Otkrivanje pogrešne konfiguracije baze podataka prije nego dovede do proboja
Statička i dinamička analiza, detekcija odstupanja i provjere usklađenosti za baze podataka velikog pružatelja cloud platforme
2024
Isporuka u četiri faze
Cloud infrastruktura / Enterprise sigurnost

Početno stanje
Početna pozicija
- Ne postoji
Kontinuirana provjera konfiguracija baza podataka u odnosu na sigurnosne standarde
Konfiguracije se pregledavale ručno, ako i uopće, bez kontinuiranog procesa
- Ne postoji
Detekcija odstupanja konfiguracije između instanci baza podataka
Ručna promjena na jednoj instanci mogla je neopaženo odstupiti od ostatka klastera
- Ručno, ad hoc
Dokazi usklađenosti za GDPR, HIPAA, ISO/IEC 27001 i PCI DSS
Dokazi su se ručno sastavljali za svaku reviziju, po potrebi
- ≈ 16 sati
Vrijeme za objavu praćene promjene konfiguracije baze podataka
Prema klijentovim vlastitim podacima praćenja vremena u DevOps-u
Veličina tržišta
Desetci produkcijskih instanci baza podataka kroz visoko skalabilno okruženje
Instance baza podataka pokrivene platformom
Okvirni budžet
50.000 - 199.999 €
Struktura budžeta
Kategorija proračuna prema Clutch.co kategorizaciji troškova projekta. Točni iznosi zaštićeni su ugovorom o povjerljivosti.
Isporuka u četiri faze
Isporuka u četiri faze
- 1
Faza 1
Istraživanje prijetnji i usklađenosti, analiza tržišnih nedostataka
- 2
Faza 2
Modul statičke i dinamičke analize, arhitektura agent-poslužitelj
- 3
Faza 3
Metaheuristički algoritam optimizacije, detekcija odstupanja u stvarnom vremenu
- 4
Faza 4
Centralna konzola, predlošci usklađenosti, integracija s GitLabom i alarmiranjem, produkcijsko uvođenje
Velik skup baza podataka bez kontinuirane provjere vlastite konfiguracije
Veliki globalni pružatelj cloud platforme vodi desetke visoko skalabilnih instanci baza podataka, od kojih svaka mora ostati pravilno i dosljedno konfigurirana prema sigurnosnoj najboljoj praksi i regulatornim standardima - GDPR, HIPAA, ISO/IEC 27001, PCI DSS - a istovremeno mora brzo isporučivati promjene kroz DevOps procese.
Nije postojao kontinuiran način provjere vlastite konfiguracije baze podataka u odnosu na sigurnosne standarde i najbolju praksu
Ručne promjene konfiguracije na jednoj instanci mogle su neopaženo odstupiti od ostatka klastera
Dokazi usklađenosti za GDPR, HIPAA, ISO/IEC 27001 i PCI DSS morali su se ručno sastavljati za svaku reviziju
Postojeći alati na mrežnom sloju (IDS/IPS) nisu vidjeli pogrešne konfiguracije na razini baze podataka, a bili su i preskupi za skaliranje
Statička i dinamička analiza, uz metaheuristički optimizator, u jednoj platformi
Izgradili smo OptiLink oko arhitekture agent-poslužitelj: agenti provode statičku analizu vlastite konfiguracije svake baze podataka, dinamička analiza provjerava sustav izvana, a metaheuristički algoritam iz rezultata obje analize izrađuje konkretan prijedlog konfiguracije. Sve se prikazuje kroz centralnu konzolu i šalje izravno u klijentove postojeće GitLab, Slack i AlertOps tijekove rada.
Statička analiza konfiguracije
Provjerava konfiguracijsku datoteku svake baze podataka u odnosu na sigurnosnu najbolju praksu i politiku organizacije, prije i nakon svake objave.
Dinamička analiza
Provjerava sustav izvana, na način na koji bi to napravio napadač, otkrivajući otvorene portove, zastarjeli softver i slabosti u autentifikaciji.
Metaheuristički algoritam optimizacije
Iz rezultata statičke i dinamičke analize izrađuje konkretan, rangiran prijedlog konfiguracije, umjesto sirovog popisa problema.
Detekcija odstupanja konfiguracije u stvarnom vremenu
Agent na svakoj instanci prijavljuje neovlaštene ili nesinkronizirane promjene u trenutku kad se dogode.
Predlošci usklađenosti
Pripremljeni predlošci za GDPR, HIPAA, ISO/IEC 27001 i PCI DSS u nekoliko minuta generiraju konkretnu konfiguracijsku datoteku usklađenu s odabranim standardom.
Upozorenja ugrađena u DevOps alate
Rezultati provjera i upozorenja o odstupanjima idu izravno u GitLab, Slack i AlertOps - dežurni tim ne mora učiti novi alat.
Kako je preoblikovana sigurnost konfiguracija baza podataka
Provjere konfiguracije, detekcija odstupanja i dokazi usklađenosti prešli su iz ručnog, ad hoc rada u jednu kontinuiranu, automatiziranu platformu.
Provjere sigurnosti konfiguracije
Before
Ručno, ad hoc
After
Kontinuirana statička i dinamička analiza
Svaka konfiguracija se provjerava automatski, ne samo kad se netko sjeti pogledati.
Odstupanje konfiguracije između instanci
Before
Otkriveno samo nakon što se nešto pokvarilo
After
Prijavljeno u stvarnom vremenu, po instanci
Nesinkronizirane promjene otkriju se prije nego uzrokuju incident.
Dokazi usklađenosti
Before
Ručno sastavljani, za svaku reviziju
After
Generirani iz predložaka i kontinuiranih provjera
Dokazi za GDPR, HIPAA, ISO/IEC 27001 i PCI DSS spremni su na zahtjev.
Proces objave
Before
≈ 16 sati po praćenoj objavi
After
≈ 12 sati po praćenoj objavi
Problemi s konfiguracijom vide se prije objave, ne tijekom nje.
Brže i sigurnije objave baza podataka, s dokazima usklađenosti na zahtjev
≈ 96% stopa detekcije na simuliranim napadima
pokušaji prisilne autentifikacije otkriveni tijekom testiranja dinamičke analize
≈ 25% manje DevOps vremena po praćenoj objavi baze podataka
prema procjeni klijentovog DevOps odjela, na temelju njihovih vlastitih podataka praćenja vremena
50.000 - 199.999 €
Povrat ulaganja
Klijentovi DevOps i sigurnosni timovi izravno su to potvrdili tijekom razdoblja evaluacije
Metoda
Usporedba praćenog vremena objave i detekcije incidenata prije i poslije, mjereno u odnosu na klijentove vlastite podatke praćenja vremena i upozorenja
Pouzdanost
Visoka - izravno mjereno tijekom evaluacije na živom produkcijskom sustavu, uz pregled klijentovog internog audit tima
Identitet klijenta je povjerljiv; brojke iznad dolaze iz razdoblja evaluacije dokumentiranog u pratećem znanstvenom radu.
Stvarni rezultati, na živom produkcijskom skupu baza podataka
OptiLink je radio u klijentovom produkcijskom okruženju, ne samo u laboratoriju. Brojke u nastavku dolaze iz razdoblja evaluacije dokumentiranog u pratećem znanstvenom radu.
Konfiguracijske datoteke ocijenjene čistima iz prvog pregleda
Prije
Nije primjenjivo
Poslije
68 od 80 (85%)
Razdoblje evaluacije
Otkriveni pokušaji prisilne autentifikacije
Prije
0%
Poslije
48 od 50 (96%)
Simulirano testiranje napada
Točnost upozorenja
Prije
Nije primjenjivo
Poslije
95% relevantno, 5% lažno pozitivno
Razdoblje evaluacije
Vrijeme za objavu praćene promjene konfiguracije
Prije
≈ 16 sati
Poslije
≈ 12 sati
Po objavi


