palestra de guardium e optim - ibm security and im day

© 2012 IBM Corporation

IBM Security Systems

1© 2012 IBM Corporation

Segurança & Governança de DadosInfoSphere Guardium & Optim

© 2012 IBM Corporation2

Agenda

� Introdução sobre Segurança de Dados

� Soluções IBM

� IBM InfoSphere Guardium

� IBM InfoSphere Optim


Introdução sobre Segurança de Dados


Dados são o principal alvo das violações de segurança…..… e os Bancos de Dados são a principal fonte de dados violados.

http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf

2012 Data Breach Report from Verizon Business RISK T eam

• Servidores de banco de dados contêm asinformações mais valiosas de seus clientes:

- Registros financeiros

- Informações de clientes

- Registros de cartão de crédito e outras contas

- Registros de pacientes

• Alto volume de dados estruturados

• Facilidade de acesso

Por

quê

?


A missão do time IBM X-Force ® de pesquisa e

desenvolvimento:

� Pesquisar e avaliar questões de ameaças e proteção

� Oferecer proteção de segurança para problemas de se gurança de hoje

� Desenvolver novas tecnologias para os desafios de s egurança de amanhã

� Educar os meios de comunicação e comunidades de usu ários

X-Force Research14B páginas web & imagens analisadas

40Mspam & phishing ataques

54K vulnerabilidades documentadas

Billions de tentativas de intrusão diárias

Millions de amostras únicas de malware

IBM Security Systems - X-Force®


IBM InfoSphere GuardiumIn-depth Data Protection


Desafios para proteção de Dados

Onde estão meus dados sensíveis? Quem está acessando os dados?

Como checar vulnerabilidades?

Como reduzir custos com compliance?

Como garantir o controle de acesso? Como policiar as alterações nos BDs?


Principais Características

DAM - Monitoramento e Auditoria Real-time

• Arquitetura não-invasiva- Executado sem impacto ao BD- Mínimo Impacto em performance (2% - 3%)- Nenhuma alteração em aplicações

• Solução Heterogênea Bancos de Dados• 100% de visibilidade, incluindo DBAs

� Contínuo e baseado em políticas, monitora em temporeal todas as atividades de tráfego de dados, incluindoações de usuários privilegiados

� Verificação de infra-estrutura de banco de dados paravalidação de ausência de patches de segurança,privilégio de usuários, falhas de configuração e outrasvulnerabilidades

� Automação dos processos de compliance

Collector Appliance

Host-based Probes (S-TAPs)

Repositório de Dados (Bancos de dados, Warehouses,

File sSares, Big Data)

• Os logs não podem ser apagados porattackers ou DBAs

• Permite auditoria granular – Políticas(Quem, O que, Quando, Onde, Como)

• Relatórios automáticos de compliance, (ex.: SOX, PCI, Basiléia II, etc)


InfoSphere Guardium - Solução Escalável & Multi-plataformasBancos de Dados, Data Warehouses, Big Data e File Shares

Integração com LDAP, IAM, SIEM, TSM, Remedy, …

© 2012 IBM Corporation10 10

Guardium – DBAD - Database Auto-Discovery

Componente que executa o mapeamento dos ambientes de Banco de Dados na Rede.

• Vasculha rede procurando por Portas e Banco de Dados.

• Relatórios com os Banco de Dados encontrados.

• Permite buscas programadas.

• Buscas e relatórios customizáveis.


Guardium – Classifier

Informações sensíveis podem estar presentes em diferentes Bancos de Dados.

• Procurar por informações sensíveis:• Conteúdos• Nome de colunas

• Informações sensíveis:• Número de cartão de crédito• Transações • Informações pessoais• Informações financeiras


S-GATEAguarda

SQLTérmino de conexão

Violação de

Política

=

Quebra

Conexão

Usuário

privilegiado

SQL

Valida política

no Appliance

DB2, Informix, Oracle,

MySQL, Sybase, etc.

“Software DBMS não protegem os dados dos seus Administradores, eles tem habilidade para ver ou manipular dados armazenados em um Banco de Dados.”

Forrester, “Database Security: Market Overview,”

Guardium – Bloqueio ( S-GATE )

Sessão Encerrada

Ferramentas de DBA

1

2

34


Guardium – Application End User Identifier

Proteção extra para aplicativos

� Detalhes sobre informações dos usuários SAP & transações.

� Além das informações dos Log nativos dos ERPs.

� Permite detecção de fraudes e atividades não autorizadas.

� Não requer alterações na base de dados ou aplicação

� Funcionalidade similar disponível para: PeopleSoft, Oracle EBS, Siebel, Cognos, Business Objects & custom apps

Application

ServerDatabase

Server

Joe Marc

APPUSER

Proteção extra para aplicativos


Guardium – Análise de Vulnerabilidade

• Testes pré-definidos e customizados para identificação de vulnerabilidades

• Medições em real-time e históricas

• Análises baseadas nas melhores práticas de mercado

• US DOD Security Technical Implementation Guides – STIG)

• Center for Internet Security (CIS) Benchmarks

• Análises de vulnerabilidade de compliance (SOX, PCI-DSS)

• Atualização trimestral com novas práticas (DPS)

• Sem impacto de performance ou estabilidade


Análise de Vulnerabilidade – Exemplo de Resultado

Resumo dos Resultados

Detalhes Resultados dos testes

Histórico dos Resultados

Descrição detalhadas das correções

Filtros e ordem dos controles


Guardium – Aceleradores de Compliance

• Módulo opcional para endereçar requerimentos mandatórios de segurança

• Relatórios customizáveis

• Garante a segurança e requerimentos de auditoria

• Aumento da eficiência operacional através da automação de compliance

• Simplifica a validação de vasta quantidade de requerimentos

Sarbanes-Oxley

PCIGLBAHIPAABasiléia II

Gramm-Leach-Bliley Act (GLBA), a US law (Law 106-102) passed on November 12, 1999, contains privacy provisions relating to consumers' financial information. It imposes restrictions on the disclosure of consumers' personal financial information to non-affiliated third parties


Guardium – Relatório de Privilégios

• Reporta usuários privilegiados e detalhes dos grupos de acesso.

• Usuários privilegiados são extremamente difíceis de serem gerenciados.

• Oferecem recomendações de políticas de auditoria e melhores práticas.

• Facilmente integrável com soluções de Gerenciamento de Identidade.


Fontes de Dados Heterogêneas

Guardium – Relatório de Privilégios


Guardium - Workflow

• Ferramenta automática de análise; monitorar; distribuir relatórios, escalar alçadas.

A automação do processo de workflow consiste em:

• Definição do processo;

• Definição de papeis e níveis de alçadas;

• Definição de tarefas;

• Programação de tarefas (schedule).

Notificação de um novo processo via e-mail, ocorre de duas formas:• Resultado com links – o e-mail conterá um hypertext link para os

resultados armazeandos no appliance do Guardium.• Resultado completo – anexo ao e-mail será enviado um arquivo PDF,

considerando as regras da lista de distribuição, alçadas e escalação.


InfoSphere BigInsights

DATABASES

FTP

ExadataExadataExadataD A T A B A S ED A T A B A S ED A T A B A S E

HANA

Optim

Archival

Optim

Archival

Optim

Archival

Siebel,

PeopleSoft,

E-Business

Siebel,

PeopleSoft,

E-Business

Siebel,

PeopleSoft,

E-Business

Master Data

Management

Master Data

Management

Master Data

Management

Data

Stage

Data

Stage

Data

Stage

CICSCICSCICSCICS

DAMEncryptionMasking

VARedaction

InfoSphere Guardium - Solução Escalável & Multi-plataformasBancos de Dados, Data Warehouses, Big Data, Application e File Shares


Guardium – Enterprise Integration (EDC)

Directory Services(Active Directory, LDAP, TDS, etc)

SIEM(IBM QRadar, Arcsight, RSA

Envision, etc) SNMP Dashboards(Tivoli Netcool, HP Openview, etc)

Change Ticketing Systems

(Tivoli Request Mgr, Remedy, Peregrine, etc)

Vulnerability Standards

(CVE, STIG, CIS Benchmark)

Data Classification and Leak Protection

(Credit Card, Social Security, phone, custom, etc)

Security Management Platforms

(IBM QRadar, McAfee ePO)

Application Servers(IBM Websphere, IBM Cognos, Oracle

EBS, SAP, Siebel, Peoplesoft, etc)

Long Term Storage(IBM TSM, IBM Nettezza, EMC Centera,

FTP, SCP, etc)

Authentication(RSA SecurID, Radius, Kerberos,

LDAP)

Software Deployment(IBM Tivoli Provisioning Manager, RPM, Native

Distributions)

Send Alerts (CEF, CSV, Syslog, etc) Send

Events

• STAP


IBM InfoSphere OptimData Governance


Archive

Ambientes Produção

OE

M/IS

V

Cu

sto

m

Am

do

cs

Max

imo

JDE

dw

ard

s

Peo

ple

So

ft

Ora

cle

Sie

bel

Subset e Mascaramento

Ambientes Não Produção

OE

M/IS

V

Cu

sto

m

Am

do

cs

Max

imo

JDE

dw

ard

s

Peo

ple

So

ft

Ora

cle

Sie

bel

NAS SAN ATA CAS Optical Tape

Windows XP/2000 Solaris HP/UX Linux AIX OS/390 Z/OS

Oracle SQL Server Sybase Informix DB2 LUW DB2 Z IMS VSAM Adabas XML Teradata

Optim ™

Crescimento de dados, Privacidade de dados, Gerenci amento de ambiente de testes, Upgrade e aposentador ia de aplicações

Arquitetura Corporativa

Única, escalável, Solução de Gerenciamento de dados


� Conjunto ou subconjunto de tabelas relacionadas entre si, no banco ou na aplicação

� Suporte à federação de dados entre fontes de dados

Fiscal

Objeto de negócios completomodelo simplificado


Mascaramento completo dos objetos de negócio através de bancos de dados heterogeneos e aplicações

Subconjuntos de dados referencialmente-intactos em tabelas relacionadas eaplicações, incluindo metadados.

VisãoDBA

Visão geral "instantânea" do histórico de negócios, representado por dados de uma aplicação - por exemplo, pagamento, fatura do cliente, etc...

VisãoNegócio

Acesso federado aos objetos de negócio da Corporação

Custom App on SQL ServerERP / Financials

on DB2Custom Inventory Mgmt

on Oracle


Visão Geral da Solução Optim

Production Dev/Test

Archive

DiscoverUnderstand

Classify

� Ganho em performance

� Gestão do Ciclo de Vida da Informação (ILM)

� Atendimento às normas de retenção e compliance

Archive

� Permite definir o tamanho apropriado do ambiente de dados para Testes.

� Redução no tempo de disponibilização dos dados para os ambientes de Testes

� Ganhos em performance e storage

Test

� Acelera o entendimento da complexidade dos relacionamentos dos dados através dos sistemas.

Discover

• Archive• Retire

DATA

ApplicationDATA

• Subset • Mask• Compare• Refresh

Mask

� Mascaramento de dados

� Aderencia a práticas de mercado para mascaramento de dados sensíveis


IBM InfoSphere OptimTest Data Managemet


Optim TDM - Algumas Práticas Comuns

#1 – Cópia de Produção

Wait

Cópia do BDProdução

Verificação Manual:Dados Corretos?

O que Mudou?Resultados Corretos?

Quem Alterou?

Depois

Cópia do BDProdução

Alterações

“Clone” de Produção

Solicita Cópia p/ DBA

#2 – Codificação em SQL e outros

Extração

• IR Correta?• Dados Corretos?

Alto Custo,Pessoal Dedicado,Manutenção

AlteraçõesDepois

• Complexidade• Sujeito a Alterações

Extração

Escreve SQL


IBM InfoSphere Optim Test Data Management Solution

Requirements

Benefits

• Disponibiliza novas funcionalidade mais rápido e com mais qualidade

• Facilita o refresh & manutenção do ambiente de teste

• Protege os dados sensíveis contra fraude e vazamento de dados

• Cria Bancos de Dados Teste com tamanho ideal

• Automatiza comparação de resultados de testes para identificar possiveis erros

• Protégé dados confidenciais usados em teste, treinamento e desenvolvimento

• Diminui o ciclo de teste e acelera o time to market

Criar ambiente não produção com "tamanho ideal" para testes de

aplicativos

Test Data Management

100 GB

25 GB

50 GB

25 GB

2TB

Development

Unit Test

TrainingIntegration Test

-Subset

-Mask

Produção ou Clone da Produção

InfoSphere Optim TDM suporta dados na plataforma distribuida (LUW) e z/OS.

Aceleradores para realizar subset dos principais pacotes ERP/CRM tal como:

Other

-Compare

-Refresh


IBM InfoSphere OptimData Privacy (Masking)


IBM InfoSphere Optim Data Masking Solution

Personal identifiable information is masked

with realistic but fictional data for testing &

development purposes.

JASON MICHAELSJASON MICHAELS ROBERT SMITHROBERT SMITH

Requirements

Benefits

• Proteger dados sensíveis contra fraude

• Previne vazamento de dados

• Aprimora a gestão dos dados

• Protege os dados confidenciais usados nos ambientes de teste, treinamento e desenvolvimento

• Implementa tecnicas de mascaramento já comprovadas

• Suporta processos de compliance de regulamentaçoes de privacidade

De-identify sensitive informationwith realistic but fictional data for testing & development purposes

Data Masking


Example 2Example 1

PersNbr FstNEvtOwn LstNEvtOwn

27645 Elliot Flynn

27645 Elliot Flynn

Event Table

PersNbr FstNEvtOwn LstNEvtOwn

10002 Pablo Picasso

10002 Pablo Picasso

Event Table

Personal Info Table

PersNbr FirstName LastName08054 Alice Bennett19101 Carl Davis27645 Elliot Flynn

Personal Info Table

PersNbr FirstName LastName10000 Jeanne Renoir10001 Claude Monet10002 Pablo Picasso

Optim Data Privacy (Mascaramento)

Um conjunto abrangente de técnicas de mascaramento de dados para transformar ou de-identificar dados, incluindo:

�String literal values�Character substrings�Random or sequential numbers

�Arithmetic expressions�Concatenated expressions�Date aging

�Lookup values�Intelligence

Integridade referencial é mantida com a propagaçãodos dados da chave primária.

Patient Information

Patient No. SSNNameAddressCity State Zip

112233 123-45-6789

Amanda Winters

40 Bayberry Drive

Elgin IL 60123

123456 333-22-4444

Erica Schafer

12 Murray Court

Austin TX 78704

Os dados são mascarados com dados contextualmente corretos para preservar a integridade dos dados de teste.


Funções de Mascaramento

� Mapeamento de colunas

� Mapeamento de colunas com nomes diferentes

� Transformação/mascaramento de dados sensíveis

� Conversão de Datatypes

� Date aging

� Literais

� Expressões matemáticas

� Valores “default”

� Substring

� Exits

� Conversão de moedas

� Social Security (US ……)

� Cartão de Crédito

� Email

� Hash Lookup

� Lookup

� Lookup randômico

� Tabela de NOMES (US)

� Shuffle

� Manipulação de Strings

� …


Cópiaoriginal

Apósvalidação

Arquivos

Relatórios

Comparação

Optim Compare

• Mostra alterações inesperadas (ou valida as alterações esperadas)

• Para testes de aplicação e garantia de qualidade

• Comparação de uma ou várias tabelas

• Permite criar relatório com resultado da comparação

• Evidência de teste


Integration with LDAP/AD, IAM, Change Management,

SIEM, Archiving, etc.

Development, Test & Training

Rio de Janeiro Data Center

Sao Paulo Data Center

S-TAPCollector

Collector

Collector

Central Policy Manager & Audit Repository

z/OS Mainframe

S-GATE

35

35

Guardium & Optim

Optim

OPTIM TDM + DP

NÃO PRODUÇÃO PRODUÇÃO

OPTIM Archiving

Optim

Production


Segurança & Governança de DadosInfoSphere Guardium & Optim

Obrigado!

palestra de guardium e optim - ibm security and im day

Technology