SlideShare ist ein Scribd-Unternehmen logo
1 von 34
Downloaden Sie, um offline zu lesen
Seite 1Gunther Pippèrr © 2018 http://www.pipperr.de
DBSAT – DIE ORACLE DATENBANK BZGL.
PII DATEN ANALYSIEREN
Personenbezogene Daten in der Datenbank erkennen
DOAG SIG Security 27.06.2018
Seite 2Gunther Pippèrr © 2018 http://www.pipperr.de
GPI Consult Gunther Pippèrr
Freiberuflicher Oracle Datenbank Experte - Ich unterstütze Sie gerne in ihren Projekten.
Bergweg 14 - 37216 Witzenhausen/Roßbach
Mein Blog
gunther@pipperr.de
https://www.pipperr.de/dokuwiki/
Seite 3Gunther Pippèrr © 2018 http://www.pipperr.de
APEX Meetup Gruppe Kassel
https://www.meetup.com/de-DE/Oracle-APEX-Kassel/
Seite 4Gunther Pippèrr © 2018 http://www.pipperr.de
Agenda
1 Aufgabe
2 Idee
3 Praxis Beispiel
4 Erweitern und Konfigurieren
5 Fazit
Seite 5Gunther Pippèrr © 2018 http://www.pipperr.de
Die Aufgabe
Wo in meiner Umgebung werden Personen
bezogene Daten (PII) gespeichert?
PII ⇒ Personally Identifiable Information
Personenbezogene Daten schützen, aber ….
Seite 6Gunther Pippèrr © 2018 http://www.pipperr.de
Ein Ansatz
▪ Über das Data Dictionary Inhalte in einer Datenbank
“erkennen”/”erahnen”/”erraten”
– Oft werden Datenbank Objekte (Tabellen) so benannt, wie
die Business Entitäten, die das Objekte später enthält
– Gelegentlich werden Kommentare auf Tabellen und Spalten
mit Hinweise auf die Bedeutung hinterlegt
In der Theorie jedenfalls
Seite 7Gunther Pippèrr © 2018 http://www.pipperr.de
Die Annahme
▪ Eine Tabelle die „PERSONEN“ heißt, könnte mit hoher
Wahrscheinlichkeit Personen-bezogene Daten
enthalten
▪ Eine Spalte die „EMAIL“ heißt, könnte mit hoher
Wahrscheinlichkeit tatsächlich eine E-Mail enthalten
▪ Kommentare, wie „Kreditkarten Nummer in Feld
ZAHLWEGKID“, weist evtl. auf schützenswerte Daten
hin
In der Theorie jedenfalls
Seite 8Gunther Pippèrr © 2018 http://www.pipperr.de
Die Analyse
▪ Ein Scanner sucht nach bestimmten Mustern im Data
Dictionary aller Datenbanken im Unternehmen
DD
Person
Vertrag
Bank
Report
Suchmuster
Scanner
Seite 9Gunther Pippèrr © 2018 http://www.pipperr.de
Bewertung
▪ Sehr Schnell
▪ Einfach umzusetzen
▪ Keine komplexe Software
notwendig
▪ Geschätzt wird eine hohe
Treffer-Quote erreicht
Nachteil
▪ Gewisse “False Positive”
Rate wahrscheinlich ( wie
Spalten mit dem Namen
“Position”)
▪ Optimierung auf die eigene
Umgebung notwendig
▪ Keine echte Analyse auf
den eigentlichen Daten
Vorteil
Seite 10Gunther Pippèrr © 2018 http://www.pipperr.de
Werkzeuge für diese Aufgabe
▪ Selber bauen
– Eigene Skripte entwickeln
▪ Kommerzielle Scannerlösungen
– Wie die Lösungen von Herrn Kornbrust – Red Database Security -
GDPRSuite
– Die Oracle Lösung DBSAT
▪ Metadaten Handling einführen
– Oracle Sensitive Data Discovery ( Bestandteil des Database
Masking and Subsetting Packs )
– Oracle Enterprise Metadata Management OEMM
Seite 11Gunther Pippèrr © 2018 http://www.pipperr.de
Die Oracle Lösung - DBSAT
▪ Ein Datenbank Scanner von Oracle
– Kommandozeilen Werkzeug
– Besteht aus 3 Elementen:
• Collect => Skript für SQL*Plus für Security Frage Stellungen
• Report => Reporting Werkzeug mit Python (ab 2.6)
• Discover => DD Scanner auf Java Basis für PII Data
▪ Frei verwendbar für alle Kunden mit gültigen Support
Vertrag
Seite 12Gunther Pippèrr © 2018 http://www.pipperr.de
DBSAT – Zwei Teilbereiche
▪ Sicherheits-Analyse der
Datenbank Umgebung
▪ Analyse mit fest hinlegten
SQL Abfragen per SQL*Plus
– Analyse der DB Umgebung
(z.B. der Listener) nur bei
Linux/Unix möglich!
▪ Erzeugt übersichtliche
Berichte und Hinweise zu
Sicherheitsthemen der DB
DB “Sensible” Daten
▪ Suche im Data Dictionary
mit Hilfe von Mustern nach
“interessanten”,
”schützenwerten”,
“persönlichen” Daten
Speicherorten
▪ Frei definierbare Pattern
werden für die Suche
eingesetzt
DB Security
Seite 13Gunther Pippèrr © 2018 http://www.pipperr.de
Demo – Analyse einer DB auf PII Data
Installation
Testlauf
Collector
Konfiguration
Pattern Fein
Tuning
Start der
Analyse
Bericht
auswerten
Seite 14Gunther Pippèrr © 2018 http://www.pipperr.de
Download (1)
▪ Herunterladen über => Oracle Database Security
Assessment Tool (DBSAT) (Doc ID 2138254.1)
– Kostenlos für alle Oracle Kunden mit Zugang zum Oracle
Support Portal mit aktuellen Support Vertrag
Security => MD5 Hash der Datei ist dort hinterlegt ! Immer genau auch prüfen
Seite 15Gunther Pippèrr © 2018 http://www.pipperr.de
Download (2)
▪ Integrity Check durchführen!
Seite 16Gunther Pippèrr © 2018 http://www.pipperr.de
Voraussetzungen
▪ Installation von Python Version 2 (>= 2.6 ) für die
Reporter Komponente
▪ Java Runtime Environment (JRE) ab 1.6 für die
Discoverer Komponente
▪ zip und unzip Kommando
– Unter Windows einfach die mit der DB gelieferten Version
unter $ORACLE_HOME/bin verwenden, wird mit gesetzten
Oracle Home automatisch erkannt
Seite 17Gunther Pippèrr © 2018 http://www.pipperr.de
Installation (1)
▪ Software auspacken
Seite 18Gunther Pippèrr © 2018 http://www.pipperr.de
Installation (2)
▪ Umgebung (ORACLE_HOME und JAVA_HOME)
setzen und starten
set-item -path ENV:ORACLE_HOME -value
C:oracleproducts12.1.0.2dbhome_1
set-item -path env:JAVA_HOME -value "C:Program
FilesJavajre1.8.0_144"
.dbsat.bat
Database Security Assessment Tool version 2.0.1 (December 2017)
Usage: dbsat collect [ -n ] <database_connect_string> <output_file>
dbsat report [ -a ] [ -n ] [ -x <section> ] <input_file>
dbsat discover [ -n ] -c <config_file> <output_file>
Options:
-a Run the reports for all the database accounts
-n No encryption for output
-x Specify sections to exclude from report (may be repeated for
multiple sections)
-c Configuration file used for discoverer
Seite 19Gunther Pippèrr © 2018 http://www.pipperr.de
Sicherheitsüberlegungen
▪ Das Tool über das Betriebssystem schützen!
– Ein perfekter Ort um Schadcode zu hinterlegen, eine
Manipulation der Dateien wird von der Software nicht
selbstständig erkannt
– ABER => Im Bericht des Reporters wird ein andere HASH
angezeigt!
Ein schöner Platz für ein Easter Egg
Seite 20Gunther Pippèrr © 2018 http://www.pipperr.de
Datenbank User für die Analyse
▪ Einen User für die Analyse anlegen
Seite 21Gunther Pippèrr © 2018 http://www.pipperr.de
Ein erster Aufruf bzgl. der DB Sicherheit
▪ Datenbank Daten einsammeln
▪ Report erstellen
.dbsat collect secdba@oragpi collect_27_06_2018_db_gpi
=> SQL*Plus Script wird abgearbeitet
.dbsat report collect_27_06_2018_db_gpi
Seite 22Gunther Pippèrr © 2018 http://www.pipperr.de
Security Bericht auswerten (1)
▪ Auf die Checksum im Bericht achten
Oracle Database Security Assessment Tool (DBSAT) (Doc ID 2138254.1)
Seite 23Gunther Pippèrr © 2018 http://www.pipperr.de
Security Bericht auswerten (2)
▪ Auf die Referenzen im Bericht achten
– CIS Liste - Siehe =>
https://www.cisecurity.org/benchmark/oracle_database/
Seite 24Gunther Pippèrr © 2018 http://www.pipperr.de
Discover Konfiguration für die PII Data Analyse
▪ Datei dbsat.config erstellen/anpassen
– Kopie von sample_dbsat.config erstellen und anpassen
Datenbank Verbindung konfigurieren
Seite 25Gunther Pippèrr © 2018 http://www.pipperr.de
Fein Tuning – Pattern File anpassen
▪ Pattern Datei sensitive_en.ini anpassen
[EMAIL]
COL_NAME_PATTERN = EMAIL|MAIL
COL_COMMENT_PATTERN = EMAIL|MAIL
SENSITIVE_CATEGORY = PII
[PHONE]
COL_NAME_PATTERN =
PHONE|^TEL|^CELL|MOBILE|((WORK|OFFICE|CONTACT).*(NUM|NO|NBR))
COL_COMMENT_PATTERN = Phone|Telephone|Cellphone|Mobile N|Work N|Office
N|Contact N
SENSITIVE_CATEGORY = PII
Regulärer Ausdruck
Kategorie im Bericht
Seite 26Gunther Pippèrr © 2018 http://www.pipperr.de
Analyse
▪ Aufruf des Werkzeuges dbsat
Seite 27Gunther Pippèrr © 2018 http://www.pipperr.de
Auswertung
Seite 28Gunther Pippèrr © 2018 http://www.pipperr.de
Exclude Liste anlegen
▪ Falls zu viel gefunden wird – Ausnahme-Datei
erstellen
• Ignore ini Datei anlegen - ignore_tables.ini
• Parameter Datei anpassen - dbsat.config
Seite 29Gunther Pippèrr © 2018 http://www.pipperr.de
Deutsche Pattern Datei
▪ Inoffizielle Version über den Oracle Vertrieb erhältlich
– Ansprechpartnerin
Justyna Biernat justyna.biernat@oracle.com
– DBSAT Tool EMEA Produkt Manager, Herr Pedro Lopes
Seite 30Gunther Pippèrr © 2018 http://www.pipperr.de
Integration in Audit Vault
▪ Erzeugte CSV Daten in Audit Valut integrieren
– Norman Sibbing fragen .-)
– Zum Beispiel die Spalten aus dem Bericht erweitert
auditieren – Stichwort „Fine grained auditing“
Seite 31Gunther Pippèrr © 2018 http://www.pipperr.de
Diskussion
Hilft das bei der DSGVO?
Wie halten Sie es mit Metadaten Handling in Ihrem
Unternehmen?
Werden Sie das Tool einsetzen?
Konnten Sie schon Erfahrungen mit dbsat
sammeln?
Seite 32Gunther Pippèrr © 2018 http://www.pipperr.de
Fazit
▪ Pro:
– Einfach und komfortabel im Einsatz ohne Installations-
aufwand
– Kostenlos für Kunden mit gültigen Oracle Support Vertrag
– Einheitlich alle Oracle Datenbanken überwachen
– Übersichtliches Reporting der wichtigsten Grund-
voraussetzungen
– Analyse des DD mit regulären Ausdrücken erweiterbar
▪ Contra:
– Standard Sicherheitsregeln nicht als Pattern hinterlegt,
Standard Regeln nicht einfach zu erweitern
Seite 33Gunther Pippèrr © 2018 http://www.pipperr.de
Mehr
▪ Siehe
– Webinar =>
http://www.doag.org/go/newsletter/180620/cw_link1
– Blog: =>
https://www.pipperr.de/dokuwiki/doku.php?id=dba:oracle_db
sat
▪ Wieder mal eine andere Skript Library
– https://github.com/gpipperr/OraPowerShell
▪ Bildmaterial : https://pixabay.com
Seite 34Gunther Pippèrr © 2018 http://www.pipperr.de
Fragen
Fragen zu DBSAT ?

Weitere ähnliche Inhalte

Ähnlich wie DBSAT – Die Oracle DATENBANK bzgl. PII Daten analysieren

Ähnlich wie DBSAT – Die Oracle DATENBANK bzgl. PII Daten analysieren (20)

Introduction into Oracle Data Pump 11g/12c - Export and Import Data
Introduction into Oracle Data Pump 11g/12c - Export and Import DataIntroduction into Oracle Data Pump 11g/12c - Export and Import Data
Introduction into Oracle Data Pump 11g/12c - Export and Import Data
 
Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)
 
Rollout-Prozess für APEX Anwendungen
Rollout-Prozess für APEX AnwendungenRollout-Prozess für APEX Anwendungen
Rollout-Prozess für APEX Anwendungen
 
MT AG Präsentation Rapid Application Development mit APEX 5
MT AG Präsentation Rapid Application Development mit APEX 5MT AG Präsentation Rapid Application Development mit APEX 5
MT AG Präsentation Rapid Application Development mit APEX 5
 
Slides__Splunk_UserGroup_20220407.pdf
Slides__Splunk_UserGroup_20220407.pdfSlides__Splunk_UserGroup_20220407.pdf
Slides__Splunk_UserGroup_20220407.pdf
 
Überblick: 18c und Autonomous Data Warehouse Cloud (ADWC)
Überblick: 18c und Autonomous Data Warehouse Cloud (ADWC)Überblick: 18c und Autonomous Data Warehouse Cloud (ADWC)
Überblick: 18c und Autonomous Data Warehouse Cloud (ADWC)
 
Oracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperr
Oracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperrOracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperr
Oracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperr
 
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
 
Web-Performance-Optimierung mit varnish
Web-Performance-Optimierung mit varnishWeb-Performance-Optimierung mit varnish
Web-Performance-Optimierung mit varnish
 
Cyber Crime leeds to Tape Air-Gap Protection
Cyber Crime leeds to Tape Air-Gap ProtectionCyber Crime leeds to Tape Air-Gap Protection
Cyber Crime leeds to Tape Air-Gap Protection
 
Oracle Database 12c Release 2
Oracle Database 12c Release 2 Oracle Database 12c Release 2
Oracle Database 12c Release 2
 
Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2
 
Visuelle Gestaltung und Testdatenentwicklung mit BizDataX
Visuelle Gestaltung und Testdatenentwicklung mit BizDataXVisuelle Gestaltung und Testdatenentwicklung mit BizDataX
Visuelle Gestaltung und Testdatenentwicklung mit BizDataX
 
Oracle on Azure
Oracle on AzureOracle on Azure
Oracle on Azure
 
Sleeping with the enemy Konrad Häfeli
Sleeping with the enemy Konrad HäfeliSleeping with the enemy Konrad Häfeli
Sleeping with the enemy Konrad Häfeli
 
Oracle 11g - Neuerungen im Überblick
Oracle 11g - Neuerungen im ÜberblickOracle 11g - Neuerungen im Überblick
Oracle 11g - Neuerungen im Überblick
 
Oracle Technology Monthly Oktober 2017
Oracle Technology Monthly Oktober 2017Oracle Technology Monthly Oktober 2017
Oracle Technology Monthly Oktober 2017
 
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und RecoveryZeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
 
Infrastructure Solution Day | Core
Infrastructure Solution Day | CoreInfrastructure Solution Day | Core
Infrastructure Solution Day | Core
 
20181210_ITTage2018_OracleNoSQLDB_KPatenge
20181210_ITTage2018_OracleNoSQLDB_KPatenge20181210_ITTage2018_OracleNoSQLDB_KPatenge
20181210_ITTage2018_OracleNoSQLDB_KPatenge
 

Mehr von Gunther Pippèrr

Oracle no sql-doag-datenbank_konferenz_juni_2014
Oracle no sql-doag-datenbank_konferenz_juni_2014Oracle no sql-doag-datenbank_konferenz_juni_2014
Oracle no sql-doag-datenbank_konferenz_juni_2014
Gunther Pippèrr
 

Mehr von Gunther Pippèrr (9)

Archiving Oracle Primavera project plans with software development tools
Archiving Oracle Primavera project plans with software development toolsArchiving Oracle Primavera project plans with software development tools
Archiving Oracle Primavera project plans with software development tools
 
Ldap sqlnet
Ldap sqlnetLdap sqlnet
Ldap sqlnet
 
01 sqlplus
01 sqlplus01 sqlplus
01 sqlplus
 
Der oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerterDer oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerter
 
Doag 2104 manuskript_hadoop_oracle_integration_gunther_pipperr_v02
Doag 2104 manuskript_hadoop_oracle_integration_gunther_pipperr_v02Doag 2104 manuskript_hadoop_oracle_integration_gunther_pipperr_v02
Doag 2104 manuskript_hadoop_oracle_integration_gunther_pipperr_v02
 
Oracle hadoop doag-big-data_09_2014_gpi
Oracle hadoop doag-big-data_09_2014_gpiOracle hadoop doag-big-data_09_2014_gpi
Oracle hadoop doag-big-data_09_2014_gpi
 
Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015
 
Oracle no sql-doag-datenbank_konferenz_juni_2014
Oracle no sql-doag-datenbank_konferenz_juni_2014Oracle no sql-doag-datenbank_konferenz_juni_2014
Oracle no sql-doag-datenbank_konferenz_juni_2014
 
Oracle nosql twjug-oktober-2014_taiwan_print_v01
Oracle nosql twjug-oktober-2014_taiwan_print_v01Oracle nosql twjug-oktober-2014_taiwan_print_v01
Oracle nosql twjug-oktober-2014_taiwan_print_v01
 

DBSAT – Die Oracle DATENBANK bzgl. PII Daten analysieren

  • 1. Seite 1Gunther Pippèrr © 2018 http://www.pipperr.de DBSAT – DIE ORACLE DATENBANK BZGL. PII DATEN ANALYSIEREN Personenbezogene Daten in der Datenbank erkennen DOAG SIG Security 27.06.2018
  • 2. Seite 2Gunther Pippèrr © 2018 http://www.pipperr.de GPI Consult Gunther Pippèrr Freiberuflicher Oracle Datenbank Experte - Ich unterstütze Sie gerne in ihren Projekten. Bergweg 14 - 37216 Witzenhausen/Roßbach Mein Blog gunther@pipperr.de https://www.pipperr.de/dokuwiki/
  • 3. Seite 3Gunther Pippèrr © 2018 http://www.pipperr.de APEX Meetup Gruppe Kassel https://www.meetup.com/de-DE/Oracle-APEX-Kassel/
  • 4. Seite 4Gunther Pippèrr © 2018 http://www.pipperr.de Agenda 1 Aufgabe 2 Idee 3 Praxis Beispiel 4 Erweitern und Konfigurieren 5 Fazit
  • 5. Seite 5Gunther Pippèrr © 2018 http://www.pipperr.de Die Aufgabe Wo in meiner Umgebung werden Personen bezogene Daten (PII) gespeichert? PII ⇒ Personally Identifiable Information Personenbezogene Daten schützen, aber ….
  • 6. Seite 6Gunther Pippèrr © 2018 http://www.pipperr.de Ein Ansatz ▪ Über das Data Dictionary Inhalte in einer Datenbank “erkennen”/”erahnen”/”erraten” – Oft werden Datenbank Objekte (Tabellen) so benannt, wie die Business Entitäten, die das Objekte später enthält – Gelegentlich werden Kommentare auf Tabellen und Spalten mit Hinweise auf die Bedeutung hinterlegt In der Theorie jedenfalls
  • 7. Seite 7Gunther Pippèrr © 2018 http://www.pipperr.de Die Annahme ▪ Eine Tabelle die „PERSONEN“ heißt, könnte mit hoher Wahrscheinlichkeit Personen-bezogene Daten enthalten ▪ Eine Spalte die „EMAIL“ heißt, könnte mit hoher Wahrscheinlichkeit tatsächlich eine E-Mail enthalten ▪ Kommentare, wie „Kreditkarten Nummer in Feld ZAHLWEGKID“, weist evtl. auf schützenswerte Daten hin In der Theorie jedenfalls
  • 8. Seite 8Gunther Pippèrr © 2018 http://www.pipperr.de Die Analyse ▪ Ein Scanner sucht nach bestimmten Mustern im Data Dictionary aller Datenbanken im Unternehmen DD Person Vertrag Bank Report Suchmuster Scanner
  • 9. Seite 9Gunther Pippèrr © 2018 http://www.pipperr.de Bewertung ▪ Sehr Schnell ▪ Einfach umzusetzen ▪ Keine komplexe Software notwendig ▪ Geschätzt wird eine hohe Treffer-Quote erreicht Nachteil ▪ Gewisse “False Positive” Rate wahrscheinlich ( wie Spalten mit dem Namen “Position”) ▪ Optimierung auf die eigene Umgebung notwendig ▪ Keine echte Analyse auf den eigentlichen Daten Vorteil
  • 10. Seite 10Gunther Pippèrr © 2018 http://www.pipperr.de Werkzeuge für diese Aufgabe ▪ Selber bauen – Eigene Skripte entwickeln ▪ Kommerzielle Scannerlösungen – Wie die Lösungen von Herrn Kornbrust – Red Database Security - GDPRSuite – Die Oracle Lösung DBSAT ▪ Metadaten Handling einführen – Oracle Sensitive Data Discovery ( Bestandteil des Database Masking and Subsetting Packs ) – Oracle Enterprise Metadata Management OEMM
  • 11. Seite 11Gunther Pippèrr © 2018 http://www.pipperr.de Die Oracle Lösung - DBSAT ▪ Ein Datenbank Scanner von Oracle – Kommandozeilen Werkzeug – Besteht aus 3 Elementen: • Collect => Skript für SQL*Plus für Security Frage Stellungen • Report => Reporting Werkzeug mit Python (ab 2.6) • Discover => DD Scanner auf Java Basis für PII Data ▪ Frei verwendbar für alle Kunden mit gültigen Support Vertrag
  • 12. Seite 12Gunther Pippèrr © 2018 http://www.pipperr.de DBSAT – Zwei Teilbereiche ▪ Sicherheits-Analyse der Datenbank Umgebung ▪ Analyse mit fest hinlegten SQL Abfragen per SQL*Plus – Analyse der DB Umgebung (z.B. der Listener) nur bei Linux/Unix möglich! ▪ Erzeugt übersichtliche Berichte und Hinweise zu Sicherheitsthemen der DB DB “Sensible” Daten ▪ Suche im Data Dictionary mit Hilfe von Mustern nach “interessanten”, ”schützenwerten”, “persönlichen” Daten Speicherorten ▪ Frei definierbare Pattern werden für die Suche eingesetzt DB Security
  • 13. Seite 13Gunther Pippèrr © 2018 http://www.pipperr.de Demo – Analyse einer DB auf PII Data Installation Testlauf Collector Konfiguration Pattern Fein Tuning Start der Analyse Bericht auswerten
  • 14. Seite 14Gunther Pippèrr © 2018 http://www.pipperr.de Download (1) ▪ Herunterladen über => Oracle Database Security Assessment Tool (DBSAT) (Doc ID 2138254.1) – Kostenlos für alle Oracle Kunden mit Zugang zum Oracle Support Portal mit aktuellen Support Vertrag Security => MD5 Hash der Datei ist dort hinterlegt ! Immer genau auch prüfen
  • 15. Seite 15Gunther Pippèrr © 2018 http://www.pipperr.de Download (2) ▪ Integrity Check durchführen!
  • 16. Seite 16Gunther Pippèrr © 2018 http://www.pipperr.de Voraussetzungen ▪ Installation von Python Version 2 (>= 2.6 ) für die Reporter Komponente ▪ Java Runtime Environment (JRE) ab 1.6 für die Discoverer Komponente ▪ zip und unzip Kommando – Unter Windows einfach die mit der DB gelieferten Version unter $ORACLE_HOME/bin verwenden, wird mit gesetzten Oracle Home automatisch erkannt
  • 17. Seite 17Gunther Pippèrr © 2018 http://www.pipperr.de Installation (1) ▪ Software auspacken
  • 18. Seite 18Gunther Pippèrr © 2018 http://www.pipperr.de Installation (2) ▪ Umgebung (ORACLE_HOME und JAVA_HOME) setzen und starten set-item -path ENV:ORACLE_HOME -value C:oracleproducts12.1.0.2dbhome_1 set-item -path env:JAVA_HOME -value "C:Program FilesJavajre1.8.0_144" .dbsat.bat Database Security Assessment Tool version 2.0.1 (December 2017) Usage: dbsat collect [ -n ] <database_connect_string> <output_file> dbsat report [ -a ] [ -n ] [ -x <section> ] <input_file> dbsat discover [ -n ] -c <config_file> <output_file> Options: -a Run the reports for all the database accounts -n No encryption for output -x Specify sections to exclude from report (may be repeated for multiple sections) -c Configuration file used for discoverer
  • 19. Seite 19Gunther Pippèrr © 2018 http://www.pipperr.de Sicherheitsüberlegungen ▪ Das Tool über das Betriebssystem schützen! – Ein perfekter Ort um Schadcode zu hinterlegen, eine Manipulation der Dateien wird von der Software nicht selbstständig erkannt – ABER => Im Bericht des Reporters wird ein andere HASH angezeigt! Ein schöner Platz für ein Easter Egg
  • 20. Seite 20Gunther Pippèrr © 2018 http://www.pipperr.de Datenbank User für die Analyse ▪ Einen User für die Analyse anlegen
  • 21. Seite 21Gunther Pippèrr © 2018 http://www.pipperr.de Ein erster Aufruf bzgl. der DB Sicherheit ▪ Datenbank Daten einsammeln ▪ Report erstellen .dbsat collect secdba@oragpi collect_27_06_2018_db_gpi => SQL*Plus Script wird abgearbeitet .dbsat report collect_27_06_2018_db_gpi
  • 22. Seite 22Gunther Pippèrr © 2018 http://www.pipperr.de Security Bericht auswerten (1) ▪ Auf die Checksum im Bericht achten Oracle Database Security Assessment Tool (DBSAT) (Doc ID 2138254.1)
  • 23. Seite 23Gunther Pippèrr © 2018 http://www.pipperr.de Security Bericht auswerten (2) ▪ Auf die Referenzen im Bericht achten – CIS Liste - Siehe => https://www.cisecurity.org/benchmark/oracle_database/
  • 24. Seite 24Gunther Pippèrr © 2018 http://www.pipperr.de Discover Konfiguration für die PII Data Analyse ▪ Datei dbsat.config erstellen/anpassen – Kopie von sample_dbsat.config erstellen und anpassen Datenbank Verbindung konfigurieren
  • 25. Seite 25Gunther Pippèrr © 2018 http://www.pipperr.de Fein Tuning – Pattern File anpassen ▪ Pattern Datei sensitive_en.ini anpassen [EMAIL] COL_NAME_PATTERN = EMAIL|MAIL COL_COMMENT_PATTERN = EMAIL|MAIL SENSITIVE_CATEGORY = PII [PHONE] COL_NAME_PATTERN = PHONE|^TEL|^CELL|MOBILE|((WORK|OFFICE|CONTACT).*(NUM|NO|NBR)) COL_COMMENT_PATTERN = Phone|Telephone|Cellphone|Mobile N|Work N|Office N|Contact N SENSITIVE_CATEGORY = PII Regulärer Ausdruck Kategorie im Bericht
  • 26. Seite 26Gunther Pippèrr © 2018 http://www.pipperr.de Analyse ▪ Aufruf des Werkzeuges dbsat
  • 27. Seite 27Gunther Pippèrr © 2018 http://www.pipperr.de Auswertung
  • 28. Seite 28Gunther Pippèrr © 2018 http://www.pipperr.de Exclude Liste anlegen ▪ Falls zu viel gefunden wird – Ausnahme-Datei erstellen • Ignore ini Datei anlegen - ignore_tables.ini • Parameter Datei anpassen - dbsat.config
  • 29. Seite 29Gunther Pippèrr © 2018 http://www.pipperr.de Deutsche Pattern Datei ▪ Inoffizielle Version über den Oracle Vertrieb erhältlich – Ansprechpartnerin Justyna Biernat justyna.biernat@oracle.com – DBSAT Tool EMEA Produkt Manager, Herr Pedro Lopes
  • 30. Seite 30Gunther Pippèrr © 2018 http://www.pipperr.de Integration in Audit Vault ▪ Erzeugte CSV Daten in Audit Valut integrieren – Norman Sibbing fragen .-) – Zum Beispiel die Spalten aus dem Bericht erweitert auditieren – Stichwort „Fine grained auditing“
  • 31. Seite 31Gunther Pippèrr © 2018 http://www.pipperr.de Diskussion Hilft das bei der DSGVO? Wie halten Sie es mit Metadaten Handling in Ihrem Unternehmen? Werden Sie das Tool einsetzen? Konnten Sie schon Erfahrungen mit dbsat sammeln?
  • 32. Seite 32Gunther Pippèrr © 2018 http://www.pipperr.de Fazit ▪ Pro: – Einfach und komfortabel im Einsatz ohne Installations- aufwand – Kostenlos für Kunden mit gültigen Oracle Support Vertrag – Einheitlich alle Oracle Datenbanken überwachen – Übersichtliches Reporting der wichtigsten Grund- voraussetzungen – Analyse des DD mit regulären Ausdrücken erweiterbar ▪ Contra: – Standard Sicherheitsregeln nicht als Pattern hinterlegt, Standard Regeln nicht einfach zu erweitern
  • 33. Seite 33Gunther Pippèrr © 2018 http://www.pipperr.de Mehr ▪ Siehe – Webinar => http://www.doag.org/go/newsletter/180620/cw_link1 – Blog: => https://www.pipperr.de/dokuwiki/doku.php?id=dba:oracle_db sat ▪ Wieder mal eine andere Skript Library – https://github.com/gpipperr/OraPowerShell ▪ Bildmaterial : https://pixabay.com
  • 34. Seite 34Gunther Pippèrr © 2018 http://www.pipperr.de Fragen Fragen zu DBSAT ?