Le soluzioni Sentrigo per la sicurezza dei database e la loro interoperabilità con la piattaforma “Saturn” di BSC Consulting

Sistemi SIEM/SIM per la compliance alle normative sul trattamento dei dati sensibili aziendali e sicurezza dei Database

La sicurezza dei Database

La combinazione di clamorose ed altamente pubblicizzate violazioni dei dati da una parte, e la domanda per una maggiore aderenza delle imprese alle regole di “compliance” dall’altra, stanno portando la tematica della sicurezza dei database ad una assoluta priorità in tutte le organizzazioni. C’è sempre un alone di “magia nera” attorno a questa materia, In quanto molti esperti di sicurezza hanno familiarità con tematiche di sicurezza dei network e dei desktop, ma non di sicurezza dei database. Questo scenario sta iniziando a cambiare in funzione del fatto che la sicurezza dei database, e dei dati sensibili che contengono, è diventata una esigenza di tutte le organizzazioni.

I database sono soggetti a tipi di minacce che non possono essere intercettate dai firewall, dai sistemi di prevenzione delle intrusioni e da altri sistemi di difesa perimetrale. Il panorama delle minacce si evolve continuamente e diventa sempre più sofisticato e specializzato (ex. attacchi attraverso porte posteriori all’interno del database, chiamati “Backdoor attacks”).

Di pari passo al cambiamento nella natura delle minacce esterne, è nata una crescente attenzione per le minacce che sono date dagli utenti interni, definiti come “insider threat”. Questo termine si riferisce a danni causati da individui all’interno dell’organizzazione, sia dolosamente che accidentalmente.

La minaccia dall’interno è seria ? Sicuramente si. Recenti frodi come quella che ha visto vittima la Fidelity National Information Services, dove un senior DBA ha venduto milioni di informazioni delle carte di credito dei clienti, è prova di questo.

Quando si tratta di database, le tradizionali difese perimetrali come firewall e IDS/IPS sono fortemente inadeguate per via della natura delle minacce verso gli stessi database, e per la specifica vulnerabilità degli stessi. Anche se molti sistemi di prevenzione delle intrusioni dichiarano di poter proteggere anche I database, ad esempio evitando gli attacchi basati su SQL injection, la loro capacità in questa area è molto debole ed è tipicamente basata su “signatures”, che gli hackers possono facilmente eludere. Questi sistemi sono sicuramente inadeguati a scoprire attacchi sofisticati condotti attraverso vulnerabilità note di uno specifico database vendor, di una sua versione o piattaforma.

Requisiti di Compliance per i Database
Ci sono diverse leggi e regolamentazioni con cui il business si deve confrontare in questi tempi. Questo sviluppo si è evoluto nel corso degli ultimi 5 anni e ha cambiato le modalità con cui molti sistemi IT, applicazioni e dati sono controllati. Ci sono molte normative nazionali ed internazionali che impongono un corretto monitoraggio dei dati aziendali e le modalita’ con cui devono essere trattate le informazioni personali, oltre che richidiere sistemi di protezione dei database che mantengano la “Separazione delle responsabilita’”, tra queste le piu’ importanti e diffuse sono:

• Sarbanes and Oxley (SOX)
• Basilea II
• PCI/DSS
• HIPAA
• Dlgs 196/2003
• Provvedimento del Garante Privacy del 27 Novembre 2008
• ISO 27001
• SAS 70

Tra queste normative una delle piu’ restrittive e’ quella, Italiana, del garante della privacy di cui riportiamo le principali indicazioni in tema di trattamento dei dati.

Codice sulla privacy. Dlgs. 196/2003. Documento Programmatico sulla sicurezza
Il Dlgs. 196/93 raccoglie in un testo unico le precedenti leggi, decreti e codici deontologici in tema di riservatezza dell informazioni personali. Le aziende che trattano dati sensibili, di fatto tutte le aziende, devono trattare tali dati in conformità al codice stesso. Per essere conformi, le aziende devono agire su tre fronti:

1. Pianificare misure organizzative, amministrative e tecniche di sicurezza attraverso un documento programmatico formale, art. 19, conosciuto come Documento Programmatico sulla Sicurezza (DPS);
2. Adeguarsi alle misure tecniche minime di sicurezza definite nell’allegato “B” del Dlgs. 196/2003
3. Dare informativa completa nel trattamento dei dati personali.

Il primo e più significativo passo verso la conformità è la stesura del DPS, un documento che descrive i trattamenti di dati personali trattati in azienda, l’organizzazione di sicurezza dell’azienda e analizza i rischi che incombono sui dati personali. Il DPS va riveduto ogni anno entro il 31 marzo e della sua adozione o revisione il titolare dell’azienda riferisce nella relazione accompagnatoria del bilancio di esercizio.

Il DPS Documento programmatico sulla sicurezza richiede una serie di interventi ai fini di garantire I requisiti minimi aziendali in materia di sicurezza dei dati e protezione della privacy, norme sottostanti alla certificazione ISO 27001 che a sua volta rientra negli standard richiesti per i sistemi informatici.

Le leggi sulla violazione della privacy non richiedono uno specifico set di controlli, ma altresì di specificare cosa una azienda deve fare quando una violazione è sospettata di essere avvenuta. La notifica di violazione è molto costosa sia per costi diretti e sia per i danni all’immagine e alla reputazione dell’azienda, perdita di fedeltà dei clienti, etc., è quindi nell’interesse dell’azienda prendere le giuste misure per proteggere i dati personali dei clienti (PII).

In aggiunta, se una violazione è stata effettuata, sarebbe importante conoscere quali dati sono stati violati e compromessi. Il costo della notifica della violazione aumenta linearmente con il numero dei dati che sono stati effettivamente trafugati.

Provvedimento del Garante della Privacy del 27 novembre 2008
Molto spesso l’amministratore di sistema è dotato di una particolare posizione a cui spetta anche la capacità di stabilire - in raccordo con il titolare e/o eventuali altri responsabili dei relativi trattamenti - chi può accedere in modo privilegiato alle risorse del sistema informativo e a tutti i dati personali aziendali (anche sensibili): per tale motivo gli amministratori di sistema devono essere scelti con particolare attenzione, poiché i rischi che possono correre le banche dati o le reti informatiche sono sempre più elevati. Dopo le recenti e numerose modifiche normative o “di prassi” a cui abbiamo assistito negli ultimi tempi, ecco che viene pubblicato un ulteriore provvedimento del Garante Privacy che introduce un nuovo adempimento in materia di gestione e protezione dei dati personali trattati attraverso sistemi informatici e di garanzia della sicurezza degli stessi dati e sistemi.

Il Garante Privacy, infatti, con un provvedimento del 27 novembre 2008 (“Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”), ha introdotto l’obbligo per gli amministratori di sistema (compresi coloro che svolgono la mansione di amministratore di rete, di data base o i manutentori), di conservare gli “access log” per almeno sei mesi in archivi immodificabili e inalterabili.

Devono, cioè, essere adottati sistemi idonei alla registrazione degli accessi logici, ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema e, novità forse più importante, gli access log devono avere le caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste; ciò vuol dire che le registrazioni devono avere i riferimenti temporali certi e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo (non inferiore a sei mesi).

I sistemi di Access Management, Identity Management ed integrazione con la piattaforma di Database Access Monitoring Sentrigo. La piattaforma SIEM/SIM Terasystem NOOS.
La soluzione NOOS di BSC Consulting è una soluzione che raccoglie informazioni, ne garantisce l’integrità, le archivia, elabora report e invia avvisi relativi a log di sistemi eterogenei; offre report per la conformità, la registrazione delle attività di applicazioni, sistemi ed eventi, supporto per più piattaforme, raccolta protetta dei dati e scalabilità di fascia enterprise.

La soluzione NOOS garantisce l’inalterabilità dei log e archivia tutti i log che registrano gli accessi, compresivi di riferimenti temporali e attività svolta eseguiti dall’amministratore di sistema. I log sono conservati per almeno sei mesi e sottoposti a controllo almeno annuale.

Sentrigo HedgeHog Enterprise si integra perfettamente con i sistemi di Log Management più diffusi, con sistemi di controllo degli endpoint e con la piattaforma Terasystem “NOOS”, sia in modalita’ out-of-the box sia nella modalita’ servizi gestiti.

Questa integrazione non solo consente di aggiungere una sicurezza fisica ad una sicurezza logica, quella del controllo dei logs di NOOS, ma di aggiungere una misura preventiva alla violazione dei dati nei database aziendali. Tutte le transazioni possono essere archiviate, con relativa query, all’interno del Log Archive del sistema NOOS. E’ possibile inoltre archiviare e trasferire ad un DB dedicato il tracciato logico delle singole query, che include oltre ai ati di login gli indirizzi IP tra cui sono state effettuate le transazioni nei Database.