2. The following is intended to outline our general
proposal for DB security patching concept. It is
intended for information purposes only, and may not
be incorporated into any contract. It is not a
commitment to deliver any material, code, or
functionality, and should not be relied upon in
making purchasing decisions.
The development, release, and timing of any
features or functionality described for Oracle’s
products remains at the sole discretion of Oracle.
3. Agenda
• Herausforderung Security Patching (CPU)
• Einführung in das Oracle Security Patching
• Planung der Patchdurchführung
• Patchdurchführung
• Nächste Schritte
4. Software unterliegt einer stetigen Änderungen – PATCH, Fix, Packs,...
Patches sind i.d.R. Korrekturauslieferungen um Fehler zu beseitigen
FOKUS DATENBANK
Herausforderungen
• Installation aktuelle DB-
Version
NO Security Patching!
• Keine Nachrüstung von
Security Patches (CPU)
• I.d.R. Quarteilsweise siehe Patching gehört
Support Doc. ID 742060.1 in jede IT
Oracle Patch Auslieferung Strategie von
• Aber auch ad-hoc Patches
unternehmens-
• Critical Patch Updates kritischen
(CPU), Ad-Hoc Fixes Anwendungen
• Forderung nach aktuellen
Regularien Versionen
• Minimierung Risiko
5. Agenda
• Herausforderung Security Patching (CPU)
• Einführung in das Oracle Security Patching
• Planung der Patchdurchführung
• Patchdurchführung
• Nächste Schritte
6. Einführung in das Security Patching von Oracle
Critical Patch Updates und Security Alerts von Oracle
FOKUS DATENBANK
Software Schwachstellen
• Fehler in Software können dazu missbracht
werden, das Sicherkontrollsystem zu Sicherheitspatches sind:
umgehen. • Critical Patch Updates
– Quartalsweise
• Daher ist es wichtig, das Unternehmen
• Security Alerts
entsprechende Policies und Vorgehen
- Ah-hoc Fixes
adaptieren, um Schwachstellen zeitnah zu
sanieren. Hierzu muss man folgendes
wissen:
1. Oracle formale Patching Prozesse
verstehen: CPU und Security Alerts
2. Zeitplanung: Quartalsweise, Termine
What
sind ein Jahr im Voraus definiert, Pre- to do?
Release Advisory ca. 1 Woche vor
Auslieferung Prod.-DB
3. CPU Patches unterliegen 15 Wochen- How to
fix?
Testphase (Oracle intern)
4. Auslieferung: Auch Hacker nutzen die
veröffentlichen Security Alert Infos
Patch Management ist nicht mehr OPTIONAL! Das Fehlen von Industrie Best Practices führt zu
unterschiedlichen Ausführungen (How much to do and how to do it well?).
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 7
7. Typische Faktoren, die ein Unternehmen im Patching beeinflussen
Warum tun sich Unternehmen schwer Sicherheitspatches zeitnah nachzuziehen?
FOKUS DATENBANK
Typische Faktoren Auswirkungen des Nichts-tun
• Größe und Komplexität der • Verlust einer compliant oder
Systemumgebung: gehärteten Systemumgebung
Je heterogener die Umgebung • Risikoerhöhung für die Umgehung
desto mehr Patching-Aufwand von aktiven Sicherheitskontrollen
(Kosten/Resourcen)
• Kontrollverlust
• Fehlendes Buy-in:
Schwierig eine mögliche Downtime - Imageverlust
zu begründen - Verlust kritischer
Unternehmensinformationen
• Gutes Sicherheitsverständis:
- Etc.
Tools kennen das Risiko, können
Risiko ohne Sanierung
einschätzen(?) und verzögern
• Anwendungs-Abhängigkeiten
Nichts tun ist keine Antwort und hat zu hohe Auswirkungen auf den Kontrollverlust.
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 8
8. Sehr wichtig zu wissen: Welche Patches liefert Oracle?
Verschiedene Patches, Patch Releases
FOKUS DATENBANK
Arten von Patches
• Bundle Patch: Sammlung von Patches, vor
Patch Set Release
• Conflicting Patch: zwei oder mehr Patches,
die gleiche Files haben, aber unterschiedliche
Dinge fixen
• Critical Patch Update: Sammlung von
wichtigen Sicherheits Fixes
• Cumulative Patch: Ein Patch mit allen Fixes
zu einem Modul
• Diagnostic Patch: Für Diagnose Zwecke
• Grace Period: Siehe Grafik (next Slide)
• Interims Patch: Ein Patch für ein Problem
• One-off Patch: siehe Interims Patch
• Patch Set: ein integriertes Set von Fixes,
getested, ausgeliefert zwischen Releases (1-
2 pro Jahr) zu einem Produkt Modul
• Patch Set Update: Quartalweises Update mit
kritischen Fixes
CPUs beinhalten sehr selten funktionale Erweiterungen, d.h. CPUs sind in der Regel für
Anwendungen transparent.
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 9
9. Sehr wichtig zu wissen: Grace Period für Patch Sets
Grace Periode bis ein Jahr, minimum 3 Monate bei Datenbanken
FOKUS DATENBANK
• 10.2.0.4 wurde am 22.2.2008 released
• Bis 22.2.2009 werden Fixes für 10.2.0.4 Bessere Planung für Kunden in einem
und 10.2.0.3 erstellt. erweiterten Zeitfenster zu agieren
• Nach dem 22.2.2009 wird die Erstellung
von Fixes für 10.2.0.3 eingestellt Siehe Support Doc ID: 742060.1
• Dann nur noch für 10.2.0.4
Zeit-Periode eines folgenden Patch Sets, in der neue Fixes für beide Sets (neu und alt) kreiert
werden. Bessere Planung für unsere Kunden. Bitte beachten!
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 10
10. Agenda
• Herausforderung Security Patching (CPU)
• Einführung in das Oracle Security Patching
• Planung der Patchdurchführung
• Patchdurchführung
• Nächste Schritte
11. Vorgehen: Empfohlendes Security Patch Management
Security Patch Management Aufbau Prozess
Der Weg zu einem verantwortungsvollen Security Patch-Management
Wissen über Patch Deployment Patch Planung und
Systeme und Unternehmens- Decision Deployment
Konfigurationen toleranz für • Check Pre-Release
• Existierender Schutz Initiiere P.-Vorgehen
• Mapping Risiko verstehen
vs. Notwendigkeit • Genehmigung einholen
Prozesse und
• Prod. Req. vs.
Systeme • Stakeholder • Planung Aktivitäten
Patch Decision
• Konfiguration einbinden • CPU vs. Patchset
Baselines • Systeme Identifizieren
• Security Patching
• Soviel Infos • Backup Systems
Polices
wie möglich • Patching Policy • Deploy on Test-Umg.
• Welche • Patching Kosten
definieren
Patches sind • Auswirkungen • Testen Performance
verfügbar und verstehen und System-Breaks
müssten • Klare Verant- • Deploy Patch
deployed wortlichkeiten
werden
Security Patch Management bedeutet ein dokumentiertes Vorgehen, in dem die Notwendigkeit eines
Patch-Deployment abgeleitet werden kann.
12. Wichtig für das Patching: Wissen über Systeme und Konfigurationen
Positive Beeinflußlung des Security Patchings durch Wissen
FOKUS DATENBANK
Aufbau eines System-Inventory inkl. Infos über Konfigurationen in den Umgebungen.
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 13
13. Wichtig für das Patching: Unternehmenstoleranz für das Risiko kennen
Zusammenarbeit von technischen Experten und Fachabteilungen
FOKUS DATENBANK
Abwägung von technischen notwendigen Patches und Auswirkungen auf die Systeme.
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 14
14. Wichtig für das Patching: Automatisiertes Alerting von CPUs
Welche CPUs und Security Alerts betreffen meine Systemumgebung
FOKUS DATENBANK
Auch Support-Portal via Configuration Manager Collector oder Email Notification via
http://www.oracle.com/technetwork/topics/security/securityemail-090378.html
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 15
27. Wichtig für das Patching: Patching Entscheidungsbaum
Zusammenspiel eingesetzter Security-Maßnahmen vs.notwendiger Patches
FOKUS DATENBANK
Security Komponenten minimieren Risiken. Die Notwendigkeit von Patches kann anhand von
definierten Security Patching Policies und Kosten abgewogen werden (z.B. Score / Network)
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 28
28. Agenda
• Herausforderung Security Patching (CPU)
• Einführung in das Oracle Security Patching
• Planung der Patchdurchführung
• Patchdurchführung
• Nächste Schritte
29. Wichtig für das Patching: Patching Deployment
Grober Prozess eines Patch-Deployments
FOKUS DATENBANK
Welche Systeme Patch Test-Umgebung Deploy Patch Was hat der Testen Deploy in die Produktion Ergebnisse dokumentieren
sind betroffen? Entscheidung Clone from Prod. on Test-Umgeb. Patch verändert?
New Baseline
Restore
BACKUP BACKUP
Enterprise Risk Enterprise Enterprise Enterprise Enterprise Enterprise Enterprise
Manager Matrix Manager Manager Manager Manager Manager Manager
Data RAT
Masking
Oracle Patch Management Best Practice
http://www.oracle.com/us/support/assurance/leveraging-cpu-wp-164638.pdf
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 30
30. Agenda
• Herausforderung Security Patching (CPU)
• Einführung in das Oracle Security Patching
• Planung der Patchdurchführung
• Patchdurchführung
• Nächste Schritte