Auswahlkritieren für Datenbank-Extrusion-Prevention-Systeme:
Rauchende Colts
Sie sind der »Dirty Harry« der Datenbanksicherheit: DBEP-Systeme weisen Angreifer in die Schranken und verraten den Administratoren Dinge, die sie nie geahnt hätten. Wir zeigen, welche DBEP-Systeme es gibt und worauf Anwender achten sollten.
(Fortsetzung des Artikels von Seite 1)
Kundenlisten, Umsatzzahlen, Kreditkartennummern ... Die Liste von Daten, die unter keinen Umständen an die Öffentlichkeit gelangen dürfen, ist lang. Warum also wählen die meisten Organisationen Datenbanken, um die Anforderungen anderer Applikationen, beispielsweise ERP-Systeme, zu befriedigen, statt sich auf die Sicherheit zu konzentrieren?
Selbst wenn die Undurchdringlichkeit ein Verkaufsargument wäre, fänden Sicherheitsprofis wahrscheinlich allzu schnell heraus, dass das Security-Modell des Datenbank-Herstellers nicht zur Real-World-Netzwerk-Infrastruktur passt.
Dies ist eine der Situationen, die Sicherheitsspezialisten weinen lässt, während die Produzenten sich glücklich fühlen. Laut Forrester ist der Markt für Security von Datenbanken aktuell 600 Millionen Dollar wert. Im Jahr 2009 wird er wahrscheinlich eine Milliarde übersteigen.
Ein Teil davon wird für Datenbank-Extrusion-Prevention/-Detection ausgegeben werden. Die Fähigkeiten dieser Produkte variieren, aber deren gemeinsamer Nenner ist, dass sie Benutzeraktivitäten verfolgen und bei feindlichem Verhalten Alarm schlagen.
Datendiebstahl vorbeugen
Einige wenige Produkte gehen einen Schritt weiter: Sie blockieren potenzielle Diebstähle, bevor ein Datenleck auftaucht. Welcher Grad von Sicherheit für ein Unternehmen richtig ist, lässt sich nicht so einfach beantworten. Denn es ist der Zusammenhang zwischen unautorisierter Datenenthüllung und dem Blockieren legitimer Benutzer-Queries zu beachten.
Ein weiterer Punkt: In den guten alten Zeiten wurden Datenbanken durch Anfälligkeiten in der Datenbank-Software selbst ausgebeutet. Heute ist es wahrscheinlicher, dass Angreifer Lücken in schlecht geschriebenen Web-Applikationen nutzen – es ist einfacher, einen einzelnen Browser zu aktualisieren, als zwanzig verschiedene Client-Applikationen zu pflegen.
Falls irgendetwas auf Web-Technik übertragen werden kann, wird dies früher oder später geschehen. Und das schließt die Leitungen zu den Datenbanken ein.
Es geht hier nicht etwa um einen einzelnen Hersteller von Datenbanken. Ja, ein Wurm namens SQL-Slammer und Fehler wie leere »sa«-Passwörter machten Microsoft-SQL-Server-2000 zum Darling der Sicherheitsgemeinschaft. Aber alle Datenbanken sind problematisch. Oracles beispielsweise veröffentlichte im Januar ein Critical-Patch-Update, das 26 neue Security-Fixes enthielt.
Die Büchse der Pandora schließen
Datenbankschutzschemata reichen von ineffizient und angenehm unaufdringlich bis zum Äquivalent von »bei Sicht wird sofort geschossen«. Man denke nur an die in der Datenbanksoftware eingebauten Logging-Fähigkeiten – Datenbank-Auditing ist ein notorisch hartnäckiges Problem, und die Situation wird ohne Intervention in naher Zukunft auch nicht besser werden.
Natürlich gibt es Transaktions-Logs schon lange, aber diese erfüllen nur einen Zweck: Sie sollen Datenverlust verhindern, wenn ein Server während einer Datenaktualisierung herunterfährt, bevor die Änderungen bestätigt (committed) sind. Sie sind nicht dafür vorgesehen, bösartige Aktivitäten zu erkennen oder gar zu verhindern.
Was bedeutet das für Unternehmen? Zunächst: Bestimmte Aktivitäten werden während des Logging-Prozesses übersehen. Beim Microsoft-SQL-Server-2000 kann der Administrator beispielsweise das Auditing ausschalten, einige Aktionen durchführen und das Auditing dann wieder einschalten. Und in den Logdateien ist davon nichts zu sehen. Dies ist ein perfektes Beispiel dafür, warum Sarbanes-Oxley die Aufgabentrennung vorschreibt.
Datenbankaktivität überwachen
Zur Protokollierung von Benutzeraktivitäten und für SOX-Compliance-Zwecke können Unternehmen Datanbankaktivitäts-Monitoring-Appliances, beispielsweise Appradar von Application Security, einsetzen. Diese Systeme überwachen die Datenbankaktivität, indem sie entweder inline oder auf einem Span-Port sitzen und den Verkehr vom und zum Datenbankserver erschnüffeln.
So lassen sich aber keine direkt auf dem Datenbankserver durchgeführten Aktivitäten sehen. Dies ermöglichen aber auf Hosts basierende Agenten, die auf dem Datenbankserver sitzen und an ihre Managementkonsolen berichten. Sowohl die Appliance als auch der Agent würden das Ein- und Ausschalten des Loggings erkennen.
Zusätzlich lässt sich auch die Aufgabentrennung erreichen, denn das Auditing ist nun auf eine separate Plattform verschoben. Das Sicherheits- oder Compliance-Team kann Benutzeraktivitäten prüfen, ohne dass der Datenbankadministrator durch Ein- oder Ausschalten des Loggings auf dem Server Einfluss darauf hat.
Schlupfloch Web-Anwendungen
Das klingt gut. Bis Web-Applikationen ins Spiel kommen. Diese verbinden sich typischerweise über nur einen oder zwei Konten mit der Datenbank. Ein Auditing-Albtraum. Imperva hat erkannt, wie schwerwiegend dieses Problem ist, und ihrem Securesphere-Database-Security-Gateway ein Web-Applikations-Firewall-Produkt hinzugefügt. Damit lassen sich IP-Adressen und authentifizierte Benutzer der Web-Applikationen ihren Datenbankaktivitäten zuordnen. Zuvor war das eine arbeitsreiche Aufgabe, die Sicherheitsprofis manuell durchführen mussten.
Den Diebstahl stoppen
Auditing ist wichtig, findet normalerweise aber erst dann statt, wenn eine bösartige Aktivität schon längst gelaufen ist. Wäre es nicht viel besser, eine Warnung in Echtzeit zu erhalten und die Verletzung vielleicht verhindern zu können? Dafür wird Datenbank-Extrusion-Prevention benötigt.
Datenbanken sind dafür da, den Benutzern die Informationen zu liefern, die sie für ihren Job brauchen. Jede IT-Initiative, die versucht, den Zugriff zu beschränken, wird deshalb von den Anwendern als feindlich betrachtet. Glücklicherweise gehen DBEP-Systeme sehr ausgewogen vor.
Sie verhindern, dass autorisierte Benutzer zu viel Zugriff erhalten, während sie gleichzeitig alle Datenbankaktivitäten protokollieren, Auditing durchführen und bei fraglichen Vorgängen Alarm schlagen. Einige Systeme stoppen obskure Aktivitäten sogar.
Netzwerkverbindung unterbrechen
DBEP-Produkte stoppen Angriffe, indem sie TCP-Resets zum Angreifer (den Web-Server eingeschlossen) und zum Datenbankserver senden. Damit beenden sie die Netzwerkverbindung. Alternativ sitzen die Systeme inline und lassen Angiffsverkehr fallen, bevor er den Datenbankserver erreicht.
DBEP-Systeme werden oft einfach Datenbank-Firewalls genannt, aber tatsächlich tun sie viel mehr als simple Firewall-Arbeit. Neben den Auditing-Fähigkeiten der Detection-only-Produkte enthalten sie viele Features, darunter folgende: Blockieren bekannter Attacken, Verhindern unautorisierten Zugriffs (auf Benutzerrollen basierend) und Erkennen abnormer User-Aktivitäten. Mit anderen Worten: Sie gleichen eher einem IPS oder einer NBAD (Network-Behavior-Anomaly-Detection) als einem IDS.
Mit wachsender Popularität von DBEP-Systemen müssen sich die Sicherheitsleute auf folgende Fragen gefasst machen: Was geschieht, wenn das System legitimen Verkehr blockiert oder eine wichtige SQL-Transaktion verhindert? Kommt drauf an.
Bedeutet eine unautorisierte Informationsenthüllung den finanziellen Ruin des Unternehmens, ein PR-Problem oder lediglich interne Schuldzuweisungen? Es gilt, die Risiken abzuwägen – blockierte, legitime Geschäftsprozesse gegen die Kosten.
Was kaufen?
Gescheit ist ein DBEP-System, das Benutzer profilieren kann, um aus deren Aktivitäten eine Baseline zu erzeugen. Sobald diese erfolgt ist, lässt sie sich den sich ändernden Geschäftsanforderungen anpassen. Impervas Securesphere ist ein ausgezeichnetes Produkt für Unternehmen, die wissen, dass sie wichtige Informationen über ihre Datenbankserver verstreut haben, die aber nicht sicher sind, wer darauf zugreifen darf. Securesphere erlernt die Benutzer und die Tabellen, auf die sie regelmäßig zugreifen.
Auf Grundlage dieser Aktivitäten erzeugt das Produkt Profile. Diese sind anhand von Regeln dynamisch modifizierbar. Bei Abweichungen von der Norm schlägt das System Alarm. Beispielsweise könnte sich ein Administrator umgehend benachrichtigen lassen, wenn ein Web-Applikations-Server plötzlich große Mengen von Kundensätzen abruft, während er normalerweise nur einen Satz benötigt.
Einige Unternehmen werden es in so einem Fall bevorzugen, das abnorme Verhalten zu blockieren. Es geht wieder darum, welche Auswirkungen die Enthüllung der Informationen auf das Geschäft hat.
Auf Flexibilität achten
Produkte, die ihre Profile dynamisch anpassen können, sind rigideren gegenüber zu bevorzugen. Ein DBEP-Produkt sollte flexibel und feinfühlig sein sowie zuverlässig und effizient arbeiten.
Dieser Grad von Schutz ist nicht billig zu haben, aber Datenbank-Extrusion-Prevention kann die SOX-, HIPAA- und PCI-Forderungen, Zugriffe zu dokumentieren, Aufgaben zu separieren und Benutzeraktivitäten zu überprüfen, erfüllen. Hier haben wir eine Produktkategorie, die wirklich hilft, Compliance-Ziele zu erreichen.
- 1. Seite: Rauchende Colts
- 2. Seite: Was kaufen?
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Das sind die Top-Notebooks
Auf der Suche nach neuen Notebooks sieht man oft den Wald vor lauter Bäumen nicht. Unsere Kollegen von der PC Go haben daher die besten Geräte für Sie getestet.
NEC prämiert die schönste Installation
Einen Fotowettbewerb der etwas anderen Art startet NEC Display Solutions für seine Partner. Unter dem Motto »Application Picture Competition« können NEC-Partner Bilder einsenden, die NEC-Produkte im Einsatz zeigen. Für die kreativsten Fotografen winkt als Preis ein iPhone.
SAP will den Cloud-Anbieter Ariba übernehmen
Der Softwareanbieter SAP steht vor einem weiteren großen Zukauf im SaaS-Segment: Für 4,3 Milliarden Dollar wollen sich die Walldorfer den kalifornischen Beschaffungsspezialisten Ariba einverleiben und das Cloud-Geschäft auf diese Weise ausbauen.
» Bilderstrecken
» Meistgelesene News
So sexy sind Deutschlands Bäuerinnen
Vor kurzem war es wieder soweit: Die Macher des Deutschen Bauernkalenders suchten nach den schönsten Botschafterinnen für die Landwirtschaft. Die ansprechendsten Bewerberinnen kamen zum Casting nach München und Hamburg. Wir zeigen Ihnen die besten Bilder der Vorauswahlen in unserer Bilderstrecke ...
Massenentlassungen bei HP geplant
Der Rückgang der PC-Nachfrage und die Zusammenlegung von PC-und Druckersparte haben einschneidende Konsequenzen für die Mitarbeiter von HP. Es sollen laut Medienberichten 30.000 Mitarbeiter entlassen werden.