© 2014 Imperva, Inc. All rights reserved. - Web Application Firewall - DataBase Security - File Security 1 Шахлевич Александр, RSD, Russia&CIS [email protected]
© 2014 Imperva, Inc. All rights reserved.
- Web Application Firewall
- DataBase Security
- File Security
1
Шахлевич Александр, RSD, Russia&CIS
© 2014 Imperva, Inc. All rights reserved.
Предпосылки
© 2014 Imperva, Inc. All rights reserved.
Описание утечек
Confidential 3
Anthem: • Достаточно интересно разобраться, как произошла атака на компанию Anthems. Следствие подтвердило, что утечка
произошла в следствие аномальной активность со стороны привилегированных пользователей и администраторов.
Один из сотрудников Anthem заметил странное поведение в системе и начал внутреннее расследование. В
результате этих действий была выявлена одна из крупнейших утечек персональных данных за всю историю.
• Это ненормальное поведение оставалось незамеченным в течении многих меяцев. Долгое время служба
безопасности не могла идентифицировать нападающих. И связано это не с профессионализмом хакеров, а с
отстутвием необходимых защитных механизмов для мониторинга и анализа трафика доступа к БД, а также с
отсутствием каких-либо механизмов поведенческого анализа.
• Из отчета Anthem следует, что злоумышленники внедрили зловредный код в клиент СУБД. Используя
скомпрометированные учетные данные администраторов, атакующие смогли удаленно совершить массированную
утечку персональных данных клиентов.
JP Morgan Chase • Хакеры умудрились получить доступ во внутреннюю сеть банка, где находилось более 90 серверов
задействованных на операционную дейтельность. К моменту, когда сотрудники банка смогли идентифицировать
утечку в конце июля, злоумышленники уже успешно получили самый высокий уровень доступа к десяткам серверов.
До сих пор не очевидно, как хакеры смогли получить столь глубокий доступ к инфраструктуре.
• Хакеры получили полный список приложений и сервисов, который запущены в инфраструктуре банка, таким
образом получив детальную карту сети, которую можно использовать для дальнейшей компрометации ресурсов на
основе информации об известных уязвимостях в работающих приложениях и сервисах.
© 2014 Imperva, Inc. All rights reserved.
Описание утечек
Confidential 4
Ebay: • Фишинговые атаки и методы социальной инженерии становятся все более популярными инструментами хакеров в
связи с дешевизной и простотой реализации. При этом зачастую злоумшлыенники начтолько проффесиональны,
что у жертвы не возникает ни малейшего сомнения о легитимнос ти собеседника..
• Одна из наиболее интересных деталей утечки в Ebay состоит в том, что хакеры получили полный доступ к сетевой
инфраструктуре за 229 дня. Несмотря на то, что этот срок может показаться очень долгим, в реальности он
достаточно мал в сравнение с масштабом утечки. При совершении утечек злоумышленнику необходимо быть
максимально аккуратным, чтобы оставаться незамеченным в течении продолжительного времени.
• С точки зрения службы ИБ заказчика, основная цель для них теперь – это минимизация сроков обнаружения атаки с
цифры 229 дней до 7-10 дней. Для достижения данной цели и обеспечения гарантированного обнаружения
необходимо не только внедрить средства защиты периметра, но и обеспечить всесторонний мониторинг всех
сервисов в режиме 24*7.
Target: • Утечка в компании Target произошла в связи с компрометации одного из контрагентов заказачика (Fazio Mechanical
Services, FSM). Компания FSM сама оказалась под атакой, в результате который были украдены учетные данные,
необходимые для компрометации сети Target, что показывает всю серьёзность риска для остальных ритейлеров в
будущем.
• Неизвестно, как злоумышленникам удалось получить доступ к внутренней сети и платежной системе Target, но сам
факт произошедшего очевидно говорит о нарушениях требований стандарта PCI DSS, которые впрямую обязывает
компании разделять платежную инфраструктуру, и внутреннюю корпоративную сеть. By allowing FSM to connect to its
internal networks. Передача ряда защитных механизмов на аутсорсинг сторонним организациям также послужила
причиной того, что атака не была вовремя идентифицирована и локализована.
© 2014 Imperva, Inc. All rights reserved.
Утечки в России
Следственный комитет: обращения граждан стали публичными:
• В декабре 2012 года на сайте Следственного комитета России в открытом доступе появились
тексты обращений граждан через интернет-приёмную. Всего около 30 тыс. сообщений, оставленных
за 2,5 года, оказалось в разделе «Новости».
Концерн «Тракторные заводы»: коммерческую тайну похитил экс-
сотрудник
• Гендиректор «ЧТЗ-Уралтрак», ранее работавший в КТЗ, организовал с помощью своих бывших
коллег хищение конструкторской документации, касающейся серийно изготавливаемых изделий и
перспективных разработок.
Мобильные операторы: инсайдеры слили переговоры чиновников
• Инсайдеры из ОАО «МТС» и ОАО «Вымпелком» с 2010 по 2012 год сливали информацию о
переговорах трёх абонентов — высокопоставленных российских чиновников. В «Вымпелкоме»
признали факт утечки информации через бывшего сотрудника.
Сайты-«купонаторы»: за базу интернет-покупателей просили 500
долл.
• Очередным событием, ударившим по репутации «купонаторов», стала утечка баз пользователей,
всего 760 тыс. человек. У 92 тыс. человек из базы помимо имён и адресов электронной почты
указаны также номера мобильных телефонов. Продавец базы просил за $500, рассчитывая
заработать на количестве проданных экземпляров.
© 2014 Imperva, Inc. All rights reserved.
Независимая аналитика – Verizon DBIR 2014
Confidential 6
© 2014 Imperva, Inc. All rights reserved.
Типы злоумышленников, в % от общего числа инцидентов
Confidential 7
© 2014 Imperva, Inc. All rights reserved.
Мотивация и вектора атак\инцидентов, в % от общего числа инцидентов
Confidential 8
© 2014 Imperva, Inc. All rights reserved.
Атаки на Web – самая распространенная разновидность атак
Confidential 9
© 2014 Imperva, Inc. All rights reserved.
Что такое OWASP Top 10?
Confidential 10
© 2014 Imperva, Inc. All rights reserved.
OWASP 2013 List
Confidential 11
https://owasp.org/index.php/CISO_Survey_2013:_Threats_and_risks
© 2014 Imperva, Inc. All rights reserved.
Отчет Cisco по безопасности за 2014 год
Confidential 12
© 2014 Imperva, Inc. All rights reserved.
Атаки на СУБД
Confidential 13
© 2014 Imperva, Inc. All rights reserved.
Проблематика
Confidential 14
Мотивация
• СУБД – ядро операционной деятельности
• Содержит конфиденциальную информацию компании
• Содержит информацию о клиентах компании
• Вывод СУБД из строя может парализовать работу компании
Способы
• Простые и доступные инструменты
• Появление более сложных многоступенчатых инструментов
совершения атак
Возможности
• Толстые клиенты
• Отсутствие внутренней безопасности
• Отсутствие защиты на уровне прикладных систем
© 2014 Imperva, Inc. All rights reserved.
Рейтинг угроз
Confidential 15
© 2014 Imperva, Inc. All rights reserved.
Решения Imperva для защиты web-
приложений и СУБД
Confidential 16
© 2014 Imperva, Inc. All rights reserved.
Ключевые системы и задачи по отраслям
Отрасль Критичные системы Задачи
Финансовые
компании
• АБС
• ДБО
• Процессинг
• Платежные системы
• Онлайн-сервисы
• Корпоративные ресурсы • Защита от мошенничества
• Обеспечение доступности
• Защита данных VIP
• Контроль действий
администраторов
• Управление правами
пользователей
• Ограничение доступа
• Защита ERP
• Защита онлайн-сервисов
• Соответствие
требованиям регуляторов
Страховые, онлайн
ритейл
• Личный кабинет пользователя
• Онлайн-сервисы
• Корпоративные ресурсы
• Логистика
Телеком • Биллинг
• Корпоративные ресурсы
• Личный кабинет пользователя
• Услуги хостинга
• Облачные услуги
Госкомпании • Корпоративные ресурсы
• Госуслуги
• СМЭВ
• ГАСУ
ТЭК и
промышленность
• SCADA
• Система учета добычи\выработки
• ERP
• CRM
• Корпоративные ресурсы
© 2014 Imperva, Inc. All rights reserved.
ФСТЭК 17\21\31
Confidential 18
УПД.2 - Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись,
выполнение или иной тип) и правил разграничения доступа;
УПД.5 - Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам,
обеспечивающим функционирование информационной системы
УПД.9 - Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя ИС;
УПД.11 - Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификаии;
РСБ.3 – Сбор, запись и хранение информации о событиях безопасности в течение установленного времени;
РСБ.5 - Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них
РСБ.7 - Защита информации о событиях безопасности
ОЦЛ.2 - Контроль целостности информации, содержащейся в базах данных информационной системы
ОЦЛ.5 - Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на
свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с
использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из
информационной системы
ОЦЛ.6 - Ограничение прав пользователей по вводу информации в информационную систему;
ОДТ.1 - Использование отказоустойчивых технических средств.
ОДТ.2 - Резервирование технических средств, программного обеспечения, каналов передачи информации, средств
обеспечения функционирования информационной системы
ЗИС.1 - Разделение в информационной системе функций по управлению (администрированию) информационной
системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных
функций информационной системы
© 2014 Imperva, Inc. All rights reserved.
Internal Employees
Malicious Insiders Compromised Insiders
Data Center Systems and Admins
Auditing and
Reporting Attack
Protection
Usage
Audit
User Rights
Management
Access
Control
Tech. Attack
Protection
Logic Attack
Protection
Fraud
Prevention
External Customers
Staff, Partners Hackers
User Rights Management
Assessment & Risk Management
Комплексный портфель решений
Imperva’s Mission is to Provide a Complete Solution
© 2014 Imperva, Inc. All rights reserved.
Комплексное решение для
защиты данных
Простота развертывания и
администрирования
Соответствие стандартам
информационной безопасности
Собственный
исследовательский центр
Повышение эффективности
Imperva SecureSphere
© 2014 Imperva, Inc. All rights reserved.
WAF
• Виртуальный патчинг
• Защита от атак (SQL code injection, XSS, directory traversal, RFI)
• Защита от атак на бизнес-логику (i.e. site scraping and comment spam)
• Защита от фрода
• Аудит использования
• MS SharePoint Protection
• Legacy Application Protection
• PCI 6.6
• Защита от утечек данных
DAM
• Виртуальный патчинг СУБД
• Аудит привелегированного доступа
• Управление правами
• Ограничение доступа
• Data Across Borders Protection
• Защита от утечек
• Поиск и классификация
• Аудит доступа к конфиденциальной информации
• Защита данных VIP-клиентов
FAM
• Управление правами
• Контроль доступа
• Поиск собственников
• Аудит доступа к конфиденциальной информации
• Перераспределение прав пользователей
• Защита данных VIP
• Поиск и классификация
Полноценная защита Web, Database, File и SharePoint
Примеры использования
Как Imperva поможет защитить данные?
© 2014 Imperva, Inc. All rights reserved.
Архитектура решения
SecureSphere for SharePoint
File Activity Monitoring
Management Server (MX)
Database Activity
Monitoring
Web Application
Firewall
INTERNET
Imperva Agent
Imperva Agent
Network Monitoring
Network Monitoring
Native Audit
Internal Users
© 2014 Imperva, Inc. All rights reserved.
Imperva SecureSphere
Confidential 23
Web Application Firewall – WAF
© 2014 Imperva, Inc. All rights reserved.
Гранулированная многоуровневая защита
Простое внедрение в любую инфраструктуру
Удобное и простое управление с технологией Dynamic Profiling
И многое другое...
Imperva SecureSphere
Пожалуй лучший Web Application Firewall
© 2014 Imperva, Inc. All rights reserved.
Dynamic Profiling
Attack Signatures
HTTP Protocol Validation
Cookie Protection
Web Fraud Detection Fraud Prevention
Technical Attack Protection
Business Logic Attack Protection
Co
rre
late
d A
tta
ck
Va
lid
ati
on
IP Geolocation
IP Reputation
Anti-Scraping Policies
Bot Mitigation Policies
Комплексная безопасность требует обдуманной защиты приложений
© 2014 Imperva, Inc. All rights reserved.
Центр Imperva
ADC исследует
новые угрозы
по всему миру
Imperva Application Defense Center
Internal Users
SecureSphere
Web Servers
INTERNET
Системы
SecureSphere
обладают
новейшими
противомерами
Определение сканирования сети и самих
атак с помощью сигнатур
Сигнатуры определяют попытки сканирования и атаки
© 2014 Imperva, Inc. All rights reserved.
1. Globally tracks attack sources
ThreatRadar Servers
Phishing Sites
Anonymous Proxy & TOR
Web Servers
Malicious IPs
3. Blocks malicious sources
2. Distributes feeds to WAF
ThreatRadar Reputation Services
- CONFIDENTIAL - 27
© 2014 Imperva, Inc. All rights reserved.
SecureSphere останавливает атаки типа SQL Injection, XSS
Hacker SecureSphere WAF
/login.php?ID=5 or 1=1
SQL Injection SQL Injection Engine with
Profile Analysis
Signature, Protocol
Violations
Блокирование однозначных
соответствий, отправка подозрительных
запросов на дополнительный анализ
Продвинутый анализ значительно снижает уровень ложных срабатываний
SQL Injection Engine
блокирует даже нетиповые
атаки
Web Server
© 2014 Imperva, Inc. All rights reserved.
Анализируя трафик, SecureSphere автоматически учит…
Directories
URLs
Параметры Ожидаемое поведение
пользователя
Может как оповещать, так и блокировать отклонения от нормы
SecureSphere «изучает» защищаемое приложение
© 2014 Imperva, Inc. All rights reserved.
0
100
200
300
400
500
600
700
01.июн 06.июн 11.июн 16.июн 21.июн 26.июн
636
243
32 33
76 55 40 25 21 11 13 28 24 18
41 7 4 5 7 4 8 11 15 2 3 4 1
Сокращение сроков развертывания с месяцов до дней
Снимает нагрузку с администраторов
5-15 изменений в неделю равноценны 5-30 человекочасам
конфигурирования
Дата
Изм
ен
ен
ие
пр
оф
ил
я
Изучение приложения и
поведения
Адаптация к изменениям
Динамическое профилирование во времени
© 2014 Imperva, Inc. All rights reserved.
Основные отличия Imperva WAF
© 2014 Imperva, Inc. All rights reserved.
Gartner MQ for Web Application Firewalls
Confidential 32
Imperva SecureSphere
WAF – второй год
подряд единственный
ЛИДЕР в области
межсетевых экранов
для web-приложений*
© 2014 Imperva, Inc. All rights reserved.
Концепция WAF Testing Framework (WTF)
• Инструмент для определения реальной эффективности IPS\NGFW\WAF при защите от веб-атак
• Комбинация легитимного и вредоносного трафика
• Оценка двух параметров:
• Good traffic being blocked (False Positives)
• Bad traffic being overlooked (False Negatives)
• Дает наглядное представление о балансе между безопасностью и непрерывностью бизнеса
• Скачивание и тестирование – бесплатно!
© 2014 Imperva, Inc. All rights reserved.
Imperva SecureSphere
Confidential 34
Database Security – DAM\DBF
© 2014 Imperva, Inc. All rights reserved.
Подходы к аудиту доступа к СУБД
Два распространенных подхода
1. Встроенные возможности СУБД по аудиту (Native Audit)
Различные варианты с использованием самописных
скриптов\анализаторов и\или интеграция с SIEM
2. Использование внешних решений для аудита
«Наложенные» решения, например Imperva
© 2014 Imperva, Inc. All rights reserved.
Проблемы Native Audit и решений, работающих на его базе
Сложность администрирования
Отсутствие видимости в трёхзвенной архитектуре
Отсутствие контроля привилегированных пользователей
и администраторов
Отсутствие сильных механизмов противодействия
атакам
Нет единого средства для гетерогенных сред
Потеря производительности на уровне 15-40%
© 2014 Imperva, Inc. All rights reserved.
Ключевой функционал Imperva
Поиск и
классификация
Поиск
«чувствительной»
информации •Поиск в активных базах
•Поиск мошеннических БД
•Определение областей
мониторинга
SecureSphere DAS
Rogue
SSN
Credit Cards
PII
© 2014 Imperva, Inc. All rights reserved.
Ключевой функционал
Активный аудит
Сбор и хранение
отчетности доступа к
БД •Соответствие
требованиям
регуляторов
•Проведение экспертизы
и анализа
Databases Users
SecureSphere
DAM
Audit Details Audit Policies
Контроль
привилегированного
доступа
Мониторинг
привилегированных
пользователей •Разделение полномочий
•Мониторинг всей
активности
•Возможность
блокировки
Database Agent
Appliance Privileged
User
Audit Policies
© 2014 Imperva, Inc. All rights reserved.
Ключевой функционал
Аналитика
Детализированный
лог аудита,
наглядные,
интеррактивные
отчеты •Ускоряет
расследование
инцидентов
•Упрощает compliance
Блокировка
Мониторинг
активности •Предотвращение
неавторизованного
доступа
•Активная защита
информации
UPDATE orders set client ‘first
Unusual Activity
X
Allow
Block
Network User,
DBAs, Sys Admin
X
© 2014 Imperva, Inc. All rights reserved.
Ключевой функционал
Отчетность
Наглядный
интерфейс •Анализ угроз
•Упрощение
планирования ИБ
PCI, HIPAA, SOX…
Custom
Оповещение
Оповещение в
реальном
времени •Быстрое
определение
вектора атаки
•Предотвращение
утечек
SYSLOG
Dashboard
SIEM
© 2014 Imperva, Inc. All rights reserved.
Сканирование уязвимостей БД и технология Virtual Patch, Scuba by Imperva
Свободно распространяемая
утилита для сканирования
уязвимостей и конфигураций
БД, включая информацию по
установленным обновлениям
Отчеты предоставляют
наглядную информацию по
актуальным угрозам.
Регулярное обновление ПО
Scuba гарантирует актуальность
встроенных в сканер проверок
- CONFIDENTIAL -
© 2014 Imperva, Inc. All rights reserved.
Scuba - Functionality
Scan databases – nearly 1,200 tests
• Vulnerabilities
• Configuration flaws
• Missing patches
5 reports
• Summary Report
• Assessment Report Summary
• Detailed Assessment Report with remediation
• Failed Tests Summary
• Informational Tests Summary
Supports: Oracle, Microsoft SQL, DB2 and Sybase, Informix and MySQL
CONFIDENTIAL 42
Database
Discovery
Data
Classification
Vulnerability
Assessments Virtual Patching
SecureSphere Discovery & Assessment Server Scuba
Vulnerability
Assessments
© 2014 Imperva, Inc. All rights reserved.
Поддержка СУБД
© 2014 Imperva, Inc. All rights reserved.
Imperva SecureSphere
Confidential 44
File Security – FAM\FFW
© 2014 Imperva, Inc. All rights reserved.
Сценарии использования
• Мониторинг и контроль доступа к конфиденциальной информации
• Защита от кражи информации
• Мониторинг и защита AD
Compliance
and Legal
• Аудит прав доступа
• Определение неиспользуемой информации
• Снижение рисков и повышение эффективности
Line of Business
IT Operations
© 2014 Imperva, Inc. All rights reserved.
Ключевой функционал
Активный аудит доступа
Сбор и запись
детальной информации
по доступу к файловым
ресурсам
Выполнение требований
регуляторов
Расследование
инцидентов
Контроль
привелегированных
пользователей
Мониторинг ВСЕГО
доступа
Разделение полномочий в
рамках системы
Отслеживание всей
активности, в том числе и
локальной
File Server Agent Appliance Privileged User
Audit Policies
NAS & File
Servers
Users
SecureSphere
FAM
Audit Details
Audit Policies
© 2014 Imperva, Inc. All rights reserved.
Ключевой функционал
Аналитика
Детализированный лог
аудита, наглядные,
интеррактивные отчеты •Ускоряет расследование
инцидентов
•Упрощает compliance
Блокировка
Мониторинг активности •Предотвращение
неавторизованного
доступа
•Активная защита
информации
READ > 100 files in 1 hour
Unusual Activity
X
Allow
Block
User
X
© 2014 Imperva, Inc. All rights reserved.
Ключевой функционал
Отчетность
Наглядный
интерфейс •Анализ угроз
•Упрощение
планирования ИБ
PCI, HIPAA, SOX…
Custom
Оповещение
Оповещение в
реальном времени •Быстрое
определение вектора
атаки
•Предотвращение
утечек
SYSLOG
Dashboard
SIEM
© 2014 Imperva, Inc. All rights reserved.
Ключевой функционал
Анализ прав
доступа
Анализ текущих прав
и их использования
Определение
собственников
Определение
завышенных прав
Реализация модели
“business-need-to-know”
READ
WRITE
CREATE
DELETE
Users Groups Permissions Objects
Report
User
Rights
Alerts Vulnerability
Assign Priority Review Due Date
Approve Reject
Пересмотр и
утверждение прав
Возможность
предоставить право
решать владельцам
информации
Информация должна
работать для бизнеса, но
не распространятся
свободно
© 2014 Imperva, Inc. All rights reserved.
Детальные результаты аудита
Who What Where When How
© 2014 Imperva, Inc. All rights reserved.
Предотвращение кражи информации и оповещение об утечках
Match Criteria
Match Criteria
Security Policy
Apply to File Servers
© 2014 Imperva, Inc. All rights reserved.
Оценка\переоценка прав доступа
Весь доступ к файлам
фиксируется и
отображается в отчете
Управляемый процесс
предоставления доступа
© 2014 Imperva, Inc. All rights reserved.
Модельный ряд
Confidential 53
© 2014 Imperva, Inc. All rights reserved.
X1010 X2010 X2510 X4510 X6510
Throughput 100 Mbps 500 Mbps 500 Mbps 1Gbps 2 Gbps
HTTP TPS 8,000 22,000 22,000 36,000 44,000
Recommended
Web Servers 10 50 50 100 200
FTL / Form Factor No (1U) No (1U) Yes (2U) Yes (2U) Yes (2U)
Total Ports 4 4 4 8 8
Storage capacity 500GB 500GB 2 x 500GB 2 x 1TB 2 x 1TB
SSL Acceleration N N Optional Optional Included
Fibre Channel,
LOM, or HSM N N Optional Optional Optional
High Availability Fail Open, VRRP,
IMPVHA
Fail Open, VRRP,
IMPVHA
Fail Open, VRRP,
IMPVHA
Fail Open, VRRP,
IMPVHA
Fail Open, VRRP,
IMPVHA
SecureSphere Hardware Appliances
© 2014 Imperva, Inc. All rights reserved.
SecureSphere Virtual Appliances
V1000 V2500 V4500
Web Throughput 100 Mbps 500 Mbps 1Gbps
HTTP TPS 8,000 22,000 36,000
Recommended
Web Servers 10 50 100
Supported
Products WAF
WAF, DAM, DBF,
FAM, FFW
WAF, DAM, DBF,
FAM, FFW
Minimum Hardware Requirements
Hypervisor VMWare ESX/ESXi 3.5 (or later)
Processor Dual core server (Intel VTx or AMD-V)
Memory 2 GB
Hard Drive 250 GB
Network Interface Hypervisor-supported network interface card
© 2014 Imperva, Inc. All rights reserved.
Вопросы?
56 Confidential
www.imperva.com