varejo Atacado Industria
This document has been classified by the Information Security and access is authorized only for public use. PUBLIC INFORMATION
Informação Pública: este documento foi classificado pela área de Produtos e Inteligência de Mercado e o acesso está autorizado exclusivamente para Entidades e Clientes.
Empresas que precisam obter decisões seguras e rápidas, com base em critérios próprios, vender com segurança, aumentar o limite de crédito de seus melhores clientes e proteger-se contra inadimplência.
Para quem os produtos SPC são feitos?
Informação Pública: este documento foi classificado pela área de Produtos e Inteligência de Mercado e o acesso está autorizado exclusivamente para Entidades e Clientes.
SPC BRASIL em números
180 MILHÕES DE CADASTRO DE PESSOA FÍSICA.
26 MILHÕES DE CADASTRO DE PESSOA JURÍDICA.
Informação Pública: este documento foi classificado pela área de Produtos e Inteligência de Mercado e o acesso está autorizado exclusivamente para Entidades e Clientes.
SPC BRASIL em números
Informação Pública: este documento foi classificado pela área de Produtos e Inteligência de Mercado e o acesso está autorizado exclusivamente para Entidades e Clientes.
SPC BRASIL em números
77 % em 1 segundo
18 % em 2 segundos
5 % em 3 segundos
INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil.
Estrutura da Área Controles Internos
Presidência
Superintendência Geral
Controles Internos
Risco & Fraude Segurança da Informação
(Corporativo) Compliance
Coletar evidências do cumprimento de normas, legislação, etc Auditoria interna; Acompanhamento de auditoria externa.
Governança de Segurança da informação; Políticas / Processos / Procedimentos.
Evitar o uso indevido da marca; Investigação de fraudes; Avaliação de Risco Corporativo.
INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil.
Por que Segurança da Informação?
Minimizar ou evitar danos ao negócio; Maximizar retorno de Investimentos; Aumentar a competitividade e consequentemente os lucros; Atender requisitos legais; Preservar imagem da organização; Continuidade do negócio; Proteger a informação de acordo com a necessidade do negócio.
INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil.
Cenário Segurança para Banco de Dados (Padrão de mercado) Segurança de Perímetro para Banco de Dados, como: • Controles de Segurança Descentralizados; • Autenticação de rede; • Segmentação de rede; • Firewall; • IPS; • Administração de Privilégios de contas; • Logs.
$
INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil.
Drivers de Negócios para Segurança de Dados
Proteger dados
sensíveis Real-time
Gerenciar Compliance
Gestão de custos
Integração e Plano de
crescimento
INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil.
Desafios
• Embaralhamento dos dados com performance; • Mudanças constantes de ameaças e compliance; • Blindar base de dados e informações sensíveis; • Gerenciar Performance em escala; • Proteger aplicativos com priorização de negócio; • Gestão de perfis e privilégios; • Firewall dentro do banco de dados; • Scan de vulnerabilidades; • Monitoramento de atividades e alertas preventivos; • Ambiente auditáveis.
INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil.
Cenário atual
Audit/Event Warehouse
Security Manager
Reports
Users Applications
Block
Log Allow
Alert Substitute
! Alerts
Database Firewall
Fire
wal
l Ev
ents
Custom Server OS, Directory &
Custom Audit Logs
Auditor
Policies
Controle de Banco de dados Oracle e não Oracle
Mask
INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil.
Benefícios - Oracle Database Security
Soluções de Segurança Oracle implementadas: Mask, Audit Vault, Data Base Vault e Firewall.
Principais Benefícios: • Maior integração com Banco de Dados Oracle, Exadata e Exalogic; • Embaralhamento do nosso ambiente de banco de dados teste e homologação; • Implementação de regras local para todos usuários e administradores no banco de
dados, aumentando a nossa camada de segurança e perímetro; • Segurança e Conformidade; • Trilha de Auditoria (rastreabilidade); • Simplicidade para o ambiente e flexibilidade; • Velocidade e Escalabilidade; • Aumentando a confiança do ambiente internamente, clientes, parceiros e
auditorias de mercado.
INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil
Dúvidas?
INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil.
Agradecimentos
Equipes Oracle Parceiro SERVICE Equipes SPC BRASIL
INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil
Obrigado! Contatos: Longinus Timochenco Chief Information Security Officer – CISO Tel.: (11) 3016-0101 – ramal 263 Cel.: (11) 9-6410-3465 [email protected]
A Eficiência está na Simplicidade e nem sempre na complexidade !!