Homepage
Guide
DataSunrise Regole Migliori Pratiche

DataSunrise Regole Migliori Pratiche

DataSunrise Regole Migliori Pratiche Il Lua script scopre i dati sensibili nei file JSON Guida alla Sicurezza Regole di Sicurezza contro le Iniezioni SQL Guida all’Audit Regole di Apprendimento e Audit Priorità delle Regole

Introduzione

DataSunrise Sicurezza nel Database è una potente soluzione di Monitoraggio delle Attività del Database/Audit dei Dati e protezione in tempo reale dei Dati e Firewall del Database che aumenta significativamente il livello di sicurezza dei dati e del database sia on-premise che nel cloud. Spesso, è difficile comprendere quali dati dovrebbero essere protetti, dove tali dati sono situati nel database e come configurare il DataSunrise Suite per ottenere la massima protezione possibile.

Questo documento contiene una descrizione dettagliata delle migliori pratiche per le Regole DataSunrise che vi aiuterà a creare la configurazione di sicurezza dei dati più efficace e appropriata.

Funzionalità e Capacità Chiave di DataSunrise

1. Monitoraggio delle Attività del DB / Audit dei Dati

Il monitoraggio delle attività del database (DAM) di DataSunrise consente il tracciamento in tempo reale di tutte le azioni degli utenti e delle modifiche apportate a un database. Mentre l’audit del database è utilizzato principalmente per l’investigazione di violazioni dei dati, il monitoraggio continuo delle attività del database aiuta a rilevare tentativi di abuso dei diritti di accesso e a prevenire la preparazione di violazioni dei dati in anticipo.

Oltre a ciò, DataSunrise utilizza algoritmi intelligenti di auto-apprendimento e analisi comportamentale per accelerare il processo di implementazione del firewall del database. DataSunrise analizza il comportamento tipico dell’utente e dell’applicazione e crea una “Lista Bianca” di query SQL considerate sicure di default.

2. Protezione dei Dati e Firewall del Database

Il modulo di Sicurezza dei Dati di DataSunrise è lo strumento principale che difende i database aziendali da azioni dannose e ostili e assicura la conformità. Armato di monitoraggio continuo del traffico e algoritmi avanzati di analisi SQL, DataSunrise rileva le SQL injection e i tentativi di accesso non autorizzato in tempo reale. Quando il firewall del database di DataSunrise rileva una violazione della politica di sicurezza, blocca immediatamente la query SQL dannosa e notifica gli amministratori tramite SMTP o SNMP.

3. Compliance Manager

Il Compliance Manager garantisce la conformità a numerosi standard e regolamenti di sicurezza nazionali e internazionali come HIPAA, PCI DSS, ISO 27001, GDPR e SOX. La funzionalità del Compliance Manager prende il totale controllo sull’accesso ai database aziendali per prevenire elaborazioni di dati illegali, modifiche di dati non autorizzate o perdite accidentali di dati.

La funzionalità del Compliance Manager si basa sulla scoperta automatica di dati sensibili in un database di destinazione, l’assegnazione di ruoli specifici agli utenti del database di destinazione e l’implementazione di politiche di sicurezza, mascheramento e audit secondo questi ruoli, nonché report di conformità periodici per una revisione permanente delle attività del database.

4. Scoperta dei Dati Sensibili

La Scoperta dei Dati di DataSunrise identifica dati sensibili nei database aziendali e aiuta a stabilire la protezione più efficace di questi dati. Consente alle aziende di comprendere quale livello di controllo sia appropriato per ciascun tipo di dati sensibili contenuti nei loro database. Inoltre, questa funzione aiuta a rispettare le richieste di regolamenti come GDPR, HIPAA, SOX, PCI DSS e altri.

5. Mascheramento Dinamico dei Dati

DataSunrise previene l’esposizione di dati sensibili con il suo Mascheramento Dinamico dei Dati (DDM).

Il DDM di DataSunrise protegge le informazioni critiche per il business offuscando i dati di interesse nel database completo o solo in tabelle o colonne selezionate per utenti indesiderati. DataSunrise maschera i dati sostituendo le voci effettive del database con valori generati casualmente o definiti dall’utente.

Per prevenire potenziali perdite di dati, le voci del database specificate da un utente DataSunrise sono mascherate in tempo reale prima che i dati siano estratti dal database.

Compliance Manager

Il Compliance Manager è uno strumento utile per creare una configurazione iniziale di DataSunrise. In breve, automatizza i passaggi di configurazione di DataSunrise eseguendo la Scoperta dei Dati e creando entità di configurazione basate sui risultati della Scoperta dei Dati. Il Compliance Manager crea le seguenti entità:

Regola di Audit per oggetti di database che contengono dati sensibili
Regola di Sicurezza per bloccare le SQL injection
Regola di Sicurezza per bloccare l’accesso ai dati sensibili a chiunque eccetto alcuni utenti inclusi nei gruppi di utenti del database definiti durante l’operazione di Compliance Manager
Regola di Sicurezza per bloccare tutte le query amministrative emesse da utenti del database che non appartengono ai gruppi di utenti “consentiti”
Regole di Mascheramento per l’offuscamento dei dati sensibili per utenti del database non inclusi nei gruppi di utenti “consentiti” e non autorizzati a elaborare i dati originali.

Oltre al set di regole descritte sopra, il Compliance Manager crea anche i seguenti report:

Report di Audit sui casi di accesso a oggetti di database sensibili
Report di Sicurezza sui tentativi di accesso a dati sensibili da parte di utenti non autorizzati a gestire i dati protetti
Report sugli Errori delle query che non sono state eseguite a causa di errori di qualsiasi origine
Report sugli Eventi di Sistema sugli eventi verificatisi in DataSunrise durante il periodo di interesse
Report di Mascheramento sui casi di accesso a dati sensibili che hanno portato all’offuscamento dei dati per utenti non autorizzati a gestire i dati sensibili originali.

Nota che il Compliance Manager non può garantire una copertura al 100% di tutti i dati non sicuri contenuti in un database di destinazione. Il Compliance Manager fornisce una configurazione che può essere utilizzata come base, una prima stima di configurazione per il vostro caso. Anche se questo approccio vi fornisce un settaggio pronto per l’azione per il vostro DataSunrise Security Suite, potreste trovare il modello di ruoli suggerito non adatto al vostro caso particolare. In tal caso, è possibile personalizzare le opzioni delle Sessioni di Filtro delle vostre Regole.

Scoperta dei Dati Sensibili

La Scoperta dei Dati Sensibili vi aiuta a ricercare dati sensibili contenuti nel vostro database. È saggio configurare un compito periodico di Scoperta dei Dati che scopra continuamente dati sensibili secondo i molteplici standard di sicurezza predefiniti. Utilizzare i risultati della Scoperta dei Dati vi consente di proteggere i vostri dati sensibili secondo le vostre politiche di sicurezza evitando la ricerca manuale e la messa in sicurezza manuale di tali dati allo stesso tempo.

Per avere una rappresentazione visiva dei dati sensibili trovati, è consigliato configurare compiti periodici di generazione report in formato PDF/CSV.

Tuttavia, eseguire un compito di Scoperta dei Dati non garantisce una scoperta al 100% dei dati sensibili. Consultarsi con il DBA è uno dei passaggi importanti che dovrebbe essere eseguito per non lasciare alcun dato sensibile non sicuro.

Sebbene la Scoperta dei Dati abbia un impatto minimo sul database (rispetto a un’applicazione client che interroga le prime N (N=100 di default) righe da ciascuna tabella in ciascun database), è possibile ridurre il set di campionamento utilizzando l’opzione “Analizzare Conto Righe” delle Impostazioni Avanzate.

Regole di Audit e Regole di Sicurezza

Si noti che le impostazioni delle Regole di Audit e Sicurezza sono simili tranne che per la sezione Azioni. Ciò significa che è possibile monitorare o bloccare l’attività di database di interesse a seconda della vostra scelta senza perdere alcuna possibilità.

Quando si tratta di affinare le regole di Audit e Sicurezza, la raccomandazione generale è evitare la creazione di regole generali “tutto-in-uno” poiché potrebbe fornire troppi dati per l’analisi generati da processi di terze parti o da uno strumento di query SQL (come PGAdmin per PostgreSQL o SQL Server Management Studio per Microsoft SQL Server).

Considerate l’idea di stabilire il monitoraggio solo per oggetti di database che contengono dati sensibili o osservando l’accesso ai dati che richiede un’osservazione e registrazione rigida dell’accesso ai dati. È possibile utilizzare la funzione Gruppi di Oggetti per organizzare tali oggetti di database come tabelle, viste, procedure memorizzate e funzioni in gruppi.

Utilizzare i Gruppi di Oggetti nelle vostre regole di Audit/Sicurezza vi consente di stabilire il controllo e il monitoraggio sulle vostre parti di archiviazione dei dati di interesse per ottenere dati di audit chiari e pertinenti.

Di seguito, potete trovare alcuni “suggerimenti” su come impostare le Regole DataSunrise per affrontare i problemi più diffusi che possono causare problemi nel vostro database o possono essere i primi segni di un attacco al vostro Data Storage.

Audit/Blocco di un Tentativo di Connessione Sospetto (Tentativo di Login)

Nonostante il fatto che le applicazioni possano stabilire molte connessioni a un database, è importante monitorare il numero anomalo di connessioni o fallimenti di connessioni o persino limitare questo tipo di attività che ha origine da host e logins sospetti. Di seguito, troverete alcuni suggerimenti su come creare una Regola di Audit/Sicurezza che copra tutti i principali casi di tentativi di login sospetti che spesso significano che un malintenzionato sta cercando di avviare un attacco brute-force sul vostro database.

1. Audit/Blocco di connessioni frequenti Riuscite/Fallite (entro un periodo di tempo)

Per monitorare connessioni riuscite a un database tramite un proxy DataSunrise, utilizzare Eventi di Sessione di Audit con l’opzione “Audit Connessioni Frequenti” abilitata per auditare i casi in cui ci sono molte connessioni frequenti provenienti da un certo utente+host o host.

Per prevenire tentativi frequenti di connessione riuscita o fallita bloccando la loro origine da host+nome utente o host, abilitare il “Blocca DDOS o Brute Force” nella sezione Eventi di Sessione della vostra Regola.

2. Blocco delle query che provengono al di fuori di un INTERVALLO IP consentito

Per bloccare query originate da indirizzi IP potenzialmente pericolosi, utilizzare le opzioni Sessioni di Filtro per configurare la vostra Regola di Sicurezza in modo che sia attivata da qualsiasi query NON proveniente dagli host inclusi nell’elenco degli Host di DataSunrise.

3. Prevenzione delle connessioni non sicure dall’essere stabilite

Un proxy DataSunrise può essere configurato per accettare solo connessioni SSL abilitando “Accetta Solo Connessioni SSL” nelle Impostazioni del Proxy del profilo del database di destinazione nella Web Console.

4. Monitoraggio delle connessioni di Utente Radice e Privilegiato

L’osservazione dell’attività complessiva di connessione Radice può essere realizzata creando un gruppo di oggetti di audit predefinito o una regola di tipo Query e configurando le impostazioni delle Sessioni di Filtro basate sul nome utente del database di root (ad esempio “root” per MySQL, “system/sys” per Oracle ecc.) o nome utente del database con privilegi admin se è necessario evitare di utilizzare un account utente di root.

Raccomandazioni per le Query (Sessione)

1. Query di Linguaggio di Modifica dei Dati

Le Regole di Audit/Sicurezza Gruppo di Oggetti sono preferite rispetto a quelle di tipo Query. Consentono di stabilire il monitoraggio e/o blocco delle operazioni principali CRUD eseguite su un database aggiungendo gli oggetti richiesti o dall’Object Browser scegliendo gli oggetti elencati nella regola per essere elaborati o specificando un Gruppo di Oggetti creato in anticipo manualmente o utilizzando la Scoperta dei Dati. Se è necessario limitare o osservare tipi di query particolari, utilizzare una Regola di Audit/Sicurezza di tipo Query. Si noti che è anche possibile monitorare l’esecuzione dei tipi di query selezionati su certi oggetti di database specificando un Gruppo di Oggetti nelle impostazioni della Regola. Inoltre, tutte le Regole possono essere configurate per essere attivate solo da query di una certa applicazione, utente, utente di applicazione, host, garantendo che la Regola di Sicurezza creata non si attivi indebitamente. Per questo, configurare le impostazioni delle Sessioni di Filtro della Regola.

2. Regole di Audit e Sicurezza di tipo SQL Injection

DataSunrise offre un meccanismo di rilevamento delle SQL Injection basato su punti di penalità (penalizzazioni) che consente di impostare il proprio livello di query “consentite” rivolte al proprio database.

Vi raccomandiamo di configurare una Regola di Audit SQL Injection per monitorare le query sospette e impostare un Avviso nella sezione Notifiche della Regola di Audit. I valori di penalità del filtro devono corrispondere a query di SQL Injection “deboli” che non possono causare danni a un database.

Oltre alle Regole di Audit con Avvisi configurati, è necessario configurare una Regola di Sicurezza di tipo SQL Injection che blocchi le query di SQL Injection che superano il numero specificato di punti di penalità.

Si noti che il numero di Penalità deve corrispondere a query di SQL Injection che possono arrecare un danno significativo a un database. I valori di penalità dovrebbero essere superiori a quelli nella Regola di Audit.

3. Query che restituiscono un numero enorme di righe

Un grande numero di righe influenzate/recuperate quando non ci sono query corrispondenti utilizzate dall’applicazione o da strumenti BI potrebbe indicare che c’è un’attività sospetta in corso nel database o che l’applicazione è stata compromessa. Per prevenire l’esecuzione di tali query, utilizzare una regola di tipo Gruppo di Oggetti di Sicurezza con l’opzione “Attiva la Regola Solo se il Numero di Righe Influenzate/Recuperate non è Inferiore a” abilitata seguita dal numero di righe influenzate/recuperate considerate anormali nel proprio ambiente. Un’alternativa è utilizzare una Regola di Audit con il filtro di tipo Gruppo di Oggetti configurato e un Abbonato allegato per ricevere notifiche su questo tipo di eventi che si verificano nel database.

4. Query eseguite per troppo tempo

Quando le vostre query richiedono troppo tempo per essere eseguite, ciò può portare a problemi di performance, cattiva esperienza utente e può essere un segno di un insider che tenta di rubare i vostri dati preziosi poiché tali dati sono ottenuti interrogando un’intera tabella, il che può richiedere un po’ di tempo. Utilizzare una Regola di Audit con Eventi di Sessione configurati: abilitare “L’Esecuzione della Query Richiede Più Tempo di” e impostare un valore (durata in secondi) ritenuto anormale e la query eseguita lungamente richiede di essere auditata e riportata utilizzando la funzione Abbonati.

5. Query con sintassi errata (quelle che restituiscono un errore)

Per monitorare query che non sono state eseguite a causa di un errore di sintassi di qualche genere, utilizzare una Regola di Tipo Eventi di Sessione Audit con l’opzione “Audit Errori di Operazione” abilitata. Configurare la frequenza degli errori che è considerata sospetta e richiede attenzione da parte del DBA o del team di Sicurezza. Collegare un Abbonato per informare il personale responsabile sugli errori SQL frequenti che si verificano durante l’instaurazione della connessione.

6. Query che accedono a tabelle sensibili

Per limitare l’accesso a una gamma di oggetti di database, si raccomanda di utilizzare una Regola di Sicurezza di tipo Gruppo di Oggetti. L’utilizzo di questo tipo di regole di sicurezza consente di limitare l’accesso a determinati oggetti di database utilizzando sia un elenco di oggetti che può essere selezionato tramite l’Object Browser o utilizzando un Gruppo di Oggetti contenenti oggetti di database di interesse. Per fornire un livello ragionevole di restrizione dell’accesso ai dati, si consiglia di configurare le Sessioni di Filtro per abilitare questa regola a essere attivata o saltata per determinati utenti di applicazione/database /utenti di applicazione/host e gruppi di utenti di database/utenti di applicazione/host.

7. Tavola del Miele

Considerare la creazione di una tabella (tabelle) che contenga dati sensibili finti che agiscano come esca per hacker. Nel caso in cui una query sia indirizzata a questa tabella, la fonte della query dovrebbe essere bloccata permanentemente. Potete anche applicare una Regola di Apprendimento per ottenere maggiori dettagli sulla strategia degli attaccanti (query, host, applicazioni ecc.). In generale, considerare la creazione di un database honeypot in una istanza di database separata nel vostro ambiente e metterlo dietro un’altra istanza di DataSunrise con database di Archiviazione Audit e Dizionario separati.

8. Blocco delle query indesiderate

Per tracciare e/o bloccare determinate istruzioni SQL che non si desidera siano eseguite, utilizzare i Gruppi di Query di DataSunrise. Potete configurarli come modelli di query (utilizzando espressioni regolari) o come query esatte che saranno verificate e auditate/bloccate alla loro esecuzione. Una Regola di Sicurezza dovrebbe essere configurata per controllare se una query in arrivo è inclusa nel Gruppo di Query allegato alla regola utilizzando la lista a discesa “Processo Gruppo di Query”. Va notato che un Gruppo di Query dovrebbe essere creato in anticipo per essere selezionabile dall’elenco sopra menzionato. Utilizzare i Gruppi di Query per stabilire il monitoraggio e/o limitare l’uso di determinate query come le istruzioni GRANT.

9. Query mirate a manipolazioni di privilegi

Può essere utilizzata la funzione Gruppi di Query per creare insiemi di query SQL che devono essere identificate nel traffico del database e quindi auditate e/o bloccate. Tuttavia, l’opzione migliore per monitorare le query GRANT è utilizzare le Regole di Audit/Sicurezza configurate come tipo Query con i corrispondenti tipi di query specificati. Questo consente di stabilire un controllo completo sui tipi di query di interesse attraverso il monitoraggio e la limitazione dell’esecuzione delle categorie di query scelte. Considerate di combinare Gruppi di Query e Regole di Tipo Query per raggiungere il livello desiderato di controllo sull’attività del database.

10. Gestione delle query SQL SELECT *

SELECT * FROM TABLE non è una query comune. In molti casi tali query possono significare che qualcuno sta cercando di ottenere quanti più dati possibile per scaricare il set di risultati dal database. Questo può comportare una fuga di dati. Si raccomanda di controllare tali query limitando la loro esecuzione nel database. Per gestire le query SELECT *, utilizzare una Regola di Sicurezza con l’opzione “Query Include l’Espressione SELECT *” selezionata. Quando questa opzione è selezionata, DataSunrise verifica e blocca query come SELECT * FROM TABLE e SELECT * FROM TABLE WHERE CONDITION=VALUE.

Se è richiesta l’esecuzione di tali query, restringere l’elenco degli utenti/appl icazioni/user di applicazione/hosts consentiti utilizzando le opzioni delle Sessioni di Filtro.

Regole di Mascheramento Dinamico

Raccomandazioni generali

Abbinare le Regole di Audit con le Regole di Mascheramento per garantire una copertura completa dell’accesso ai dati sensibili
Utilizzare l’opzione “Filtro Sessione” di una Regola di Mascheramento per evitare che la Regola sia attivata da utenti indesiderati.
Utilizzare il filtro “Utente Applicazione” nei casi in cui si utilizza una Regola di Mascheramento Dinamico per offuscare i dati accessibili dagli utenti dell’applicazione in sistemi complessi come SAP ECC e Oracle EBS.
Se è necessario mascherare valori inclusi in un’intera riga, considerare l’utilizzo della funzionalità “Nascondi Righe” invece di un Mascheramento Dinamico regolare. L’uso di Nascondi Righe consente di nascondere intere righe che soddisfano i requisiti della Regola di Mascheramento. Utilizzare le Sessioni di Filtro per definire in quali condizioni la vostra Regola di Mascheramento Dinamico di tipo Nascondi Righe sarà attivata.

Conclusione

Questo documento accumula le raccomandazioni sotto forma di Casi di Utilizzo che gli utenti possono incontrare durante l’uso della Sicurezza nel Database. I suggerimenti forniti e i Casi di Utilizzo non sono obbligatori ma possono essere utilizzati come riferimento durante la creazione di una configurazione personalizzata di DataSunrise.

Il documento copre i principali suggerimenti e raccomandazioni sui tipi di Regole e sulle opzioni da utilizzare per sfruttare il Monitoraggio delle Attività del Database, il Firewall del Database e il Mascheramento dei Dati.