Ficou faltando citar as diferentes soluções existentes para monitorar/auditar / proteger a atividade ocorrida no nível de Bancos de Dados (DAM). Vamos lá:
Foi divulgado pela Securosis / Sans Institute um excelente estudo das soluções existentes de Monitoração de Atividades em Banco de Dados, nomeado "Understanding and Selecting a Database Activity Monitoring Solution" (PDF).
O documento foi escrito por Rich Mogull, antigo VP de Pesquisas do Gartner, e é patrocinado pelos principais vendors deste nicho: Guardium, Imperva, Secerno, Sentrigo e Tizor.
Segundo o paper, as soluções de DAM - ou de "Monitoração de Atividade em Banco de Dados" têm cinco principais características (além de tirar dos ombros dos Banco de Dados o pesado trabalho de auditoria):
1. capacidade de monitorar e auditar independentemente toda atividade em banco de dados, incluindo atividades do administrador, registrando as seguintes transações:
- DML - DATA MANIPULATION LANGUAGE (SELECT, UPDATE, INSERT). - sempre.
- DDL - DATA DEFINITION LANGUAGE (CREATE, ALTER, DROP) - sempre.
- DCL - DATA CONTROL LANGUAGE (GRANT, REVOKE) - sempre.
- TCL - TRANSACTIONAL CONTROL LANGUAGE (COMMIT, ROLLBACK) - às vezes.
3. capacidade de agregar e correlacionar atividade de multiplos e heterogêneos DBMSs (Oracle, Microsoft, IBM, ...).
4. capacidade de enforçar segregação de funções em administradores de banco de dados. Semdo que a auditoria deve incluir a monitoração da atividade do DBA, e a solução deve se proteger de possíveis intervenções do DBA como manipulação ou alteração de registros e atividades gravadas.
5. capacidade de gerar alertas baseados em violações de políticas, com a capacidade de monitorar em real time regras pré-configuradas - o que pode ou não ser acoplado perfeitamente com uma solução de SEM/SIEM - Security (Incident) and Event Management - para atender os requisitos internos e auditorias SOX/PCI/etc.
Sobre SIEM... fica para outro post =)
No comments:
Post a Comment