database security - oracle€¦ · database security protegendo contra ... controles detectivos de...

Database Security Protegendo Contra Mega Violações

Troy Kitch Sr. Principal Director, Security Software Oracle Longinus Timochenco CISO SBC Brasil Junho 23, 2015

Oracle Public Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |

Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |

Safe Harbor Statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.

Oracle Public 3


Agenda

Violação e Compliance

A Era da Mega Violação

Proteção Centralizada vs. Proteção por Perímetro

Riscos Fora, Vulnerabilidades Dentro

Soluções Oracle Database Security

Oracle Public 4

1

2

3

4

5


Mitigar Violações de Dados Endereçar Conformidade Regulatória

Dois Motivos Pelos Quais Clientes Compram Oracle Database Security

Oracle Public 5


200M Credit Bureau

Mar ‘14

2M

Telecom OCT ‘13

150M eCommerce

May ‘14

22M Education

July ‘14

SA Banks OCT ‘13

Credit Cards

150M + Code HiTech Oct ‘13

98M Retailer DEC ‘13

20M Credit Bureau

12M Telecom

Jan ‘14

56M Retailer Sep ‘14

Immigration June’14 Personal Records

76M Fin Svcs Oct ‘14

A Era das Mega Violações

80M Healthcare

Feb ‘15

.5M

Oracle Public 6


Social Attacks

Command & Control

Hacking Força Bruta

Malware

Ataque SQL Injection

Credenciais Roubadas

Vetore Típicos de Ataque

Oracle Public Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | 7

Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public Oracle Company Confidential – Shared Under Terms of OPN NDA 8

Como o Caso Sony Mudou a Segurança

8


52%

34%

11%

4%

Database

Network

Application

Middleware

Camadas de TI mais Vulneráveis a Ataques

67%

15%

15%

3%

Database

Network

Application

Middleware

Alocação de Recursos para Proteger a Camada de TI

Source: CSO Online MarketPulse, 2013

Oracle Public 9


As Vulnerabilidades Exploradas Estão Dentro Os Riscos Estão Fora

Oracle Public

76%

USARAM PASSWORDS FRACOS,

ROUBADOS OU PERDIDOS

60%

DAS EMPRESAS AMEAÇADAS EM MINUTOS

74%

DAS EMPRESAS LEVAM MAIS DE

3 MESES PARA APLICAR

PATCHES

99%

DAS VULNERABILIDADES COMPROMETIDAS 1 ANO

APÓS O LANÇAMENTO DO PATCH

Source: 2014 IOUG Data Security Survey; 2015, 2014 Verizon Data Breach Investigations Report

10


Mascaramento & Subsetting

Controles Operacionais DBA

Criptografia e Redaction

PREVENTIVA

Monitoração da Atividade

Database Firewall

Auditoria e Relatórios

DETECTIVA ADMINISTRATIVA

Descoberta de Privilégios e Dados Sensíveis

Gerenciamento de Configuração

Gerenciamento de Chaves

Oracle Database – Controles de Segurança

Oracle Public 11


*7#$%!!@!%afb ##<>*$#@34

Criptografia De Dados

Key Vault

Controles de BD

Access denied

“Insufficient Privilege”

Privileged Users

Data Redaction

ssn:xxx-xx-4321 dob:xx/xx/xxxx

Applications

Users

Região, Ano Tamanho

Subsetting De Dados

Dev/Test Parceiros, BI

ssn:423-55-3571 dob: 12/01/1987

Data Masking

Controles Preventivos de Segurança

Oracle Public 12


Controles Detectivos de Segurança Database Firewall

! ✔

Audit Data

Audit Data, Event Logs

Network Events

Applications

Users

Policies

Reports

Alerts !

Audit Vault

SYBASE

Oracle Public 13


Scan de Configuração

Busca de Dados Sensíveis

Análise de Privilégios

14

Controles Administrativos de Segurança

Oracle Public 14


Segurança no maior banco de dados de cartões de pagamento da América Latina SPC Brasil

Oracle Public

Serviços Financeiros Classificação de Crédito • 133M+ ciidadãos • 1.2 million empresas. Maior bano de dados de crédito em LAD Dados em tempo real sobre os pagamentos de cartão de crédito e inadimplência, prospecção de negócios, análise de crédito e muito mais

Desafios Proteger dados sensíveis de clientes em não-produção Reduzir a exposição de dados sensíveis a usuários não autorizados Endereçar requirementos regulatórios para acesso a dados Rastreabilidade de acesso a dados sensíveis e usuários privilegiados

Solução Oracle Data Masking and Subsetting

Proteger não-produção para teste e desenvolvimento Oracle Audit Vault and Database Firewall

Relatórios consolidados, alertas e auditorias Monitoração e auditoria constante de sistemas Endereçar requerimentos regulatórios

15

Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public 16

Classifque Dados e Usuários

Antecipe-se às Ameaças

Mapeie Controles

ESTRATÉGIA DE SEGURANÇA

DE DADOS


Mapeie os Controles de Segurança aos Dados

Oracle Public 17

BRONZE Totalmente Sensível e Restrito Resultados, Campanhas Código Fonte… Corporativo

Interno Transações, Test/dev …

Regulamentado Compliance PII, PCI, PHI, SOX… Não Sensíveis

Portais Internos…

GOLD SILVER

PLATINUM


Mapeie os Controles de Segurança aos Dados

Dados Seguros

Acesso Seguro

Configuração Segura

Controlado

Scan e patch

Configuração Segura

Auditar Atividade

Criptografar Dados

Criptografar Pacotes

Mascaramento e Subset

18

Redaction

Restringir acesso DBA

Monitorar tráfego SQL

GOLD

BRONZE SILVER

PLATINUM

Controlar operações no DB

Analizar privilégios

Bloquear tráfego não autorizado

Oracle Public


SEGURANÇA SIMPLIFICADA

CONFIGURAÇÕES PADRÃO ROADMAP

CONTROLES DE

SEGURANÇA

Benefícios de Mapear os Controles aos Dados

Alinhado com o Valor dos Dados

Alta Segurança A Baixo Custo

Em toda a Empresa

Planejamento e Gerenciamento

$

Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public

PROTEGER DADOS E APLICAÇÕES DE DENTRO PARA FORA ECONOMIZA TEMPO, DINHEIRO E REDUZ O RISCO

Bancos de Dados são o segundo alvo mais comum de ataques (Verizon DBIR 2014)

52% enxergam o BD o mais vulnerável a um ataque (CSO Online 2013)

65% dos dados no mundo residem em Banco de Dados Oracle (Oracle PR April 2012)

80% dos ataques usaram credenciais perdidas ou roubadas (Verizon DBIR 2014)

20

SABER UM POUCO MAIS SOBRE NÓS

PUBLIC INFORMATION

This document has been classified by the Information Security and access is authorized only for public use. PUBLIC INFORMATION

Controles Internos Longinus Timochenco

CISO

Agenda

Negócio SPC BRASIL Estrutura Controles Internos Cenários Segurança da Informação Benefícios solução de Segurança Oracle Encerramento.

Olá a todos, Eu sou o CID

1955 2002 1995 2000

Armazenagem de informações de inadimplência em fichas de papel

Linha do Tempo – SPC BRASIL

1955 2002 1995 2000

Início da discussão para a interligação das CDLs


1955 2002 1995 2000

Bancos de dados interligados. Nasce o SPC BRASIL


1955 2002 1995 2000

Implantação do sistema de consulta


SPC BRASIL

Um provedor de serviços e soluções que auxiliam empresas a proteger-se de prejuízos, maximizarem seus lucros e promover ações de vendas e cobrança

O SPC BRASIL é

MISSÃO Nossa missão é prover soluções para que as empresas associadas vendam mais e recebam, e gerar receitas novas para nossa rede de negócios, proporcionando assim o fortalecimento e a perenidade das nossas entidades. VALORES Capacidade de entrega, Simplicidade, Paixão, Criatividade, Transparência, Excelência, Capacidade de Foco, Humildade, Objetividade, Mente Visionária, Capacidade de trabalho em Grupo. VISÃO Até 2021 nós seremos o melhor bureau de crédito e informações e a maior rede de negócios do Brasil.

SPC BRASIL SPC Brasil é um bureau de crédito e informações? E o maior banco de dados da América Latina.

No entanto, nós fazemos muito mais do que? Analisar crédito. Nossos serviços ajudam as empresas a facilitar novos negócios com segurança e construir a sua história.


INTEGRAR / PROCESSO DE DADOS

DESENVOLVER PRODUTOS

PROMOVER EDUCAÇÃO E FORMAÇÃO

PROFISSIONAL

SPC BRASIL - SERVIÇOS


CICLO DE NEGÓCIOS Temos soluções para todos os segmentos de mercado.

Serviços Varejo Atacado Industria


Informação Pública: este documento foi classificado pela área de Produtos e Inteligência de Mercado e o acesso está autorizado exclusivamente para Entidades e Clientes.

Empresas que precisam obter decisões seguras e rápidas, com base em critérios próprios, vender com segurança, aumentar o limite de crédito de seus melhores clientes e proteger-se contra inadimplência.

Para quem os produtos SPC são feitos?


SPC BRASIL em números

180 MILHÕES DE CADASTRO DE PESSOA FÍSICA.

26 MILHÕES DE CADASTRO DE PESSOA JURÍDICA.



77 % em 1 segundo

18 % em 2 segundos

5 % em 3 segundos

INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil.

Estrutura da Área Controles Internos

Presidência

Superintendência Geral

Controles Internos

Risco & Fraude Segurança da Informação

(Corporativo) Compliance

Coletar evidências do cumprimento de normas, legislação, etc Auditoria interna; Acompanhamento de auditoria externa.

Governança de Segurança da informação; Políticas / Processos / Procedimentos.

Evitar o uso indevido da marca; Investigação de fraudes; Avaliação de Risco Corporativo.


Por que Segurança da Informação?

Minimizar ou evitar danos ao negócio; Maximizar retorno de Investimentos; Aumentar a competitividade e consequentemente os lucros; Atender requisitos legais; Preservar imagem da organização; Continuidade do negócio; Proteger a informação de acordo com a necessidade do negócio.


Cenário Segurança para Banco de Dados (Padrão de mercado) Segurança de Perímetro para Banco de Dados, como: • Controles de Segurança Descentralizados; • Autenticação de rede; • Segmentação de rede; • Firewall; • IPS; • Administração de Privilégios de contas; • Logs.


Drivers de Negócios para Segurança de Dados

Proteger dados

sensíveis Real-time

Gerenciar Compliance

Gestão de custos

Integração e Plano de

crescimento


Desafios

• Embaralhamento dos dados com performance; • Mudanças constantes de ameaças e compliance; • Blindar base de dados e informações sensíveis; • Gerenciar Performance em escala; • Proteger aplicativos com priorização de negócio; • Gestão de perfis e privilégios; • Firewall dentro do banco de dados; • Scan de vulnerabilidades; • Monitoramento de atividades e alertas preventivos; • Ambiente auditáveis.


Cenário atual

Audit/Event Warehouse

Security Manager

Reports

Users Applications

Block

Log Allow

Alert Substitute

! Alerts

Database Firewall

Fire

wal

l Ev

ents

Custom Server OS, Directory &

Custom Audit Logs

Auditor

Policies

Controle de Banco de dados Oracle e não Oracle

Mask


Benefícios - Oracle Database Security

Soluções de Segurança Oracle implementadas: Mask, Audit Vault, Data Base Vault e Firewall.

Principais Benefícios: • Maior integração com Banco de Dados Oracle, Exadata e Exalogic; • Embaralhamento do nosso ambiente de banco de dados teste e homologação; • Implementação de regras local para todos usuários e administradores no banco de

dados, aumentando a nossa camada de segurança e perímetro; • Segurança e Conformidade; • Trilha de Auditoria (rastreabilidade); • Simplicidade para o ambiente e flexibilidade; • Velocidade e Escalabilidade; • Aumentando a confiança do ambiente internamente, clientes, parceiros e

auditorias de mercado.

INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil

Dúvidas?


Agradecimentos

Equipes Oracle Parceiro SERVICE Equipes SPC BRASIL

INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil

Obrigado! Contatos: Longinus Timochenco Chief Information Security Officer – CISO Tel.: (11) 3016-0101 – ramal 263 Cel.: (11) 9-6410-3465 [email protected]

A Eficiência está na Simplicidade e nem sempre na complexidade !!

mailto:[email protected]

database security - oracle€¦ · database security protegendo contra ... controles detectivos de...

Documents