Freitag, 05.02.2018

Das Oracle Database Security Assessment Tool sucht nun nach sensiblen Daten

Angreifer gehen bei ihrem Handeln sehr kreativ vor und verbringen viel Zeit damit das Angriffsziel zu verstehen. Sie verwenden mitunter illegale Werkzeuge zur Informationsgewinnung und halten sich nicht an Gesetze und Regeln. Diese Werkzeuge nutzen unter anderem Sicherheitslöcher und Fehlkonfigurationen ihrer Angriffsziele aus um die besten Angriffsvektoren zu erhalten. Haben die Angreifer genügend Informationen gesammelt, beginnen sie meist sehr diskret mit dem eigentlichen Angriff und gelangen so viel zu oft an sensible Daten. Als Eigentümer, Verantwortlicher oder Verarbeiter von Daten hilft es ähnlich zu denken wie ein Angreifer, aber mit dem Ziel die Sicherheitslage so zu verbessern, dass ein Angreifer sein Ziel nicht erreicht. Viele Angriffsvektoren lassen sich durch einfache Sicherheitsmaßnahmen unterbinden. Datenbanken sollten so konfiguriert werden, dass sie ausschließlich nur Funktionen zulassen, die für den Betrieb der Anwendungen beziehungsweise der Verfahren notwendig sind.

Das Oracle Database Security Assessment Tool (DBSAT) überprüft Datenbankkonfigurationen, Datenschutzfunktionalitäten und gibt Sicherheitsempfehlungen gemäß Oracle Datenbanksicherheit Best Practices. Neben den im Artikel (Überprüfung der Datensicherheit mit Database Security Assessment Tool) beschriebenen Funktionalitäten wurde es zusätzlich mit der Fähigkeit ausgestattet, auf einfachste Weise, sensitive Daten in Oracle Datenbanken zu suchen. Die hiermit aufgezeigten potenziellen Angriffsziele und Sicherheitsrisiken werden dokumentiert und können bei Bedarf und Notwendigkeit vom Datenbankadministrator behoben werden.

Im Wesentlichen besteht das Werkzeug nun aus drei Komponenten:

  • NEU: DBSAT Discoverer (Aufspüren sensitiver Daten)
  • DBSAT Collector (Sammeln von Konfigurations-Informationen)
  • DBSAT Reporter (Erstellung des DBSAT Berichts)

Der DBSAT Discoverer lässt sich unabhängig vom DBSAT Collector und DBSAT Reporter verwenden.

Hinweis

DBSAT hilft sensitive Daten und potenzielle Schwachstellen in Ihrem Datenbanksystem zu identifizieren. Sowohl die Ausführung des Tools und eventuell negative Folgen durch Behebungen identifizierter Probleme obliegt in der Verantwortung des Kunden. Die von diesem Werkzeug erzeugte Ausgabe kann potenziell sensible Systemkonfigurationsdaten und Informationen enthalten, die von einem Angreifer missbraucht werden könnten. Der Ausführer ist dafür verantwortlich, die Ausgabe dieses Tools, einschließlich aller generierten Berichte vor Missbrauch zu schützen.

Suchen von sensitiven Daten

Die Komponente DBSAT Discoverer, dient zum Aufspüren sensitiver Daten. Verordnungen wie die EU-DSGVO verlangen von Unternehmen, dass sie personenbezogene Daten schützen. Unternehmen müssen jedoch zuerst wissen, welche persönlichen Daten verarbeitet werden und wo sich diese befinden. Der DBSAT Discoverer selber ist ein Java-Programm und benötigt zur Ausführung eine Java Runtime Environment (JRE) 1.6 oder höher DBSAT unterstützt hier durch das Scannen der Datenbankmetadaten auf Basis von Spalten-Namen und Spalten-Kommentaren. Die Suchmuster lassen sich flexibel durch Verwendung regulärer Ausdrücke in entsprechenden Konfigurationsdateien anpassen.

Die entsprechende Konfigurationsdatei "sensitive_en.ini" befindet sich im "DBSAT_Verzeichnis/Discover/conf".

Damit das Werkzeug die Suche in der Datenbank ausführen kann, müssen die Datenbank-Verbindungsinformationen bekannt gegeben werden. Diese werden in der Konfigurationsdatei "sample_dbsat.config" eingetragen. Diese Datei befindet sich ebenfalls im Verzeichnis "DBSAT_Verzeichnis/Discover/conf". Benötigt werden Database Hostname, Database Listener-Port und der Database-Servicename.

Jetzt nur noch den Befehl "dbsat discover -c Discover/conf/sample_dbsat.config dv02_sens_data" aufrufen, den Datenbankbenutzer und das Kennwort angeben und schon beginnt die Suche nach potentiellen sensitiven Daten.

Da die Suche nach sensitiven Daten ausschließlich im Data-Dictionary durchgeführt wird, werden keine Zugriffsrechte auf die Daten selber benötigt. Die Suche ist lokalisierbar, für „deutsch“ beispielsweise gibt es auf Anfrage ein entsprechendes anpassbares Template. Der mit dem Discoverer erstellte Bericht enthält Informationen über den genauen Speicherort (Schema > Tabelle > Spalte) von potenziell sensitiven Daten. Zudem wird eine CSV-Datei mit allen notwendigen Informationen erstellt. Alle Ausgabedateien sind durch ein Kennwort verschlüsselt. Sensitive Daten werden natürlich nicht im Bericht angezeigt.

Der HTML-Bericht liefert detaillierte Ergebnisse zum Speicherort der sensitiven Daten

Beispiel HTML-Format ( HTML-Output Beispiel)

Sollen auch die Daten hinsichtlich eventueller sensibler Inhalte analysiert werden, kann Oracle Sensitive Data Discovery eingesetzt werden. Dieses Werkzeug ist Bestandteil des Database Masking and Subsetting Packs.

Lizenz

Kunden die einen aktiven Oracle Support Account haben, können das Oracle Database Security Assessment Tool unter der Support Note ( Doc ID 2138254.1) beziehen und nutzen.

Weitere Informationen

 

Zurück zum Anfang des Artikels

Zurück zur Community-Seite
 

Visit the Oracle Blog

 

Contact Us

Oracle

Integrated Cloud Applications & Platform Services