Test: Datenbank-Extrusion-Prevention-Systeme (DBEP)
Dringeblieben, oder ich schieße
Fortsetzung des Artikels von Teil 3
Crossroads StrongBox DB Protector
Die Automation ist eine der Stärken von SQL-Guard. Nahezu jede Aufgabe, von der Datenbankserver-Entdeckung bis zur Klassifizierung der Daten, lässt sich automatisieren. Im Test wurde das System für einen täglichen Scan des Netzwerks konfiguriert, um neue Datenbankserver zu entdecken und entsprechende Profile zu erzeugen. Zuerst führte SQL-Guard für definierte IP-Adressen und Ports einen Port-Scan durch. Danach bestimmte das Produkt, welcher Typ von Datenbankserver auf den Port hört. Diese Informationen schrieb SQL-Guard in einen Bericht.
Da sich die Inhalte von Datenbankservern kontinuierlich ändern, ist von keinem Sicherheitsprofi, Auditor oder Datenbankadministrator zu erwarten, dass er jede einzelne Instanz privater oder gemeinsamer Daten kennt. SQL-Guard 6.0 enthält glücklicherweise eine automatische Klassifizierung, die sich auf Datenmuster, Spalten- und Zeilennamen oder Berechtigungen stützt. Die Testserver enthielten Sozialversicherungs- und Kreditkartennummern. Also wurden Klassifizierungsaufgaben definiert, die diese Daten unter Verwendung regulärer Ausdrücke suchten. SQL-Guard identifizierte die Daten korrekt.
Die Regeln von SQL-Guard bieten viel Flexibilität. Jede Kombination von auf Datenbankaktivitäten bezogenen Informationen lässt sich als Auslöser nutzen. Dazu zählen Informationen wie die Client- oder Server-IP-Adresse, der Datenbankname, der Datenbankbenutzer, Datenmuster, SQL-Kommandos, die Quell-Applikation und mehr. Eines der nützlichsten Features zur Regelerzeugung war der Policy-Simulator, der Regeln gegen aktuell in SQL-Guard protokollierte Daten testet. Beim Erzeugen von Regeln mit regulären Ausdrücken überprüft ein nützliches Werkzeug in der Web-Schnittstelle, ob diese regulären Ausdrücke korrekt sind.
Auch SQL-Guard behandelte Angriffe gut, wenn große Mengen von Daten aus der Datenbank gesaugt wurden. Im Test wurde eine Regel erzeugt, um den Diebstahl von Informationen von der E-Commerce-Web-Site zu entdecken, selbst wenn diese Informationen einen Satz nach dem anderen gestohlen werden. Das funktionierte. Allerdings könnte diese Regel für einen großen Online-Shop unpraktisch sein, denn sie stützte sich auf eine Mindestanzahl von Ereignissen innerhalb eines spezifischen Zeitintervalls, der in Minuten zu definieren war. Ein paranoider Angreifer könnte leicht ein Tool schreiben, das alle fünf Minuten oder gar jede Stunde einen einzelnen Satz stiehlt.
Mehr als 100 konfigurierte Berichte sollten jeden Administrator, Auditor und Boss befriedigen können. Benutzerdefinierte Berichte zu erzeugen, bedarf simpler Drag-and-Drop-Aktionen. Die Berichte lassen sich drucken, als CSV-Dateien speichern oder als PDFs exportieren. Angesichts der extensiven Berichtsfähigkeiten und zahlreichen Status-Dashboards werden viele Organisationen ohne externes Siem auskommen. SQL-Guard unterstützt aber auch gleich Produkte wie Arcsight und Network-Intelligence.
Guardium hat eine solide Feature-Sammlung zusammengestellt, die Sicherheitsprofis, welche die Kontrolle über Datenbankaktivitäten zurückerlangen wollen, gefallen wird. Mit verschiedenen Deployment-Optionen, extensiven Regeln, flexibler Berichterstellung und automatischer Datenklassifizierung und Datenbankentdeckung liefert SQL-Guard 6.0 wahre Datenbank-Extrusion-Prevention.
Strongbox-DB-Protector zeigte die am einfachsten zu nutzende Benutzungsschnittstelle und viele attraktive Grafiken, die auf den oberen Etagen gefallen werden. Dem Produkt fehlen aber einige Features, beispielsweise führt es weder ein Datenbank-Security-Assessment durch, noch blockiert es Out-of-band-Verkehr.
DB-Protector traf als 2HE-.Appliance in den Real-World Labs ein. Nach dem Einbau ins Rack war die anfängliche Konfiguration schnell und einfach. Die Einrichtung des Systems erfolgt inline oder out-of-band unter Verwendung eines Switch-Monitoring-Ports, der sämtlichen Verkehr des Datenbankservers beobachtet. Die Einrichtungsmethoden sind zwar mit denen von Guardium und Imperva gleich, blockieren kann DB-Protector aber nur dann, wenn die Appliance inline installiert ist. Auch Host-Agenten sind gegenwärtig nicht verfügbar. Also geht jede Aktivität auf der lokalen Datenbankserver-Konsole verloren.
DB-Protector unterstützt IBM-DB2 8.1 und 8.2, Microsoft-SQL-Server-2000 und -2005 sowie Oracle 9i und 10g. Bevor das System diese Datenbanken schützen kann, muss es sie mappen, um das Datenbank-Layout zu verstehen. Der Mapping-Prozess ist simpel: Der Administrator muss lediglich Anmeldeinformationen für alle zu schützenden Datenbanken eingeben. Das Produkt importiert dann Informationen über Tabellenstrukturen, Benutzer, gespeicherte Prozeduren und mehr. Da viele Auditoren interne Namenskonventionen nicht verstehen werden, liefert Crossroads etwas, das Business-Objects heißt. Dabei handelt es sich im Wesentlichen um Alias-Namen, die nach dem Mapping definiert werden können, um die Richtlinienentwicklung und Auditbewertung benutzerfreundlicher zu machen.
Organisationen, die unter dem Druck von Compliance und Regulierungen stehen, werden die fein unterscheidbaren Rollen in DB-Protector zu schätzen wissen. Ein Appliance-Administrator könnte beispielsweise Privilegien besitzen, nur um die Appliance zu konfigurieren und Berichte zu sehen, welche die Gesundheit des Systems betreffen. Auditoren können Reviewer-Privilegien erhalten, die ihnen ausschließlich Zugriff auf Berichte über Datenbankaktivitäten gewähren. Überraschender Weise fehlt die Unterstützung externer Verzeichnisse. Das bedeutet, dass alle Benutzer, die auf DB-Protector zugreifen, lokale Konten haben müssen.
- Dringeblieben, oder ich schieße
- Dringeblieben, oder ich schieße (Fortsetzung)
- Guardium SQL Guard
- Crossroads StrongBox DB Protector
- Dringeblieben, oder ich schieße (Fortsetzung)
