O documento discute aspectos de segurança em bancos de dados para web, incluindo valor dos dados, principais riscos como invasões e roubos de dados, e sugestões como instalação customizada do SGBD, criação de usuários por perfil, e criptografia de dados.
2. Apresentação
• Graduação em Ciência da Computação
• Pós graduação em Gerenciamento de Banco de
Dados
• Mestrando em TIC - UFSC
• Professor de graduação e pós graduação
• Instrutor de cursos sobre banco de dados Oracle
• DBA Sênior
• Gestor de equipes de desenvolvimento e P&D
• Co-fundador da Dev In Box
Aspectos de segurança em bancos de dados para web
4. Valor absoluto do dado
Aspectos de segurança em bancos de dados para web
5. Valor relativo do dado
• Impacto da sua ausência
• Impacto do mau uso
Exodus Intelligence: clientes pagam planos de
$200.000/ano para terem acesso a uma base de
dados de vulnerabilidades
Aspectos de segurança em bancos de dados para web
6. Antigamente, de onde vinham os dados?
Aspectos de segurança em bancos de dados para web
7. Atualmente, de onde vêm os dados?
Aspectos de segurança em bancos de dados para web
8. Volume de dados
Boeing 787 Dreamliner, fabricado pela primeira vez
em 2007, produz aproximadamente um terabyte de
informações por voo
Aspectos de segurança em bancos de dados para web
9. Princípios básicos de segurança
• Disponibilidade
• Integridade
• Confidencialidade
• Autenticidade
• Não repúdio
Aspectos de segurança em bancos de dados para web
10. Principais riscos
• Falhas físicas
• Falhas lógicas
• Negação de serviço
• Invasões
• Roubos de dados
• Inutilização de dados
• Uso não autorizado
Aspectos de segurança em bancos de dados para web
12. Principais atacantes
Aspectos de segurança em bancos de dados para web
Funcionários: 33.56%
Ex-funcionários: 28.6%
(62,16%)
São os maiores responsáveis
por incidentes em segurança
da informação
PWC - 2016
13. Patches críticos - Oracle
Aspectos de segurança em bancos de dados para web
36% dos usuários Oracle demoraram
mais de seis meses para aplicar um
patch de atualização crítica, enquanto
outros 8% nunca aplicaram nenhum
patch
14. Desafios
Aspectos de segurança em bancos de dados para web
• Diversidade de dispositivos
• Quantidade de dispositivos – 25 bilhões
• Diversidade de tecnologia
• APIs de integração
• Camadas de serviço
• Aplicações
• Volume de dados
15. Principais cuidados
Aspectos de segurança em bancos de dados para web
Mais de 97% dos incidentes de
segurança em bases de dados
poderiam ter sido evitados através da
implementação de medidas simples
e seguindo melhores práticas de
controles internos
Trust Alliance on-line (OTA)
16. Sugestões
Aspectos de segurança em bancos de dados para web
• Instalação customizada do SGBD (autenticação
pelo SO, esquemas de exemplo, features)
• Criação de usuários de acordo com o perfil
• Política do privilégio mínimo
• Privilégios agrupados por papeis
• Papeis concedidos somente após o logon
17. Sugestões
Aspectos de segurança em bancos de dados para web
• Auditoria para dados sensíveis
• Mascaramento de dados sensíveis
• Criptografia de dados armazenados e em trânsito
• Proteção das APIs (próprias ou de terceiros)
• Proteção dos cookies
• Backups de datafiles e archived log files
18. Sugestões
Aspectos de segurança em bancos de dados para web
Mais de um cliente no mesmo local?
Tenância
- recursos nativos
- bancos de dados
- containers
- databases
- schemas
- VPD
19. Sugestões
Aspectos de segurança em bancos de dados para web
Mais de um cliente no mesmo local?
Tenância
- recursos implementados
- views
- contextos
- triggers, procedures, functions
- particionamento
20. Aspectos de segurança em bancos de dados para web
Menos de 0,5% de todos os dados existentes
no mundo são analisados
Menos de 5% dos 27 bilhões de dólares
gastos em produtos de segurança são
destinados diretamente à segurança de dados
IDC