NULLBIT
NULLBIT
Natrag na portfolioEnterprise sigurnost / DevOps

Otkrivanje pogrešne konfiguracije baze podataka prije nego dovede do proboja

Statička i dinamička analiza, detekcija odstupanja i provjere usklađenosti za baze podataka velikog pružatelja cloud platforme

Sigurnost baza podatakaDevOpsUsklađenostUpravljanje konfiguracijama
Godina

2024

Trajanje

Isporuka u četiri faze

Industrija

Cloud infrastruktura / Enterprise sigurnost

Otkrivanje pogrešne konfiguracije baze podataka prije nego dovede do proboja
Početno stanje

Početno stanje

Početna pozicija

  • Kontinuirana provjera konfiguracija baza podataka u odnosu na sigurnosne standarde

    Konfiguracije se pregledavale ručno, ako i uopće, bez kontinuiranog procesa

    Ne postoji
  • Detekcija odstupanja konfiguracije između instanci baza podataka

    Ručna promjena na jednoj instanci mogla je neopaženo odstupiti od ostatka klastera

    Ne postoji
  • Dokazi usklađenosti za GDPR, HIPAA, ISO/IEC 27001 i PCI DSS

    Dokazi su se ručno sastavljali za svaku reviziju, po potrebi

    Ručno, ad hoc
  • Vrijeme za objavu praćene promjene konfiguracije baze podataka

    Prema klijentovim vlastitim podacima praćenja vremena u DevOps-u

    ≈ 16 sati

Veličina tržišta

Desetci produkcijskih instanci baza podataka kroz visoko skalabilno okruženje

Instance baza podataka pokrivene platformom

Opseg: Produkcijski skup baza podataka velikog globalnog pružatelja cloud platformeIzvor: Klijentov inventar infrastrukture, prije suradnje

Okvirni budžet

NDA

50.000 - 199.999 €

Struktura budžeta

Modul statičke i dinamičke analize30%
Metaheuristički algoritam optimizacije25%
Detekcija odstupanja u stvarnom vremenu i integracija upozorenja25%
Centralna konzola i predlošci usklađenosti20%

Kategorija proračuna prema Clutch.co kategorizaciji troškova projekta. Točni iznosi zaštićeni su ugovorom o povjerljivosti.

Isporuka u četiri faze

Isporuka u četiri faze

  1. 1

    Faza 1

    Istraživanje prijetnji i usklađenosti, analiza tržišnih nedostataka

  2. 2

    Faza 2

    Modul statičke i dinamičke analize, arhitektura agent-poslužitelj

  3. 3

    Faza 3

    Metaheuristički algoritam optimizacije, detekcija odstupanja u stvarnom vremenu

  4. 4

    Faza 4

    Centralna konzola, predlošci usklađenosti, integracija s GitLabom i alarmiranjem, produkcijsko uvođenje

Izazov

Velik skup baza podataka bez kontinuirane provjere vlastite konfiguracije

Veliki globalni pružatelj cloud platforme vodi desetke visoko skalabilnih instanci baza podataka, od kojih svaka mora ostati pravilno i dosljedno konfigurirana prema sigurnosnoj najboljoj praksi i regulatornim standardima - GDPR, HIPAA, ISO/IEC 27001, PCI DSS - a istovremeno mora brzo isporučivati promjene kroz DevOps procese.

Nije postojao kontinuiran način provjere vlastite konfiguracije baze podataka u odnosu na sigurnosne standarde i najbolju praksu

Ručne promjene konfiguracije na jednoj instanci mogle su neopaženo odstupiti od ostatka klastera

Dokazi usklađenosti za GDPR, HIPAA, ISO/IEC 27001 i PCI DSS morali su se ručno sastavljati za svaku reviziju

Postojeći alati na mrežnom sloju (IDS/IPS) nisu vidjeli pogrešne konfiguracije na razini baze podataka, a bili su i preskupi za skaliranje

Naše rješenje

Statička i dinamička analiza, uz metaheuristički optimizator, u jednoj platformi

Izgradili smo OptiLink oko arhitekture agent-poslužitelj: agenti provode statičku analizu vlastite konfiguracije svake baze podataka, dinamička analiza provjerava sustav izvana, a metaheuristički algoritam iz rezultata obje analize izrađuje konkretan prijedlog konfiguracije. Sve se prikazuje kroz centralnu konzolu i šalje izravno u klijentove postojeće GitLab, Slack i AlertOps tijekove rada.

Statička analiza konfiguracije

Provjerava konfiguracijsku datoteku svake baze podataka u odnosu na sigurnosnu najbolju praksu i politiku organizacije, prije i nakon svake objave.

Dinamička analiza

Provjerava sustav izvana, na način na koji bi to napravio napadač, otkrivajući otvorene portove, zastarjeli softver i slabosti u autentifikaciji.

Metaheuristički algoritam optimizacije

Iz rezultata statičke i dinamičke analize izrađuje konkretan, rangiran prijedlog konfiguracije, umjesto sirovog popisa problema.

Detekcija odstupanja konfiguracije u stvarnom vremenu

Agent na svakoj instanci prijavljuje neovlaštene ili nesinkronizirane promjene u trenutku kad se dogode.

Predlošci usklađenosti

Pripremljeni predlošci za GDPR, HIPAA, ISO/IEC 27001 i PCI DSS u nekoliko minuta generiraju konkretnu konfiguracijsku datoteku usklađenu s odabranim standardom.

Upozorenja ugrađena u DevOps alate

Rezultati provjera i upozorenja o odstupanjima idu izravno u GitLab, Slack i AlertOps - dežurni tim ne mora učiti novi alat.

Što se promijenilo

Kako je preoblikovana sigurnost konfiguracija baza podataka

Provjere konfiguracije, detekcija odstupanja i dokazi usklađenosti prešli su iz ručnog, ad hoc rada u jednu kontinuiranu, automatiziranu platformu.

Provjere sigurnosti konfiguracije

Before

Ručno, ad hoc

After

Kontinuirana statička i dinamička analiza

Svaka konfiguracija se provjerava automatski, ne samo kad se netko sjeti pogledati.

Odstupanje konfiguracije između instanci

Before

Otkriveno samo nakon što se nešto pokvarilo

After

Prijavljeno u stvarnom vremenu, po instanci

Nesinkronizirane promjene otkriju se prije nego uzrokuju incident.

Dokazi usklađenosti

Before

Ručno sastavljani, za svaku reviziju

After

Generirani iz predložaka i kontinuiranih provjera

Dokazi za GDPR, HIPAA, ISO/IEC 27001 i PCI DSS spremni su na zahtjev.

Proces objave

Before

≈ 16 sati po praćenoj objavi

After

≈ 12 sati po praćenoj objavi

Problemi s konfiguracijom vide se prije objave, ne tijekom nje.

Ulaganje → Sigurnost i brzina isporukeNDA

Brže i sigurnije objave baza podataka, s dokazima usklađenosti na zahtjev

Omjer

≈ 96% stopa detekcije na simuliranim napadima

pokušaji prisilne autentifikacije otkriveni tijekom testiranja dinamičke analize

Inkrementalni prihod

≈ 25% manje DevOps vremena po praćenoj objavi baze podataka

prema procjeni klijentovog DevOps odjela, na temelju njihovih vlastitih podataka praćenja vremena

Ulaganje

50.000 - 199.999 €

Povrat ulaganja

Klijentovi DevOps i sigurnosni timovi izravno su to potvrdili tijekom razdoblja evaluacije

Metoda

Usporedba praćenog vremena objave i detekcije incidenata prije i poslije, mjereno u odnosu na klijentove vlastite podatke praćenja vremena i upozorenja

Pouzdanost

Visoka - izravno mjereno tijekom evaluacije na živom produkcijskom sustavu, uz pregled klijentovog internog audit tima

Identitet klijenta je povjerljiv; brojke iznad dolaze iz razdoblja evaluacije dokumentiranog u pratećem znanstvenom radu.

Ishod

Stvarni rezultati, na živom produkcijskom skupu baza podataka

OptiLink je radio u klijentovom produkcijskom okruženju, ne samo u laboratoriju. Brojke u nastavku dolaze iz razdoblja evaluacije dokumentiranog u pratećem znanstvenom radu.

Konfiguracijske datoteke ocijenjene čistima iz prvog pregleda

Prije

Nije primjenjivo

Poslije

68 od 80 (85%)

85% čistoPreostalih 15% imalo je probleme poput slabog odabira enkripcije ili prevelikog broja dopuštenih konekcija

Razdoblje evaluacije

Otkriveni pokušaji prisilne autentifikacije

Prije

0%

Poslije

48 od 50 (96%)

96% stopa detekcijeSvaki otkriveni pokušaj pokrenuo je upozorenje administratoru

Simulirano testiranje napada

Točnost upozorenja

Prije

Nije primjenjivo

Poslije

95% relevantno, 5% lažno pozitivno

95% točno120 upozorenja generirano je tijekom razdoblja evaluacije

Razdoblje evaluacije

Vrijeme za objavu praćene promjene konfiguracije

Prije

≈ 16 sati

Poslije

≈ 12 sati

-25%-4 sata po objavi, prema klijentovim vlastitim podacima iz DevOps procesa

Po objavi

Tehnologije i usluge
Node.js
RabbitMQ
Redis
Prometheus
Docker / Docker Swarm
Terraform
GitLab CI/CD
Metaheuristička optimizacija
Od vizije do realizacije

Razgovor je prvi korak prema kvalitetnom rješenju.

Bez obzira imate li već definiranu ideju ili tek početni smjer, pomažemo vam pretvoriti razmišljanje u konkretne korake i održiva digitalna rješenja.

Prvi sat besplatanBez obvezaOdgovor unutar 24 sata