SlideShare ist ein Scribd-Unternehmen logo

Управление административными учетными записями как средство защиты от человеческого фактора

Andrey Akulov
Andrey Akulov
Technologie
1 von 23
Downloaden Sie, um offline zu lesen
Управление административными учетными записями как средство защиты от человеческого фактора Андрей Гусаков, руководитель группы консультантов по Enterprise Security, Oracle СНГ Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | План презентации 1 2 3 Нейтрализация человеческих ошибок – подходы к решению задачи Применение средств превентивного контроля Управление административными учетными 3
Инциденты ИБ – от ошибок до злого умысла НЕПРАВИЛЬНОЕ ИСПОЛЬЗОВАНИЕ • Злоупотребление полномочиями • Редкие утечки Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | ОПЛОШНОСТИ И ОШИБКИ • Случайное повреждение / • разглашение 4 ЗЛОЙ УМЫСЕЛ Социальная инженерия Изощренные атаки Утечка бизнес- важных данных Утрата репутации организации «Предоставленные самим себе события имеют тенденцию развиваться от плохого к худшему»
Методы нейтрализации человеческих ошибок • Предупреждение – Административные – обучение персонала, регламенты работ, экономические санкции – Технологические – «защита от дурака», автоматизированные скрипты или процедуры • Исправление – Технологические – контроль изменений и возврат в исходное состояние (Total Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Recall) 5
ПРЕВЕНТИВНАЯ ДЕТЕКТИВНАЯ АДМИНИСТРАТИВНАЯ Контроль активности Database Firewall Аудит и отчетность Управление ключами и др. служебной информацией Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Шифрование Редакция и Маскирование Контроль за действиями привилегированных пользователей Анализ привилегий и поиск конфиденциальных данных Управление конфигурациями 6 Можно усложнить доступ к «продуктиву» внутренними средствами безопасности СУБД Oracle
Контроль привилегированных пользователей Превентивный контроль для баз данных Oracle Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Database Vault • Контроль и ограничение, при необходимости, прав доступа администраторов к данным приложений • Многофакторная авторизация и контроль выполнения команд • Защищенные зоны • Разграничение прав доступа в соответствии со служебными обязанностями • Специализированные настройки для приложений Application DBA Отдел кадров Отдел закупок Финансовый отдел DV_OWNER select * from finance_customers Администратор DBA DV_ACTMGR 7
Возможный сценарий защиты • Блокировка исполнения привилегированными чувствительных команд, таких как: – SHUTDOWN … – FLASHBACK DATABASE … – ALTER SYSTEM … – DML-группа (TRUNCATE, DELETE, UPDATE, INSERT)… • Разблокировка исполнения команд по процедуре Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 8 + усиление контроля за использованием привилегированных учетных записей
С большей властью приходят большие риски root • Привилегированные учетными записи – ключевая «точка входа» для мошенников • Сложность мониторинга использования разделяемых среди нескольких администраторов учетных записей • Избыточные права доступа – главное направление в атаках на базы данных Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Базы данных Каталоги UNIX серверы sys cn=orcladmin 9
Привилегированные записи – с наибольшим доступом, но самые незащищенные Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | • Неограниченная власть • Разделяемые пароли к учетным записям • Пароли никогда не меняются • Нет сертификации и аудита 10
Главные проблемы управления привилегированным доступом Как определить привилегированные учетные записи? Как отследить их использование? Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 11
Рекомендуемый подход к управлению Запрос доступа Self- Reinforcing Автоматизи- рованное предостав- ление Отчеты и сертификация доступа Ключ к решению – полная прозрачность предоставляемого доступа! Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Коррекция доступа 12
Представляем Oracle Privileged Accounts Manager 11g R2 • Центральное хранилище для централизованного управления паролями привилегированных и разделяемых учетных записей – Баз данных, ОС, LDAP каталогов, приложений Oracle • Автоматическая смена значения пароля при помощи ICF коннекторов • Подход “check in / check out” на основе политик – Стандарт в области компьютерной индустрии для управления разделяемыми объектами • Гибкие политики доступа к паролям привилегированных учетных записей • Отчетность по запросу привилегированных учетных записей – С применением BI Publisher • Неотъемлемый компонент Oracle Identity Governance Suite 11g R2 Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 13
Архитектура Oracle Privileged Accounts Manager 11g R2 Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 14
Сгенерировать и установить пароль DBA в соответствии с парольной политикой Возвратить пароль DBA Есть право на запрос записи DBA? Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Пример использования Войти как DBA Добавить Tablespace Запросить пароль DBA (“check out”) Возвратить пароли (“check in”) Войти как суперпользователь Добавить дисковое пространство Да Запросить пароль Unix (“check out”) Возвратить пароль Unix (root) Сгенерировать и установить пароль суперпользователя в соответствии с парольной политикой OIM Бизнес процессы согласования доступа к привилегированным записям Бизнес процессы согласования экстренного доступа 15 OPAM Админ / DBA Unix LDAP сервер СУБД
Поддерживаемые из коробки клиенты / целевые системы Unix СУБД Каталоги Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | • Linux, Solaris • Все Unix с SSH • Oracle Database 9-11 • MS SQL Server • Любая другая СУБД с JDBC • Любой LDAP- совместимый каталог 16
Преимущества Oracle Privileged Accounts Manager 11g R2 • Возможность применения единых политик безопасности как к обычным, так и к привилегированным (разделяемым) учетным записям • Устранение (уменьшение) потенциальных угроз от инсайдеров • Упрощение соответствия требованиям регуляторов – Сертификация «владения» привилегированными учетными записями • Снижение нагрузки на службу технической поддержки за счет автоматизации процессов предоставления административного и разделяемого доступа • Отчеты по выдаче привилегированных (разделяемых) учетных записей как в реальном времени, так и по отчетному периоду через BI Publisher Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 17
Преимущества Oracle Privileged Accounts Manager 11g R2 (продолжение) • Возможность записи административных сессий Unix – Используется промежуточный Telnet / SSH прокси, администратор проходит на прокси под своей учетной записью – Больше поддерживаемых систем для записи сессий с выходом OIG11gR2 PS3 • Интеграция с Oracle Enterprise Single Sign-on – Пароль административной учетной записи не сообщается администратору, а поступает непосредственно в репозиторий ESSO – Администратор получает доступ под привилегированной учетной записью прозрачно (ESSO подставляет имя пользователя и пароль), не зная самого значения пароля Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 18
OPAM и Oracle Identity Governance Единая платформа • Автоматизированное создание учетных записей и назначение привилегий в LDAP-каталоге, используемом OPAM через OIG – Возможность применения ролей и политик доступа для автоматизированного Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | предоставления привилегий • Использование сервиса каталога OIG для запроса привилегий доступа к учетным записям в OPAM – OIM наполняет каталог запросов, заполняя его доступными привилегиями LDAP – Администратор запрашивает доступ к привилегированной записи через OIM – Запрос проходит согласование через SOA Suite и Oracle Identity Manager, после чего администратор получает необходимый доступ 19
OPAM и Oracle Identity Governance • Запрос экстренного административного доступа (“Break-glass access request”) –Может быть указан при создании запроса на предоставление доступа – Запрос может быть согласован в упрощенном виде или автоматически – Администраторам направляются соответствующие оповещения – Право на запрос привилегии может быть автоматически отобрано потом при проведении сертификации доступа • Сертификация, основанная на рисках и коррекция доступа – Доступ к привилегированным / разделяемым учетным записям виден в консоли OIG и доступен для сертификации – Автоматическая корректировка доступа по результатам сертификации Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 20
OPAM и Oracle Access Management • Oracle Access Manager обеспечивает контроль доступа к административной консоли OPAM – Централизованный, основанный на политиках сервис аутентификации для веб-приложений – Web SSO – Контроль сессии • Oracle Adaptive Access Manager обеспечивает многоуровневый контроль доступа к административной консоли OPAM – Защита от мошенничества в реальном времени – Программная многофакторная аутентификация • ESSO интегрировано с OPAM для реализации SSO для администраторов Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Работаем вместе 21
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Сертификация средств безопасности Oracle на соответствие требованиям Российского законодательства 22
123317, Россия, Москва, Пресненская набережная, 10 Башня на Набережной, Блок С (+7495) 6411400 Andrey.Gusakov@Oracle.Com Дополнительная информация oracle.com/identity security-orcl.blogspot.ru Copyright © 2014, Oracle and/or its affiliates. All rights 29.07.2014 reserved. | 23

Empfohlen

Total Privileged Account Manager (Иван Рудницкий, БАКОТЕК)
Total Privileged Account Manager (Иван Рудницкий, БАКОТЕК)Total Privileged Account Manager (Иван Рудницкий, БАКОТЕК)
Total Privileged Account Manager (Иван Рудницкий, БАКОТЕК)
BAKOTECH
 
Управление доступом к web-приложениям (Oracle)
Управление доступом к web-приложениям (Oracle)Управление доступом к web-приложениям (Oracle)
Управление доступом к web-приложениям (Oracle)
КРОК
 
Oracle (Игорь Минеев) - Защита современного предприятия и управление доступом
Oracle (Игорь Минеев) - Защита современного предприятия и управление доступом Oracle (Игорь Минеев) - Защита современного предприятия и управление доступом
Oracle (Игорь Минеев) - Защита современного предприятия и управление доступом
Expolink
 
Решения от Dell Software для  управления доступом, контроля информационных по...
Решения от Dell Software для  управления доступом, контроля информационных по...Решения от Dell Software для  управления доступом, контроля информационных по...
Решения от Dell Software для  управления доступом, контроля информационных по...
Aflex Distribution
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностью
Vlad Styran
 
AvanPost – комплексное инфраструктурное решение
AvanPost – комплексное инфраструктурное решениеAvanPost – комплексное инфраструктурное решение
AvanPost – комплексное инфраструктурное решение
LETA IT-company
 
Oracle минеев
Oracle минеевOracle минеев
Oracle минеев
Expolink
 
TrustSec и Identity Services Engine
TrustSec и Identity Services Engine TrustSec и Identity Services Engine
TrustSec и Identity Services Engine
Cisco Russia
 

Empfohlen

Total Privileged Account Manager (Иван Рудницкий, БАКОТЕК)
Total Privileged Account Manager (Иван Рудницкий, БАКОТЕК)Total Privileged Account Manager (Иван Рудницкий, БАКОТЕК)
Total Privileged Account Manager (Иван Рудницкий, БАКОТЕК)
BAKOTECH
 
Управление доступом к web-приложениям (Oracle)
Управление доступом к web-приложениям (Oracle)Управление доступом к web-приложениям (Oracle)
Управление доступом к web-приложениям (Oracle)
КРОК
 
Oracle (Игорь Минеев) - Защита современного предприятия и управление доступом
Oracle (Игорь Минеев) - Защита современного предприятия и управление доступом Oracle (Игорь Минеев) - Защита современного предприятия и управление доступом
Oracle (Игорь Минеев) - Защита современного предприятия и управление доступом
Expolink
 
Решения от Dell Software для  управления доступом, контроля информационных по...
Решения от Dell Software для  управления доступом, контроля информационных по...Решения от Dell Software для  управления доступом, контроля информационных по...
Решения от Dell Software для  управления доступом, контроля информационных по...
Aflex Distribution
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностью
Vlad Styran
 
AvanPost – комплексное инфраструктурное решение
AvanPost – комплексное инфраструктурное решениеAvanPost – комплексное инфраструктурное решение
AvanPost – комплексное инфраструктурное решение
LETA IT-company
 
Oracle минеев
Oracle минеевOracle минеев
Oracle минеев
Expolink
 
TrustSec и Identity Services Engine
TrustSec и Identity Services Engine TrustSec и Identity Services Engine
TrustSec и Identity Services Engine
Cisco Russia
 
Sun oracle-maa-060407
Sun oracle-maa-060407Sun oracle-maa-060407
Sun oracle-maa-060407
Sal Marcus
 
«Oracle Application Quality Management: Средства тестирования и управления те...
«Oracle Application Quality Management: Средства тестирования и управления те...«Oracle Application Quality Management: Средства тестирования и управления те...
«Oracle Application Quality Management: Средства тестирования и управления те...
Andrey Akulov
 
Преимущества построения оперативной отчетности с помощью технологий Oracle
Преимущества построения оперативной отчетности с помощью технологий OracleПреимущества построения оперативной отчетности с помощью технологий Oracle
Преимущества построения оперативной отчетности с помощью технологий Oracle
Andrey Akulov
 
3. od hw x86_clusters-v1.2-fb
3. od hw x86_clusters-v1.2-fb3. od hw x86_clusters-v1.2-fb
3. od hw x86_clusters-v1.2-fb
Doina Draganescu
 
Подход Oracle к управлению метаданными для аналитических систем
Подход Oracle к управлению метаданными для аналитических системПодход Oracle к управлению метаданными для аналитических систем
Подход Oracle к управлению метаданными для аналитических систем
Andrey Akulov
 
Představení Oracle SPARC Miniclusteru
Představení Oracle SPARC MiniclusteruPředstavení Oracle SPARC Miniclusteru
Představení Oracle SPARC Miniclusteru
MarketingArrowECS_CZ
 
Oracle Cloud Computing portfolio and strategy
Oracle Cloud Computing portfolio and strategyOracle Cloud Computing portfolio and strategy
Oracle Cloud Computing portfolio and strategy
Andrey Akulov
 
Защита информации на уровне СУБД
Защита информации на уровне СУБДЗащита информации на уровне СУБД
Защита информации на уровне СУБД
Andrey Akulov
 
Cоблюдение требований законодательства с помощью сертифицированных средств бе...
Cоблюдение требований законодательства с помощью сертифицированных средств бе...Cоблюдение требований законодательства с помощью сертифицированных средств бе...
Cоблюдение требований законодательства с помощью сертифицированных средств бе...
Andrey Akulov
 
Решения Oracle для Big Data
Решения Oracle для Big DataРешения Oracle для Big Data
Решения Oracle для Big Data
Andrey Akulov
 
Oracle Enterprise Metadata Management
Oracle Enterprise Metadata ManagementOracle Enterprise Metadata Management
Oracle Enterprise Metadata Management
Andrey Akulov
 
Oracle Big Data. Обзор технологий
Oracle Big Data. Обзор технологийOracle Big Data. Обзор технологий
Oracle Big Data. Обзор технологий
Andrey Akulov
 
Oracle Ravello
Oracle Ravello Oracle Ravello
Oracle Ravello
Andrey Akulov
 
Oow Ppt 1
Oow Ppt 1Oow Ppt 1
Oow Ppt 1
Fran Navarro
 
Systems oracle overview_hardware
Systems oracle overview_hardwareSystems oracle overview_hardware
Systems oracle overview_hardware
Fran Navarro
 
Oracle IaaS including OCM and Ravello
Oracle IaaS including OCM and RavelloOracle IaaS including OCM and Ravello
Oracle IaaS including OCM and Ravello
Andrey Akulov
 
Introduction to MySQL Enterprise
Introduction to MySQL EnterpriseIntroduction to MySQL Enterprise
Introduction to MySQL Enterprise
Vittorio Cioe
 
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
DialogueScience
 
Oracle Data Warehouse Cloud
Oracle Data Warehouse CloudOracle Data Warehouse Cloud
Oracle Data Warehouse Cloud
Andrey Gorbunov
 
Oracle. Сергей Базылко. "Oracle Security: Противодействие внутренним угрозам ...
Oracle. Сергей Базылко. "Oracle Security: Противодействие внутренним угрозам ...Oracle. Сергей Базылко. "Oracle Security: Противодействие внутренним угрозам ...
Oracle. Сергей Базылко. "Oracle Security: Противодействие внутренним угрозам ...
Expolink
 
Oracle Application Management Suite for Siebel
Oracle Application Management Suite for SiebelOracle Application Management Suite for Siebel
Oracle Application Management Suite for Siebel
Алексей Распопов
 
Вебинар: Функциональные возможности современных SIEM-систем
Вебинар: Функциональные возможности современных SIEM-системВебинар: Функциональные возможности современных SIEM-систем
Вебинар: Функциональные возможности современных SIEM-систем
DialogueScience
 

Weitere ähnliche Inhalte

Andere mochten auch

«Oracle Application Quality Management: Средства тестирования и управления те...
«Oracle Application Quality Management: Средства тестирования и управления те...«Oracle Application Quality Management: Средства тестирования и управления те...
«Oracle Application Quality Management: Средства тестирования и управления те...
Andrey Akulov
 
Преимущества построения оперативной отчетности с помощью технологий Oracle
Преимущества построения оперативной отчетности с помощью технологий OracleПреимущества построения оперативной отчетности с помощью технологий Oracle
Преимущества построения оперативной отчетности с помощью технологий Oracle
Andrey Akulov
 
3. od hw x86_clusters-v1.2-fb
3. od hw x86_clusters-v1.2-fb3. od hw x86_clusters-v1.2-fb
3. od hw x86_clusters-v1.2-fb
Doina Draganescu
 
Подход Oracle к управлению метаданными для аналитических систем
Подход Oracle к управлению метаданными для аналитических системПодход Oracle к управлению метаданными для аналитических систем
Подход Oracle к управлению метаданными для аналитических систем
Andrey Akulov
 
Защита информации на уровне СУБД
Защита информации на уровне СУБДЗащита информации на уровне СУБД
Защита информации на уровне СУБД
Andrey Akulov
 
Cоблюдение требований законодательства с помощью сертифицированных средств бе...
Cоблюдение требований законодательства с помощью сертифицированных средств бе...Cоблюдение требований законодательства с помощью сертифицированных средств бе...
Cоблюдение требований законодательства с помощью сертифицированных средств бе...
Andrey Akulov
 

Andere mochten auch (16)

Sun oracle-maa-060407
Sun oracle-maa-060407Sun oracle-maa-060407
Sun oracle-maa-060407
 
«Oracle Application Quality Management: Средства тестирования и управления те...
«Oracle Application Quality Management: Средства тестирования и управления те...«Oracle Application Quality Management: Средства тестирования и управления те...
«Oracle Application Quality Management: Средства тестирования и управления те...
 
Преимущества построения оперативной отчетности с помощью технологий Oracle
Преимущества построения оперативной отчетности с помощью технологий OracleПреимущества построения оперативной отчетности с помощью технологий Oracle
Преимущества построения оперативной отчетности с помощью технологий Oracle
 
3. od hw x86_clusters-v1.2-fb
3. od hw x86_clusters-v1.2-fb3. od hw x86_clusters-v1.2-fb
3. od hw x86_clusters-v1.2-fb
 
Подход Oracle к управлению метаданными для аналитических систем
Подход Oracle к управлению метаданными для аналитических системПодход Oracle к управлению метаданными для аналитических систем
Подход Oracle к управлению метаданными для аналитических систем
 
Představení Oracle SPARC Miniclusteru
Představení Oracle SPARC MiniclusteruPředstavení Oracle SPARC Miniclusteru
Představení Oracle SPARC Miniclusteru
 
Oracle Cloud Computing portfolio and strategy
Oracle Cloud Computing portfolio and strategyOracle Cloud Computing portfolio and strategy
Oracle Cloud Computing portfolio and strategy
 
Защита информации на уровне СУБД
Защита информации на уровне СУБДЗащита информации на уровне СУБД
Защита информации на уровне СУБД
 
Cоблюдение требований законодательства с помощью сертифицированных средств бе...
Cоблюдение требований законодательства с помощью сертифицированных средств бе...Cоблюдение требований законодательства с помощью сертифицированных средств бе...
Cоблюдение требований законодательства с помощью сертифицированных средств бе...
 
Решения Oracle для Big Data
Решения Oracle для Big DataРешения Oracle для Big Data
Решения Oracle для Big Data
 
Oracle Enterprise Metadata Management
Oracle Enterprise Metadata ManagementOracle Enterprise Metadata Management
Oracle Enterprise Metadata Management
 
Oracle Big Data. Обзор технологий
Oracle Big Data. Обзор технологийOracle Big Data. Обзор технологий
Oracle Big Data. Обзор технологий
 
Oracle Ravello
Oracle Ravello Oracle Ravello
Oracle Ravello
 
Oow Ppt 1
Oow Ppt 1Oow Ppt 1
Oow Ppt 1
 
Systems oracle overview_hardware
Systems oracle overview_hardwareSystems oracle overview_hardware
Systems oracle overview_hardware
 
Oracle IaaS including OCM and Ravello
Oracle IaaS including OCM and RavelloOracle IaaS including OCM and Ravello
Oracle IaaS including OCM and Ravello
 

Ähnlich wie Управление административными учетными записями как средство защиты от человеческого фактора

Вебинар: Функциональные возможности современных SIEM-систем
Вебинар: Функциональные возможности современных SIEM-системВебинар: Функциональные возможности современных SIEM-систем
Вебинар: Функциональные возможности современных SIEM-систем
DialogueScience
 
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
Expolink
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей Safe...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей Safe...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей Safe...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей Safe...
Expolink
 
Oracle. Гусаков Алексей. "Защита информации, новые возможности для бизнеса и ...
Oracle. Гусаков Алексей. "Защита информации, новые возможности для бизнеса и ...Oracle. Гусаков Алексей. "Защита информации, новые возможности для бизнеса и ...
Oracle. Гусаков Алексей. "Защита информации, новые возможности для бизнеса и ...
Expolink
 
Новости и анонсы Oracle Open World 2014
Новости и анонсы Oracle Open World 2014Новости и анонсы Oracle Open World 2014
Новости и анонсы Oracle Open World 2014
Andrey Akulov
 
Dell software idm и change auditor
Dell software idm и change auditorDell software idm и change auditor
Dell software idm и change auditor
Aflex Distribution
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
Expolink
 
Database as a Service
Database as a ServiceDatabase as a Service
Database as a Service
Andrey Akulov
 

Ähnlich wie Управление административными учетными записями как средство защиты от человеческого фактора (20)

Introduction to MySQL Enterprise
Introduction to MySQL EnterpriseIntroduction to MySQL Enterprise
Introduction to MySQL Enterprise
 
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
 
Oracle Data Warehouse Cloud
Oracle Data Warehouse CloudOracle Data Warehouse Cloud
Oracle Data Warehouse Cloud
 
Oracle. Сергей Базылко. "Oracle Security: Противодействие внутренним угрозам ...
Oracle. Сергей Базылко. "Oracle Security: Противодействие внутренним угрозам ...Oracle. Сергей Базылко. "Oracle Security: Противодействие внутренним угрозам ...
Oracle. Сергей Базылко. "Oracle Security: Противодействие внутренним угрозам ...
 
Oracle Application Management Suite for Siebel
Oracle Application Management Suite for SiebelOracle Application Management Suite for Siebel
Oracle Application Management Suite for Siebel
 
Вебинар: Функциональные возможности современных SIEM-систем
Вебинар: Функциональные возможности современных SIEM-системВебинар: Функциональные возможности современных SIEM-систем
Вебинар: Функциональные возможности современных SIEM-систем
 
Oracle Application Management and Testing Suites for Siebel CRM
Oracle Application Management and Testing Suites for Siebel CRMOracle Application Management and Testing Suites for Siebel CRM
Oracle Application Management and Testing Suites for Siebel CRM
 
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей Safe...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей Safe...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей Safe...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей Safe...
 
Oracle. Гусаков Алексей. "Защита информации, новые возможности для бизнеса и ...
Oracle. Гусаков Алексей. "Защита информации, новые возможности для бизнеса и ...Oracle. Гусаков Алексей. "Защита информации, новые возможности для бизнеса и ...
Oracle. Гусаков Алексей. "Защита информации, новые возможности для бизнеса и ...
 
Omss 12 2014_for publishing
Omss 12 2014_for publishingOmss 12 2014_for publishing
Omss 12 2014_for publishing
 
Новости и анонсы Oracle Open World 2014
Новости и анонсы Oracle Open World 2014Новости и анонсы Oracle Open World 2014
Новости и анонсы Oracle Open World 2014
 
Dell software idm и change auditor
Dell software idm и change auditorDell software idm и change auditor
Dell software idm и change auditor
 
CloudsNN 2014. Андрей Бешков. Защита ваших данных в Office 365.
CloudsNN 2014. Андрей Бешков. Защита ваших данных в Office 365.CloudsNN 2014. Андрей Бешков. Защита ваших данных в Office 365.
CloudsNN 2014. Андрей Бешков. Защита ваших данных в Office 365.
 
Operational Reporting
Operational ReportingOperational Reporting
Operational Reporting
 
MySQL Enterprise Monitor
MySQL Enterprise MonitorMySQL Enterprise Monitor
MySQL Enterprise Monitor
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
 
Database as a Service
Database as a ServiceDatabase as a Service
Database as a Service
 
«Упрощая работу администратора: Enterprise Manager - единая точка управления ...
«Упрощая работу администратора: Enterprise Manager - единая точка управления ...«Упрощая работу администратора: Enterprise Manager - единая точка управления ...
«Упрощая работу администратора: Enterprise Manager - единая точка управления ...
 
State of the dolphin
State of the dolphinState of the dolphin
State of the dolphin
 

Mehr von Andrey Akulov

Новые возможности по разработке приложений (ADF, SOA, BPM)
Новые возможности по разработке приложений (ADF, SOA, BPM)Новые возможности по разработке приложений (ADF, SOA, BPM)
Новые возможности по разработке приложений (ADF, SOA, BPM)
Andrey Akulov
 
Повышение эффективности Java приложений (новые возможности Web Logic 12c, кон...
Повышение эффективности Java приложений (новые возможности Web Logic 12c, кон...Повышение эффективности Java приложений (новые возможности Web Logic 12c, кон...
Повышение эффективности Java приложений (новые возможности Web Logic 12c, кон...
Andrey Akulov
 
Новые возможности распределенной обработки данных в памяти (Coherence)
Новые возможности распределенной обработки данных в памяти (Coherence)Новые возможности распределенной обработки данных в памяти (Coherence)
Новые возможности распределенной обработки данных в памяти (Coherence)
Andrey Akulov
 
Новый подход к резервному копированию БД - Zero Data Loss Recovery Appliance
Новый подход к резервному копированию БД - Zero Data Loss Recovery ApplianceНовый подход к резервному копированию БД - Zero Data Loss Recovery Appliance
Новый подход к резервному копированию БД - Zero Data Loss Recovery Appliance
Andrey Akulov
 
Oracle database In-Memory - новая технология обработки в памяти
Oracle database In-Memory - новая технология обработки в памятиOracle database In-Memory - новая технология обработки в памяти
Oracle database In-Memory - новая технология обработки в памяти
Andrey Akulov
 
Обзор интегрированных систем Oracle
Обзор интегрированных систем OracleОбзор интегрированных систем Oracle
Обзор интегрированных систем Oracle
Andrey Akulov
 
Oracle Database 12c. Консолидация и Мультиарендность
Oracle Database 12c. Консолидация и МультиарендностьOracle Database 12c. Консолидация и Мультиарендность
Oracle Database 12c. Консолидация и Мультиарендность
Andrey Akulov
 
Oracle Engineered Systems press releases
Oracle Engineered Systems press releasesOracle Engineered Systems press releases
Oracle Engineered Systems press releases
Andrey Akulov
 
Обзор TimesTen In-Memory Database
Обзор TimesTen In-Memory DatabaseОбзор TimesTen In-Memory Database
Обзор TimesTen In-Memory Database
Andrey Akulov
 
Oracle Endeca Information Discovery - Платформа для исследования данных
Oracle Endeca Information Discovery - Платформа для исследования данныхOracle Endeca Information Discovery - Платформа для исследования данных
Oracle Endeca Information Discovery - Платформа для исследования данных
Andrey Akulov
 

Mehr von Andrey Akulov (18)

Highly Automated IT
Highly Automated ITHighly Automated IT
Highly Automated IT
 
Oracle OpenWorld 2016. Big Data references
Oracle OpenWorld 2016. Big Data referencesOracle OpenWorld 2016. Big Data references
Oracle OpenWorld 2016. Big Data references
 
Oracle Big Data proposition
Oracle Big Data propositionOracle Big Data proposition
Oracle Big Data proposition
 
Новые возможности по разработке приложений (ADF, SOA, BPM)
Новые возможности по разработке приложений (ADF, SOA, BPM)Новые возможности по разработке приложений (ADF, SOA, BPM)
Новые возможности по разработке приложений (ADF, SOA, BPM)
 
Повышение эффективности Java приложений (новые возможности Web Logic 12c, кон...
Повышение эффективности Java приложений (новые возможности Web Logic 12c, кон...Повышение эффективности Java приложений (новые возможности Web Logic 12c, кон...
Повышение эффективности Java приложений (новые возможности Web Logic 12c, кон...
 
Новые возможности распределенной обработки данных в памяти (Coherence)
Новые возможности распределенной обработки данных в памяти (Coherence)Новые возможности распределенной обработки данных в памяти (Coherence)
Новые возможности распределенной обработки данных в памяти (Coherence)
 
Новый подход к резервному копированию БД - Zero Data Loss Recovery Appliance
Новый подход к резервному копированию БД - Zero Data Loss Recovery ApplianceНовый подход к резервному копированию БД - Zero Data Loss Recovery Appliance
Новый подход к резервному копированию БД - Zero Data Loss Recovery Appliance
 
Oracle database In-Memory - новая технология обработки в памяти
Oracle database In-Memory - новая технология обработки в памятиOracle database In-Memory - новая технология обработки в памяти
Oracle database In-Memory - новая технология обработки в памяти
 
Обзор интегрированных систем Oracle
Обзор интегрированных систем OracleОбзор интегрированных систем Oracle
Обзор интегрированных систем Oracle
 
Exalogic Technical Overview
Exalogic Technical OverviewExalogic Technical Overview
Exalogic Technical Overview
 
Edition Based Redefinition . Обновление приложений на “лету”
Edition Based Redefinition . Обновление приложений на “лету”Edition Based Redefinition . Обновление приложений на “лету”
Edition Based Redefinition . Обновление приложений на “лету”
 
Oracle Database 12c. Консолидация и Мультиарендность
Oracle Database 12c. Консолидация и МультиарендностьOracle Database 12c. Консолидация и Мультиарендность
Oracle Database 12c. Консолидация и Мультиарендность
 
Oracle Database In-Memory
Oracle Database In-MemoryOracle Database In-Memory
Oracle Database In-Memory
 
Oracle NoSQL Database
Oracle NoSQL DatabaseOracle NoSQL Database
Oracle NoSQL Database
 
Oracle Engineered Systems press releases
Oracle Engineered Systems press releasesOracle Engineered Systems press releases
Oracle Engineered Systems press releases
 
Эволюция Big Data и Information Management. Reference Architecture.
Эволюция Big Data и Information Management. Reference Architecture.Эволюция Big Data и Information Management. Reference Architecture.
Эволюция Big Data и Information Management. Reference Architecture.
 
Обзор TimesTen In-Memory Database
Обзор TimesTen In-Memory DatabaseОбзор TimesTen In-Memory Database
Обзор TimesTen In-Memory Database
 
Oracle Endeca Information Discovery - Платформа для исследования данных
Oracle Endeca Information Discovery - Платформа для исследования данныхOracle Endeca Information Discovery - Платформа для исследования данных
Oracle Endeca Information Discovery - Платформа для исследования данных
 

Управление административными учетными записями как средство защиты от человеческого фактора

  • 1.
  • 2. Управление административными учетными записями как средство защиты от человеческого фактора Андрей Гусаков, руководитель группы консультантов по Enterprise Security, Oracle СНГ Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
  • 3. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | План презентации 1 2 3 Нейтрализация человеческих ошибок – подходы к решению задачи Применение средств превентивного контроля Управление административными учетными 3
  • 4. Инциденты ИБ – от ошибок до злого умысла НЕПРАВИЛЬНОЕ ИСПОЛЬЗОВАНИЕ • Злоупотребление полномочиями • Редкие утечки Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | ОПЛОШНОСТИ И ОШИБКИ • Случайное повреждение / • разглашение 4 ЗЛОЙ УМЫСЕЛ Социальная инженерия Изощренные атаки Утечка бизнес- важных данных Утрата репутации организации «Предоставленные самим себе события имеют тенденцию развиваться от плохого к худшему»
  • 5. Методы нейтрализации человеческих ошибок • Предупреждение – Административные – обучение персонала, регламенты работ, экономические санкции – Технологические – «защита от дурака», автоматизированные скрипты или процедуры • Исправление – Технологические – контроль изменений и возврат в исходное состояние (Total Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Recall) 5
  • 6. ПРЕВЕНТИВНАЯ ДЕТЕКТИВНАЯ АДМИНИСТРАТИВНАЯ Контроль активности Database Firewall Аудит и отчетность Управление ключами и др. служебной информацией Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Шифрование Редакция и Маскирование Контроль за действиями привилегированных пользователей Анализ привилегий и поиск конфиденциальных данных Управление конфигурациями 6 Можно усложнить доступ к «продуктиву» внутренними средствами безопасности СУБД Oracle
  • 7. Контроль привилегированных пользователей Превентивный контроль для баз данных Oracle Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Database Vault • Контроль и ограничение, при необходимости, прав доступа администраторов к данным приложений • Многофакторная авторизация и контроль выполнения команд • Защищенные зоны • Разграничение прав доступа в соответствии со служебными обязанностями • Специализированные настройки для приложений Application DBA Отдел кадров Отдел закупок Финансовый отдел DV_OWNER select * from finance_customers Администратор DBA DV_ACTMGR 7
  • 8. Возможный сценарий защиты • Блокировка исполнения привилегированными чувствительных команд, таких как: – SHUTDOWN … – FLASHBACK DATABASE … – ALTER SYSTEM … – DML-группа (TRUNCATE, DELETE, UPDATE, INSERT)… • Разблокировка исполнения команд по процедуре Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 8 + усиление контроля за использованием привилегированных учетных записей
  • 9. С большей властью приходят большие риски root • Привилегированные учетными записи – ключевая «точка входа» для мошенников • Сложность мониторинга использования разделяемых среди нескольких администраторов учетных записей • Избыточные права доступа – главное направление в атаках на базы данных Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Базы данных Каталоги UNIX серверы sys cn=orcladmin 9
  • 10. Привилегированные записи – с наибольшим доступом, но самые незащищенные Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | • Неограниченная власть • Разделяемые пароли к учетным записям • Пароли никогда не меняются • Нет сертификации и аудита 10
  • 11. Главные проблемы управления привилегированным доступом Как определить привилегированные учетные записи? Как отследить их использование? Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 11
  • 12. Рекомендуемый подход к управлению Запрос доступа Self- Reinforcing Автоматизи- рованное предостав- ление Отчеты и сертификация доступа Ключ к решению – полная прозрачность предоставляемого доступа! Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Коррекция доступа 12
  • 13. Представляем Oracle Privileged Accounts Manager 11g R2 • Центральное хранилище для централизованного управления паролями привилегированных и разделяемых учетных записей – Баз данных, ОС, LDAP каталогов, приложений Oracle • Автоматическая смена значения пароля при помощи ICF коннекторов • Подход “check in / check out” на основе политик – Стандарт в области компьютерной индустрии для управления разделяемыми объектами • Гибкие политики доступа к паролям привилегированных учетных записей • Отчетность по запросу привилегированных учетных записей – С применением BI Publisher • Неотъемлемый компонент Oracle Identity Governance Suite 11g R2 Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 13
  • 14. Архитектура Oracle Privileged Accounts Manager 11g R2 Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 14
  • 15. Сгенерировать и установить пароль DBA в соответствии с парольной политикой Возвратить пароль DBA Есть право на запрос записи DBA? Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Пример использования Войти как DBA Добавить Tablespace Запросить пароль DBA (“check out”) Возвратить пароли (“check in”) Войти как суперпользователь Добавить дисковое пространство Да Запросить пароль Unix (“check out”) Возвратить пароль Unix (root) Сгенерировать и установить пароль суперпользователя в соответствии с парольной политикой OIM Бизнес процессы согласования доступа к привилегированным записям Бизнес процессы согласования экстренного доступа 15 OPAM Админ / DBA Unix LDAP сервер СУБД
  • 16. Поддерживаемые из коробки клиенты / целевые системы Unix СУБД Каталоги Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | • Linux, Solaris • Все Unix с SSH • Oracle Database 9-11 • MS SQL Server • Любая другая СУБД с JDBC • Любой LDAP- совместимый каталог 16
  • 17. Преимущества Oracle Privileged Accounts Manager 11g R2 • Возможность применения единых политик безопасности как к обычным, так и к привилегированным (разделяемым) учетным записям • Устранение (уменьшение) потенциальных угроз от инсайдеров • Упрощение соответствия требованиям регуляторов – Сертификация «владения» привилегированными учетными записями • Снижение нагрузки на службу технической поддержки за счет автоматизации процессов предоставления административного и разделяемого доступа • Отчеты по выдаче привилегированных (разделяемых) учетных записей как в реальном времени, так и по отчетному периоду через BI Publisher Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 17
  • 18. Преимущества Oracle Privileged Accounts Manager 11g R2 (продолжение) • Возможность записи административных сессий Unix – Используется промежуточный Telnet / SSH прокси, администратор проходит на прокси под своей учетной записью – Больше поддерживаемых систем для записи сессий с выходом OIG11gR2 PS3 • Интеграция с Oracle Enterprise Single Sign-on – Пароль административной учетной записи не сообщается администратору, а поступает непосредственно в репозиторий ESSO – Администратор получает доступ под привилегированной учетной записью прозрачно (ESSO подставляет имя пользователя и пароль), не зная самого значения пароля Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 18
  • 19. OPAM и Oracle Identity Governance Единая платформа • Автоматизированное создание учетных записей и назначение привилегий в LDAP-каталоге, используемом OPAM через OIG – Возможность применения ролей и политик доступа для автоматизированного Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | предоставления привилегий • Использование сервиса каталога OIG для запроса привилегий доступа к учетным записям в OPAM – OIM наполняет каталог запросов, заполняя его доступными привилегиями LDAP – Администратор запрашивает доступ к привилегированной записи через OIM – Запрос проходит согласование через SOA Suite и Oracle Identity Manager, после чего администратор получает необходимый доступ 19
  • 20. OPAM и Oracle Identity Governance • Запрос экстренного административного доступа (“Break-glass access request”) –Может быть указан при создании запроса на предоставление доступа – Запрос может быть согласован в упрощенном виде или автоматически – Администраторам направляются соответствующие оповещения – Право на запрос привилегии может быть автоматически отобрано потом при проведении сертификации доступа • Сертификация, основанная на рисках и коррекция доступа – Доступ к привилегированным / разделяемым учетным записям виден в консоли OIG и доступен для сертификации – Автоматическая корректировка доступа по результатам сертификации Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 20
  • 21. OPAM и Oracle Access Management • Oracle Access Manager обеспечивает контроль доступа к административной консоли OPAM – Централизованный, основанный на политиках сервис аутентификации для веб-приложений – Web SSO – Контроль сессии • Oracle Adaptive Access Manager обеспечивает многоуровневый контроль доступа к административной консоли OPAM – Защита от мошенничества в реальном времени – Программная многофакторная аутентификация • ESSO интегрировано с OPAM для реализации SSO для администраторов Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Работаем вместе 21
  • 22. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Сертификация средств безопасности Oracle на соответствие требованиям Российского законодательства 22
  • 23. 123317, Россия, Москва, Пресненская набережная, 10 Башня на Набережной, Блок С (+7495) 6411400 Andrey.Gusakov@Oracle.Com Дополнительная информация oracle.com/identity security-orcl.blogspot.ru Copyright © 2014, Oracle and/or its affiliates. All rights 29.07.2014 reserved. | 23