DOAG Deutsche ORACLE-Anwendergruppe e.V.
 
   
26.04.2010 - 27.04.2010
09:00 - 17:00 Uhr

DOAG Berliner Expertenseminare: Oracle Hardening & Patching / Auditing & Co.

Ort: DOAG KonferenzLounge. Tempelhofer Weg 64, 12347 Berlin-Britz
Kontakt: Cornel Albert

DOAG Berliner Expertenseminar : Oracle Hardening & Patching / Auditing & Co.
 
Oracle Security Seminar mit Alexander Kornbrust, Red Database Security GmbH
 
Nach den in den letzten Monaten publik gewordenen Vorfällen mit gestohlenen Kontodaten rückt die Datensicherheit immer mehr in den Fokus der Öffentlichkeit. Für Anwender, Entwickler und Administratoren stellt sich die Frage, wie damit umgegangen werden soll, aber auch das Management in den Unternehmen ist längst mit diesem Thema befasst.
 
Dieses Seminar gibt einen Überblick über den aktuellen Status der Oracle-Sicherheit und den sich ändernden Fokus, der sich vom DBA immer mehr in Richtung Entwickler verschiebt. Das Härten von aktuellen Oracle-Datenbanken (10.2.0.4 und 11g) zusammen mit den unterschiedlichen Patch-Bundles (CPU/PSU/Windows Bundle) wird besprochen und es wird aufgezeigt, wie das Basis-System abgesichert werden kann. Weiterhin wird auf typische Architekturprobleme in realen Datenbanksystemen hingewiesen, die ein Risiko für die Sicherheit der Datenbanken sein können.
 
Es wird ebenso auf typische Sicherheitsprobleme in selbstgeschriebenem PL/SQL Code eingegangen, welche ein großes Sicherheitsproblem darstellen können. Dadurch können auch gut gepatchte Datenbanken wieder extrem gefährdet sein. Darüber hinaus werden auch Lösungen zum automatischen Scannen von großen und kleinen Datenbanken vorgestellt. Zusätzlich wird auf das Schreiben von Oracle Policies eingegangen.
 
Der zweite Tag stellt das Thema Auditing in den Vordergrund. Es werden zuerst die typischen Angreifer, deren Motivation und die möglichen Gegenmaßnahmen erläutert. Die verschiedenen Auditing Konzepte und deren Möglichkeiten und Limitierungen werden aufgezeigt. Weitere Themen sind der Entwurf von Auditing Systemen und alternative Auditing Lösungen. Aber auch das Umgehen von Auditing Systemen, die Verschlüsselung von Daten und die Analyse von Log-Daten sind Gegenstand des Seminars.
 
Da Auditing immer auch die Anwendungsdaten umfassen sollte, wird auch über Data Discovery und die Identifikation von sensiblen Informationen gesprochen. Diese Daten sollten auf Testsystemen nur anonymisiert bzw. pseudonymisiert verwendet werden.
 
 
Inhalte:
26. April 2010: Oracle Hardening & Patching
 
* Oracle Security im Jahr 2010
* Aufgabenverteilung Security: DBAs vs. Developer
* Härten von Oracle 10.2.0.4/11.2.0.1 Datenbanken
* Oracle CPU vs PSU vs Windows Bundles
* Passworte in Oracle Datenbanken (Klartext, verschlüsselt, gehasht)
* Typische Architektur Probleme von realen Oracle Systemen und deren Lösung(en)
* Typische Anwendungsprobleme (SQL Injection, ...) und deren Lösung(en)
* Scannen von Datenbanken
* Schreiben von Oracle Policies (wie lang, wie kurz)
* Secure Development Guide (dynamische SQL, dbms_assert, ...)
 
 
27. April 2010: Auditing & Co.
 
* Typische Oracle Angreifer (neugierige MA, ausscheidende MA, externe Hacker, ...)
* Auditing Konzepte
* Oracle Auditing
* Fine Grained Auditing (FGA)
* Oracle Audit Vault
* Entwurf von Auditing Systemen
* Alternative Auditing Lösungen
* Oracle Transparent Data Encryption (TDE)
* Wie sicher ist Auditing oder wie umgeht man Auditing / IDS Lösungen
 
* Was sollte auditiert werden
- Kritische Oracle Komponenten
- Anwendungsdaten
 
* Finden von sensiblen Informationen
- Data Dictionary
- Dateninhalt
- Reguläre Ausdrücke
- Logtabellen
 
* Analyse von Log-Datei
- Finden von Angriffen
- Blocken gefährlicher Tools
 
* Anonymisierung/Pseudomisierung von Daten
- Tools
- Manuell
 
 
Teilnehmerkreis:
Oracle Datenbankadministratoren und Entwickler mit guten Grundlagenkenntnissen des Oracle Datenbanksystems, die ihre Kenntnisse im Bereich Security und Auditing auf den neuesten Stand bringen möchten.
 
 
Vorteil:
Schnelle Übersicht über das Thema Security und Identifizierung der wahren Sicherheits-Probleme in einer Oracle Datenbank. Vermeiden von Problemen (Performance, Fehlende Informationen,...) beim Design von Auditing Lösungen.
 
 
 
Unser Special Offer!
Wenn Sie beide Seminartage buchen, können Sie kostenfrei an der exklusiven Abendveranstaltung am 26 April 2010 teilnehmen.
 
 
Hotelempfehlung:
Wir haben für Sie ein Zimmerkontingent vom 26.-27.04.2010 im Hotel Best Western Leonardo reserviert. Bitte buchen Sie dort Ihr Hotelzimmer selbständig bis 25.03.2010 unter dem Stichwort "DOAG-Berliner Expertenseminar". Der Preis für ein Einzelzimmer beträgt 60,00 Euro inklusive Frühstück.
 
 
Rudower Str. 80-82
12351 Berlin
Telefon: +49 (0)30 688322422
 
 
 
Shuttleservice:
Bitte beachten Sie folgende Information zu unserem Shuttleservice: Nach Veranstaltungsende am 26.04. bringt Sie unser kostenfreier Shuttleservice direkt in das Hotel Leonardo und holt Sie am nächsten Morgen dort ab. Auch für die Abendveranstaltung haben wir einen Shuttleservice für Sie organisiert. Ihre Anreise zur DOAG am Morgen des 26.04. organisieren Sie bitte selbständig.
 
 

Das Teilnahmeticket beinhaltet Mittagessen, Getränke sowie Kaffeepausen.