Конференция Код ИБ 2015, Нижний Новгород

2. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB
Oracle Security: Противодействие
внутренним угрозам до, во время и после инцидента
Сергей Базылько, к.ф.-м.н., CISSP
Директор по продажам продуктов безопасности
Oracle СНГ
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
г. Нижний Новгород
26 НОЯБРЯ 2015
#CODEIB

3. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB
#digitalidentity в заголовках газет
Не по причине взлома! 12 Марта 2015 (Corriere.it)
3

4. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB
Вместо единой правительственной базы,
сертифицированная компания подтверждает
личность при доступе на GOV.UK.
Гражданин может выбрать, кто будет подтверждать
его личность при доступе на GOV.UK (банк, страховая
компания и т.д.)
Экономика цифровой личности
Еще примеры:
US NSTIC, UE eIDAS, France Connect, ITA SPID
L

5. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB
Меры противодействия внутренним угрозам
5

6. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB 6
SECURITY
SECURITY
SECURITY
SECURITY
SECURITY
SECURITY
S E C U R I T Y
ORACLE SECURITY INSIDE OUT
ЗАЩИТА НА КАЖДОМ УРОВНЕ
76%
ВЗЛОМ по СЕТИ УКРАДЕНЫЫЕ
и СЛАБЫЕ ПАРОЛИ
Governance Risk & Compliance
Оценка необходимости доступа, Выявление
аномалий, Создание учетных записей,
Управление привилегиями
Мобильная безопасность,
Привилегированные
пользователи, сервисы директорий
Шифрование, маскирование, управление
ключами, защита Big Data
Solaris Trusted Extensions,
LDAP Host Access Control
Secure Live Migration
Крипто-акселераторы
Контроль целостности данных приложений
Secure backup, Шифрование дисков
ILM Security
80%
КОМПРОМЕТАЦИЯ
СЕРВЕРОВ
ПРИЛОЖЕНИЙ
94%
КРАЖА ДАННЫХ С
СЕРВЕРОВ
50%
РАСПРОСТРАНЕНИЕ
ВОЗМОЖНО ИЗ-ЗА НЕПРАВИЛЬНЫХ
НАСТРОЕК

7. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB
Соответствие требованиям
Отраслевые стандарты и законодательство
7

8. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB
12 требований PCI DSS
http://security-orcl.blogspot.co.uk/2014/05/blog-post.html

9. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB
Требования Национальной платежной системы
http://security-orcl.blogspot.co.uk/2014/05/blog-post.html

10. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB
Персональные данные

11. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB
Персональные данные

12. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB
Identity and Access Management – защита доступа в приложения и
управление учетными записями, проведены проверки на наличие не
декларированных возможностей по 3-НСД и 2-НДВ
Oracle Enterprise Single Sign-On – контроль доступа в информационные
системы персональных данных
Oracle DB 11gR2 + Database Vault – разграничение доступа к данным в
приложениях на уровне СУБД
Oracle Enterprise Linux – защита сертифицированной БД Oracle на уровне
операционной системы, по 3-НСД и 2-НДВ
Oracle Fusion Middleware – по 3-НСД и 2-НДВ
Exadata, Exalogic
Audit Vault and Database Firewall
Продукты Oracle, сертифицированные ФСТЭК
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y

13. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB
Сертификаты ФСТЭК
Public Info
Maximum performance
on Oracle Exa-stack
#3215 – Oracle Exadata –
DB security features
#3299 – Oracle Exalogic –
Java security features
#soon – Oracle Exalytics
Maximum security level
(Гостайна)
#3095 – Oracle Enterprise
Linux (OEL) – operating
system security features
#3196 – Oracle Fusion
Middleware – Java security
features
#3295 – Oracle Identity &
Access Management
(IAMS) – Security as a
Service
Security for
heterogeneous
environment
#2858 – Oracle Database
on Linux , Solaris &
Windows – DB security
features
#3103 – Oracle Enterprise
Single Sign-On – product
security features
#3364– Oracle Audit Vault
and Database Firewall
#soon – Oracle Mobile
Security Suite

14. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB
Соответствие требованиям
или безопасность
• Персональные данные
– Включает ли ваша модель угроз риски
административного доступа?
– Как быстро можно закрыть доступ при
увольнении?
– Как подтверждены защитные механизмы?
ПОДГОТОВИЛСЯ
К СЮРПРИЗАМ?

15. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB 15
GOLD
BRONZE
SILVER
PLATINUM
Критичные для
ограниченного исп.
Quarterly results,
M&A, IP,
Source code…Для внутреннего
использования
Transactions,
Orders…
Соответствие
законодательству
PII, PCI,
PHI, SOX…Не критичные
Internal portals,
Org. directories,
Test/dev systems…
Не все данные одинаково ценные

16. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB
Secure Data
Secure Access
Secure Configuration
Command & Control
Scan and patch
Secure configuration
Audit sensitive activities
Encrypt stored data
Encrypt network traffic
Mask and subset
16
Redact application data
Restrict DBA access
Monitor SQL traffic
Защитные меры и ценность данных
GOLD
BRONZE
SILVER
PLATINUM
Control DB operations
Analyze runtime privileges
Block unauthorized SQL traffic
Audit comprehensively

17. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB Oracle Public 17
SIMPLIFIED
SECURITY
STANDARD
CONFIGURATIONS
SECURITY
ROADMAP
SECURITY
CONTROLS
Выгоды
Соответствует
ценности данных
Больше защиты за
те же вложения
Для всей
организации
Планирование и
управляемость
Адекватная защита для каждого класса

18. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB 18
Mobile
Security
Identity
Governance
Directory
Services
Access
Management
Encryption
& Redaction
Privileged
User Control
Key
Management
Activity
Monitoring
Configuration
Management
Database
Firewall
ЗАЩИТА ДОСТУПА К ПРИЛОЖЕНИЯМ И ДАННЫМ
IDENTITY MANAGEMENT DATABASE SECURITY

19. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB
Oracle Identity Management
Полный спектр решений для
защиты доступа
Identity Governance
Access Management
Directory Services
Clou
d
On-
Premise
Managed Cloud
Способы установки
Mobile Security

20. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB
Управление учетными записями
• Oracle Identity Manager как
первый шаг реализации
программы защиты доступа

21. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB
Платформа для управления идентификационными
данными
• Oracle Identity Governance Suite –
следующий этап развития
системы управления учетными
записями

22. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB Oracle Confidential – Internal/Restricted/Highly Restricted 22
Баланс между безопасностью и удобством
Security in the Architecture
Легкая жизнь для правильных
пользователей
Не допустить доступ
неправильных пользователей

23. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB
Интеллектуальное управление доступом
Оценка риска в контексте
LOW
MED-
LOW
HIGH
MED-
HIGH
ОТВЕТ
Разрешить Запретить
Низкий риск:
Social Identity
Средний риск:
Local account/ SAML
Federated accounts
Высокий риск:
Multi-factor
Очень высокий риск:
Deny access and alert the
security team
РИСК
Более удобное использование, повышение защищенности и соответствие законодательству

24. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB
Централизованное управление пользователями БД
• Согласно требованиям регуляторов необходимо
консолидировать управление пользователями во
всех экземплярах БД Oracle в банке
• Oracle Enterprise User Security обеспечивает
интеграцию сервисов безопасности БД с LDAP
каталогом (аутентификация и привязка ролей к
группам)
• Средства Oracle ODS+ позволили управлять
учетными записями пользователей БД ,
зарегистрированными в MS AD
24
Oracle Directory Services в крупном банке

25. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB
Контроль активности
Database Firewall
Аудит и отчетность
ДЕТЕКТИВНАЯ
Редакция и
Маскирование
Контроль за действиями
привилегированных
пользователей
Шифрование
ПРЕВЕНТИВНАЯ АДМИНИСТРАТИВНАЯ
Управление конфигурациями
Public 25
Всесторонняя защита для максимальной безопасности
Решения Oracle по защите баз данных
Анализ привилегий и
поиск конфиденциальных
данных
Key & Wallet Management

26. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB
Exadata – машина баз данных для консолидации СУБД
• Все яйца в одной
корзине?
• Уникальное ПО firmware
для ячеек хранения
• Доступ к данным
возможен как на уровне
ОС, так и СУБД и
приложений
• Кто контролирует
привилегированный
доступ?
admin
sys/dba
Приложения
26

27. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB
Не заметно
для работы
Программно-аппаратный комплекс средств для защиты
Exadata
TDE
ODV
• Сертифицированная
платформа (OFM, 2НДВ,
3СВТ) для Oracle Enterprise
Manager
• Управление и
разграничение доступа к
сертифицированным
средствам защиты Exadata
• Контроль доступа
администраторов к СУБД и
запись терминальных сессий
• Хранение ключей в
сертифицированном HSM
admin
sys/dba
Приложения
27

28. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB 28
INSIDE
OUT
SECURITYМногоуровневая
защита
Безопасность
самого ценного

29. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
#CODEIB
Спасибо за внимание!
Сергей Базылько, к.ф.-м.н., CISSP
Директор по продажам продуктов безопасности
sergey.bazylko@oracle.com
+7 915 018 8804
29