1. www.tisafe.com
Proteção de Banco de Dados
de Sistemas Industriais
Novembro de 2014
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
2. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Agenda
• O valor da informação
• Vulnerabilidades em bases de dados industriais
• Database Activity Monitoring (DAM)
• Quebrando o paradigma da proteção
3. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
O Valor da Informação
4. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
O Perfil do Procurado
5. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
O Valor da Informação
6. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
O Valor da Informação
7. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
O Valor da Informação
8. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
O Valor da Informação
9. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
O Valor da Informação
10. Vulnerabilidades em Bases de Dados
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Industriais
11. 2012 Data Breach Report from Verizon Business RISK Team
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Grupos de Incidentes de Segurança
Dados são o principal alvo das violações de segurança...
.... e os bancos de dados são a principal fonte dos dados violados.
http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf
12. A Pirâmide ISA…
GESTÃO DO NEGÓCIO
GESTÃO DA OPERAÇÃO
SCADA
CONTROLE
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
INSTRUMENTAÇÃO
13. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
… e as bases de dados na indústria
Nível Aplicações com Base de Dados Informações Sensíveis
GESTÃO DO NEGÓCIO ERP, MRP, CRM, SCM, Portais Clientes, Salários, Custos,
Preços, Faturas,
Contabilidade, etc.
GESTÃO DA OPERAÇÃO MES, PIMS, LIMS, PLM, etc. Set Points, Históricos,
Fórmulas, Desenhos,
Processos, etc.
SCADA Supervisório,
Controle Avançado, Historians,
Controle de Ativos, Repositório de
Programas
Set Points, Tags, Dados
Brutos, Programas
Ladder, etc.
CONTROLE Sistemas Embarcados, IHMs, etc. Set Points, Tags,
Medições, etc.
INSTRUMENTAÇÃO - -
14. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Risco de Extração dos Dados
EXTRAÇÃO DE DADOS
NÃO SE PODE REMEDIAR UM VAZAMENTO DE DADOS. TODOS OS
ESFORÇOS DEVEM SER FEITOS PARA QUE ELE NÃO ACONTEÇA.
15. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Risco de Alteração ou Exclusão de Dados
ALTERAÇÃO DE DADOS
12,5 1,25
EM SISTEMAS INDUSTRIAIS, ALTERAÇÕES INDEVIDAS DOS DADOS
PODEM CAUSAR DESDE PARADAS DE PRODUÇÃO ATÉ SITUAÇÕES MAIS
GRAVES COM RISCO AMBIENTAL E/OU ACIDENTES COM VIDAS.
16. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Adicionalmente…
• Alterações em dados são mais fáceis de fazer do que extração dos mesmos:
• Não é necessário estar na rede.
• São mais fáceis de se construir.
• São mais fáceis de se propagar.
• São mais difíceis de rastrear.
Ataques deste tipo tendem a ser a principal ameaça a plantas
industriais e a infraestruturas críticas.
stuxnet
17. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Sensibilidade a vazamento
Nível Aplicações com
Base de Dados
Informações
Sensíveis
Sensibilidade
GESTÃO DO NEGÓCIO ERP, MRP, CRM,
SCM, Portais
Clientes, Salários,
Custos, Preços,
Faturas,
Contabilidade, etc.
Alta
GESTÃO DA OPERAÇÃO MES, PIMS, LIMS,
etc.
Set Points,
Históricos,
Fórmulas,
Desenhos,
Processos, etc.
Média/Alta
SCADA Supervisório
Controle Avançado
OPC
Set Points, Tags,
Dados Brutos, etc.
Pequena/Média
CONTROLE OPC Set Points, Tags,
Medições
Pequena
INSTRUMENTAÇÃO - SetPoints Pequena
18. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Sensibilidade a alteração
Nível Aplicações com
Base de Dados
Informações
Sensíveis
Sensibilidade
GESTÃO DO NEGÓCIO ERP, MRP, CRM,
SCM, Portais
Clientes, Salários,
Custos, Preços,
Faturamento, etc.
Pequena
GESTÃO DA OPERAÇÃO MES, PIMS, LIMS,
etc.
Set Points,
Históricos,
Fórmulas, Ativos,
Interconexões, etc.
Pequena/Média
SCADA Supervisório
Controle Avançado
OPC
Set Points, Tags,
Dados Brutos, etc.
Média/Alta
CONTROLE OPC Set Points, Tags,
Medições
Alta
INSTRUMENTAÇÃO - SetPoints Alta
19. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Perfil do Autor
Furto de Informação e
Sabotagem
Hacker, Curioso, Ativista Usuário Corporativo
20. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Perfil do Autor
Furto de Informação e
Sabotagem
Hacker, Curioso, Ativista Usuário Corporativo
21. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Segurança de base de dados
Não deixe que seu banco de dados seja o
elo mais fraco da sua segurança.
22. Database Activity Monitoring
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
DAM
23. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
DAM
• Database Activity Monitoring se define como:
• Técnica para garantir segurança em banco de dados.
• Método de proteção que funciona em tempo real.
• Tecnologia que funciona independente com o RDMS monitorado.
• Processo de monitoramento e auditoria que independe dos logs e trilhas de
auditoria do banco de dados.
• Governança que funciona para qualquer usuário do banco de dados
independente de serem usuários normais, DBAs, com privilégios ou não.
DAM é hoje a principal técnica de segurança em bases de dados.
24. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Como funciona ?
BANCO DE DADOS
USUÁRIO
25. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Appliance
BANCO DE DADOS
USUÁRIO
DAM
O Appliance mantém as
políticas de segurança e
registra todas as
ocorrências nas bases de
dados.
26. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Appliance
• O Appliance é composto de software + SO próprio, rodando em servidor físico ou
virtual, com as seguintes características:
• Banco de dados próprio inacessível, inviolável, criptografado e sem possibilidade
de exclusão de dados.
• Todas as políticas de segurança são configuradas no appliance, indicando os
usuários, tabelas, campos e tipos de dados a serem monitorados.
• Todos os eventos relativos as políticas são registradas no appliance para
geração de alarmes, relatórios e acompanhamento de compliance.
• Possui console próprio acessível via web.
27. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Software TAP
BANCO DE DADOS
USUÁRIO
DAM
TAP
É o “agente” do DAM.
Escuta todo o tráfego
de/para o banco e envia
para validação no
appliance , que autoriza ou
não a sequência.
28. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Software TAP
• É um agente de software (processo), com as seguintes características:
• Funciona na camada de rede e no shared memory do banco de dados.
• Toda e qualquer transação de banco de dados é interceptada e enviada para o
appliance para registro e validação.
• Pode realizar um reset na conexão não autorizada ao banco.
• É altamente otimizado, com quase nenhum impacto em memória e CPU.
• É permanentemente monitorado pelo appliance. Em caso de parada forçada, o
appliance detecta e alerta imediatamente.
• Não é necessária qualquer alteração na base de dados e/ou nos aplicativos para
instalação.
29. Funcionamento Modo Monitor
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
30. www.tisafe.com
DAM
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Funcionamento passo a passo
BANCO DE DADOS
USUÁRIO
SQL>select * from
setpoint;
TAP
31. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Funcionamento passo a passo
BANCO DE DADOS
USUÁRIO
DAM
TAP
Log da
Transação
SQL>select * from
setpoint;
ID Name Value
1 SP2929 12,12
2 SP3039 190,44
3 SP4948 266,12
SQL>_
32. Funcionamento Modo Bloqueio
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
33. www.tisafe.com
DAM
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Funcionamento passo a passo
BANCO DE DADOS
USUÁRIO
TAP
SQL>update setpoint_table
set sp=1,24 where id=1023;
34. www.tisafe.com
DAM
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Funcionamento passo a passo
BANCO DE DADOS
USUÁRIO
TAP
Valida
Transação
SQL>update setpoint_table
set sp=1,24 where id=1023;
35. www.tisafe.com
DAM
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Funcionamento passo a passo
BANCO DE DADOS
USUÁRIO
TAP
Validação
NÃO OK
SQL>update setpoint_table
set sp=1,24 where id=1023;
36. Funcionamento Modo Mascaramento
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
(Redact)
37. www.tisafe.com
DAM
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Funcionamento passo a passo
BANCO DE DADOS
USUÁRIO
SQL>select * from
setpoint;
TAP
38. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Funcionamento passo a passo
BANCO DE DADOS
USUÁRIO
DAM
TAP
Valida
Transação
SQL>select * from
setpoint;
39. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Funcionamento passo a passo
BANCO DE DADOS
USUÁRIO
DAM
TAP
Mascara:
Value=99.9
SQL>select * from
setpoint;
ID Name Value
1 SP2929 99,99
2 SP3039 99,99
3 SP4948 99,99
SQL>_
40. Gestão de Vulnerabilidades
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
41. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Gestão de Vulnerabilidades
• O appliance contém base de dados de vulnerabilidades de bancos de dados:
• Realiza testes pré-definidos e/ou customizados nos RDBMS para identificação
de vulnerabilidades
• Medições em tempo real e registros históricos
• Análises baseadas nas melhores práticas de mercado
• US DOD Security Technical Implementation Guides – STIG)
• Center for Internet Security (CIS) Benchmarks
• Análises de vulnerabilidade de compliance (SOX, PCI-DSS)
• Atualização trimestral com novas práticas (DPS) pela nuvem
Bases DAM de Vulnerabilidades
42. www.tisafe.com
DAM
IBM Guardium®
Filtros e
ordem dos
controles
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Gestão de Vulnerabilidades
Resumo dos
Resultados
Detalhes
Resultados
dos testes
Histórico dos
Resultados
Descrição
detalhadas das
correções
44. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Escalonamento
CENTRAL
MANAGER
COLLECTOR
COLLECTOR
45. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Database Auto Discovery - DBAD
DAM
Databases ?
46. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Relatório de Privilégios
DAM
Privileged Users?
47. Proteção extra para aplicativos
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Application End User Identifier
Joe Marc
APPUSER
Application Server Database Server
48. AUTOMATIZAÇÃO DO PROCESSO DE COMPLIANCE
www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Aceleradores de Compliance
Sarbanes-
Oxley
Basiléia II HIPAA GLBA PCI
REALIZA
CONJUNTO DE
TESTES DE
COMPLIANCE
DISPONIBILIZA
RELATÓRIOS
PARA AUDITORIA
49. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Workflow
• Permite seguir um workflow na ocorrência de eventos
específicos ou na conclusão de algum teste
automático.
• Escala resultados em níveis de alçadas
• Informa a todos os envolvidos
• Pode requerer aprovação de ciência do evento ou
do resultado do relatório
• Programa tarefas repetitivas
• Notificações por e-mail
50. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Conclusão
51. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Flexibilidade
DAM
MODOS DE OPERAÇÃO
POLÍTICAS POR BASE
DE DADOS, USUÁRIO,
TABELA, CAMPO, TIPO
DE DADO, IP DE
CONEXÃO, ETC.
ENORME FLEXIBILIDADE E GARANTIA DE
ATENDIMENTO AS POLÍTICAS DE
SEGURANÇA DE DADOS DA EMPRESA.
52. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Ambientes suportados
DAM IBM Guardium®
53. www.tisafe.com
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Obrigado!