23. März 2015

Eine bewußte Entscheidung für die IT Sicherheit - Der Security Smoke Test

Der beste Schutz von IT Anwendungen ist Wissen. Nur dann werden bewußte Entscheidungen für die IT Sicherheit getroffen. Eine bewußte Entscheidung setzt immer voraus, dass der Entscheider der eine Entscheidung trifft, sich mit dem Thema intensiv auseinder gesetzt hat. Udd so muss es sein.

Bewusste Einscheidungen im Betrieb einer DB sollten immer folgende Dinge beinhalten:
  1. OS Härtung
    z.B. nach STIGs Stigs: openScap ist für Windows und UNix-Betriebssysteme verfügbar und Oracle liefert hier sogenannte Security Technical Implementation Guides.
    Auch die Dokumentation hält hier entsprechende Empfehlungen bereit:
    Security Guide for OL6
    Oracle Secure Configuration Initiave
  2.  DB Härtung
    z.B. nach STIGS und eigener definierter Standard. Natürlich auch unter Betrachtung des Oracle Security DB Guide
  3.  Prüfung der Anwendung und Anwendungssetup
  4. Zugriffskontrolle entsprechend least Privilege
  5. und eben all Ihre bewußten Entscheidungen
  6. ...
Der Security Smoke Test stellt eine schnelle Möglichkeit zur Verfügung, Systeme auf Sicherheit zu überprüfen.

Ein Smoketest ist eine Art Probelauf z.B. vor der Produktivsetzung nach einer Reparatur oder einem Releasewechsel. Fokussiert der Smoketest auf Security, dann ist es eben ein Probelauf für die Security.

In einem 3-Tages Schnell-Hack habe ich eine bewusste Entscheidung in einen Security Smoketest für Datenbanken gegossen. Und das ist dabei rausgekommen:
Mein Security Smoketest behandelt insgesamt 7 Bereiche, die er automtisiert gegen ein System testet:
  1. System Scan:
    Port Scanning, SID Scanning, Bruteforce Attacke für Standard Acounts
    Also ein typische Attacke auf DB Systeme wird durchgeführt
  2. DB Parameter
    Grobe Prüfung der sicherheitsrelevanten init.ora Parameter
  3. PW Management
    Default PW in der DB, User im PW File, PW Versionen
  4. Role Management
    Anwendungsbezogene Rollen, Rollen Ersteller (Zwecktrennung), Rolen KOmplexität, Standard Rollen an User (CONNECT, RESOURCE), Deadly Roles an User
  5. Privilegien
    Power-Privilegien, Network Packages Privilegien, Mögliche Privileg Eskalationen in Apps-Schematas, Privileg Eskalation (alle Benutzer)
  6. User Management
    Benutzergruppen, Profile, Security Attribute der Profile
  7. Audit Policy
    Fehlende Einstellungen lt. Oracle DB Security Guide
Alle Überprüfungen (17) werden mit einem Score versehen und dokumentiert. Der Gesamtscore stellt das zu erwartende Risiko einer Bedrohung dar. Je höher der Wert, desto höher die Bedrohung.

Scoring der Security nach Durchführung des Security Smoktests
Die Trendanalyse stellt den Gesamtscore der Auswertung entsprechend der Ausführungszeit gegenüber.
Trendanalyse entsprechend Score

Innerhalb der 7 Untersuchungsbereiche werden die Ergebnisse des Test sehr detailliert dargestellt. Die wichtigen Aussagen sind farblich markiert, wobei "gelb" als Warning zu verstehen ist (Scorewert=5) und "rot" ist eine starke Bedrohung (Scorewert=20).
Detaillierte Darstellung des Systemscans
Betrachten man z.B. das Usermanagement innerhalb des Security Smoketest dann werden folgende Bereiche untersucht:
  • Benutzergruppen
    Hier kann man viele interessante Dinge ableiten. Welche Benutzergruppen existieren? Gibt es eine Verletzung der Zwecktrennung (z.B. Anwendungsuser ist Admin)? Wer sind die Anwendungsobject-Besitzer und wer die Anwendungsuser?
  • Profile
    Gibt es entsprechend den Benutzergruppen auch dedizierte Profile?
    Ist das PW-Management in den profilen eingeschaltet.
Benutzermanagement


Wie das nun im Detail funktioniert, verrate ich auf dem Oracle Direct Security Day am 16.4.2015 in Potsdam oder Online.
Diese Veranstaltung ist kostenlos. Die Anmeldung und weitere Informationen finden SIe unter http://bit.ly/ODSD2015

Keine Kommentare:

Kommentar posten