Avtor osebja Techopedia, 10. maja 2017
Odvzem: Voditelj Eric Kavanagh razpravlja o varnosti in dovoljenjih z dr. Robin Bloor in IDERA-e Vicky Harp.
Trenutno niste prijavljeni. Če si želite ogledati video, se prijavite ali prijavite.
Eric Kavanagh: V redu, dame in gospodje, pozdravljeni in spet dobrodošli. V sredo je štiri vzhodne in v svetu podjetniške tehnologije, kar pomeni, da je spet čas za Hot Technologies! Da, resnično. Seveda jih je predstavila skupina Bloor, ki jih poganjajo naši prijatelji iz Techopedije. Današnja tema je res kul: "Bolje vprašati dovoljenje: Najboljše prakse za zasebnost in varnost." Tako je, to je težka tema, veliko ljudi govori o njej, vendar je precej resna in res postaja vsak dan resnejši, odkrito povedano. Za mnoge organizacije je to vprašanje v mnogih pogledih. Pogovarjali se bomo o tem in govorili bomo o tem, kaj lahko storite, da zaščitite svojo organizacijo pred zlobnimi znaki, ki se zdi, da so v teh dneh povsod.
Današnji voditelj je Vicky Harp, ki kliče iz IDERA. Programsko opremo IDERA lahko vidite na LinkedInu - nova funkcija mi je všeč na LinkedInu. Čeprav lahko rečem, da na določene načine vlečejo vrvice in ne dovolijo dostopa do ljudi, vas skušajo odkupiti. Tukaj imamo naš Robin Bloor, ki kliče - danes je pravzaprav v območju San Diega. In resnično vaš moderator / analitik.
Torej o čem govorimo? Kršitve podatkov. Pravkar sem vzel te podatke z IdentityForce.com, je že na dirkah. Letošnjega maja smo, in tam je samo nekaj kršitev podatkov, nekaj resnično jih je seveda Yahoo! je bil velik, in slišali smo seveda, da je ameriška vlada napadla. Pravkar so bile propadle francoske volitve.
To se dogaja povsod, se nadaljuje in se ne bo ustavilo, torej je realnost, nova stvarnost, kot pravijo. Resnično moramo razmišljati o načinih za zagotavljanje varnosti naših sistemov in svojih podatkov. In to je proces, ki je v teku, zato je ravno čas, da razmislimo o vseh različnih vprašanjih, ki pridejo v poštev. To je le delni seznam, vendar vam to daje nekaj vpogleda v to, kako resne so razmere s podjetniškimi sistemi v teh dneh. Pred to oddajo smo v našem predvajalnem pasu govorili o odkupi, ki je prizadel nekoga, ki ga poznam, kar je zelo neprijetna izkušnja, ko nekdo prevzame vaš iPhone in zahteva denar, da dobite nazaj dostop do vašega telefona. A zgodi se, zgodi se z računalniki, zgodi se s sistemi, videl sem ga že drugi dan, to se dogaja milijarderjem s svojimi jahtami. Predstavljajte si, da bi nekega dne šli na vašo jahto in skušali narediti vtis na svoje prijatelje in jih sploh ne morete vklopiti, ker je nek tat ukradel dostop do kontrol, nadzorne plošče. Pravkar sem prejšnji dan v intervjuju z nekom povedal, naj ima vedno ročni preglas. Kot da nisem velik oboževalec vseh povezanih avtomobilov - tudi avtomobile je mogoče pokvariti. Vse, kar je povezano z internetom ali povezano z omrežjem, v katero je mogoče prodreti, je mogoče vdreti, karkoli.
Torej, tukaj je le nekaj elementov, ki jih je treba upoštevati v smislu oblikovanja konteksta, kako resna je situacija. Spletni sistemi so danes povsod, še naprej se širijo. Koliko ljudi kupuje stvari na spletu? Prav danes je skozi streho, zato je Amazon v teh dneh tako močna sila. Zato, ker toliko ljudi kupuje stvari po spletu.
Torej, se spomnite, pred 15 leti so bili ljudje precej nervozni, ko so kreditno kartico dali v spletni obrazec, da bi dobili svoje podatke, in takrat je bil argument: "No, če svojo kreditno kartico izročite natakarju na restavracija, potem je to isto stvar. "Torej, naš odgovor je pritrdilen. To je ista stvar. Vse te kontrolne točke ali dostopne točke, ista stvar, drugačna stran istega kovanca, kamor lahko ljudje dajo v nevarnost, kjer vam lahko nekdo vzame denar ali nekdo lahko ukrade od vas.
Nato IoT seveda razširi grožnjo - to besedo imam rad - z redom velikosti. Mislim, premislite - z vsemi temi novimi napravami povsod, če lahko nekdo vdre v sistem, ki jih nadzoruje, lahko vse te bote obrne proti vam in povzroči veliko in veliko težav, tako da je to zelo resno vprašanje. V današnjem času imamo svetovno gospodarstvo, ki grozi še bolj širijo grožnjo, in še več, imate ljudi v drugih državah, ki lahko dostopajo do spleta na enak način kot vi in jaz, in če ne znate govoriti rusko ali katerega koli drugega jezika, boste težko razumeli, kaj se dogaja, ko vdrejo v vaš sistem. Torej imamo napredek pri mreženju in virtualizaciji, kar je dobro.
Toda na tej sliki imam na desni strani meč in razlog, da ga imam, je zato, ker vsak meč reže oboje. Kot pravijo, je dvorezni meč in je star kliše, vendar pomeni, da meč, ki ga imam, lahko škodi ali pa mi lahko škodi. Lahko se vrne na mene, bodisi s poskakovanjem nazaj, bodisi s prevzemom nekoga. To je pravzaprav ena izmed Aesopovih basni - svojim sovražnikom pogosto dajemo orodja za lastno uničenje. To je res zelo prepričljiva zgodba in se nanaša na nekoga, ki je uporabil lok in puščico ter ustrelil ptico in ptičje žago, ko je puščica prihajala, da je bilo perje enega od njegovih prijateljev kokoši na robu puščice, na zadnji strani puščice, da ga vodi, in si je mislil: "O, človek, tukaj je moje perje, moja družina, ki me bodo uporabili, da me bodo odnesli." To se dogaja ves čas, slišiš statistika o tem, da imaš pištolo v hiši, tat lahko pištolo vzame. No, to je vse res. Torej, to sem vrgel kot analogijo samo zato, da razmislim, vsi ti različni dogodki imajo pozitivne in negativne strani.
In če govorimo o, zabojniki za tiste, ki resnično sledite vrhunskim podjetniškim računalništvom, so kontejnerji najnovejša stvar, najnovejši način za zagotavljanje funkcionalnosti, resnično je poroka virtualizacije v storitveno usmerjeni arhitekturi, vsaj za mikroservise in to je zelo zanimive stvari. Z varnostnimi protokoli in varnostnimi protokoli ter s svojimi podatki in podobno lahko zagotovo zasežete z uporabo vsebnikov, kar vam daje začasno obdobje, prej ali slej pa bodo slabi fantje to ugotovili in potem bo še težje preprečiti, da bi izkoristili vaše sisteme. Torej, obstaja to, obstaja globalna delovna sila, ki zaplete omrežje in varnost, in od koder se ljudje prijavljajo.
Imamo brskalniške vojne, ki se nenehno nadaljujejo in zahtevajo nenehno delo, da posodobimo in nadaljujemo. Še vedno slišimo o starih brskalnikih Microsoft Explorer, kako so bili vdrli in tam na voljo. Torej, da bi bilo treba danes z denarjem zaslužiti več denarja, celotna industrija, to je nekaj, česar me je pred osmimi leti učil moj partner dr. Bloor - spraševal sem se, zakaj tako veliko tega vidimo, in spomnil jaz, celotna industrija je vpletena v hekerje. In v tem smislu je pripoved, ki je ena od mojih najmanj priljubljenih besed o varnosti, res zelo nepoštena, saj vam pripoved prikazuje v vseh teh videoposnetkih in kakršnih koli poročilih o novicah, ki jih hekerji prikažejo, kakšen fant v hoodieju sedi v njegovi kleti v temno osvetljeni sobi, to sploh ni tako. To sploh ne predstavlja resničnosti. Osamljeni hekerji so zelo malo osamljenih hekerjev, tam so zunaj, povzročajo nekaj težav - ne bodo povzročali velikih težav, lahko pa zaslužijo veliko denarja. Torej, zgodi se, da hekerji vstopijo in prodrejo v vaš sistem, nato pa ta dostop prodajo nekomu drugemu, ki se obrne in proda komu drugemu, nato pa nekje navzdol, nekdo izkoristi ta heker in vas izkoristi. In obstaja nešteto načinov, kako izkoristiti ukradene podatke.
Celo sam se čudim, kako smo zaslovili ta koncept. Ta izraz vidite povsod, "hekerska rast", kot da je dobra stvar. Heking za rast, saj veste, je taks lahko dobra stvar, če se trudite, da bi dobri fantje tako govorili in vdrli v sistem, kot smo v zvezi s Severno Korejo in njihovimi izstrelki projektov, to je dobro. Toda hekanje je pogosto slaba stvar. Tako ga zdaj glamoriramo, skoraj tako kot Robin Hood, ko smo očarali Robina Hooda. In potem je tu družba brez gotovine, nekaj, kar odkrito zadeva dnevne luči zunaj mene. Vse, kar pomislim vsakič, ko slišim, je: "Ne, prosim, ne delaj! Prosim, ne! "Nočem, da ves naš denar izgine. Torej, to je le nekaj vprašanj, ki jih je treba upoštevati, in spet gre za igro z mačkami in mišmi; Nikoli se ne bo ustavilo, vedno bodo potrebe po varnostnih protokolih in po napredovanju varnostnih protokolov. In za spremljanje svojih sistemov, da sploh veste in zaznate, kdo je tam zunaj, z razumevanjem, da je to lahko celo notranje delo. Torej, to je tekoče vprašanje, ki bo tekoče vprašanje že kar nekaj časa - ne bo se zmotilo.
In s tem ga bom predal doktorju Bloorju, ki lahko z nami deli nekaj misli o varovanju podatkovnih baz. Robin, vzemi ga.
Robin Bloor: V redu, eden od zanimivih kramp, mislim, da se je zgodil pred približno petimi leti, v bistvu pa je bilo podjetje, ki se ukvarja s procesiranjem kartic, vlomilo. In ukradeno je bilo veliko število kartic. Zanimivo pri meni pa je bilo to, da so dejansko vstopili v testno bazo podatkov in verjetno je prišlo do velikih težav pri vstopu v dejansko, resnično bazo podatkov za obdelavo kartic. Ampak saj veste, kako je z razvijalci, ti samo odsečejo bazo podatkov in jo potisnejo tja. Da bi to preprečili, bi morali biti veliko bolj pozorni. Je pa veliko zanimivih hekerskih zgodb, na enem področju je zelo zanimiva tema.
Tako bom dejansko na tak ali drugačen način ponovil nekaj stvari, ki jih je rekel Eric, vendar je varnost podatkov preprosto statična kot statična tarča; je lažje samo zato, ker je lažje analizirati statične situacije in nato pomisliti, kako vstaviti obrambo, obrambo tja, vendar ni. To je premična tarča in to je ena izmed stvari, ki nekako definirajo celoten varnostni prostor. Vsaka tehnologija se razvija, razvija se tudi tehnologija slabih fantov. Torej, kratek pregled: Kraja podatkov ni nič novega, pravzaprav je vohunstvo podatkov tatvina in to traja že tisoč let.
Največji podatek o tem so bili Britanci, ki so zlomili nemške kode, Američani pa japonske kode in v obeh primerih so vojno zelo skrajšali. In kradeli so le koristne in dragocene podatke, seveda zelo pametno, toda veste, kaj se trenutno dogaja, je na veliko načinov zelo pametno. Cyber tatvina se je rodila z internetom in eksplodirala okoli leta 2005. Šel sem in pogledal vse statistične podatke, in ko ste se začeli resno resno in tako ali drugače presenetljivo visoke številke začeti približno leta 2005. Od leta 2005 se je samo še poslabšalo torej. Vključenih je veliko igralcev, vlad, vpletena so podjetja, hekerske skupine in posamezniki.
Odšel sem v Moskvo - to je moralo biti približno pet let - in dejansko sem veliko časa preživel s fantom iz Velike Britanije, ki je raziskal celoten hekerski prostor. In rekel je, da - in pojma nimam, ali je to res, sem dobil samo njegovo besedo, vendar zveni zelo verjetno - da v Rusiji obstaja nekaj, kar se imenuje Poslovna mreža, ki je skupina hekerjev, ki so vsi veste, prišli so iz ruševin KGB-ja. In prodajajo sebe, ne samo, mislim, prepričan sem, da jih uporablja ruska vlada, ampak prodajo se komu, in po govoricah je govoril, ali da je govoril, da različne tuje vlade uporabljajo Poslovno mrežo za verjetna zanikljivost. Ti fantje so imeli mreže milijonov ogroženih osebnih računalnikov, s katerih bi lahko napadli. In imeli so vsa orodja, ki si jih lahko zamislite.
Tako se je razvijala tehnologija napada in obrambe. Podjetja so dolžna skrbeti za svoje podatke, ne glede na to, ali jih imajo v lasti ali ne. In to začne postajati veliko bolj jasno glede na različne predpise, ki dejansko že veljajo ali začnejo veljati. In verjetno se bo izboljšalo, nekdo je na tak ali drugačen način nekdo nosil stroške kramp tako, da spodbudi, da zaprejo možnost. To je ena izmed stvari, za katero mislim, da je potrebna. Torej glede hekerjev se lahko nahajajo kjer koli. Zlasti v vaši organizaciji - ogromno domiselnih hekerjev, za katere sem slišal, da je nekdo odpiral vrata. Veste, oseba, podobno je razmeram z bančnimi roparji, skoraj vseskozi so v dobrih bančnih ropih govorili, da obstaja notranji. Toda notranje informacije morajo le posredovati informacije, zato jih je težko dobiti, vedeti, kdo je bil, in tako naprej, in tako naprej.
In morda jih boste težko privedli pred sodišče, saj če vas je skupina Moldavije zasvojila, čeprav veste, da je bila to skupina, kako se bo zgodilo, da se bo okoli njih zgodil kakšen pravni dogodek? Nekako, od ene do druge pristojnosti, je preprosto, ne obstaja zelo dober nabor mednarodnih dogovorov, da bi hekerje omejili. Delijo tehnologijo in informacije; veliko je odprte kode. Če želite sestaviti svoj virus, je na voljo ogromno virusnih kompletov - popolnoma odprtokodni vir. In imajo precejšnja sredstva, veliko je bilo botnetov v več kot milijon ogroženih naprav v podatkovnih centrih in osebnih računalnikih in tako naprej. Nekatera so donosna podjetja, ki že dolgo delujejo, in tu so vladne skupine, kot sem omenil. Kot je dejal Eric, je malo verjetno, da se bo ta pojav kdaj končal.
Torej, to je zanimiv kramp, za katerega sem mislil, da ga bom omenil, saj je šlo za dokaj nedavni hek; zgodilo se je lani. V pogodbi DAO se je pojavila ranljivost, povezana s kripto kovancem Etherium. In o njem se je razpravljalo na forumu, in v enem dnevu je bila pogodba DAO vložena, natančno je bila uporabljena ta ranljivost. 50 milijonov dolarjev v eteru je bilo odstranjenih, kar je povzročilo takojšnjo krizo v projektu DAO in ga zaprlo. In Etherium se je v resnici boril, da bi preprečil hekerju dostop do denarja in so mu nekoliko zmanjšali izkušnjo. A verjeli so tudi - zagotovo ni znano -, da je heker pred napadom dejansko znižal ceno etra, saj je vedel, da se bo cena etra zrušila, in tako ustvaril dobiček na drug način.
In to je še en, če želite, stratagem, ki ga hekerji lahko uporabljajo. Če bodo lahko poškodovali vašo delniško ceno in vedo, da bodo to storili, potem je potrebno le, da skrajšajo ceno delnice in vdrejo, zato je nekako, ti fantje so pametni, veste. Cena pa je naravnost tatvina denarja, motnje in odkupnina, vključno z naložbami, kjer motiš in primanjkuješ zaloge, sabotaže, krajo identitete, vse vrste prevar, samo zaradi oglaševanja. Običajno je to, da gre za politično ali očitno vohunjenje informacij in celo obstajajo ljudje, ki preživljajo od napak na hrošče, ki jih lahko dobite, če poskusite vdreti v Google, Apple, Facebook - celo Pentagon, pravzaprav daje napake. In samo hecate; če je uspešen, pojdi in zahtevaš nagrado, škode pa ne naredi, tako da je to lepo, veš.
Lahko bi omenil tudi skladnost in ureditev. Poleg sektorskih pobud obstajajo številni uradni predpisi: HIPAA, SOX, FISMA, FERPA in GLBA so vse ameriška zakonodaja. Obstajajo standardi; PCI-DSS je postal dokaj splošen standard. In tu je ISO 17799 o lastništvu podatkov. Nacionalni predpisi se razlikujejo od države do države, tudi v Evropi. In trenutno GDPR - Global Data, kaj pomeni? Globalna uredba o varstvu podatkov, mislim, da to pomeni - vendar to začne veljati naslednje leto, rečeno. In zanimivost pri tem je, da velja po vsem svetu. Če imate 5000 ali več strank, o katerih imate osebne podatke, in živijo v Evropi, vas bo Evropa dejansko prevzela naloge, ne glede na to, ali ima sedež podjetja ali kje deluje. In kazni, največja kazen znaša štiri odstotke letnega prihodka, kar je ogromno, tako da bo to zanimivo preobrazba sveta, ko bo to začelo veljati.
O čemer je treba razmisliti, dobro, ranljivosti DBMS, večina dragocenih podatkov dejansko leži v bazah podatkov. Dragoceno je, ker smo vložili ogromno časa, da smo ga dali na voljo in ga dobro organizirali, zato je bolj ranljiv, če dejansko ne uporabljate pravih vrednostnih papirjev DBMS. Če nameravate načrtovati take stvari, morate ugotoviti, kateri ranljivi podatki so v celotni organizaciji, pri čemer morate upoštevati, da so podatki iz različnih razlogov ranljivi. Lahko gre za podatke o strankah, lahko pa bi to bili tudi notranji dokumenti, ki bi bili koristni za vohunske namene in tako naprej. Varnostna politika, zlasti v zvezi z varnostjo dostopa - ki je v zadnjem času po mojem mnenju zelo šibka, v novih odprtokodnih stvareh - šifriranje postaja vse bolj uporabna, ker je precej trdna.
Stroški kršitve varnosti večina ljudi ni vedela, če pa dejansko pogledate, kaj se je zgodilo z organizacijami, ki so utrpele kršitve varnosti, se izkaže, da so stroški kršitve varnosti pogosto precej višji, kot mislite, da bi bili . Druga stvar, o kateri morate razmišljati, je napadalna površina, kajti kateri koli del programske opreme kjer koli, ki teče z vašimi organizacijami, predstavlja napadalno površino. Torej storite katero koli od naprav, tako tudi podatke, ne glede na to, kako so shranjeni. Vse je, napadna površina raste z internetom stvari, napadna površina se bo verjetno podvojila.
Torej, končno DBA in varnost podatkov. Varnost podatkov je običajno del vloge DBA. A tudi sodelovanje je. In zanj mora veljati korporativna politika, sicer verjetno ne bo dobro izvedena. Ko sem to rekel, mislim, da lahko prenesem žogo.
Eric Kavanagh: V redu, naj dam ključe Vicky. In lahko delite zaslon ali se premaknete na te diapozitive, odvisno je od vas.
Vicky Harp: Ne, začel bom s temi diapozitivi, hvala lepa. Torej, ja, samo želel sem se na trenutek predstaviti. Jaz sem Vicky Harp. Sem vodja, upravljanje izdelkov za izdelke SQL v programski opremi IDERA, in za tiste, ki morda niste seznanjeni z nami, ima IDERA številne produktne linije, vendar tu govorim za stvari SQL Serverja. In tako izvajamo nadzor uspešnosti, varnostno skladnost, varnostno kopiranje, skrbniška orodja - in to je le vrsta njihovega seznama. In seveda, o čemer danes govorim, je varnost in skladnost.
Večina tega, o čemer danes želim govoriti, niso nujno naši izdelki, čeprav bom nekaj primerov tega pokazal pozneje. Želel sem govoriti z vami več o varnosti baz podatkov, nekaterih grožnjah v svetu varnosti baze podatkov, nekaj stvari, o katerih morate razmišljati, in nekaj uvodnih idej, na kaj morate biti pozorni, da zaščitite svoj SQL Strežniške baze podatkov in tudi, da se prepričate, ali so skladne z regulativnim okvirom, za katerega boste morda veljali, kot je bilo omenjeno. Obstaja veliko različnih predpisov; gredo v različne panoge, različne kraje po svetu, in o teh stvareh je treba razmišljati.
Tako bi si želel vzeti trenutek in spregovoriti o stanju kršitev podatkov - in ne ponavljati preveč tistega, o čemer smo že razpravljali tukaj - pred nedavnim sem brskal po tej raziskavi Intelove varnostne raziskave in čez njihovo - mislim 1500 organizacij, s katerimi so govorili - so imeli v povprečju šest kršitev varnosti v zvezi s kršitvami izgube podatkov, 68 odstotkov pa jih je v določenem smislu zahtevalo razkritje, zato so vplivale na ceno delnic ali pa so morale opraviti kakšen kredit spremljanje za svoje stranke ali zaposlene itd.
Še nekaj zanimivih statistik je, da so bili za 43 odstotkov tistih notranjih akterjev. Torej, veliko ljudi veliko razmišlja o hekerjih in tovrstnih senčnih kvazi vladnih organizacijah ali organiziranem kriminalu itd., Vendar notranji akterji še vedno neposredno ukrepajo proti svojim delodajalcem v precej velikem deležu primerov. In te so včasih težje zaščititi, ker imajo ljudje upravičene razloge za dostop do teh podatkov. Približno polovica tega, kar 43 odstotkov, je bila v nekem smislu slučajna izguba. Tako na primer v primeru, ko je nekdo podatke odnesel domov in nato izgubil sled te podatke, kar me pripelje do te tretje točke, to je, da so bile stvari na fizičnih medijih še vedno vpletene v 40 odstotkov kršitev. Torej, to so USB ključi, to so prenosniki za ljudi, to je dejanski medij, ki je bil zapisan na fizične diske in odpeljan iz stavbe.
Če razmišljate o tem, ali imate razvijalca, ki ima na prenosnem računalniku dev kopijo vaše proizvodne baze? Nato gredo na letalo in se spustijo z letala ter dobijo preverjeno prtljago in njihov prenosnik ukradejo. Zdaj ste imeli kršitev podatkov. Morda ne boste mislili, da je bil zato vzet ta prenosnik, da se v divjini ne bo nikoli prikazal. Toda to je še vedno nekaj, kar šteje za kršitev, zahtevalo bo razkritje, vsi izgubljeni podatki bodo izgubili te podatke, samo zaradi izgube tega fizičnega medija.
Druga zanimivost je, da veliko ljudi razmišlja o kreditnih podatkih in podatkih o kreditnih karticah kot najdragocenejših, vendar to v resnici ne drži več. Ti podatki so dragoceni, številke kreditnih kartic so uporabne, iskreno pa se te številke zelo hitro spremenijo, medtem ko se osebni podatki ljudi ne spreminjajo zelo hitro. Nekaj tistega novice, razmeroma nedavno, VTech, proizvajalec igrač, je imel te igrače, ki so bile zasnovane za otroke. In ljudje bi, imeli bi imena svojih otrok, imeli bi informacije o tem, kje otroci živijo, imeli so imena staršev, imeli so fotografije otrok. Nič od tega ni bilo šifrirano, ker se mu ni zdelo pomembno. Toda njihova gesla so bila šifrirana. No, ko se je kršitev neizogibno zgodila, pravite: "V redu, imam seznam otroških imen, imen njihovih staršev, kje živijo - vsi ti podatki so tam zunaj, in mislite, da geslo je bil najdragocenejši del tega? "Ni bilo; ljudje ne morejo spremeniti teh vidikov svojih osebnih podatkov, naslova itd. In tako so informacije dejansko zelo dragocene in jih je treba zaščititi.
Želel sem torej spregovoriti o nekaterih stvareh, ki se dogajajo, in prispevati k temu, da se kršitve podatkov trenutno dogajajo. Eden največjih žarišč, ki ga trenutno imamo, je socialni inženiring. Zato ga ljudje imenujejo lažno predstavljanje, lažno predstavljanje itd., Kjer ljudje dobijo dostop do podatkov, pogosto prek notranjih akterjev, tako da jih samo prepričajo, da naj bi do njih dostopali. Torej, ravno drugi dan smo imeli ta črv Google Docs, ki se je vrtel. In kaj bi se zgodilo - in dejansko sem prejel njeno kopijo, čeprav na srečo nisem kliknil nanjo - od kolega ste dobili e-pošto, rekoč: "Tu je povezava do Google Doc; to morate klikniti, če si želite ogledati, kaj sem ravnokar delil z vami. "No, v organizaciji, ki uporablja Google Dokumente, to je zelo običajno, boste na dan dobili desetine teh prošenj. Če bi kliknili nanjo, bi vas prosili za dovoljenje za dostop do tega dokumenta in morda bi rekli: "Hej, tudi to je nekoliko čudno, ampak veste, videti je tudi zakonito, zato bom šel naprej in kliknite nanjo "in takoj ko ste to storili, ste tej tretji osebi omogočili dostop do vseh svojih dokumentov v Googlu in tako ustvarili to povezavo, da bo ta zunanji akter imel dostop do vseh svojih dokumentov v Googlu Drive. To je švigalo povsod. V nekaj urah je prizadel več sto tisoč ljudi. In to je bil v osnovi phishing napada, ki ga je moral Google sam ustaviti, saj je bil zelo dobro izveden. Ljudje so padli zaradi tega.
Tu omenjam kršitev HR SnapChat. To je bila samo preprosta zadeva, da je nekdo poslal e-poštno sporočilo, pri čemer se je izjavil, da je glavni direktor, ki je poslal elektronsko pošto v kadrovsko službo in rekel: "Morate mi, da mi pošljete to preglednico." In verjeli so jim, da so postavili preglednico s 700 različnimi zaposlenimi „informacije o odškodninah, njihovi domači naslovi itd., so jih poslali po elektronski pošti tej drugi stranki, dejansko ni bil izvršni direktor. Zdaj so bili podatki na voljo, vsi osebni zasebni podatki njihovih zaposlenih pa so bili tam na voljo in na voljo za izkoriščanje. Torej, socialni inženiring je nekaj, kar ga omenjam v svetu baz podatkov, ker je to nekaj, čemur se lahko poskušate braniti z izobraževanjem, vendar se morate spomniti tudi tega, da kjer koli, kjer imate človeka, ki deluje s svojo tehnologijo, in če se zanašate na njihovo dobro presojo o preprečevanju izpada, jih veliko vprašate.
Ljudje delajo napake, ljudje kliknejo stvari, ki jih ne bi smeli, ljudje padejo pametne laži. In lahko se zelo potrudite, da jih zaščitite pred njim, vendar ni dovolj močna, morate poskusiti omejiti zmožnost, da ljudje slučajno oddajo te podatke v vaših sistemih baz podatkov. Druga stvar, ki sem jo želel omeniti, da očitno govorimo o številnih, je odkupna programska oprema, botneti, virusi - vsi ti različni avtomatizirani načini. In zato menim, da je pri odkupovanju treba razumeti, ali res spreminja model dobička za napadalce. V primeru, da govorite o kršitvi, morajo v nekem smislu izvleči podatke in jih imeti zase ter jih izkoristiti. In če so vaši podatki prikriti, če so šifrirani, če so specifični za panogo, morda nimajo nobene vrednosti za to.
Do tega trenutka so se ljudje morda počutili, kot da je to zaščita zanje: "Ni mi treba varovati pred kršitvijo podatkov, ker če bodo vstopili v moj sistem, bodo imeli vse je, da sem fotografski studio, imam seznam, kdo bo prišel v kakšnih dneh prihodnje leto. Komu je mar za to? "No, izkazalo se je, da vas to skrbi; če shranjujete te podatke, so to vaše ključne informacije. Torej, z uporabo odkupne programske opreme bo napadalec rekel: "No, nihče mi ne bo dal denarja za to, ampak vi." Torej, izkoriščajo dejstvo, da jim podatkov sploh ni treba izvažati, ne t da bi morali celo prekršiti, samo varnostno orodje bodo morali napadati proti vam. Vpišejo se v vašo bazo podatkov, šifrirajo njeno vsebino in nato rečejo: "V redu, geslo imamo, in plačati nam boste morali 5000 USD, da ga dobimo, ali pa ga preprosto nimate ti podatki več. "
In ljudje res plačajo; se znajdejo zaradi tega. MongoDB je imel nekaj mesecev pred velikimi težavami, verjetno je bilo to januarja, ko je odkupna programska oprema po mnenju več kot milijon podatkovnih zbirk MongoDB, ki jih imajo na voljo javnosti, na internetu temeljila na nekaterih privzetih nastavitvah. In kar je še poslabšalo to, da so ljudje plačevali, zato bi druge organizacije prišle in ponovno šifrirale ali trdile, da so bile tiste, ki so jih prvotno šifrirale, torej ko ste plačali svoj denar, in mislim, da so bili v tem primeru ko bi prosili za nekaj 500 dolarjev, bi ljudje rekli: "V redu, plačal bi več raziskovalcu, da bi prišel sem, da bi mi pomagal ugotoviti, kaj je šlo narobe. Plačal bom 500 dolarjev. "In tega sploh niso plačali pravemu igralcu, zato bi jih naložili deset različnih organizacij, ki so jim govorile:" Imamo geslo "ali" Imamo dobil način, kako lahko odkleneš odkupljene podatke. "In plačati bi morali vse, da bi lahko delo začeli delovati.
Obstajali so tudi primeri, ko so avtorji odkupa imeli napake, mislim, ne govorimo o tem, da gre za popolnoma nadpovprečno situacijo, zato tudi ko je napaden, tudi ko plačate, ni nobenega zagotovila, da ste da bomo dobili vse vaše podatke nazaj, nekaj tega se zaplete tudi z orožjem orodij InfoSec. Torej Shadow Brokers je skupina, ki je puščala orodja, ki so bila iz NSA. Bila so orodja, ki jih je vladni subjekt oblikoval za vohunjenje in dejansko deluje proti drugim vladnim subjektom. Nekateri od njih so bili resnično odmevni napadi brez dnevnega dne, zaradi česar znani varnostni protokoli preprosto odpadejo. Tako je na primer v enem od nedavnih odlagališč Shadow Brokerjev prišlo do večje ranljivosti v protokolu SMB.
In tako lahko ta orodja, ki se pojavijo tu, v nekaj urah resnično spremenijo igro na vas, glede na napadalno površino. Torej, kadar razmišljam o tem, je to nekaj, kar je na organizacijski ravni varnost InfoSec lastna funkcija, je treba jemati resno. Kadarkoli že govorimo o bazah podatkov, lahko to nekoliko zabeležim, ni nujno, da imate kot skrbnik zbirke podatkov popolno razumevanje, kaj se dogaja s Shadow Brokerji ta teden, vendar se morate zavedati, da so vsi od teh se premika, dogajajo se stvari in tako bo stopnja, do katere svojo domeno držite tesno in varno, resnično vam bo pomagal v primeru, da se stvari nekako iztrgajo izpod vas.
Torej, želel sem si za trenutek, preden se posebej pogovorim o SQL Serverju, v resnici malo razpravljati z našimi strokovnjaki o nekaterih pomislekih glede varnosti baze podatkov. Torej, prišel sem do te točke, o nekaterih stvareh, ki jih nismo omenili, sem želel govoriti o injekciji SQL kot vektorju. Torej, to je vbrizgavanje SQL, očitno gre za način, kako ljudje vnašajo ukaze v sistem baz podatkov, tako da napačno vnesejo vhode.
Eric Kavanagh: Ja, pravzaprav sem spoznal fanta - mislim, da je bilo to v letalski bazi Andrews - pred približno petimi leti je bil svetovalec, da sem se pogovarjal z njim na hodniku in sva si nekako delila vojne zgodbe - nobena punca ni bila namenjena - in omenil, da ga je nekdo pripeljal na posvet s precej visokim vojaškim članom in tip ga je vprašal: "No, kako vemo, da si dober v tem, kar počneš?" In to in to . Medtem ko je z njimi govoril na svojem računalniku, je vstopil v omrežje, uporabljal je injekcijo SQL, da je vstopil v e-poštni register za to bazo in za te ljudi. In našel je e-poštno sporočilo osebe, s katero je govoril, in ravnokar mu je pokazal svoj e-poštni naslov na svojem stroju! In fant je bil takšen, "Kako si to storil?" Rekel je: "No, uporabil sem SQL injekcijo."
Torej, to je bilo šele pred petimi leti, in to je bilo v bazi zračnih sil, kajne? Torej, glede na kontekst, je ta stvar še vedno resnična in bi jo lahko uporabili z res grozljivimi učinki. Hočem reči, radoveden bi bil veden o vseh vojnih zgodbah, ki jih ima Robin na to temo, vendar vse te tehnike še vedno veljajo. Še vedno jih uporabljajo v mnogih primerih in vprašanje izobraževanja je, kajne?
Robin Bloor: No ja. Ja, mogoče se je braniti pred vbrizgavanjem SQL-a s tem delom. Brez težav je razumeti, zakaj je bila ideja, ko je bila izumljena in prvič razširjena, enostavno razumeti, zakaj je bila tako prekleto uspešna, saj jo lahko preprosto prilepite v vnosno polje na spletni strani in dobite, da vrne podatke za vas ali jih dobite da izbriše podatke v bazi podatkov ali kar koli - za to lahko preprosto vstavite kodo SQL. Vendar je stvar, ki me zanima, ta, da veste, da bi morali opraviti malo razčlenitve vsakega vnesenega podatkov, vendar je povsem mogoče opaziti, da nekdo to poskuša storiti. In res je, mislim, da je res tako, saj ljudje še vedno pobegnejo s tem, mislim, resnično čudno je, da ni bilo preprostega načina za boj proti temu. Veste, da bi ga vsi zlahka uporabili, mislim, kolikor vem, še ni bilo, Vicky, kajne?
Vicky Harp: No, dejansko nekatere rešitve talcev, kot je SQL Azure, mislim, da imajo precej dobrih metod zaznavanja, ki temeljijo na strojnem učenju. Verjetno bo to tisto, kar bomo videli v prihodnosti, nekaj, kar poskuša izdelati z eno velikostjo, ki ustreza vsem. Mislim, da je odgovor bil, da ena velikost ne ustreza vsem, vendar imamo stroje, ki se lahko naučijo, kakšna je vaša velikost in se prepričajo, da ji ustrezate, kajne? In tako, da če imate lažno pozitivnost, je to zato, ker dejansko počnete nekaj nenavadnega, ne pa zato, ker ste morali skozi in mukotrpno prepoznati vse, kar bi kdajkoli lahko storila vaša aplikacija.
Mislim, da je eden od razlogov, da je še vedno tako plodovit, to, da se ljudje še vedno zanašajo na aplikacije drugih proizvajalcev, aplikacije ISV-jev in tiste pa se sčasoma razmažejo. Torej, govorite o organizaciji, ki je kupila inženirsko aplikacijo, ki je bila napisana leta 2001. In je niso posodobili, ker od takrat ni prišlo do večjih funkcionalnih sprememb in je bil njen prvotni avtor nekakšen, niso bili inženir, niso bili strokovnjak za varnost baz podatkov, v aplikaciji niso naredili stvari pravilno in so postali vektor. Razumem, da je - mislim, da je bila kršitev podatkov Target, resnično velika - napad vektorja prek enega od njihovih dobaviteljev klimatskih naprav, kajne? Težave s temi tretjimi osebami lahko imate, če imate lastno razvojno trgovino, morda na voljo nekatera od teh pravil, ki jih počnete na splošno kadarkoli. Kot organizacija imate lahko na stotine ali celo tisoče aplikacij z različnimi profili. Mislim, da bo tu prišlo do strojnega učenja in nam veliko pomagalo.
Moja vojna zgodba je bila poučno življenje. Moram videti napad s injekcijo SQL in nekaj, kar se mi nikoli ni zgodilo, je, da uporabljam navadno berljiv SQL. Izvajam te stvari, ki se imenujejo prikriti P SQL počitniške kartice; Všeč mi je, da je ta SQL videti čim bolj zmedeno. Obstaja prikrito tekmovanje s kodo C ++, ki traja že desetletja, in nekako je ista ideja. Torej, v resnici ste dobili injekcijo SQL, ki je bila v odprtem nizu niz, je zapirala vrvico, dala v podpičje in nato dala ukaz exec, ki je imel nato vrsto številk in je v bistvu uporabljal ukaz za uvajanje, če želite te številke vstaviti v binarne in jih nato pretvoriti v vrednosti znakov in jih nato izvesti. Torej, ni tako, da bi morali videti nekaj, kar je pisalo: "Izbriši zagon s proizvodne tabele", ampak je bilo to dejansko polnjeno v številčna polja. In tudi ko ste to enkrat videli, da bi prepoznali, kaj se dogaja, je bilo potrebno nekaj pravih posnetkov SQL, da smo lahko ugotovili, kaj se dogaja, do takrat pa je bilo delo že opravljeno.
Robin Bloor: In ena od stvari, ki je le pojav v celotnem hekerskem svetu, je ta, da če nekdo ugotovi slabost in se zgodi, da je v programsko opremo, ki je na splošno prodano, veste, je ena od prvih težav ta, da geslo baze podatkov, ki ste ga dobili ob namestitvi baze podatkov, je bilo v resnici veliko baz podatkov samo privzeto. In veliko DBA-jev preprosto ni nikoli spremenilo, zato bi lahko takrat uspeli priti v mrežo; lahko poskusite to geslo in če deluje, no, pravkar ste osvojili loterijo. Zanimivo je, da vse te informacije zelo učinkovito in učinkovito krožijo med hekerskimi skupnostmi na spletnih straneh darkneta. In vedo. Torej, lahko precej pregledajo, kar je tam zunaj, najdejo nekaj primerov in samodejno vržejo nekaj hekerskega izkoriščanja nanj, in to so noter. In to je, mislim, da je veliko ljudi, ki so vsaj na obrobje vsega tega dejansko ne razume, kako hitro se hekerska mreža odzove na ranljivost.
Vicky Harp: Ja, to dejansko pomeni še eno stvar, ki sem jo želela omeniti, preden nadaljujem, to je to pojmovanje polnil poverilnic, kar je veliko, kar se je pojavilo, to je, da so enkrat, ko so vam bili ukradeni poverilniki nekje kjer koli, na katerem koli spletnem mestu bodo te poverilnice poskušali uporabiti prek celotne plošče. Če torej uporabljate podvojena gesla, recimo, če so vaši uporabniki celo, naj to povemo, bo morda nekdo lahko dobil dostop, kar se zdi popolnoma veljaven niz poverilnic. Recimo, da sem isto geslo uporabil v Amazonu in na svoji banki, pa tudi na forumu in da je bila programska programska oprema foruma vlomljena, no, imajo moje uporabniško ime in moje geslo. Nato lahko isto uporabniško ime uporabijo v Amazonu ali pa ga uporabijo v banki. Kar se banke tiče, je šlo za povsem veljavno prijavo. Zdaj lahko prek popolnoma pooblaščenega dostopa storite zlobne ukrepe.
Tako se spet vrne na tisto, kar sem govoril o notranjih kršitvah in notranjih navadah. Če imate v vaši organizaciji ljudi, ki uporabljajo svoje isto geslo za notranji dostop, kot ga imajo za zunanji dostop, imate možnost, da nekdo pride in vas izkaže kot kršitev na drugem spletnem mestu, ki ga ne Sploh ne vem. In ti podatki se zelo hitro širijo. Obstajajo seznami, mislim, da je zadnja obremenitev, "da me je" poklical "Troy Hunt, dejal, da ima pol milijarde nabora poverilnic, kar je - če upoštevate število ljudi na planetu - to res veliko število poverilnic, ki so bile na voljo za polnjenje poverilnic.
Torej, stopil bom nekoliko globlje in govoril o varnosti SQL Serverja. Zdaj želim povedati, da vam ne bom poskušal dati vsega, kar morate vedeti, da v naslednjih 20 minutah zagotovite svoj SQL Server; to se zdi nekoliko visok. Torej, za začetek želim povedati, da obstajajo spletne skupine in viri na spletu, ki jih zagotovo lahko Google, obstajajo knjige, v Microsoftu obstajajo dokumenti najboljše prakse, varnostno virtualno poglavje za strokovne sodelavce na SQL Serveru, so na security.pass.org in verjamem, da imajo mesečne spletne oddaje in posnetke spletnih oddaj, da nekako presegajo resnično, poglobljeno, kako narediti varnost SQL Serverja. Ampak to je nekaj, o čemer jaz, ko govorim s teboj kot podatkovni strokovnjaki, kot IT strokovnjaki, kot DBA, želim, da veste, da morate vedeti o varnosti SQL Serverja.
Torej prva je fizična varnost. Tako kot sem že rekel, kraje fizičnih medijev so še vedno izjemno pogoste. In torej scenarij, ki sem ga dal skupaj s napravo za razvijalce, s kopijo vaše baze podatkov na napravi za razvado, ki jo ukradejo - to je izjemno pogost vektor, to je vektor, ki se ga morate zavedati in poskusiti ukrepati proti. Velja tudi za varnostno kopiranje varnostnih kopij, zato morate, ko jih varnostno kopirate, šifrirati, jih morate varnostno kopirati na varno mesto. Velikokrat so bili ti podatki, ki so bili resnično zaščiteni v bazi podatkov, takoj ko začnejo prihajati na obrobne lokacije, na naprave za razvijalce, na testne stroje, smo nekoliko manj previdni pri popravljanju, dobimo malo manj pozorni do ljudi, ki imajo dostop do njega. Naslednja stvar, ki jo poznate, imate nešifrirane varnostne kopije baz podatkov, shranjene na javnem deležu v vaši organizaciji, ki so na voljo za izkoriščanje številnim različnim ljudem. Torej, pomislite na fizično varnost in prav tako preprosto, ali lahko nekdo stopi in v strežnik samo položi ključ USB? Tega ne bi smeli dovoliti.
Naslednji element, o katerem želim razmisliti, je varnost platforme, tako posodobljeni OS, posodobljeni popravki. Zelo utrujajoče je slišati ljudi, ki govorijo o bivanju na starejših različicah sistema Windows, starejših različicah SQL Serverja in mislijo, da so edini stroški v igri stroški nadgradnje licenc, kar pa ne drži. Smo z varnostjo, to je tok, ki še naprej pada po hribu in s časom se najde več podvigov. Microsoft bo v tem primeru in druge skupine glede na primer posodobil starejše sisteme do te mere, da bodo na koncu izpadle podpore in jih ne bodo več posodabljali, saj gre le za nenehni postopek vzdrževanje.
In zato morate biti v podprtem operacijskem sistemu in morate biti na tekočem s svojimi popravki, pred kratkim pa smo ugotovili, kot pri Shadow Brokers, v nekaterih primerih je Microsoft morda že pred njimi vpogled v večje kršitve varnosti. da se pred razkritjem javno objavi, zato si ne dovolite, da bi se vsi zredili. Raje si ne bi vzel prostega časa, raje bi počakal in prebral vsakega od njih in se odločil. Morda ne boste vedeli, kakšna je njegova vrednost, dokler ne ugotovite, zakaj je prišlo do tega popravka. Torej, ostanite pri vrhu.
Naj bo vaš požarni zid konfiguriran. Škoda SNB-ja je bila pretresljiva, koliko ljudi je izvajalo starejše različice SQL Serverja, pri čemer je požarni zid popolnoma odprt za internet, tako da bi lahko kdor koli vstopil in s strežniki naredil vse, kar je želel. Morali bi uporabljati požarni zid. To, da morate občasno konfigurirati pravila ali narediti posebne izjeme za način poslovanja, je OK cena, ki jo je treba plačati. V sistemih baz podatkov morate nadzorovati površino - ali na isti stroj nameščate storitve ali spletne strežnike, kot je IIS? Ali želite deliti isti prostor na disku in si deliti isti pomnilniški prostor kot vaše baze podatkov in vaše zasebne podatke? Poskusite, da tega ne storite, poskusite ga izolirati, ohranite manjšo površino, da vam ne bo treba toliko skrbeti, da bo vse to varno na vrhu baze podatkov. Lahko jih fizično ločite, platformo, ločite, si zagotovite malo prostora za dihanje.
Ne bi smeli imeti super administratorjev, ki bi tekali okrog povsod in bi lahko imeli dostop do vseh svojih podatkov. Za skrbniške račune OS morda ni treba imeti dostopa do vaše baze podatkov ali do osnovnih podatkov v bazi podatkov s šifriranjem, o čemer bomo govorili čez minuto. In dostop do datotek baze podatkov morate tudi omejiti. Nekako neumno je, če bi rekli, no, nekdo do teh baz podatkov ne more dostopati prek baze podatkov; Sam SQL Server jim ne bo omogočil dostopa do njega, če pa lahko potem obiščejo kopijo dejanske datoteke MDF, jo preprosto premaknete tako, da jo pripnete svojemu SQL strežniku, v resnici niste dosegli zelo veliko.
Šifriranje, torej šifriranje je tisti znameniti dvosmerni meč. Obstaja veliko različnih ravni šifriranja, ki jih lahko naredite na ravni OS, sodobni način dela za SQL in Windows pa je z BitLockerjem, na ravni baze pa se imenuje TDE ali pregledno šifriranje podatkov. Torej, to sta oba načina, kako ohraniti svoje podatke šifrirane v mirovanju. Če želite svoje podatke ohraniti bolj šifrirano, lahko to storite šifrirano - oprostite, nekako sem stopil naprej. Lahko naredite šifrirane povezave, tako da je vedno, ko je med prevozom, še vedno šifriran, tako da če nekdo posluša ali ima moškega sredi napada, imate nekaj zaščite teh podatkov prek žice. Vaše varnostne kopije morajo biti šifrirane, kot sem že rekel, lahko so dostopne drugim, nato pa, če želite, da se šifrirajo v pomnilniku in med uporabo, imamo šifriranje stolpcev in potem, SQL 2016 ima to pojem "vedno šifrirano ", kjer je dejansko šifrirano na disku, v pomnilniku, na žici, vse do aplikacije, ki dejansko uporablja podatke.
Zdaj vse to šifriranje ni brezplačno: CPU je režijski, včasih je treba uporabiti šifriranje stolpcev in vedno šifriran primer, kar zadeva uspešnost glede vaše zmožnosti iskanja teh podatkov. Če pa je ta šifriranje pravilno sestavljeno, pomeni, da če bi nekdo dobil do vaših podatkov, se škoda močno zmanjša, ker so jo lahko dobili in potem z njo ne morejo ničesar storiti. Vendar pa je to tudi način, kako deluje odkupna programska oprema, je, da nekdo vstopi in vklopi te predmete z lastnim potrdilom ali lastnim geslom in do njega nimate dostopa. Torej, zato je pomembno, da se prepričate, da to počnete, in imate dostop do njega, vendar tega ne dajete, odprto za druge in napadalce.
In potem, varnostna načela - te točke ne bom spremljala, vendar pazite, da nimate vsakega uporabnika, ki deluje v SQL Serveru kot super administrator. Vaši razvijalci si ga morda želijo, različni uporabniki ga lahko želijo - frustrirani so, ker zahtevajo dostop do posameznih predmetov -, vendar morate biti pozorni pri tem in čeprav je morda bolj zapleteno, omogočite dostop do predmetov in baze podatkov in sheme, ki veljajo za tekoče delo, in obstaja poseben primer, morda to pomeni posebno prijavo, ne pomeni nujno višanja pravic za povprečnega uporabnika primera.
In potem obstajajo razlogi glede skladnosti s predpisi, ki bi lahko zajemali to in nekatere primere lahko dejansko odšli na svoj način - torej obstajajo HIPAA, SOX, PCI - tu so vsi ti različni vidiki. In ko boste opravili revizijo, boste pričakovali, da boste pokazali, da sprejemate ukrepe, da to upoštevate. In to je veliko za spremljanje, kot rečeno, seznam opravil DBA, poskušate zagotoviti varnostno konfiguracijo fizičnega šifriranja, poskušate zagotoviti, da se dostop do teh podatkov revidira zaradi skladnosti in poskrbite, da bodo vaši občutljivi stolpci vedeli, kaj so, kje so, katere bi morali šifrirati in gledati dostop do njih. In poskrbite, da bodo konfiguracije usklajene z regulativnimi smernicami, za katere veljate. In to morate posodobiti, saj se stvari spreminjajo.
Torej, je treba storiti veliko, in če bi ga pustil samo tam, bi rekel, da grem. Ampak za to obstaja veliko različnih orodij, zato sem vam lahko, če sem morda v zadnjih minutah, pokazal nekaj orodij, ki jih imamo v IDERI za to. In danes sem želel spregovoriti o SQL Secure in SQL Compliance Manager. SQL Secure je naše orodje za pomoč pri prepoznavanju ranljivosti konfiguracije. Vaši varnostni pravilniki, uporabniška dovoljenja, konfiguracije vaše površine. In ima predloge, s katerimi lahko upoštevate različne regulativne okvire. To samo po sebi, ta zadnja vrstica, bi ljudje lahko bili razlog za to. Ker je branje teh različnih predpisov in ugotavljanje, kaj to pomeni, PCI in nato vodenje do SQL strežnika v moji trgovini, veliko dela. To je nekaj, za kar bi lahko plačali veliko denarja za svetovanje; to svetovanje smo že opravili, sodelovali smo z različnimi revizijskimi družbami itd., da smo prišli do tega, kakšne so te predloge - nekaj, kar bo verjetno prestalo revizijo, če bodo te vzpostavljene. In potem lahko uporabite te predloge in jih vidite v svojem okolju.
Na voljo imamo tudi drugo, sestrsko orodje v obliki upravitelja skladnosti SQL, in tu gre za nastavitve konfiguracije SQL Secure. SQL Compliance Manager govori o tem, kaj je kdo storil, kdaj in kdaj. Torej gre za revizijo, zato vam omogoča spremljanje aktivnosti, ko se dogaja, in vam omogoča, da zaznate in spremljate, kdo do stvari dostopa. Je nekdo, prototipni primer, ki ga je zvezdnik preverjal v vaši bolnišnici, kdo odhajal in iskal njihove podatke, samo iz radovednosti? So imeli razlog za to? Lahko si ogledate zgodovino revizije in vidite, kaj se je dogajalo, kdo je dostopal do teh zapisov. In to lahko ugotovite, da ima orodja, s pomočjo katerih lahko prepoznate občutljive stolpce, zato vam ni nujno, da jih preberete in to storite sami.
Torej, če smem, bom pokazal nekaj teh orodij tukaj v zadnjih nekaj minutah - in prosim, ne glejte to kot poglobljen demo. Sem produktni vodja, ne prodajni inženir, zato vam bom pokazal nekaj stvari, za katere menim, da so pomembne za to razpravo. Torej, to je naš izdelek SQL Secure. In kot vidite tukaj, imam nekakšno to izkaznico na visoki ravni. To sem rekel včeraj. In prikaže mi nekatere stvari, ki niso pravilno nastavljene, in nekatere stvari, ki so pravilno nastavljene. Torej, lahko vidite, da imamo tukaj več kot 100 različnih pregledov. Vidim, da moja šifriranje varnostnih kopij za varnostne kopije, ki sem jih delal, ne uporabljam šifriranja varnostnih kopij. Moj račun SA, izrecno imenovan »SA račun«, ni onemogočen ali preimenovan. Vloga javnega strežnika ima dovoljenje, zato bi bilo vse, kar bi morda rad spremenil.
Tukaj imam postavljen pravilnik, tako da če želim nastaviti nov pravilnik in se prijaviti na svoje strežnike, imamo vse te vgrajene pravilnike. Uporabil bom obstoječo predlogo politike in lahko vidite, da imam CIS, HIPAA, PCI, SR in se dogaja, in pravzaprav nenehno dodajamo dodatne politike glede na stvari, ki jih ljudje potrebujejo na tem področju . Ustvarite lahko tudi novo politiko, tako da če veste, kaj išče vaš revizor, ga lahko ustvarite sami. In potem, ko to storite, lahko izbirate med vsemi temi različnimi nastavitvami, ki jih morate nastaviti, v nekaterih primerih jih imate - naj se vrnem nazaj in najdem eno od že vgrajenih. To je priročno, lahko izberem, recimo, HIPAA - že sem dobil HIPAA, slabo - PCI, potem pa, ko bom tu naokoli, dejansko vidim zunanji navzkrižni sklic na odsek uredba, s katero je to povezano. To vam bo pomagalo kasneje, ko boste poskušali ugotoviti, zakaj to postavljam? Zakaj poskušam to pogledati? S katerim odsekom je to povezano?
To ima tudi lepo orodje, s katerim lahko vstopate in brskate po svojih uporabnikih, zato je ena od zapletenih stvari pri raziskovanju uporabniških vlog ta, da bom pravzaprav tukaj pogledal. Če torej pokažem dovoljenja za svoja, poglejmo, tukaj izberite uporabnika. Pokaži dovoljenja. Vidim dodeljena dovoljenja za ta strežnik, vendar lahko tukaj kliknem in izračunam efektivna dovoljenja, in na podlagi tega mi bo dal celoten seznam, tako da je v tem primeru to skrbnik, tako da ni tako zanimivo, ampak Lahko bi izbral različne uporabnike in videl, kakšna so njihova dejanska dovoljenja, na podlagi vseh različnih skupin, ki jim lahko pripadajo. Če boste kdaj poskusili to storiti sami, je to dejansko nekaj težav, če želite ugotoviti, v redu. Ta uporabnik je član teh skupin in ima zato dostop do teh stvari prek skupin itd.
Torej, kako deluje ta izdelek, ali je potreben posnetkov, tako da resnično ni zelo težaven postopek rednega fotografiranja strežnika, nato pa te posnetke shrani skozi čas, tako da se lahko primerjate s spremembami. Torej ne gre za neprekinjeno spremljanje v tradicionalnem pomenu kot orodje za spremljanje uspešnosti; to je nekaj, kar ste morda nastavili za izvajanje enkrat na noč, enkrat na teden - čeprav se vam zdi, da je veljavno - tako, da potem, ko delate analizo in počnete malo več, dejansko samo delo znotraj našega orodja. Ne povezujete se nazaj s strežnikom, zato je to zelo lepo orodje, s katerim lahko delate, če želite upoštevati takšne statične nastavitve.
Drugo orodje, ki vam ga želim pokazati, je naše orodje za upravljanje skladnosti. Upravljavec skladnosti bo spremljal bolj nepretrgano. Videli boste, kdo počne kaj na vašem strežniku in vam omogočili, da si to ogledate. Torej, kar sem naredil tukaj, v zadnjih nekaj urah, sem poskušal ustvariti nekaj majhnih težav. Torej, tukaj imam, ali gre za težavo ali ne, morda bi vedel zanjo, nekdo je dejansko ustvaril prijavo in jo dodal v vlogo strežnika. Torej, če grem noter in pogledam to, vidim - verjetno ne morem desno klikniti, vidim, kaj se dogaja. Torej, to je moja nadzorna plošča in vidim, da sem imel veliko prej neuspelih prijav malo prej. Imel sem kup varnostnih dejavnosti, dejavnosti DBL.
Torej, naj grem k svojim revizijskim dogodkom in si ogledam. Tu imam svoje revizijske dogodke razvrščene po kategorijah in ciljnih objektih, tako da, če pogledam to varnost od prej, lahko vidim DemoNewUser, je prišlo do te prijave v strežnik za ustvarjanje. In lahko vidim, da je prijavni SA ustvaril ta račun DemoNewUser, tukaj ob 14:42 In potem lahko vidim, da je po vrsti dodaj prijavo na strežnik, ta DemoNewUser je bil dodan v skrbniško skupino strežnika in so bili dodani v setup admin group, dodali so jih v skupino sysadmin. Torej, to bi rad vedel, da se je zgodilo. Prav tako sem ga nastavil tako, da se občutljivi stolpci v mojih tabelah spremljajo, tako da lahko vidim, kdo je do njega dostopal.
Torej, tukaj imam nekaj izbranih, ki so se pojavili na mizi moje osebe, iz Adventure Works. Lahko pa pogledam in vidim, da je uporabnik SA na tabeli Adventure Works naredil izbrano deseterico od osebe dot osebe. Mogoče v svoji organizaciji ne želim, da ljudje izbirajo zvezde od osebe dot osebe ali pričakujem, da to storijo le nekateri uporabniki, zato bom to videl tukaj. Torej, - kar potrebujete glede vaše revizije, lahko to nastavimo na podlagi okvira in to je nekoliko bolj intenzivno orodje. Uporablja SQL Trace ali SQLX dogodke, odvisno od različice. In to bo nekaj, kar boste morali imeti na svojem strežniku, da bo prostor za shranjevanje, vendar je to ena od teh stvari, kot je zavarovanje, kar je lepo, če nam ne bi bilo treba avtomobilsko zavarovanje - to bi bilo stroški, ki jih ne bi morali prevzeti - če pa imate strežnik, na katerem morate spremljati, kdo kaj počne, boste morda morali imeti še malo dodatnega prostora za glavo in takega orodja, da to storite. Ne glede na to, ali uporabljate naše orodje ali ga sami uporabljate, boste na koncu odgovorni za to, da boste te podatke imeli za potrebe skladnosti s predpisi.
Tako kot sem rekel, ne poglobljena predstavitev, le hiter, majhen povzetek. Prav tako sem vam želel pokazati hitro, malo brezplačno orodje v obliki tega iskanja v stolpcu SQL, ki ga lahko uporabite za prepoznavanje, kateri stolpci v vašem okolju so občutljivi podatki. Torej, imamo številne iskalne konfiguracije, kjer iščejo različna imena stolpcev, ki običajno vsebujejo občutljive podatke, nato pa imam celoten seznam njih, ki so bili identificirani. Jaz jih imam 120, nato pa sem jih izvozila sem, da jih lahko izkoristim, da rečem, poglejmo in poskrbim, da spremljam dostop do srednjega imena, ene osebe dot ali prodajnega davka stopnja itd.
Vem, da smo tu že ob koncu našega časa. In to je vse, kar sem vam pravzaprav moral pokazati, torej kakšna vprašanja zame?
Eric Kavanagh: Imam nekaj dobrih za vas. Dovolite mi, da se pomaknem sem. Eden od prisotnih je zastavil res dobro vprašanje. Eden izmed njih se sprašuje o davku na uspešnost, zato vem, da se razlikuje od rešitve do rešitve, a ali imate kakšno splošno predstavo o tem, kaj je davek na uspešnost za uporabo varnostnih orodij IDERA?
Vicky Harp: Torej je na SQL Secure, kot sem že rekel, zelo nizek, naredilo se bo le nekaj občasnih posnetkov. In četudi se izvajate precej pogosto, dobiva statične informacije o nastavitvah, zato je zelo nizka, skoraj zanemarljiva. Glede upravitelja skladnosti je:
Eric Kavanagh: Kot en odstotek?
Vicky Harp: Če bi moral dati odstotek številke, ja, to bi bil en odstotek ali manj. Osnovne informacije o vrstnem redu uporabe SSMS in vstopu na varnostni zavihek ter razširitvi stvari. Kar zadeva skladnost, je precej višja - zato sem rekel, da potrebuje malo prostora za glavo - nekako je tako, kot da bi lahko spremljali uspešnost. Zdaj nočem ljudi strašiti pred tem, trik s spremljanjem skladnosti, in če je revizija, se prepričajte, da samo pregledujete tisto, za kar boste ukrepali. Ko torej filtrirate, si rečete: "Hej, želim vedeti, kdaj ljudje dostopajo do določenih tabel, in želim vedeti, kdaj ljudje dostopajo do teh posebnih ukrepov", potem bo temeljilo na tem, kako pogosto so te stvari se dogaja in koliko podatkov ustvarjate. Če rečete, "želim si celotno besedilo SQL vsakega izbranega, ki se kdaj zgodi v kateri koli od teh tabel", to bodo verjetno gigabajti in gigabajti podatkov, ki jih bo moral razčleniti shranjeni SQL Server, premaknjeni v naš izdelek, itd.
Če ga držite do - bo tudi več informacij, kot bi jih verjetno imeli. Če bi ga lahko spustili na manjši niz, tako da bi dobili nekaj sto dogodkov na dan, potem je to očitno veliko nižje. Res je, na nek način nebo meja. Če za vse nadzor vklopite vse nastavitve, potem ja, to bo 50-odstotno uspešnost. Če pa ga boste spremenili v nekakšno bolj zmerno, premišljeno raven, bi morda zrkel 10 odstotkov? Res je, ena od teh stvari, ki bo zelo odvisna od vaše delovne obremenitve.
Eric Kavanagh: Ja, prav. Še eno vprašanje glede strojne opreme. In potem v igro vstopijo prodajalci strojne opreme in resnično sodelujejo s prodajalci programske opreme in jaz sem odgovoril skozi okno za vprašanja in vprašanja. Vem za en poseben primer, Cloudera, ki sodeluje z Intelom, kjer je Intel naredil ogromno naložb v njih, del računanja pa je bil, da bo Cloudera dobil zgoden dostop do oblikovanja čipov in tako lahko vgradnjo varnosti v čip stopnjo arhitekture, ki je precej impresivna. Toda kljub temu je to nekaj, kar se bo moralo doseči tam in ga še vedno lahko izkoristita obe strani. Ali poznate kakršne koli trende ali kakršne koli težnje proizvajalcev strojne opreme k sodelovanju s prodajalci programske opreme na varnostnem protokolu?
Vicky Harp: Ja, pravzaprav verjamem, da je Microsoft sodeloval, da bi imel nekaj podobnega pomnilniškega prostora za nekaj šifrirnega dela dejansko na ločenih čipih na matičnih ploščah, ki so ločeni od vašega glavnega pomnilnika, tako da nekateri od teh stvari je fizično ločeno. In verjamem, da je to pravzaprav nekaj, kar je prišlo od Microsofta v smislu odhoda k prodajalcem, rekel: "Ali lahko izmislimo način, kako to doseči, v bistvu gre za spomin brez naslova, ne morem skozi preliv medpomnilnika priti do ta spomin, ker ga v nekem smislu sploh ni, zato vem, da se nekaj tega dogaja. "
Eric Kavanagh: Ja.
Vicky Harp: To bodo očitno res veliki prodajalci, najverjetneje.
Eric Kavanagh: Ja. Zanimivo mi je, če bi to gledal, in morda bi Robin, če imaš hitro sekundo, radoveden, če bi vedel, kakšna bo tvoja izkušnja v preteklih letih, kajti spet glede strojne opreme, v smislu dejanske znanosti o materialih Glede na to, kar sestavljate od prodajalčeve strani, bi lahko te informacije šle na obe strani, teoretično pa gremo na obe strani dokaj hitro, torej obstaja kakšen način, da strojno uporabite bolj skrbno, z vidika zasnove do večje varnosti? Kaj misliš? Robin, se utišaš?
Robin Bloor: Ja, ja. Oprosti, tukaj sem; Samo razmišljam o vprašanju. Iskreno povedano, nimam mnenja, to je področje, ki si ga nisem ogledal v veliki globini, zato sem nekako, veste, mnenje lahko izmislil, toda v resnici ne vem. Raje imam, da so stvari v programski opremi varne, v bistvu je to samo način igranja.
Eric Kavanagh: Ja. No, ljudje, gorili smo skozi eno uro in se tukaj spremenili. Velika zahvala Vicky Harp za njen čas in pozornost - za ves vaš čas in pozornost; cenimo, da se predstavljate za te stvari. To je velika stvar; ne bo kmalu minilo. To je igra mačke in miške, ki se bo nadaljevala in nadaljevala. In zato smo hvaležni, da so nekatera podjetja tam osredotočena na zagotavljanje varnosti, a kot je Vicky celo predstavila in se v svoji predstavitvi malce pogovarjala, so na koncu ljudje, ki morajo razmišljati zelo premišljeno o teh phishing napadih, takšnem socialnem inženiringu, in se držite svojih prenosnikov - ne puščajte jih v kavarni! Spremenite geslo, naredite osnove in tam boste dobili 80 odstotkov poti.
Torej, ljudje se bomo poslovili, še enkrat hvala za vaš čas in pozornost. Naslednjič vas bomo dohiteli, poskrbite. Adijo.
Vicky Harp: Adijo, hvala.
