Dnes: 21. ledna 2018    | Registrace | Hledáme | Redakce | Info | Testy | Školení | Ocenění | Nápověda | Čtenář: nepřihlášen

Rychlé odkazy
  • Hlavní stránka
  • Seznam rubrik
  • Ankety
  • Editoriály
  • TOP 15
  • KONFERENCE 2008
  • KONFERENCE 2007
  • KONFERENCE 2006
  • KONFERENCE 2005
  • KONFERENCE 2004
  • Sborník
  • Testy
  • Virtuální školení
  • Personalizace


  • Hledáte práci?
    Hledáme redaktora - pojďte s námi tvořit Databázový svět!

    Vyhledávání

    Hledej
    na Databázovém světě!



    Rozšířené vyhledávání

    Rubriky
    Aktuality
    Bezpečnost
    Business
    Česká scéna
    Datové sklady
    Dokumentace
    Dotazovací jazyky
    Hardware
    Historie
    Komentáře
    Literatura
    Metodologie
    Nondb
    Open Source
    Poradna
    Produkty
    Případové studie
    Redakce
    Rozhovory
    Standardy
    Technologie
    Tipy - triky
    Tiskové zprávy
    Vývoj
    Vývojové nástroje
    Zajímavosti

    Co je to?
    Systémový katalog
    Struktury, ve kterých jsou uloženy informace o dané databázi, případně databázovém serveru. Někdy je možné se z anglického Data Dictionary setkat s pojmem datový slovník.

    Akce
    Dynamická Datová Centra
    - na semináři se seznámíte s komplexním řešením a koncepcí Dynamických Datových Center od Fujitsu Siemens Computers se speciálním důrazem na řešení FlexFrame.

    Textová inzerce
    IBPhoenix - Vše o InterBase a Firebirdu.

    Smějete se rádi? - Pak je pro vás Vtipník to pravé!

    Prodejce reklamy - Hledáme schopného prodejce reklamního prostoru, možnost i externí spolupráce.

    Přihlášený čtenář
    Nepřihlášený čtenář

    O portálu
    Databázový svět
    ISSN: 1213-5933

    Web je optimalizován pro rozlišení 1024x768, nicméně kromě větších rozlišení podporujeme i 800x600. Podrobnosti najdete zde.

    Chcete-li mít kdykoliv možnost zkontrolovat obsah našeho portálu, můžete využít podporu rss. Podrobnosti najdete zde.
    Audit a bezpečnostní analýzy VII.


    [Bezpečnost] - V sedmém pokračování rozsáhlého seriálu zaměřeného na problematiku podpory auditu a bezpečnostních analýz v databázových platformách budeme pokračovat v seznamování s architekturou sběru auditních dat pro databázové systémy detekce průniku.



    V distribuovaném databázovém prostředí se na každý server, který spadá pod ochranu detekčního systému, umísťuje host-based a network-based agent. Auditní data, která jsou sbírána pomocí host-based agenta, pocházejí od uživatelů, kteří nepoužívají vzdálený přístup k serveru s použitím síťového připojení. Tímto typickým lokálním uživatelem je databázový administrátor, provádějící své aktivity na stroji, na kterém je umístěn server.

    Network-based agent monitoruje aktivity uživatelů využívajících vzdálený přístup. Jedná se o obyčejné uživatele spolupracující s databází pomocí utilit a aplikací, ale také o databázového administrátora používajícího síťové spojení ke vzdálené administraci.

    Host-based i network-based agenty lze dále rozčlenit na několik dílčích agentů, vykonávajících vlastní funkce. Jedná se o agenty senzor, detektor a akční modul.

    Senzor
    Jde o agenta monitorující každého uživatele, který se přihlásí do systému. Zpracovává zachycená "syrová" data do podoby auditních dat a zasílá je na detektor. Jedná se o jedinou komponentu multi-agentního systému specifickou pro různé databázové platformy.

    Detektor
    Tento agent přechovává aktuální profily jednotlivých uživatelů, které jsou v aktualizované periodické podobě zasílány analytickým agentem z úložiště uživatelských profilů na auditním serveru. Nová data ze senzorů se periodicky odesílají analytickému agentu k archivaci a komplexní analýze.

    Údaje v jednotlivých profilech uživatelů porovnává s aktuálními daty přicházejícími ze senzoru v reálném čase. Pokud detekuje problém při porovnání aktuálního uživatelského profilu s průběžně zasílanými daty ze senzoru, vyhodnotí jeho závažnost podle nastavených klasifikačních pravidel a odešle výstrahu, jak na centrální úložiště pro aktualizaci uložených informací, tak i na akční modul.

    Míra zpracování sledovaných dat z host-based a network-based agentů je určena zvolenou úrovní distribuce. Pomocí agentů lze distribuovat nejen bezpečnost, ale též zátěž výkonu analytického zpracování. Kromě distribuce této zátěže by tento přístup znamenal i jisté zrychlení a průběžnější detekci v reálném čase.

    Nevýhodou ovšem je, že při požadavku na pokrytí celého distribuovaného systému by tento přístup vyžadoval přenášet veškerá auditní data mezi všemi hosty a také udržovat úplné profilů všech uživatelů. To neznamená pouze vysokou zátěž na síť, ale i bezpečnostní riziko při napadení samotných agentů. Data, která nesou, kompletní informace o zavedených bezpečnostních politikách systému, profily uživatelů, jsou extrémně citlivé.

    Proto předkládaná architektura distribuuje pouze uživatelské profily předpovědního charakteru. Ty mají podobu skupiny dotazů, jejichž provedením by uživatel naplnil porušení definovaných politik bezpečnosti. Například role, která je vytvořena a přidělena na základě historických příkazů uživatele. Jako příklad též může sloužit přiblížení uživatelovy sekvence již provedených příkazů známému, v minulosti zaznamenanému útoku. Pak analytický agent může v uživatelově profilu odeslanému na detektor definovat skupinu dotazů, která by vedla k naplnění daného útoku.

    Přiblížení se k nastavenému prahu u daného nástroje má předpovědní charakter. Určení dotazů, které by vedly k jeho překročení, například provedení dotazu, který by již znamenal odvození citlivého atributu (problém odvoditelnosti – inference), tak umožní detekci útoků v reálném čase, bez nutného zdržení při zasílání na centrální auditní server analytickému agentovi.

    Akční modul
    Akční modul představuje agenta, jehož úlohou je přijímat přiměřená opatření, je-li skrze detektor zpraven o detekci útoku. V tom případě provede akční modul v závislosti na vážnosti ohrožení protiakci. Může se jednat o varování uživateli, že se svým dotazem pohybuje za hranicí jeho obvyklého působení, lze dotaz též zamítnout a odpověď neposkytnout, či uživatele zcela odpojit od přístupu ke zdrojům.

    Výhody zavedené architektury

    • Oddělení auditního systému – oddělení systému detekce útoků od databázového systému představuje klíčový bezpečnostní prvek. Auditní server je fyzicky oddělen od serverů spadající pod ochranu systému, interakce se dosahuje pomocí mobilních agentů v distribuovaném prostředí. Jak host-based, tak i network-based agenti jsou nainstalováni na databázovém serveru a na operačním systému běží jako nezávislé služby. Zodpovědnost za běh těchto služeb spadá pod systémového, nikoli databázového administrátora. Tím je zamezeno možnosti vymazání či upravení auditních dat útočníkem i omezena možnost napadení detekčních prostředků.
    • Administrace – analytický agent v okamžiku svého nainstalování na centrálním serveru rozešle monitorovací agenty na chráněné servery. Centrálně pomocí své komunikační utility kontroluje jejich činnost. Není tak potřeba instalovat a spravovat zařízení samostatně, což výrazně ulehčuje administrátorské úsilí.
    • Flexibilita – jak host-based, tak i network-based agent, pracuje bez zásahů do běhu databázového systému. Nevyžaduje změny v jádru databázové platformy, ani nativní auditní funkce dané platformy. Senzory lze rozmístit nad různými databázovými platformami.
    • Kontrola – díky současnému použití host-based i network-based agentů dochází k průběžné kontrole všech uživatelů. Administrátor prochází stejnou kontrolou jako jiní uživatelé, což snižuje riziko útoku zevnitř.

    V minulých pokračováních jsme si uvedli tři základní problémy, které tradičně provází SDP:

    • omezená schopnost detekce útoků, především v distribuovaném prostředí
    • vysoké množství chybně pozitivně detekovaných útoků
    • bezpečnost samotného systému detekce

    Schopnost detekce útoků je zavedenou architekturou maximalizována díky systému agentů, který distribuuje bezpečnost a tím i zvyšuje rychlost protireakce. Té napomáhá i částečná míra distribuce analytického zpracování. Protože však většina analýz i záznamů je situována na oddělený auditní server, je tak výrazně zvýšena bezpečnost systému a snížena zátěž databázového serveru i zátěž sítě.

    Vysoké množství chybně pozitivně detekovaných útoků nesníží samotná architektura. K tomu je jednak zapotřebí více informačních datových zdrojů – ty je schopna architektura poskytnout skrze agenty senzor, u kterých je předpokládána specifičnost dle účelu i charakteru zařízení, na němž jsou umístěny. Dále však je nezbytné použití různých metod analýz těchto získaných dat, neboť se ukazuje, že žádná samostatná metoda není postačující. Architektura umožňuje zařazení libovolného počtu analytických nástrojů v rámci analytického agenta.

    Související články:
    Audit a bezpečnostní analýzy XI. (17.02.2009)
    Audit a bezpečnostní analýzy X. (14.01.2009)
    Audit a bezpečnostní analýzy IX. (04.12.2008)
    Audit a bezpečnostní analýzy VIII. (19.11.2008)
    Audit a bezpečnostní analýzy VI. (05.11.2008)
    Audit a bezpečnostní analýzy V. (29.10.2008)
    Audit a bezpečnostní analýzy IV. (22.10.2008)
    Audit a bezpečnostní analýzy III. (15.10.2008)
    Audit a bezpečnostní analýzy II. (08.10.2008)
    Audit a bezpečnostní analýzy I. (01.10.2008)

    ( Celý článek! | Autor: Lukáš Brůha | Počet komentářů: 0 | Přidat komentář | Informační e-mailVytisknout článek )

    Vyhledávání
     

    Anketa
    Kolik ročně utratíte za dovolené?

    Nic 
     (1557 hl.)
    Do 1 000,- Kč 
     (1074 hl.)
    Do 10 000,- Kč 
     (1003 hl.)
    Do 25 000,- Kč 
     (1385 hl.)
    Do 50 000,- Kč 
     (1019 hl.)
    Do 75 000,- Kč 
     (1183 hl.)
    Více než 75 000,- Kč 
     (1022 hl.)

    Celkem hlasovalo: 8243


    Poslední komentáře
    frontierd@126.com
    frontierd@126.com
    frontierd@126.com
    c
    http://www.coachoutl

    Newsletter
    Přihlaste si nezávazně - i bez registrace - odběr informačního newsletteru. Podrobné informace najdete zde.

    Emailová adresa:


    Kalendář
    <<  Leden  >>
    PoÚtStČtSoNe
    1234567
    891011121314
    15161718192021
    22232425262728
    293031    

    Redakci připojuje


    Nejčtenější

    Databáze je prázdná!


    Nejvíce komentářů

    Databáze je prázdná!


    Reklama






    Nenechte si ujít články na dalších webech




    Na této stránce použité názvy programových produktů, firem apod. mohou být ochrannými známkami
    nebo registrovanými ochrannými známkami příslušných vlastníků.

    Databázový svět | dfKlub - digitální fotografie | Vtipník - vtipy přímo k Vám | Reminder - přestaňte zapomínat | Databázový svět

    Copyright (c) 2004 AVRE Publishing, spol. s r.o. Všechna práva vyhrazena