SlideShare ist ein Scribd-Unternehmen logo

DBSAT – Die Oracle DATENBANK bzgl. PII Daten analysieren

Gunther Pippèrr
Gunther Pippèrr

DBSAT ist ein Database Security Scanner für die Oracle Datenbanken ( ab der DB Version 10.2.0.5) und steht als Kommando Zeilen Werkzeug zur Verfügung. Das Tool sammelt Security relevanten Informationen aus einer Datenbank Umgebung und prüft die Einstellungen der DB gegen über einem programmiert hinterlegten Regelwerk und bewertet im Anschluss die Ergebnisse der Tests. Die Abfragen basieren auf Best Practise und Security Tips von Oracle, komplette Liste wie CIS werden aber nicht abgedeckt. Mit Hilfe dieser Tests können dann Empfehlungen ausgesprochen werden mit denen Sicherheitsprobleme proaktiv behoben, bzw. erkannt/bewertet, werden können. Neu in der Version 2 ist auch das Erkennen von sensitiven/sensiblen Daten, wie Daten, die unter die GDPR fallen, aus Datenstrukturen über das Data Dictionary (DD). Als Basis dient ein erweiterbares Patternfile auf Basis regulärer Ausdrücke, d.h. es werden nur Definitionen im DD angeschaut, Daten ansich werden nicht anaylsiert! Die gesammelten Daten liegen im JSON Format vor und können dann in „hübschen“ Berichten Management tauglich aufgearbeitet werden.

Daten & Analysen
1 von 34
Downloaden Sie, um offline zu lesen
Seite 1Gunther Pippèrr © 2018 http://www.pipperr.de DBSAT – DIE ORACLE DATENBANK BZGL. PII DATEN ANALYSIEREN Personenbezogene Daten in der Datenbank erkennen DOAG SIG Security 27.06.2018
Seite 2Gunther Pippèrr © 2018 http://www.pipperr.de GPI Consult Gunther Pippèrr Freiberuflicher Oracle Datenbank Experte - Ich unterstütze Sie gerne in ihren Projekten. Bergweg 14 - 37216 Witzenhausen/Roßbach Mein Blog gunther@pipperr.de https://www.pipperr.de/dokuwiki/
Seite 3Gunther Pippèrr © 2018 http://www.pipperr.de APEX Meetup Gruppe Kassel https://www.meetup.com/de-DE/Oracle-APEX-Kassel/
Seite 4Gunther Pippèrr © 2018 http://www.pipperr.de Agenda 1 Aufgabe 2 Idee 3 Praxis Beispiel 4 Erweitern und Konfigurieren 5 Fazit
Seite 5Gunther Pippèrr © 2018 http://www.pipperr.de Die Aufgabe Wo in meiner Umgebung werden Personen bezogene Daten (PII) gespeichert? PII ⇒ Personally Identifiable Information Personenbezogene Daten schützen, aber ….
Seite 6Gunther Pippèrr © 2018 http://www.pipperr.de Ein Ansatz ▪ Über das Data Dictionary Inhalte in einer Datenbank “erkennen”/”erahnen”/”erraten” – Oft werden Datenbank Objekte (Tabellen) so benannt, wie die Business Entitäten, die das Objekte später enthält – Gelegentlich werden Kommentare auf Tabellen und Spalten mit Hinweise auf die Bedeutung hinterlegt In der Theorie jedenfalls
Seite 7Gunther Pippèrr © 2018 http://www.pipperr.de Die Annahme ▪ Eine Tabelle die „PERSONEN“ heißt, könnte mit hoher Wahrscheinlichkeit Personen-bezogene Daten enthalten ▪ Eine Spalte die „EMAIL“ heißt, könnte mit hoher Wahrscheinlichkeit tatsächlich eine E-Mail enthalten ▪ Kommentare, wie „Kreditkarten Nummer in Feld ZAHLWEGKID“, weist evtl. auf schützenswerte Daten hin In der Theorie jedenfalls
Seite 8Gunther Pippèrr © 2018 http://www.pipperr.de Die Analyse ▪ Ein Scanner sucht nach bestimmten Mustern im Data Dictionary aller Datenbanken im Unternehmen DD Person Vertrag Bank Report Suchmuster Scanner
Seite 9Gunther Pippèrr © 2018 http://www.pipperr.de Bewertung ▪ Sehr Schnell ▪ Einfach umzusetzen ▪ Keine komplexe Software notwendig ▪ Geschätzt wird eine hohe Treffer-Quote erreicht Nachteil ▪ Gewisse “False Positive” Rate wahrscheinlich ( wie Spalten mit dem Namen “Position”) ▪ Optimierung auf die eigene Umgebung notwendig ▪ Keine echte Analyse auf den eigentlichen Daten Vorteil
Seite 10Gunther Pippèrr © 2018 http://www.pipperr.de Werkzeuge für diese Aufgabe ▪ Selber bauen – Eigene Skripte entwickeln ▪ Kommerzielle Scannerlösungen – Wie die Lösungen von Herrn Kornbrust – Red Database Security - GDPRSuite – Die Oracle Lösung DBSAT ▪ Metadaten Handling einführen – Oracle Sensitive Data Discovery ( Bestandteil des Database Masking and Subsetting Packs ) – Oracle Enterprise Metadata Management OEMM
Seite 11Gunther Pippèrr © 2018 http://www.pipperr.de Die Oracle Lösung - DBSAT ▪ Ein Datenbank Scanner von Oracle – Kommandozeilen Werkzeug – Besteht aus 3 Elementen: • Collect => Skript für SQL*Plus für Security Frage Stellungen • Report => Reporting Werkzeug mit Python (ab 2.6) • Discover => DD Scanner auf Java Basis für PII Data ▪ Frei verwendbar für alle Kunden mit gültigen Support Vertrag
Seite 12Gunther Pippèrr © 2018 http://www.pipperr.de DBSAT – Zwei Teilbereiche ▪ Sicherheits-Analyse der Datenbank Umgebung ▪ Analyse mit fest hinlegten SQL Abfragen per SQL*Plus – Analyse der DB Umgebung (z.B. der Listener) nur bei Linux/Unix möglich! ▪ Erzeugt übersichtliche Berichte und Hinweise zu Sicherheitsthemen der DB DB “Sensible” Daten ▪ Suche im Data Dictionary mit Hilfe von Mustern nach “interessanten”, ”schützenwerten”, “persönlichen” Daten Speicherorten ▪ Frei definierbare Pattern werden für die Suche eingesetzt DB Security
Seite 13Gunther Pippèrr © 2018 http://www.pipperr.de Demo – Analyse einer DB auf PII Data Installation Testlauf Collector Konfiguration Pattern Fein Tuning Start der Analyse Bericht auswerten
Seite 14Gunther Pippèrr © 2018 http://www.pipperr.de Download (1) ▪ Herunterladen über => Oracle Database Security Assessment Tool (DBSAT) (Doc ID 2138254.1) – Kostenlos für alle Oracle Kunden mit Zugang zum Oracle Support Portal mit aktuellen Support Vertrag Security => MD5 Hash der Datei ist dort hinterlegt ! Immer genau auch prüfen
Seite 15Gunther Pippèrr © 2018 http://www.pipperr.de Download (2) ▪ Integrity Check durchführen!
Seite 16Gunther Pippèrr © 2018 http://www.pipperr.de Voraussetzungen ▪ Installation von Python Version 2 (>= 2.6 ) für die Reporter Komponente ▪ Java Runtime Environment (JRE) ab 1.6 für die Discoverer Komponente ▪ zip und unzip Kommando – Unter Windows einfach die mit der DB gelieferten Version unter $ORACLE_HOME/bin verwenden, wird mit gesetzten Oracle Home automatisch erkannt
Seite 17Gunther Pippèrr © 2018 http://www.pipperr.de Installation (1) ▪ Software auspacken
Seite 18Gunther Pippèrr © 2018 http://www.pipperr.de Installation (2) ▪ Umgebung (ORACLE_HOME und JAVA_HOME) setzen und starten set-item -path ENV:ORACLE_HOME -value C:oracleproducts12.1.0.2dbhome_1 set-item -path env:JAVA_HOME -value "C:Program FilesJavajre1.8.0_144" .dbsat.bat Database Security Assessment Tool version 2.0.1 (December 2017) Usage: dbsat collect [ -n ] <database_connect_string> <output_file> dbsat report [ -a ] [ -n ] [ -x <section> ] <input_file> dbsat discover [ -n ] -c <config_file> <output_file> Options: -a Run the reports for all the database accounts -n No encryption for output -x Specify sections to exclude from report (may be repeated for multiple sections) -c Configuration file used for discoverer
Seite 19Gunther Pippèrr © 2018 http://www.pipperr.de Sicherheitsüberlegungen ▪ Das Tool über das Betriebssystem schützen! – Ein perfekter Ort um Schadcode zu hinterlegen, eine Manipulation der Dateien wird von der Software nicht selbstständig erkannt – ABER => Im Bericht des Reporters wird ein andere HASH angezeigt! Ein schöner Platz für ein Easter Egg
Seite 20Gunther Pippèrr © 2018 http://www.pipperr.de Datenbank User für die Analyse ▪ Einen User für die Analyse anlegen
Seite 21Gunther Pippèrr © 2018 http://www.pipperr.de Ein erster Aufruf bzgl. der DB Sicherheit ▪ Datenbank Daten einsammeln ▪ Report erstellen .dbsat collect secdba@oragpi collect_27_06_2018_db_gpi => SQL*Plus Script wird abgearbeitet .dbsat report collect_27_06_2018_db_gpi
Seite 22Gunther Pippèrr © 2018 http://www.pipperr.de Security Bericht auswerten (1) ▪ Auf die Checksum im Bericht achten Oracle Database Security Assessment Tool (DBSAT) (Doc ID 2138254.1)
Seite 23Gunther Pippèrr © 2018 http://www.pipperr.de Security Bericht auswerten (2) ▪ Auf die Referenzen im Bericht achten – CIS Liste - Siehe => https://www.cisecurity.org/benchmark/oracle_database/
Seite 24Gunther Pippèrr © 2018 http://www.pipperr.de Discover Konfiguration für die PII Data Analyse ▪ Datei dbsat.config erstellen/anpassen – Kopie von sample_dbsat.config erstellen und anpassen Datenbank Verbindung konfigurieren
Seite 25Gunther Pippèrr © 2018 http://www.pipperr.de Fein Tuning – Pattern File anpassen ▪ Pattern Datei sensitive_en.ini anpassen [EMAIL] COL_NAME_PATTERN = EMAIL|MAIL COL_COMMENT_PATTERN = EMAIL|MAIL SENSITIVE_CATEGORY = PII [PHONE] COL_NAME_PATTERN = PHONE|^TEL|^CELL|MOBILE|((WORK|OFFICE|CONTACT).*(NUM|NO|NBR)) COL_COMMENT_PATTERN = Phone|Telephone|Cellphone|Mobile N|Work N|Office N|Contact N SENSITIVE_CATEGORY = PII Regulärer Ausdruck Kategorie im Bericht
Seite 26Gunther Pippèrr © 2018 http://www.pipperr.de Analyse ▪ Aufruf des Werkzeuges dbsat
Seite 27Gunther Pippèrr © 2018 http://www.pipperr.de Auswertung
Seite 28Gunther Pippèrr © 2018 http://www.pipperr.de Exclude Liste anlegen ▪ Falls zu viel gefunden wird – Ausnahme-Datei erstellen • Ignore ini Datei anlegen - ignore_tables.ini • Parameter Datei anpassen - dbsat.config
Seite 29Gunther Pippèrr © 2018 http://www.pipperr.de Deutsche Pattern Datei ▪ Inoffizielle Version über den Oracle Vertrieb erhältlich – Ansprechpartnerin Justyna Biernat justyna.biernat@oracle.com – DBSAT Tool EMEA Produkt Manager, Herr Pedro Lopes
Seite 30Gunther Pippèrr © 2018 http://www.pipperr.de Integration in Audit Vault ▪ Erzeugte CSV Daten in Audit Valut integrieren – Norman Sibbing fragen .-) – Zum Beispiel die Spalten aus dem Bericht erweitert auditieren – Stichwort „Fine grained auditing“
Seite 31Gunther Pippèrr © 2018 http://www.pipperr.de Diskussion Hilft das bei der DSGVO? Wie halten Sie es mit Metadaten Handling in Ihrem Unternehmen? Werden Sie das Tool einsetzen? Konnten Sie schon Erfahrungen mit dbsat sammeln?
Seite 32Gunther Pippèrr © 2018 http://www.pipperr.de Fazit ▪ Pro: – Einfach und komfortabel im Einsatz ohne Installations- aufwand – Kostenlos für Kunden mit gültigen Oracle Support Vertrag – Einheitlich alle Oracle Datenbanken überwachen – Übersichtliches Reporting der wichtigsten Grund- voraussetzungen – Analyse des DD mit regulären Ausdrücken erweiterbar ▪ Contra: – Standard Sicherheitsregeln nicht als Pattern hinterlegt, Standard Regeln nicht einfach zu erweitern
Seite 33Gunther Pippèrr © 2018 http://www.pipperr.de Mehr ▪ Siehe – Webinar => http://www.doag.org/go/newsletter/180620/cw_link1 – Blog: => https://www.pipperr.de/dokuwiki/doku.php?id=dba:oracle_db sat ▪ Wieder mal eine andere Skript Library – https://github.com/gpipperr/OraPowerShell ▪ Bildmaterial : https://pixabay.com
Seite 34Gunther Pippèrr © 2018 http://www.pipperr.de Fragen Fragen zu DBSAT ?

Empfohlen

Über Rechte/Rollen und den sicheren Betrieb der Datenbank
Über Rechte/Rollen und den sicheren Betrieb der DatenbankÜber Rechte/Rollen und den sicheren Betrieb der Datenbank
Über Rechte/Rollen und den sicheren Betrieb der DatenbankGunther Pippèrr
 
Sensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle DatenbankSensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle DatenbankUlrike Schwinn
 
Open Source Monitoring mit Icinga 2 (Webinar vom 13.11.2013)
Open Source Monitoring mit Icinga 2 (Webinar vom 13.11.2013)Open Source Monitoring mit Icinga 2 (Webinar vom 13.11.2013)
Open Source Monitoring mit Icinga 2 (Webinar vom 13.11.2013)NETWAYS
 
Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...
Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...
Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...Markus Flechtner
 
Oracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin BergerOracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin BergerDésirée Pfister
 
Oracle Database Backup Service
Oracle Database Backup ServiceOracle Database Backup Service
Oracle Database Backup ServiceTrivadis
 
20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatenge20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatengeKarin Patenge
 
Enterprise APEX
Enterprise APEXEnterprise APEX
Enterprise APEXOliver Lemm
 

Empfohlen

Über Rechte/Rollen und den sicheren Betrieb der Datenbank
Über Rechte/Rollen und den sicheren Betrieb der DatenbankÜber Rechte/Rollen und den sicheren Betrieb der Datenbank
Über Rechte/Rollen und den sicheren Betrieb der DatenbankGunther Pippèrr
 
Sensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle DatenbankSensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle DatenbankUlrike Schwinn
 
Open Source Monitoring mit Icinga 2 (Webinar vom 13.11.2013)
Open Source Monitoring mit Icinga 2 (Webinar vom 13.11.2013)Open Source Monitoring mit Icinga 2 (Webinar vom 13.11.2013)
Open Source Monitoring mit Icinga 2 (Webinar vom 13.11.2013)NETWAYS
 
Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...
Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...
Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...Markus Flechtner
 
Oracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin BergerOracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin BergerDésirée Pfister
 
Oracle Database Backup Service
Oracle Database Backup ServiceOracle Database Backup Service
Oracle Database Backup ServiceTrivadis
 
20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatenge20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatengeKarin Patenge
 
Enterprise APEX
Enterprise APEXEnterprise APEX
Enterprise APEXOliver Lemm
 
Introduction into Oracle Data Pump 11g/12c - Export and Import Data
Introduction into Oracle Data Pump 11g/12c - Export and Import DataIntroduction into Oracle Data Pump 11g/12c - Export and Import Data
Introduction into Oracle Data Pump 11g/12c - Export and Import DataGunther Pippèrr
 
Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)OPITZ CONSULTING Deutschland
 
Rollout-Prozess für APEX Anwendungen
Rollout-Prozess für APEX AnwendungenRollout-Prozess für APEX Anwendungen
Rollout-Prozess für APEX AnwendungenOliver Lemm
 
MT AG Präsentation Rapid Application Development mit APEX 5
MT AG Präsentation Rapid Application Development mit APEX 5MT AG Präsentation Rapid Application Development mit APEX 5
MT AG Präsentation Rapid Application Development mit APEX 5MT AG
 
Slides__Splunk_UserGroup_20220407.pdf
Slides__Splunk_UserGroup_20220407.pdfSlides__Splunk_UserGroup_20220407.pdf
Slides__Splunk_UserGroup_20220407.pdfAlexanderStz1
 
Überblick: 18c und Autonomous Data Warehouse Cloud (ADWC)
Überblick: 18c und Autonomous Data Warehouse Cloud (ADWC)Überblick: 18c und Autonomous Data Warehouse Cloud (ADWC)
Überblick: 18c und Autonomous Data Warehouse Cloud (ADWC)Ulrike Schwinn
 
Oracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperr
Oracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperrOracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperr
Oracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperrGunther Pippèrr
 
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13OPITZ CONSULTING Deutschland
 
Web-Performance-Optimierung mit varnish
Web-Performance-Optimierung mit varnishWeb-Performance-Optimierung mit varnish
Web-Performance-Optimierung mit varnishSpeedPartner GmbH
 
Cyber Crime leeds to Tape Air-Gap Protection
Cyber Crime leeds to Tape Air-Gap ProtectionCyber Crime leeds to Tape Air-Gap Protection
Cyber Crime leeds to Tape Air-Gap ProtectionJosef Weingand
 
Oracle Database 12c Release 2
Oracle Database 12c Release 2 Oracle Database 12c Release 2
Oracle Database 12c Release 2 oraclebudb
 
Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2Ulrike Schwinn
 
Visuelle Gestaltung und Testdatenentwicklung mit BizDataX
Visuelle Gestaltung und Testdatenentwicklung mit BizDataXVisuelle Gestaltung und Testdatenentwicklung mit BizDataX
Visuelle Gestaltung und Testdatenentwicklung mit BizDataXDragan Kinkela
 
Oracle on Azure
Oracle on AzureOracle on Azure
Oracle on AzureTrivadis
 
Sleeping with the enemy Konrad Häfeli
Sleeping with the enemy Konrad HäfeliSleeping with the enemy Konrad Häfeli
Sleeping with the enemy Konrad HäfeliDésirée Pfister
 
Oracle 11g - Neuerungen im Überblick
Oracle 11g - Neuerungen im ÜberblickOracle 11g - Neuerungen im Überblick
Oracle 11g - Neuerungen im ÜberblickGFU Cyrus AG
 
Oracle Technology Monthly Oktober 2017
Oracle Technology Monthly Oktober 2017Oracle Technology Monthly Oktober 2017
Oracle Technology Monthly Oktober 2017oraclebudb
 
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und RecoveryZeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recoveryoraclebudb
 
Infrastructure Solution Day | Core
Infrastructure Solution Day | CoreInfrastructure Solution Day | Core
Infrastructure Solution Day | CoreMicrosoft Österreich
 
20181210_ITTage2018_OracleNoSQLDB_KPatenge
20181210_ITTage2018_OracleNoSQLDB_KPatenge20181210_ITTage2018_OracleNoSQLDB_KPatenge
20181210_ITTage2018_OracleNoSQLDB_KPatengeKarin Patenge
 
Archiving Oracle Primavera project plans with software development tools
Archiving Oracle Primavera project plans with software development toolsArchiving Oracle Primavera project plans with software development tools
Archiving Oracle Primavera project plans with software development toolsGunther Pippèrr
 
Ldap sqlnet
Ldap sqlnetLdap sqlnet
Ldap sqlnetGunther Pippèrr
 

Weitere ähnliche Inhalte

Ähnlich wie DBSAT – Die Oracle DATENBANK bzgl. PII Daten analysieren

Introduction into Oracle Data Pump 11g/12c - Export and Import Data
Introduction into Oracle Data Pump 11g/12c - Export and Import DataIntroduction into Oracle Data Pump 11g/12c - Export and Import Data
Introduction into Oracle Data Pump 11g/12c - Export and Import DataGunther Pippèrr
 
Rollout-Prozess für APEX Anwendungen
Rollout-Prozess für APEX AnwendungenRollout-Prozess für APEX Anwendungen
Rollout-Prozess für APEX AnwendungenOliver Lemm
 
MT AG Präsentation Rapid Application Development mit APEX 5
MT AG Präsentation Rapid Application Development mit APEX 5MT AG Präsentation Rapid Application Development mit APEX 5
MT AG Präsentation Rapid Application Development mit APEX 5MT AG
 
Slides__Splunk_UserGroup_20220407.pdf
Slides__Splunk_UserGroup_20220407.pdfSlides__Splunk_UserGroup_20220407.pdf
Slides__Splunk_UserGroup_20220407.pdfAlexanderStz1
 
Überblick: 18c und Autonomous Data Warehouse Cloud (ADWC)
Überblick: 18c und Autonomous Data Warehouse Cloud (ADWC)Überblick: 18c und Autonomous Data Warehouse Cloud (ADWC)
Überblick: 18c und Autonomous Data Warehouse Cloud (ADWC)Ulrike Schwinn
 
Oracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperr
Oracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperrOracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperr
Oracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperrGunther Pippèrr
 
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13OPITZ CONSULTING Deutschland
 
Web-Performance-Optimierung mit varnish
Web-Performance-Optimierung mit varnishWeb-Performance-Optimierung mit varnish
Web-Performance-Optimierung mit varnishSpeedPartner GmbH
 
Cyber Crime leeds to Tape Air-Gap Protection
Cyber Crime leeds to Tape Air-Gap ProtectionCyber Crime leeds to Tape Air-Gap Protection
Cyber Crime leeds to Tape Air-Gap ProtectionJosef Weingand
 
Oracle Database 12c Release 2
Oracle Database 12c Release 2 Oracle Database 12c Release 2
Oracle Database 12c Release 2 oraclebudb
 
Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2Ulrike Schwinn
 
Visuelle Gestaltung und Testdatenentwicklung mit BizDataX
Visuelle Gestaltung und Testdatenentwicklung mit BizDataXVisuelle Gestaltung und Testdatenentwicklung mit BizDataX
Visuelle Gestaltung und Testdatenentwicklung mit BizDataXDragan Kinkela
 
Oracle on Azure
Oracle on AzureOracle on Azure
Oracle on AzureTrivadis
 
Sleeping with the enemy Konrad Häfeli
Sleeping with the enemy Konrad HäfeliSleeping with the enemy Konrad Häfeli
Sleeping with the enemy Konrad HäfeliDésirée Pfister
 
Oracle 11g - Neuerungen im Überblick
Oracle 11g - Neuerungen im ÜberblickOracle 11g - Neuerungen im Überblick
Oracle 11g - Neuerungen im ÜberblickGFU Cyrus AG
 
Oracle Technology Monthly Oktober 2017
Oracle Technology Monthly Oktober 2017Oracle Technology Monthly Oktober 2017
Oracle Technology Monthly Oktober 2017oraclebudb
 
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und RecoveryZeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recoveryoraclebudb
 
20181210_ITTage2018_OracleNoSQLDB_KPatenge
20181210_ITTage2018_OracleNoSQLDB_KPatenge20181210_ITTage2018_OracleNoSQLDB_KPatenge
20181210_ITTage2018_OracleNoSQLDB_KPatengeKarin Patenge
 

Ähnlich wie DBSAT – Die Oracle DATENBANK bzgl. PII Daten analysieren (20)

Introduction into Oracle Data Pump 11g/12c - Export and Import Data
Introduction into Oracle Data Pump 11g/12c - Export and Import DataIntroduction into Oracle Data Pump 11g/12c - Export and Import Data
Introduction into Oracle Data Pump 11g/12c - Export and Import Data
 
Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)
 
Rollout-Prozess für APEX Anwendungen
Rollout-Prozess für APEX AnwendungenRollout-Prozess für APEX Anwendungen
Rollout-Prozess für APEX Anwendungen
 
MT AG Präsentation Rapid Application Development mit APEX 5
MT AG Präsentation Rapid Application Development mit APEX 5MT AG Präsentation Rapid Application Development mit APEX 5
MT AG Präsentation Rapid Application Development mit APEX 5
 
Slides__Splunk_UserGroup_20220407.pdf
Slides__Splunk_UserGroup_20220407.pdfSlides__Splunk_UserGroup_20220407.pdf
Slides__Splunk_UserGroup_20220407.pdf
 
Überblick: 18c und Autonomous Data Warehouse Cloud (ADWC)
Überblick: 18c und Autonomous Data Warehouse Cloud (ADWC)Überblick: 18c und Autonomous Data Warehouse Cloud (ADWC)
Überblick: 18c und Autonomous Data Warehouse Cloud (ADWC)
 
Oracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperr
Oracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperrOracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperr
Oracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperr
 
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
 
Web-Performance-Optimierung mit varnish
Web-Performance-Optimierung mit varnishWeb-Performance-Optimierung mit varnish
Web-Performance-Optimierung mit varnish
 
Cyber Crime leeds to Tape Air-Gap Protection
Cyber Crime leeds to Tape Air-Gap ProtectionCyber Crime leeds to Tape Air-Gap Protection
Cyber Crime leeds to Tape Air-Gap Protection
 
Oracle Database 12c Release 2
Oracle Database 12c Release 2 Oracle Database 12c Release 2
Oracle Database 12c Release 2
 
Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2
 
Visuelle Gestaltung und Testdatenentwicklung mit BizDataX
Visuelle Gestaltung und Testdatenentwicklung mit BizDataXVisuelle Gestaltung und Testdatenentwicklung mit BizDataX
Visuelle Gestaltung und Testdatenentwicklung mit BizDataX
 
Oracle on Azure
Oracle on AzureOracle on Azure
Oracle on Azure
 
Sleeping with the enemy Konrad Häfeli
Sleeping with the enemy Konrad HäfeliSleeping with the enemy Konrad Häfeli
Sleeping with the enemy Konrad Häfeli
 
Oracle 11g - Neuerungen im Überblick
Oracle 11g - Neuerungen im ÜberblickOracle 11g - Neuerungen im Überblick
Oracle 11g - Neuerungen im Überblick
 
Oracle Technology Monthly Oktober 2017
Oracle Technology Monthly Oktober 2017Oracle Technology Monthly Oktober 2017
Oracle Technology Monthly Oktober 2017
 
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und RecoveryZeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
 
Infrastructure Solution Day | Core
Infrastructure Solution Day | CoreInfrastructure Solution Day | Core
Infrastructure Solution Day | Core
 
20181210_ITTage2018_OracleNoSQLDB_KPatenge
20181210_ITTage2018_OracleNoSQLDB_KPatenge20181210_ITTage2018_OracleNoSQLDB_KPatenge
20181210_ITTage2018_OracleNoSQLDB_KPatenge
 

Mehr von Gunther Pippèrr

Archiving Oracle Primavera project plans with software development tools
Archiving Oracle Primavera project plans with software development toolsArchiving Oracle Primavera project plans with software development tools
Archiving Oracle Primavera project plans with software development toolsGunther Pippèrr
 
Der oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerterDer oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerterGunther Pippèrr
 
Doag 2104 manuskript_hadoop_oracle_integration_gunther_pipperr_v02
Doag 2104 manuskript_hadoop_oracle_integration_gunther_pipperr_v02Doag 2104 manuskript_hadoop_oracle_integration_gunther_pipperr_v02
Doag 2104 manuskript_hadoop_oracle_integration_gunther_pipperr_v02Gunther Pippèrr
 
Oracle hadoop doag-big-data_09_2014_gpi
Oracle hadoop doag-big-data_09_2014_gpiOracle hadoop doag-big-data_09_2014_gpi
Oracle hadoop doag-big-data_09_2014_gpiGunther Pippèrr
 
Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015Gunther Pippèrr
 
Oracle no sql-doag-datenbank_konferenz_juni_2014
Oracle no sql-doag-datenbank_konferenz_juni_2014Oracle no sql-doag-datenbank_konferenz_juni_2014
Oracle no sql-doag-datenbank_konferenz_juni_2014Gunther Pippèrr
 
Oracle nosql twjug-oktober-2014_taiwan_print_v01
Oracle nosql twjug-oktober-2014_taiwan_print_v01Oracle nosql twjug-oktober-2014_taiwan_print_v01
Oracle nosql twjug-oktober-2014_taiwan_print_v01Gunther Pippèrr
 

Mehr von Gunther Pippèrr (9)

Archiving Oracle Primavera project plans with software development tools
Archiving Oracle Primavera project plans with software development toolsArchiving Oracle Primavera project plans with software development tools
Archiving Oracle Primavera project plans with software development tools
 
Ldap sqlnet
Ldap sqlnetLdap sqlnet
Ldap sqlnet
 
01 sqlplus
01 sqlplus01 sqlplus
01 sqlplus
 
Der oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerterDer oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerter
 
Doag 2104 manuskript_hadoop_oracle_integration_gunther_pipperr_v02
Doag 2104 manuskript_hadoop_oracle_integration_gunther_pipperr_v02Doag 2104 manuskript_hadoop_oracle_integration_gunther_pipperr_v02
Doag 2104 manuskript_hadoop_oracle_integration_gunther_pipperr_v02
 
Oracle hadoop doag-big-data_09_2014_gpi
Oracle hadoop doag-big-data_09_2014_gpiOracle hadoop doag-big-data_09_2014_gpi
Oracle hadoop doag-big-data_09_2014_gpi
 
Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015
 
Oracle no sql-doag-datenbank_konferenz_juni_2014
Oracle no sql-doag-datenbank_konferenz_juni_2014Oracle no sql-doag-datenbank_konferenz_juni_2014
Oracle no sql-doag-datenbank_konferenz_juni_2014
 
Oracle nosql twjug-oktober-2014_taiwan_print_v01
Oracle nosql twjug-oktober-2014_taiwan_print_v01Oracle nosql twjug-oktober-2014_taiwan_print_v01
Oracle nosql twjug-oktober-2014_taiwan_print_v01
 

DBSAT – Die Oracle DATENBANK bzgl. PII Daten analysieren

  • 1. Seite 1Gunther Pippèrr © 2018 http://www.pipperr.de DBSAT – DIE ORACLE DATENBANK BZGL. PII DATEN ANALYSIEREN Personenbezogene Daten in der Datenbank erkennen DOAG SIG Security 27.06.2018
  • 2. Seite 2Gunther Pippèrr © 2018 http://www.pipperr.de GPI Consult Gunther Pippèrr Freiberuflicher Oracle Datenbank Experte - Ich unterstütze Sie gerne in ihren Projekten. Bergweg 14 - 37216 Witzenhausen/Roßbach Mein Blog gunther@pipperr.de https://www.pipperr.de/dokuwiki/
  • 3. Seite 3Gunther Pippèrr © 2018 http://www.pipperr.de APEX Meetup Gruppe Kassel https://www.meetup.com/de-DE/Oracle-APEX-Kassel/
  • 4. Seite 4Gunther Pippèrr © 2018 http://www.pipperr.de Agenda 1 Aufgabe 2 Idee 3 Praxis Beispiel 4 Erweitern und Konfigurieren 5 Fazit
  • 5. Seite 5Gunther Pippèrr © 2018 http://www.pipperr.de Die Aufgabe Wo in meiner Umgebung werden Personen bezogene Daten (PII) gespeichert? PII ⇒ Personally Identifiable Information Personenbezogene Daten schützen, aber ….
  • 6. Seite 6Gunther Pippèrr © 2018 http://www.pipperr.de Ein Ansatz ▪ Über das Data Dictionary Inhalte in einer Datenbank “erkennen”/”erahnen”/”erraten” – Oft werden Datenbank Objekte (Tabellen) so benannt, wie die Business Entitäten, die das Objekte später enthält – Gelegentlich werden Kommentare auf Tabellen und Spalten mit Hinweise auf die Bedeutung hinterlegt In der Theorie jedenfalls
  • 7. Seite 7Gunther Pippèrr © 2018 http://www.pipperr.de Die Annahme ▪ Eine Tabelle die „PERSONEN“ heißt, könnte mit hoher Wahrscheinlichkeit Personen-bezogene Daten enthalten ▪ Eine Spalte die „EMAIL“ heißt, könnte mit hoher Wahrscheinlichkeit tatsächlich eine E-Mail enthalten ▪ Kommentare, wie „Kreditkarten Nummer in Feld ZAHLWEGKID“, weist evtl. auf schützenswerte Daten hin In der Theorie jedenfalls
  • 8. Seite 8Gunther Pippèrr © 2018 http://www.pipperr.de Die Analyse ▪ Ein Scanner sucht nach bestimmten Mustern im Data Dictionary aller Datenbanken im Unternehmen DD Person Vertrag Bank Report Suchmuster Scanner
  • 9. Seite 9Gunther Pippèrr © 2018 http://www.pipperr.de Bewertung ▪ Sehr Schnell ▪ Einfach umzusetzen ▪ Keine komplexe Software notwendig ▪ Geschätzt wird eine hohe Treffer-Quote erreicht Nachteil ▪ Gewisse “False Positive” Rate wahrscheinlich ( wie Spalten mit dem Namen “Position”) ▪ Optimierung auf die eigene Umgebung notwendig ▪ Keine echte Analyse auf den eigentlichen Daten Vorteil
  • 10. Seite 10Gunther Pippèrr © 2018 http://www.pipperr.de Werkzeuge für diese Aufgabe ▪ Selber bauen – Eigene Skripte entwickeln ▪ Kommerzielle Scannerlösungen – Wie die Lösungen von Herrn Kornbrust – Red Database Security - GDPRSuite – Die Oracle Lösung DBSAT ▪ Metadaten Handling einführen – Oracle Sensitive Data Discovery ( Bestandteil des Database Masking and Subsetting Packs ) – Oracle Enterprise Metadata Management OEMM
  • 11. Seite 11Gunther Pippèrr © 2018 http://www.pipperr.de Die Oracle Lösung - DBSAT ▪ Ein Datenbank Scanner von Oracle – Kommandozeilen Werkzeug – Besteht aus 3 Elementen: • Collect => Skript für SQL*Plus für Security Frage Stellungen • Report => Reporting Werkzeug mit Python (ab 2.6) • Discover => DD Scanner auf Java Basis für PII Data ▪ Frei verwendbar für alle Kunden mit gültigen Support Vertrag
  • 12. Seite 12Gunther Pippèrr © 2018 http://www.pipperr.de DBSAT – Zwei Teilbereiche ▪ Sicherheits-Analyse der Datenbank Umgebung ▪ Analyse mit fest hinlegten SQL Abfragen per SQL*Plus – Analyse der DB Umgebung (z.B. der Listener) nur bei Linux/Unix möglich! ▪ Erzeugt übersichtliche Berichte und Hinweise zu Sicherheitsthemen der DB DB “Sensible” Daten ▪ Suche im Data Dictionary mit Hilfe von Mustern nach “interessanten”, ”schützenwerten”, “persönlichen” Daten Speicherorten ▪ Frei definierbare Pattern werden für die Suche eingesetzt DB Security
  • 13. Seite 13Gunther Pippèrr © 2018 http://www.pipperr.de Demo – Analyse einer DB auf PII Data Installation Testlauf Collector Konfiguration Pattern Fein Tuning Start der Analyse Bericht auswerten
  • 14. Seite 14Gunther Pippèrr © 2018 http://www.pipperr.de Download (1) ▪ Herunterladen über => Oracle Database Security Assessment Tool (DBSAT) (Doc ID 2138254.1) – Kostenlos für alle Oracle Kunden mit Zugang zum Oracle Support Portal mit aktuellen Support Vertrag Security => MD5 Hash der Datei ist dort hinterlegt ! Immer genau auch prüfen
  • 15. Seite 15Gunther Pippèrr © 2018 http://www.pipperr.de Download (2) ▪ Integrity Check durchführen!
  • 16. Seite 16Gunther Pippèrr © 2018 http://www.pipperr.de Voraussetzungen ▪ Installation von Python Version 2 (>= 2.6 ) für die Reporter Komponente ▪ Java Runtime Environment (JRE) ab 1.6 für die Discoverer Komponente ▪ zip und unzip Kommando – Unter Windows einfach die mit der DB gelieferten Version unter $ORACLE_HOME/bin verwenden, wird mit gesetzten Oracle Home automatisch erkannt
  • 17. Seite 17Gunther Pippèrr © 2018 http://www.pipperr.de Installation (1) ▪ Software auspacken
  • 18. Seite 18Gunther Pippèrr © 2018 http://www.pipperr.de Installation (2) ▪ Umgebung (ORACLE_HOME und JAVA_HOME) setzen und starten set-item -path ENV:ORACLE_HOME -value C:oracleproducts12.1.0.2dbhome_1 set-item -path env:JAVA_HOME -value "C:Program FilesJavajre1.8.0_144" .dbsat.bat Database Security Assessment Tool version 2.0.1 (December 2017) Usage: dbsat collect [ -n ] <database_connect_string> <output_file> dbsat report [ -a ] [ -n ] [ -x <section> ] <input_file> dbsat discover [ -n ] -c <config_file> <output_file> Options: -a Run the reports for all the database accounts -n No encryption for output -x Specify sections to exclude from report (may be repeated for multiple sections) -c Configuration file used for discoverer
  • 19. Seite 19Gunther Pippèrr © 2018 http://www.pipperr.de Sicherheitsüberlegungen ▪ Das Tool über das Betriebssystem schützen! – Ein perfekter Ort um Schadcode zu hinterlegen, eine Manipulation der Dateien wird von der Software nicht selbstständig erkannt – ABER => Im Bericht des Reporters wird ein andere HASH angezeigt! Ein schöner Platz für ein Easter Egg
  • 20. Seite 20Gunther Pippèrr © 2018 http://www.pipperr.de Datenbank User für die Analyse ▪ Einen User für die Analyse anlegen
  • 21. Seite 21Gunther Pippèrr © 2018 http://www.pipperr.de Ein erster Aufruf bzgl. der DB Sicherheit ▪ Datenbank Daten einsammeln ▪ Report erstellen .dbsat collect secdba@oragpi collect_27_06_2018_db_gpi => SQL*Plus Script wird abgearbeitet .dbsat report collect_27_06_2018_db_gpi
  • 22. Seite 22Gunther Pippèrr © 2018 http://www.pipperr.de Security Bericht auswerten (1) ▪ Auf die Checksum im Bericht achten Oracle Database Security Assessment Tool (DBSAT) (Doc ID 2138254.1)
  • 23. Seite 23Gunther Pippèrr © 2018 http://www.pipperr.de Security Bericht auswerten (2) ▪ Auf die Referenzen im Bericht achten – CIS Liste - Siehe => https://www.cisecurity.org/benchmark/oracle_database/
  • 24. Seite 24Gunther Pippèrr © 2018 http://www.pipperr.de Discover Konfiguration für die PII Data Analyse ▪ Datei dbsat.config erstellen/anpassen – Kopie von sample_dbsat.config erstellen und anpassen Datenbank Verbindung konfigurieren
  • 25. Seite 25Gunther Pippèrr © 2018 http://www.pipperr.de Fein Tuning – Pattern File anpassen ▪ Pattern Datei sensitive_en.ini anpassen [EMAIL] COL_NAME_PATTERN = EMAIL|MAIL COL_COMMENT_PATTERN = EMAIL|MAIL SENSITIVE_CATEGORY = PII [PHONE] COL_NAME_PATTERN = PHONE|^TEL|^CELL|MOBILE|((WORK|OFFICE|CONTACT).*(NUM|NO|NBR)) COL_COMMENT_PATTERN = Phone|Telephone|Cellphone|Mobile N|Work N|Office N|Contact N SENSITIVE_CATEGORY = PII Regulärer Ausdruck Kategorie im Bericht
  • 26. Seite 26Gunther Pippèrr © 2018 http://www.pipperr.de Analyse ▪ Aufruf des Werkzeuges dbsat
  • 27. Seite 27Gunther Pippèrr © 2018 http://www.pipperr.de Auswertung
  • 28. Seite 28Gunther Pippèrr © 2018 http://www.pipperr.de Exclude Liste anlegen ▪ Falls zu viel gefunden wird – Ausnahme-Datei erstellen • Ignore ini Datei anlegen - ignore_tables.ini • Parameter Datei anpassen - dbsat.config
  • 29. Seite 29Gunther Pippèrr © 2018 http://www.pipperr.de Deutsche Pattern Datei ▪ Inoffizielle Version über den Oracle Vertrieb erhältlich – Ansprechpartnerin Justyna Biernat justyna.biernat@oracle.com – DBSAT Tool EMEA Produkt Manager, Herr Pedro Lopes
  • 30. Seite 30Gunther Pippèrr © 2018 http://www.pipperr.de Integration in Audit Vault ▪ Erzeugte CSV Daten in Audit Valut integrieren – Norman Sibbing fragen .-) – Zum Beispiel die Spalten aus dem Bericht erweitert auditieren – Stichwort „Fine grained auditing“
  • 31. Seite 31Gunther Pippèrr © 2018 http://www.pipperr.de Diskussion Hilft das bei der DSGVO? Wie halten Sie es mit Metadaten Handling in Ihrem Unternehmen? Werden Sie das Tool einsetzen? Konnten Sie schon Erfahrungen mit dbsat sammeln?
  • 32. Seite 32Gunther Pippèrr © 2018 http://www.pipperr.de Fazit ▪ Pro: – Einfach und komfortabel im Einsatz ohne Installations- aufwand – Kostenlos für Kunden mit gültigen Oracle Support Vertrag – Einheitlich alle Oracle Datenbanken überwachen – Übersichtliches Reporting der wichtigsten Grund- voraussetzungen – Analyse des DD mit regulären Ausdrücken erweiterbar ▪ Contra: – Standard Sicherheitsregeln nicht als Pattern hinterlegt, Standard Regeln nicht einfach zu erweitern
  • 33. Seite 33Gunther Pippèrr © 2018 http://www.pipperr.de Mehr ▪ Siehe – Webinar => http://www.doag.org/go/newsletter/180620/cw_link1 – Blog: => https://www.pipperr.de/dokuwiki/doku.php?id=dba:oracle_db sat ▪ Wieder mal eine andere Skript Library – https://github.com/gpipperr/OraPowerShell ▪ Bildmaterial : https://pixabay.com
  • 34. Seite 34Gunther Pippèrr © 2018 http://www.pipperr.de Fragen Fragen zu DBSAT ?