Terug naar de beginpaginaCentor Homepage

Altijd inzage in gebruikersgedrag: Wie heeft wat wanneer gewijzigd?

Data Auditing helpt ongelukjes en frauduleus gedrag voorkomen


Veel bedrijven beschikken over omvangrijke databases met gevoelige informatie. Om de integriteit van die gegevens te waarborgen, stellen zowel markt als overheid hoge eisen. Bedrijven moeten steeds vaker kunnen aantonen wie op welk moment toegang heeft tot belangrijke informatie en of men volgens de regels heeft gehandeld. Meestal treden datawijzigingen op als een organisatie het 't minst verwacht, bijvoorbeeld wanneer een geautoriseerd gebruiker ongeoorloofd gegevens aanpast. Zulke fouten of frauduleus gedrag kunnen desastreuze gevolgen hebben voor de merknaam, reputatie en klantenkring. Die problemen moeten te allen tijde worden voorkomen. Dat kan met behulp van effectieve Data Auditing-software.

Data Auditing is meer dan alleen een manier om aan overheidsreguleringen te voldoen. Met behulp van Data Auditing kan de transparantie van databases worden vergroot en kunnen problemen worden geanalyseerd en bedrijfsprocessen worden verbeterd. Maar aan welke basiseisen moet effectieve Data Auditing-software voldoen? En voor welke oplossingsbenadering kan het beste worden gekozen? Daarover meer in dit artikel.

Overheidsregels
Data Auditing is tegenwoordig een belangrijke IT-activiteit. Daar draagt een aantal factoren toe bij. Zo zijn de eisen die aan individuele privacy gesteld worden erg hoog. Bovendien willen bedrijven graag kunnen beschikken over persoonlijke informatie. Een andere factor is dat het aantal klanten, werknemers en partners dat toegang heeft tot databases, toeneemt. Vroeger waren gevoelige gegevens uitsluitend voor een beperkte groep beschikbaar. Daarbij komt dat het belang van een transparante database-toegang toeneemt doordat de hoeveelheid gevoelige bedrijfsinformatie aanzienlijk toeneemt (steeds meer gegevens worden elektronisch vastgelegd). De laatste factor die ertoe bijdraagt dat Data Auditing voor bedrijven belangrijk is, zijn de grote fraudezaken die recent in het nieuws waren (Enron, Ahold, Shell enzovoort). Door het achterhouden van belangrijke informatie is er wantrouwen ontstaan onder het publiek en dat leidt tot een vraag naar meer transparantie van bedrijfsgegevens.

Vastgelegd in wetten
De overheid stelt daarom wetten op waarin staat dat rapporten moeten weergeven wie iets verandert in een database en wanneer dat gebeurt. Deze speciale overheidsregels, geformuleerd in wetten – zoals de Sarbanes-Oxley Act, HIPAA, FDA 21 CFR Part 11, GLBA, EUPDA en de USA PATRIOT Act – spelen met name een rol bij financiële diensten waar sprake is van overzicht door de SEC, OCC (Office of the Comptroller of the Currency), OTS (Office of Thrift Supervision) en FDIC. Denk aan banken, makelaarskantoren, verzekerings- en beleggingsmaatschappijen enzovoort.
Op dit moment is de Sarbanes-Oxley Act (S&A) dé grote aanjager voor het gebruik van Database Auditing-software. Deze wet stelt openbaarmaking van onjuiste financiële gegevens door publieke organisaties strafbaar. Bij overtreding kunnen bedrijven rekenen op hoge boetes en zware gevangenisstraffen.
S&A is in 2002 door het Amerikaanse congres aangenomen om meer transparantie te verkrijgen in de financiële verslaggeving van beursgenoteerde ondernemingen. Maar de wet is ook van toepassing op Europese bedrijven die zakendoen met de Verenigde Staten. Nederland telt op dit moment 44 ondernemingen die in november a.s. moeten voldoen aan de regels van S&A. Op den duur zullen ook toeleveranciers van deze bedrijven met de regelgeving te maken krijgen. Uiteindelijk betekent dit dat zo'n 1500 Nederlandse organisaties (delen van) hun financiële verslaggeving in overeenstemming moeten brengen met S&A. Daarmee is de noodzaak tot het vinden van een effectieve oplossing voor Data Auditing aangetoond.

Auditspoor
Deze overheidsreguleringen vergen het uiterste van bedrijven. Voortaan moeten ze kunnen aantonen dat ze beschikken over een geregistreerd 'auditspoor' waarbij alle gebruikers die toegang hebben verkregen tot een database (of toegang wilden verkrijgen) worden geregistreerd. Wetgevers, aandeelhouders, leden van de Raad van Bestuur en klanten eisen dat.
Maar hoe maak je effectieve auditsporen aan? En hoe kunnen bedrijven tijdig worden gealarmeerd wanneer er belangrijke ingrepen in een database plaatsvinden? Hiervoor zijn diverse benaderingen te bedenken. Het kiezen van de juiste aanpak is niet eenvoudig. Sommige benaderingen kampen met ernstige gebreken, zoals een vals gevoel van veiligheid (het systeem is niet waterdicht) en de aantasting van systeemprestaties. Daarom kiezen bepaalde organisaties er bewust voor geen software voor Data Auditing te installeren. Maar daarmee is het probleem niet uit de wereld, want de vraag naar meer transparantie en veiligheid blijft bestaan. Wat dan?

Data Auditing
Bij een Data Audit wordt nagegaan of gegevens wel langs de daartoe bestemde wegen worden uitgewisseld door de hiervoor geautoriseerde partijen. De implementatie van passende privacy- en beveiligingsgedragslijnen is een belangrijke stap, maar daarmee is men niet klaar. Het kan bijvoorbeeld dat geautoriseerde gebruikers op een onjuiste wijze toegang verkrijgen tot een database (opzettelijk of niet). Ook kunnen gebreken in beleid en implementatie het systeem kwetsbaar maken voor inbraak. Daarom is het van belang dat de Data Auditing-oplossing bepaalde basiselementen bevat die zulke manco's kunnen voorkomen. Of de oplossing nu intern is ontwikkeld door de IT-staf of aangekocht via een software-leverancier, het systeem moet in staat zijn specifieke informatie te registreren zoals:

  • de momenten waarop iemand gegevens in de database wijzigt;
  • alle aanpassingen van schema's en autorisaties;
  • wie wanneer welke data heeft veranderd;
  • wie bepaalde gegevens heeft ingezien en wanneer;
  • wie toegang heeft verkregen tot bepaalde tabellen;
  • alle inlogactiviteiten, zowel mislukte als succesvolle;
  • verdacht gedrag in bepaalde tabellen;
  • wie een tabellenserie in een bepaalde periode heeft aangepast.

De uitkomsten van zo'n Data Audit kan een Database Administrator gebruiken voor een uitgebreide periodieke rapportage. Aan de hand van die rapporten kan aan buitenstaanders worden gegarandeerd dat het bedrijf aan de regels voldoet. Maar er wordt ook in de eigen auditbehoeften voorzien. Een effectieve Data Auditing-oplossing brengt zo'n grondige analyse van datatoegang aan het licht dat organisaties die informatie kunnen gebruiken ter verbetering van bedrijfsprocessen.

Maar over welke functies moet een effectieve Data Auditing-oplossing dan beschikken? We sommen ze voor u op: ·
Capture Data Access. Traceert automatisch wanneer gegevens zijn aangepast of databases zijn ingezien, om wat voor reden dan ook.
• Capture Structural Changes. Traceert automatisch de veranderingen die zijn aangebracht. Het verzekert dat de integriteit van de structuren die de data-opslag verzorgen is veiliggesteld en wordt voortgezet.
• Manage Captured Information. Consolideert de getraceerde informatie uit verschillende databases automatisch in een gemakkelijk te beheren 'repository' (opslagplaats).
• Centralize Configuration & Management of All Servers. Voorziet in een 'rechttoe-rechtaan'-oplossing om de auditing van alle doelservers te configureren, belangrijke activiteiten te specificeren en gegevens te beheren.
• Produce Reports. Exporteert analyseresultaten in verschillende formaten, bedoeld voor printen, beeldschermweergave en verzending.
• Detect Conditions of Interest for Notification. Brengt de interessante onderdelen automatisch in kaart en genereert waarschuwingen als dat nodig is.
• Capture Login Activity. Legt automatisch vast wie in een bepaalde database heeft ingelogd en wie niet succesvol was met zijn inlogprocedure.

Drie gangbare benaderingen
Sommige benaderingen voor Data Auditing bevatten valkuilen die, na verloop van tijd, mogelijk prestatierisico's en kostenstijgingen opleveren. Voordat we ingaan op de beste Data Auditing-oplossing, passeren hieronder de drie meest gangbare benaderingen de revue. Bij elke oplossing worden bijbehorende valkuilen vermeld.

1. Modificatie van applicaties
Dit houdt in dat de broncode moet worden aangepast van elke applicatie die mogelijk gebruikt wordt voor het verkrijgen van datatoegang. De applicaties moeten dusdanig worden gewijzigd dat ze de modificatie en inzage van gegevens vastleggen en opslaan voor verdere verwerking. Let op, er zijn twee valkuilen! Het is een tijdrovende, kostbare bezigheid om iedere applicatie aan te passen. Als dat niet mogelijk is, moet de toepassing zelfs worden vervangen! Ten tweede is het moeilijk een complete databescherming te garanderen. Als men van buitenaf toegang verkrijgt tot een database (bijvoorbeeld via een Database Administrative Console), worden datawijzigingen door veel aangepaste applicaties niet geregistreerd.

2. 'Mid-tier portal'
Sommige applicaties verlenen datatoegang via een gedeelde portal met een back end-ingang (achterdeur). Zo'n 'mid-tier portal' kan worden aangepast om informatie over datatoegang vast te leggen en op te slaan. Maar het gebruik van zo'n portal heeft schaduwzijden¼ Het systeem werkt alleen waterdicht als men gebruikmaakt van portal-ondersteunende applicaties. En het is niet in staat gebruikers te registreren die via de portal van buitenaf toegang verkrijgen. Daardoor blijft de achterdeur wagenwijd openstaan en kan de privacy en integriteit van gegevens niet worden gewaarborgd. Een ander minpunt van de 'mid-tier portal' is dat het geen veranderingen aan permissies en schema's vastlegt.

3. 'Trigger-based' verzameling van gegevens op de Data Source
'Triggers' zijn programmacodes die met een bepaalde bedoeling zijn geschreven en die gekoppeld worden aan een database. Het gebruik ervan heeft nadelen. Het is bijzonder ingewikkeld goede 'triggers' te schrijven. Meestal verhogen ze de runtime-prestaties van het systeem omdat ze tegelijk met transacties worden opgestart. Bovendien kunnen 'triggers' geen Data Views vastleggen of veranderingen aan schema's en permissies.

Non-Trigger Tracking
Er is nog een vierde benadering: het gebruik van 'Non-Trigger Audit Agents'. Deze benadering geniet in veel gevallen de voorkeur. Waarom? Laten we eens kijken wat deze Audit Agents bieden¼ Audit Agents zijn verantwoordelijk voor het binnenhalen van informatie over datagerelateerde activiteiten. Omdat ze op de database server opereren, leggen ze alle relevante gegevensactiviteiten vast. Applicaties hoeven niet meer te worden aangepast en ook bij gebruik van de back door-toegang worden handelingen altijd geregistreerd.
De Audit Agent verzamelt informatie op verschillende manieren. Allereerst leest het de Database Transaction Log die normaal gesproken door elke database wordt onderhouden. Het gebruik van zo'n Transaction Log heeft geen negatieve invloed op de tijdige uitvoer van transacties. De analyse kan op rustige momenten plaatsvinden of op andere machines worden uitgevoerd dan de degene waarop de database staat. Daarbij komt dat de Audit Agent is uitgerust met een ingebouwd 'Event Notification'-mechanisme om aanvullende informatie te verkrijgen (bijvoorbeeld over veranderingen in permissies en Data Viewing-activiteiten).

De 'Non-Trigger Audit Agent'-benadering biedt een maximale afdekking van gegevens zonder de prestaties van applicaties en systemen te verstoren. In tegenstelling tot applicatieveranderingen, het gebruik van 'mid-tier portals' en 'triggers' is deze benadering eenvoudig en kostendrukkend op het gebied van installatie en onderhoud.
Toch betekent dit niet dat de andere drie gangbare benaderingen vanwege hun valkuilen per definitie onbruikbaar zijn. In bepaalde gevallen kan één daarvan best de juiste oplossing zijn. Doe daarom eerst grondig onderzoek naar de beste optie en ontwijk de valkuilen zoveel mogelijk, voordat tot de keuze en ontplooiing van een nieuwe Data Auditing-oplossing wordt overgegaan.

Lumigent lanceert Data Auditing voor Oracle

Data Auditing is hét antwoord op de vraag naar meer betrouwbaarheid en transparantie van bedrijfsgegevens. Daarom heeft Lumigent Technologies Inc., ontwikkelaar van Data Auditing-oplossingen, een nieuw pakket op de markt gezet: Entegra™ voor Oracle-databases. Dit pakket helpt organisaties de integriteit van hun gegevens voort te zetten en het vermindert de kans op ongeoorloofde wijzigingen en datatoegang.
Met Entegra kunnen organisaties die gebruikmaken van Oracle-databases het volgende doen:

  • Zichzelf verzekeren van de integriteit van financiële transacties;
  • Detectie en analyse van breuken in gebruikers- en applicatiegedrag;
  • Data monitoring om op de hoogte te blijven van (on)geoorloofde veranderingen in databases die geautoriseerde gebruikers buiten de bestaande veiligheids- en applicatiemogelijkheden doorvoeren;
  • Validatie van procedures en besturingsopties ter bescherming van gevoelige bedrijfsgegevens. Ook vindt een continue monitoring plaats van de effectiviteit van procedures en besturingsmogelijkheden;
  • Snelle reactie op overtredingen en anticipatie op kwetsbaarheden in het systeem.

De aanpassing van rapporten voor interne en externe audits is met Entegra een fluitje van een cent. De Entegra Report Server is gebaseerd op Crystal Enterprise™ dat bij het Entegra-pakket voor Oracle is inbegrepen. Het bevat rapportage-templates die op eenvoudige wijze kunnen worden gebruikt. De eindgebruiker kan ze naar wens aanpassen.
Entegra voor Oracle is sinds eind juni 2004 verkrijgbaar. Het ondersteunt Oracle8i™ en Oracle9i™-platforms op UNIX® en Microsoft® Windows®-systemen. Deze release ondersteunt Solaris™. Toekomstige versies zullen HP-UX®, IBM® AIX® en LINUX® ondersteunen.

 

www.lumigent.com

Auditing Oracle data

Fine-Grained Auditing for Real-World Problems

Auditing to Monitor System Security