Avtor osebja Techopedia, 27. oktobra 2016
Odvzem: Voditelj Eric Kavanagh razpravlja o varnosti podatkov z Robin Bloor, Dez Blanchfield in IDERA Ignacio Rodriguez.
Trenutno niste prijavljeni. Če si želite ogledati video, se prijavite ali prijavite.
Eric Kavanagh: Pozdravljeni in ponovno dobrodošli nazaj v Hot Technologies. Moje ime je Eric Kavanagh; Danes bom vaš gostitelj spletnega prenosa in je vroča tema in nikoli ne bo vroča tema. To je vroča tema zdaj, odkrito povedano, zaradi vseh kršitev, o katerih slišimo, in lahko vam garantiram, da nikoli ne bo minilo. Danes je tema, točen naslov oddaje, ki bi ji moral povedati, "Nova normalna: Soočanje z resničnostjo nezanesljivega sveta." Prav s tem se ukvarjamo.
Tam imamo vašega gostitelja, resnično vašega. Od nekaj let nazaj, upoštevajte, najbrž bi posodobil svojo fotografijo; to je bilo 2010. Čas leti. Če želite dati nekaj predlogov, mi pošljite e-poštno sporočilo. To je naš standardni "vroči" diapozitiv za Hot Technologies. Celoten namen te oddaje je res definirati določen prostor. Torej danes očitno govorimo o varnosti. S svojimi prijatelji iz IDERA pravzaprav gledamo zelo zanimivo.
In poudaril bom, da vi kot člani naše publike igrate pomembno vlogo v programu. Prosim, ne bodite sramežljivi. Kadar koli nam pošljite vprašanje in zastavili ga bomo za vprašanja, če bomo imeli dovolj časa za to. Danes imamo na spletu tri ljudi, dr. Robina Bloorja, Deza Blanchfielda in Ignacija Rodrigueza, ki kličejo z neznane lokacije. Torej, najprej, Robin, ti si prvi voditelj. Predal vam bom ključe. Vzemi stran.
Dr. Robin Bloor: V redu, hvala za to, Eric. Zavarovanje baze podatkov - predpostavljam, da bi lahko rekli, da je najverjetnejši podatek, da je najdragocenejši podatek, ki ga katera koli družba predseduje, v bazi podatkov. Torej obstaja cela vrsta varnostnih stvari, o katerih bi lahko govorili. Ampak tisto, kar sem mislil, da bom storil, je pogovor o temi varovanja baze podatkov. Nočem odvzeti ničesar od predstavitve, ki jo bo Ignacio pripravil.
Začnimo s tem, da je varnost podatkov preprosto statična tarča, vendar ni. To je gibljiva tarča. In to je nekako pomembno razumeti v smislu, da se IT-okolja večine ljudi, zlasti velika IT podjetja, ves čas spreminjajo. In ker se ves čas spreminjajo, se napadalna površina, območja, kjer lahko nekdo na tak ali drugačen način poskuša ogroziti varnost podatkov, od znotraj ali od zunaj, ves čas spreminjajo. Ko naredite kaj takega, nadgradite bazo podatkov, nimate pojma, ali ste s tem ustvarili nekakšno ranljivost zase. Vendar se ne zavedate in morda nikoli ne boste izvedeli, dokler se ne zgodi kaj slabega.
Kratek pregled varnosti podatkov. Najprej kraja podatkov ni nič novega in dragoceni podatki. Za organizacijo je običajno enostavno določiti, kakšni so podatki, ki jih potrebujejo za čim večjo zaščito. Zanimiv podatek je, da je prvi, ali kar bi lahko trdili, da je prvi računalnik, zgradila britanska obveščevalna služba med drugo svetovno vojno z enim namenom, to pa je bilo krajo podatkov iz nemških komunikacij.
Kraja podatkov je bila del IT industrije že od samega začetka. Z rojstvom interneta je postalo veliko bolj resno. Gledal sem dnevnik števila kršitev podatkov, ki so se dogajale iz leta v leto. Do leta 2005 se je število povečalo nad 100 in od takrat naprej je vsako leto slabše in slabše.
Večja količina ukradenih podatkov in večje število krajev se zgodi. In to so taki, o katerih se poroča. Zgodi se zelo veliko incidentov, ko podjetje nikoli ne pove ničesar, ker ni ničesar, kar bi ga prisililo, da bi karkoli povedal. Tako kršitev podatkov ohranja tiho. V hekerskem poslu je veliko akterjev: vlade, podjetja, hekerske skupine, posamezniki.
Ena stvar, za katero se mi zdi zanimivo omeniti, ko sem šel v Moskvo, mislim, da je bilo to pred približno štirimi leti, to je bila programska konferenca v Moskvi, govoril sem z novinarjem, ki je specializiran za področje vdora podatkov. In trdil je - in prepričan sem, da ima prav, vendar ne vem drugega, kot da je edina oseba, ki mi jo je kdaj omenil, toda - obstaja rusko podjetje z imenom Ruska poslovna mreža, verjetno ima rusko ime, ampak mislim, da je to angleški prevod tega, ki je dejansko najet za kramp.
Če ste velika organizacija kjer koli na svetu in želite narediti nekaj, da škodite konkurenci, lahko te ljudi najamete. In če najamete te ljudi, dobite zelo verodostojno zanikanje o tem, kdo je bil za krampom. Ker če sploh odkrijemo, kdo stoji za krampom, bo to pomenilo, da je to verjetno storil nekdo v Rusiji. In ne bo videti, kot da bi poskušali poškodovati konkurenta. In verjamem, da so ruske poslovne mreže v resnici najele vlade, da naredijo stvari, kot je lov v banke, da bi poskušale ugotoviti, kako se denar terorizma giblje. In to storijo z verodostojno zanikanjem vlad, ki nikoli ne bodo priznale, da so to dejansko kdaj storile.
Razvija se tehnologija napada in obrambe. Že dolgo nazaj sem hodil v klub kaosa. To je bilo spletno mesto v Nemčiji, kjer ste se lahko registrirali in lahko samo spremljali pogovore različnih ljudi in videli, kaj je na voljo. In to sem storil, ko sem gledal na varnostno tehnologijo, razmišljam okoli leta 2005. In to sem storil samo zato, da sem videl, kaj se je potem spuščalo, in tisto, kar me je presenetilo, je število virusov, kjer je bil v bistvu odprtokodni sistem Nadaljeval sem in ljudje, ki so pisali viruse ali izboljšane viruse, so samo vtikali kodo, da jo lahko kdo uporablja. Takrat se mi je že zgodilo, da so hekerji lahko zelo, zelo pametni, vendar obstaja ogromno hekerjev, ki sploh niso nujno pametni, vendar uporabljajo pametna orodja. In nekatera od teh orodij so izjemno pametna.
In končna točka: podjetja so dolžna skrbeti za svoje podatke, ne glede na to, ali jih imajo v lasti ali ne. In mislim, da se to vedno bolj uresničuje kot nekoč. In čedalje več je, recimo, drago, da je podjetje v resnici podvrženo kramu. Glede hekerjev se lahko nahajajo kjer koli in jih je morda težko spraviti pred sodišče, tudi če so pravilno identificirani. Mnogi od njih so zelo spretni. Veliko sredstev ima povsod po njih. Domnevni napad DDoS se je zgodil z več kot milijardo naprav. Ne vem, ali je to res ali je to le novinar, ki uporablja okroglo številko, zagotovo pa je bilo za napad na omrežje DNS uporabljeno veliko število robotskih naprav. Nekatera dobičkonosna podjetja, vladne skupine, gospodarske vojne, kibernetske vojne, tam se vse dogaja, in malo je verjetno, mislim, da smo rekli v predgovoru, malo verjetno, da se bo kdaj končalo.
Skladnost in predpisi - številne stvari dejansko potekajo. Poznate številne pobude za skladnost, ki temeljijo na sektorju, saj veste - farmacevtski sektor ali bančni sektor ali zdravstveni sektor - morda imajo posebne pobude, ki jih ljudje lahko sledijo, različne vrste najboljše prakse. Obstajajo pa tudi številni uradni predpisi, ki, ker so zakon, določajo kazni za vsakogar, ki krši zakon. Primeri v ZDA so HIPAA, SOX, FISMA, FERPA, GLBA. Obstaja nekaj standardov, PCI-DSS je standard za kartična podjetja. ISO / IEC 17799 temelji na poskusu doseganja skupnega standarda. To je lastništvo podatkov. Nacionalni predpisi se razlikujejo od države do države, tudi v Evropi, ali bi morda morali reči, zlasti v Evropi, kjer je zelo nejasno. In tu je GDPR, globalna uredba o varstvu podatkov, o kateri se trenutno pogajajo med Evropo in ZDA, da bi poskušali uskladiti predpise, ker jih je toliko, kolikor jih je dejansko mednarodnih, in potem obstajajo storitve v oblaku, ki jih morda ne mislite, da so bili vaši podatki mednarodni, ampak so postali mednarodni takoj, ko ste šli v oblak, ker so se preselili iz vaše države. Torej gre za niz predpisov, ki se na tak ali drugačen način pogajajo za varstvo podatkov. In večina tega se nanaša na podatke posameznika, kar seveda vključuje skoraj vse identitetne podatke.
O čemer je treba razmišljati: ranljivosti baz podatkov. Obstaja seznam ranljivosti, ki jih prodajalci baz podatkov poznajo in o katerih poročajo, ko jih odkrijejo in zakrpijo čim hitreje, zato je vse to. Obstajajo stvari, ki so povezane z njim v smislu prepoznavanja ranljivih podatkov. Eden največjih in najuspešnejših krakov podatkov o plačilih je bil storjen podjetju za obdelavo plačil. To je kasneje prevzelo, ker je moralo v likvidacijo, če ni, pa podatki niso bili ukradeni iz nobene operativne baze podatkov. Podatki so bili ukradeni iz testne baze podatkov. Prav tako se je zgodilo, da so razvijalci ravno vzeli podmnožico podatkov, ki so resnični podatki, in jih brez kakršne koli zaščite uporabili v testni bazi podatkov. Preskusna baza podatkov je bila vložena in iz nje so bili vzeti ogromno osebnih finančnih podrobnosti ljudi.
Varnostna politika, zlasti v zvezi z varnostjo dostopa do baz podatkov, kdo lahko bere, kdo lahko piše, kdo lahko podeli dovoljenja, ali lahko kdo od tega kaj zaobide? Potem seveda obstajajo šifriranje iz baz podatkov. Tu so stroški kršitve varnosti. Ne vem, ali gre za običajno prakso v organizacijah, vendar vem, da nekateri, na primer, glavni varnostni uslužbenci poskušajo vodjem zagotoviti neko predstavo o tem, kakšni so stroški kršitve varnosti, preden se zgodijo, ne pa po njih. In nekako morajo to storiti, da bi zagotovili pravo količino proračuna, da bodo lahko branili organizacijo.
In potem napadna površina. Zdi se, da napadalna površina ves čas raste. Iz leta v leto napadalna površina le še narašča. Če povzamemo, obseg je še ena točka, vendar je varnost podatkov običajno del vloge DBA. Toda varnost podatkov je tudi skupna dejavnost. Če se ukvarjate z varnostjo, morate imeti popolno predstavo o varnostnih zaščitah za celotno organizacijo. In glede tega je treba sprejeti politiko podjetij. Če ni korporativnih pravilnikov, preprosto končate s kosmičnimi rešitvami. Veste, gumijasti trakovi in plastika, nekako, poskušajo preprečiti varnost.
Potem ko sem to rekel, mislim, da predam Dezu, ki vam bo verjetno pripovedoval različne vojne zgodbe.
Eric Kavanagh: Vzemi stran, Dez.
Dez Blanchfield: Hvala, Robin. Vedno je težko ukrepati. Na to bom prišel z nasprotnega konca spektra samo zato, da bi, da bi nam dal občutek obsega izziva, s katerim se soočate, in zakaj bi morali narediti več kot le sedeti in biti pozorni na to . Izziv, s katerim se zdaj srečujemo s obsegom, količino in glasnostjo, hitrostjo, s katero se te stvari dogajajo, je, da je stvar, ki jo zdaj slišim okoli kraja, z veliko CXO-ji, ne samo CIO-ji, ampak zagotovo CIO-ji so tisti, ki se udeležujejo tam, kjer se kura ustavi, je, da menijo, da so kršitve podatkov hitro postale norma. To je nekaj, za kar skoraj pričakujejo, da se bo zgodilo. Torej na to gledajo z vidika: "Ok, no, ko se kršimo - ne pa če - ko se kršimo, kaj moramo storiti glede tega?" In potem se pogovori začnejo okoli, kaj počnejo v tradicionalnih robnih okoljih in usmerjevalniki, stikala, strežniki, odkrivanje vdorov, pregled vdorov? Kaj počnejo v samih sistemih? Kaj počnejo s podatki? In potem se vse vrne na tisto, kar so storili s svojimi bazami podatkov.
Dovolite mi, da se samo dotaknem nekaj primerov nekaterih teh stvari, ki so pritegnile veliko domišljije ljudi in jih nato nekoliko razčlenile. Tako smo v novicah slišali, da je Yahoo - verjetno največje število ljudi, ki so jih slišali, približno pol milijona, dejansko pa se izkaže, da je neuradno več kot milijarda - slišal sem odkrito število treh milijard, vendar je to skoraj polovica svetovnega prebivalstva, zato mislim, da je to nekoliko visoko. Ampak to sem preveril pri številnih ljudi v ustreznih prostorih, ki menijo, da je nekaj več kot milijarda plošč, ki so bile izločene iz Yahoo-a. In to je le zamišljeno število. Zdaj nekateri igralci gledajo in razmišljajo, no, to so le računi za spletno pošto, nič kaj veliko, toda dodate še dejstvo, da je veliko teh računov za spletno pošto in neznansko veliko število, višje, kot sem pričakoval, dejansko plačanih računov. Tam ljudje vložijo svoje podatke o kreditni kartici in plačajo za odstranitev oglasov, saj se oglasi tako naveličajo in tako 4 ali 5 dolarjev na mesec želijo kupiti spletno pošto in storitev za shranjevanje v oblaku, ki nima oglasov, in jaz sem eden od teh, in to imam pri treh različnih ponudnikih, pri katerih vtaknem kreditno kartico.
Torej potem izziv pritegne nekoliko več pozornosti, saj ni le nekaj, kar je zunaj, kot ena odmevna beseda: "No, Yahoo je, recimo, izgubil med 500 in 1000 milijoni računov, " 1.000 milijonov to naredi zveni zelo veliko in računi za spletno pošto, vendar podatki o kreditni kartici, ime, priimek, e-poštni naslov, datum rojstva, kreditna kartica, številka pin, karkoli želite, gesla in potem postane veliko bolj zastrašujoč pojem. In spet mi ljudje rečejo: "Ja, ampak to je samo spletna storitev, samo spletna pošta, nič hudega." In potem rečem: "Ja, dobro, da je bil Yahoo račun morda uporabljen tudi v Yahoo denarnih storitvah za nakup in prodaj delnice. "Potem postane bolj zanimivo. In ko se začnete ukvarjati s tem, se zavedate, da je v redu, to je pravzaprav več kot le mame in očeta doma, in najstniki, ki imajo sporočila za sporočila, je to dejansko nekaj, kjer ljudje poslujejo.
To je en konec spektra. Drugi konec spektra je, da je zelo majhen izvajalec zdravstvenih storitev v Avstraliji ukradel približno 1.000 zapisov. Je bila notranja služba, nekdo je odšel, bili so samo radovedni, stopili so skozi vrata, v tem primeru je šlo za 3, 5-palčno disketo. Nekaj časa nazaj je bilo - lahko pa poveste v dobi medijev -, vendar so bili na stari tehnologiji. A izkazalo se je, da so vzrok za to, da so bili samo radovedni, kdo je tam. Ker so imeli v tem mestecu, ki je bila naša nacionalna prestolnica, kar precej ljudi, ki so bili politiki. In zanimalo jih je, kdo je tam in kje je bilo njihovo življenje, in vse tovrstne informacije. Torej z zelo majhno kršitvijo podatkov, ki je bila storjena interno, je bilo v javnosti očitno veliko politikov glede podrobnosti avstralske vlade.
Tam moramo upoštevati dva različna konca spektra. Zdaj je resničnost taka lestvica teh stvari naravnost zelo osupljiva in tu imam diapozitiv, na katerega bomo skočili zelo, zelo hitro. Obstaja nekaj spletnih mest, ki navajajo vse vrste podatkov, vendar je to posebej od strokovnjaka za varnost, ki je imel spletno mesto, kjer lahko poiščete svoj e-poštni naslov ali svoje ime, in prikazal vam bo vsak incident podatkov v zadnjih 15 letih kršil, da se je lahko spravil v roke, nato pa se naložil v bazo podatkov in preveril, in povedal vam bo, ali ste bili obiskani, kot je izraz. Ko pa začnete gledati nekatere od teh številk, posnetek zaslona še ni posodobljen z njegovo najnovejšo različico, ki vključuje par, kot je Yahoo. Ampak samo pomislite na vrste storitev tukaj. Imamo Myspace, imamo LinkedIn, Adobe. Adobe je zanimiv, ker ljudje gledajo in razmišljajo, no, kaj pomeni Adobe? Večina nas, ki prenašamo Adobe Reader neke oblike, je veliko nas kupilo izdelke Adobe s kreditno kartico, to je 152 milijonov ljudi.
Zdaj, ko je Robin že prej, to so zelo velike številke, težko jih je premagati. Kaj se zgodi, ko imate 359 milijonov računov, ki so bili pokvarjeni? No, nekaj stvari je. Robin je izpostavil dejstvo, da so ti podatki vedno v nekakšni bazi podatkov. Tu je kritično sporočilo. Skoraj nihče na tem planetu, za katerega vem, da ima sistem kakršne koli oblike, ne shrani v bazo podatkov. Kar je zanimivo, so v tej bazi podatkov tri različne vrste podatkov. Obstajajo stvari, povezane z varnostjo, kot so uporabniška imena in gesla, ki so ponavadi šifrirane, vendar je vedno veliko primerov, kjer jih ni. O njihovem profilu in podatkih, ki so jih ustvarili, so dejanske informacije o strankah, ne glede na to, ali gre za zdravstveni karton ali e-pošto ali takojšnje sporočilo. In tu je dejansko vgrajena logika, tako da bi to lahko shranili postopki, lahko je cel kup pravil, če je + to + potem + to. In vedno je to samo ASCII besedilo, zataknjeno v bazi podatkov, zelo malo ljudi sedi tam in razmišljajo: "No, to so poslovna pravila. Tako se naši podatki premikajo in nadzirajo, to bi morali potencialno šifrirati, ko je v mirovanju in ko je v gibanje ga morda dešifriramo in ga hranimo v spominu, "ampak v idealnem primeru bi najbrž moralo biti tudi tako.
Vendar se vrnemo k tej ključni točki, da so vsi ti podatki v nekakšni bazi podatkov in bolj pogosto je poudarek, zgodovinsko gledano, na usmerjevalnikih, stikalih in strežnikih ter celo za shranjevanje in ne vedno v bazi podatkov na zadnji del. Ker mislimo, da imamo pokrit rob mreže in nekako, kot navadno staro, nekako živimo v gradu, okoli njega pa postavljate jarek in upate, da slabi fantje ne bodo šli biti sposoben plavati. Toda potem so se nenadoma slabi fantje lotili izdelave podaljšanih lestev in jih vrgli čez jarek ter se povzpeli čez jarek in se povzpeli po stenah. In kar naenkrat je vaš jarek precej neuporaben.
Zdaj smo v scenariju, ko so organizacije v sprintu v načinu dohitevanja. Po mojem mnenju dobesedno špricajo po vseh sistemih, in zagotovo moja izkušnja, saj niso vedno samo ti spletni samorogi, kot jih pogosto omenjamo, pogosteje, ker se kršijo tradicionalne podjetniške organizacije. In ni treba imeti veliko domišljije, da bi ugotovili, kdo so. Obstajajo spletna mesta, kot je eno, imenovano pastebin.net, in če greste na pastebin.net in vtipkate e-poštni seznam ali seznam geslov, boste na koncu na stotine tisoč vnosov na dan dodali, kjer ljudje navajajo primere podatkovnih nizov do tisoč zapisov o imenu, priimku, podrobnostih o kreditni kartici, uporabniškem imenu, geslu, dešifriranih geslih, mimogrede. Kjer lahko ljudje zgrabijo ta seznam, poiščejo tri ali štiri od njih in se odločijo, da bi rad kupil ta seznam in ponavadi obstaja nekakšen mehanizem mehanizma, ki osebi, ki prodaja podatke, zagotavlja nekakšen anonimni prehod.
Zdaj je zanimivo, da ko podružnični podjetnik ugotovi, da lahko to storijo, vam ni treba toliko domišljije, da bi ugotovili, da če porabite 1.000 ameriških dolarjev za nakup enega od teh seznamov, kaj je prva stvar, ki jo naredite z njim? Računov ne greš preizkusiti in slediti, kopijo tega vrneš nazaj na pastbin.net in prodaš dve izvodi po 1000 dolarjev vsak in ustvari 1.000 $ dobička. In to so otroci, ki to počnejo. Po vsem svetu obstaja nekaj izjemno velikih strokovnih organizacij, ki to počnejo za preživetje. Obstajajo celo države, ki napadajo druge države. Veste, veliko se govori o tem, da bi Amerika napadla Kitajsko, Kitajska napadla Ameriko, ni ravno tako preprosto, a vsekakor obstajajo vladne organizacije, ki kršijo sisteme, ki jih nenehno poganjajo baze podatkov. Ne gre samo za malo organizacij, ampak tudi za države. Se vrne k vprašanju, kje so shranjeni podatki? V bazi podatkov je. Kateri nadzorni mehanizmi so tam? Ali pa vedno niso šifrirani, in če so šifrirani, niso vedno vsi podatki, morda je le geslo posoljeno in šifrirano.
Glede tega imamo vrsto izzivov s tem, kaj vsebujejo ti podatki in kako zagotavljamo dostop do podatkov in skladnosti s SOX. Če torej razmišljate o upravljanju z bogastvom ali bančništvu, imate organizacije, ki skrbijo za izziv poverilnic; imate organizacije, ki skrbijo za skladnost v korporativnem prostoru; imate vladno skladnost in regulativne zahteve; zdaj imate scenarije, kjer imamo na voljo baze podatkov; imamo baze podatkov v tretjih podatkovnih centrih; imamo zbirke podatkov v oblačnih okoljih, zato njihova oblačna okolja vedno niso v državi. In to postaja vse večji in večji izziv, ne samo s stališča varnosti, ki ga ne bomo sprejeli, ampak tudi, kako dosežemo vse različne stopnje skladnosti? Ne samo standardov HIPAA in ISO, ampak jih je dobesedno na desetine in desetine na državni, državni in globalni ravni, ki presegajo meje. Če poslujete z Avstralijo, ne morete premikati vladnih podatkov. Avstralski zasebni podatki ne morejo zapustiti države. Če si v Nemčiji, je to še strožje. In vem, da se Amerika zelo hitro loti tega tudi iz različnih razlogov.
A spet me vrne k temu celotnemu izzivu, kako veste, kaj se dogaja v vaši podatkovni bazi, kako jo spremljate, kako veste, kdo počne kaj v bazi, kdo ima poglede na različne tabele in vrstice ter stolpce in polja, kdaj jo berejo, kako pogosto jo berejo in kdo jo spremlja? In mislim, da me to pripelje do moje zadnje točke, preden bom danes izročil našemu gostu, ki nam bo pomagal govoriti o tem, kako rešimo to težavo. Vendar bi rad pustil to misel in to je veliko pozornosti na stroških za podjetja in stroških za organizacijo. In tega vprašanja danes ne bomo podrobneje obravnavali, ampak to bi rad pustil v mislih, da bi razmislil, in to je, da obstaja približno med 135 in 585 ameriškimi dolarji na zapis, ki naj bi ga očistili po kršitvi. Torej je naložba, ki jo vložite v svojo varnost okoli usmerjevalnikov in stikal ter strežnikov, vse dobra in dobra ter požarni zidovi, a koliko ste vložili v varnost svoje baze podatkov?
Ampak to je lažna ekonomija in ko se je nedavno zgodila kršitev Yahooja, in to imam dobro avtoriteto, gre za približno milijardo računov, ne za 500 milijonov. Ko je Verizon kupil organizacijo za nekaj 4, 3 milijarde, je takoj, ko se je kršitev zgodila, zahteval milijardo dolarjev nazaj ali popust. Zdaj, če se ukvarjate z matematiko in pravite, da je bilo okrog milijarde zapisov, ki so bili prekršeni, milijarda dolarjev popusta, ocena od 135 do 535 dolarjev za čiščenje zapisa zdaj postane 1 dolar. Kar je, spet, farsko. Za čiščenje milijarde zapisov ne stane 1 dolarja. Z enim dolarjem na zapis za čiščenje milijarde plošč zaradi kršitve te velikosti. Za tovrstne stroške sploh ne morete dati izjave za javnost. In tako se vedno osredotočamo na notranje izzive.
Toda ena izmed stvari, mislim, in od nas je treba vzeti to zelo resno na ravni podatkovnih baz, zato je to zelo, zelo pomembna tema, o kateri moramo govoriti, in to je, da o človeškem nikoli ne govorimo cestnina. Kakšen je človeški davek na tem mestu? In vzel bom en primer, preden se hitro ovijem. LinkedIn: leta 2012 je bil sistem LinkedIn zlomljen. Bilo je veliko vektorjev in v to se ne bom spuščal. In sto milijonov računov je bilo ukradeno. Ljudje pravijo o 160 odštetih milijonih, a dejansko gre za veliko večje število, lahko bi jih bilo kar približno 240 milijonov. Toda ta kršitev je bila napovedana šele v začetku tega leta. Čez štiri leta je na stotine milijonov zapisov ljudi. Zdaj je bilo nekaj ljudi, ki plačujejo storitve s kreditnimi karticami, in nekateri z brezplačnimi računi. Toda LinkedIn je zanimiv, ker niso le dobili dostopa do podrobnosti vašega računa, če ste bili prekršeni, ampak so dobili tudi dostop do vseh podatkov vašega profila. Torej, s kom ste bili povezani in vse povezave, ki ste jih imeli, in vrste delovnih mest, ki so jih imeli, ter vrste znanj, ki so jih imeli in koliko časa so delali v podjetjih ter vse tovrstne informacije in njihove kontaktne podatke.
Torej, razmislite o izzivu, ki ga imamo pri varovanju podatkov v teh bazah ter samem zagotavljanju in upravljanju sistemov baz podatkov ter o pretoku vplivov, saj človeški cest teh podatkov tam traja štiri leta. In verjetnost, da se bo nekdo na počitnicah nekje v jugovzhodni Aziji pojavil, tam pa imajo svoje podatke že štiri leta. In morda je nekdo kupil avto ali dobil stanovanjsko posojilo ali kupil deset telefonov čez leto na kreditnih karticah, kjer so na teh podatkih ustvarili ponarejeno identifikacijsko številko, ker so bili že štiri leta tam, ker so vam tudi podatki LinkedIn dali dovolj informacij, da ustvarite bančni račun in ponarejeno osebno izkaznico - in stopite na letalo, greste na počitnice, pristanete in vas vržejo v zapor. In zakaj te vržejo v zapor? No, ker so vam ukradli osebno izkaznico. Nekdo si je ustvaril ponarejeno osebno številko in se obnašal kot ti in sto tisoč dolarjev, in to so počeli štiri leta in o tem sploh nisi vedel. Ker je tam zunaj, se je pač zgodilo.
Zato mislim, da nas pripelje do tega temeljnega izziva, kako vemo, kaj se dogaja v naših bazah podatkov, kako ga spremljamo, kako ga spremljamo? Veselim se, ko bom zaslišal, kako so naši prijatelji iz IDERA iznašli rešitev za rešitev tega vprašanja. In s tem bom predal.
Eric Kavanagh: V redu, Ignacio, besedo je tvoje.
Ignacio Rodriguez: V redu. No, dobrodošli vsi. Moje ime je Ignacio Rodriguez, bolj znan kot Iggy. Sem z IDERA in vodjo izdelkov za varnostne izdelke. Res dobre teme, ki smo jih pravkar obravnavali, in resnično moramo skrbeti zaradi kršitev podatkov. Moramo imeti zaostrene varnostne politike, prepoznati moramo ranljivosti in oceniti stopnje varnosti, nadzorovati uporabniška dovoljenja, varnostti nadzorni strežnik in izpolnjevati revizije. V svoji pretekli zgodovini sem opravljal revizije, večinoma na strani Oracle. Nekaj sem jih naredil na SQL Serveru in jih delal z orodji ali v bistvu domačimi skripti, kar je bilo super, vendar morate ustvariti repozitorij in zagotoviti, da je skladišče varno, nenehno pa morate vzdrževati skripte s spremembami od revizorjev, kaj imaš.
Torej, v orodjih, če bi vedel, da je IDERA tam in ima orodje, bi ga verjetno več kot kupil. Kakor koli že, govorili bomo o Varnem. To je eden od naših izdelkov v naši liniji varnostnih izdelkov, kar v bistvu počne, je to, da pogledamo varnostne politike in jih preslikamo v regulativne smernice. Ogledate si lahko celotno zgodovino nastavitev SQL strežnika, v bistvu pa lahko naredite tudi osnovno črto teh nastavitev in nato primerjate s prihodnjimi spremembami. Lahko ustvarite posnetek, ki je osnovna točka vaših nastavitev, nato pa lahko sledite, če je bila katera od teh stvari spremenjena, in vas obvestite, če so spremenjene.
Ena izmed stvari, ki jo dobro počnemo, je preprečevanje varnostnih tveganj in kršitev. Kartica varnostnega poročila omogoča prikaz najboljših varnostnih ranljivosti na strežnikih, nato pa vsako varnostno preverjanje razvrsti kot visoko, srednje ali nizko tveganje. Zdaj je mogoče v teh kategorijah ali varnostnih pregledih vse to spremeniti. Recimo, če imate nekaj kontrol in uporabljate katero izmed predlog, ki jih imamo, in se odločite, no, naši nadzori res kažejo ali želijo, da ta ranljivost res ni velika, ampak medij, ali obratno. Morda imate nekatere, ki so označeni kot srednje, vendar v vaši organizaciji nadzor, ki ga želite označiti, ali menite, da je visok, vse te nastavitve lahko nastavi uporabnik.
Drugo kritično vprašanje, ki ga moramo preučiti, je prepoznavanje ranljivosti. Razumevanje, kdo ima dostop do tega, in prepoznati vsake uporabniške učinkovite pravice v vseh objektih SQL Server. Z orodjem bomo lahko šli skozi in si ogledali pravice za vse predmete SQL Server in kmalu bomo videli posnetek zaslona. Prav tako poročamo in analiziramo dovoljenja za uporabnike, skupine in vloge. Ena izmed drugih lastnosti je, da posredujemo podrobna poročila o varnostnem tveganju. Imamo neobičajna poročila in vsebuje prilagodljive parametre za ustvarjanje vrst poročil in prikaz podatkov, ki jih potrebujejo revizorji, varnostniki in upravniki.
Kot sem že omenil, lahko primerjamo tudi spremembe varnosti, tveganja in konfiguracije. In to s posnetki. Te posnetke lahko nastavite, kolikor jih želite - mesečno, četrtletno in letno -, ki jih je mogoče načrtovati znotraj orodja. In spet lahko naredite primerjave, da vidite, kaj se je spremenilo in kaj je lepo v tem, če bi imeli kršitev, bi lahko ustvarili posnetek, ko je bil odpravljen, naredite primerjavo in videli bi, da je obstajal visok nivo tveganje, povezano s prejšnjim posnetkom in nato poročite, dejansko vidite v naslednjem posnetku, potem ko je bilo popravljeno, da ni več težava. To je dobro revizijsko orodje, ki ga lahko daste revizorju, poročilo, ki ga lahko daste revizorjem in rečete: "Poglejte, tveganje smo imeli, ublažili smo ga in zdaj to ni več tveganje." In, spet, ki je omenjen s posnetki, na katere lahko opozorite, ko se konfiguracija spremeni, in če se konfiguracija spremeni in so odkrite, ki predstavljajo novo tveganje, boste o tem tudi obveščeni.
Z našo arhitekturo SQL Server dobimo nekaj vprašanj s programom Secure in želim popraviti diapozitiv tukaj, kjer piše "Zbirka storitev." Nimamo nobenih storitev, moralo bi biti "Upravljanje in zbirka strežnik. “Imamo konzolo in nato strežnik za upravljanje in zbiranje in imamo zajem brez agentov, ki bo šel v baze podatkov, ki so bili registrirani, in zbirajo podatke prek delovnih mest. In imamo skladišče SQL Server in delamo skupaj s storitvami poročanja SQL Server, da razporejamo poročila in ustvarjamo tudi poročila po meri. Zdaj na varnostni kartici poročila je to prvi zaslon, ki se bo prikazal, ko se zažene SQL Secure. Zlahka boste videli, katere kritične elemente ste odkrili. In spet imamo vrhunce, srednjo in nizko. In potem imamo tudi politike, ki so v skladu s posebnimi varnostnimi pregledi. Imamo predlogo HIPAA; imamo predloge za zaščito ravni 1, 2 in 3 IDERA; imamo PCI smernice. Vse to so predloge, ki jih lahko uporabite in znova lahko ustvarite tudi svojo predlogo na podlagi lastnih kontrol. In spet so spremenljive. Lahko ustvarite svojo. Kot osnovno črto lahko uporabite katero koli od obstoječih predlog, nato pa jih lahko spremenite po želji.
Ena izmed lepih stvari je videti, kdo ima dovoljenja. In s tem zaslonom bomo lahko videli, kakšne so prijave v SQL Server v podjetju, in si boste lahko ogledali vse dodeljene in učinkovite pravice in dovoljenja v strežniški bazi podatkov na ravni objekta. To počnemo tukaj. Ponovno boste lahko izbrali baze podatkov ali strežnike, nato pa lahko izvlekli poročilo o dovoljenjih SQL Server. Tako lahko vidimo, kdo ima do česa dostop. Še ena prijetna funkcija je, da boste lahko primerjali varnostne nastavitve. Recimo, da ste imeli standardne nastavitve, ki jih je bilo treba nastaviti v vašem podjetju. Nato boste lahko primerjali vse svoje strežnike in videli, katere nastavitve so bile nastavljene za druge strežnike v vašem podjetju.
Spet predloge politike, to so nekatere predloge, ki jih imamo. V bistvu spet uporabite eno od teh, ustvarite svojo. Ustvarite lahko svojo politiko, kot je prikazano tukaj. Uporabite eno od predlog in jih po potrebi lahko spremenite. Prav tako si lahko ogledamo učinkovite pravice SQL Serverja. To bo preverilo in dokazalo, da so dovoljenja za uporabnike in vloge pravilno nastavljena. Spet lahko greste tja in pogledate ter vidite in preverite, ali so dovoljenja pravilno nastavljena za uporabnike in vloge. Nato s pravicami dostopa do objekta SQL Server lahko brskate in analizirate objektno drevo SQL Server navzdol od ravni strežnika navzdol do vlog in končnih točk na ravni objekta. In takoj si lahko na ravni predmeta ogledate dodeljena in učinkovita podedovana dovoljenja in lastnosti, povezane z zaščito. To vam omogoča dober vpogled v dostop do objektov v vaši bazi podatkov in do njih do njih.
Spet imamo svoja poročila, ki jih imamo. So poročila v pločevinkah, na voljo imamo več, med katerimi lahko izbirate, če želite poročati. In veliko tega lahko prilagodite ali pa imate svoja poročila o strankah in jih uporabite skupaj s storitvami poročanja in lahko od tam ustvarite svoja poročila po meri. Zdaj Primerjave posnetkov, to je precej kul funkcija, mislim, da lahko greš tja in lahko primerjaš posnetke, ki ste jih posneli, in pogledate, ali je prišlo do razlik v številu. Ali so dodani kakšni predmeti, so se spremenila dovoljenja in kaj bi lahko videli, kakšne spremembe so bile izvedene med različnimi posnetki. Nekateri si bodo to ogledali na mesečni ravni - naredili bodo mesečni posnetek in nato vsak mesec primerjali, da bi videli, ali se je kaj spremenilo. In če ne bi bilo ničesar, kar bi moralo biti spremenjeno, karkoli, kar bi šlo na sestanke za nadzor sprememb, in vidite, da so bila spremenjena nekatera dovoljenja, se lahko vrnete nazaj in pogledate, kaj se je zgodilo. Tu je lepa funkcija, kjer lahko ponovno primerjate vse, kar je opravljeno v posnetku.
Nato vaša primerjava ocene. To je še ena lepa lastnost, kjer lahko greš tja in pogledaš ocene, nato pa jih primerjaš in opaziš, da je primerjava tukaj imela SA račun, ki ni bil onemogočen v tem zadnjem posnetku, ki sem ga naredil - to je zdaj popravljen. To je zelo lepa stvar, kjer lahko pokažete, da smo v redu imeli nekaj tveganja, prepoznali so jih z orodjem in zdaj smo ta tveganja zmanjšali. In še enkrat, to je dobro poročilo, ki revizorjem pokaže, da so bila ta tveganja dejansko ublažena in za njih poskrbljeno.
Če povzamemo, varnost podatkovnih baz je kritična, in mislim, da velikokrat pogledamo kršitve, ki prihajajo iz zunanjih virov, včasih pa resnično ne posvečamo preveč pozornosti notranjim kršitvam in to je nekaj, kar treba paziti. In Secure vam bo tam pomagal zagotoviti, da ni nobenih privilegij, ki jih ni treba dodeliti, veste, poskrbite, da bodo vse te varnosti pravilno nastavljene na račune. Poskrbite, da bodo v vaših računih SA gesla. Preverite tudi, ali so bili vaši šifrirni ključi že izvoženi? Samo več različnih stvari, za katere preverimo, in opozorili vas bomo na dejstvo, ali je prišlo do težave in na kakšni stopnji. Potrebujemo orodje, veliko strokovnjakov potrebuje orodja za upravljanje in spremljanje dovoljenj za dostop do baz podatkov in pravzaprav gledamo na zagotavljanje obsežne zmogljivosti za nadzor dovoljenj do baze podatkov in sledenje dejavnosti dostopa ter za zmanjšanje tveganja kršitve.
Zdaj je še en del naših varnostnih izdelkov ta, da je bil zajet WebEx in del predstavitve, o kateri smo govorili prej, so bili podatki. Veste, kdo ima kaj, kaj imate, in to je naše orodje za upravljanje skladnosti SQL. In v tem orodju je posnet WebEx, ki vam bo dejansko omogočil spremljanje, kdo dostopa do tabel, v katerih stolpcih, lahko prepoznate tabele z občutljivimi stolpci, glede na datum rojstva, podatke o bolniku, te vrste tabel in dejansko vidimo, kdo ima dostop do teh informacij in če do njega dostopa.
Eric Kavanagh: V redu, zato pojdimo v vprašanja, verjetno tukaj. Mogoče, Dez, ti ga najprej vrnem in Robin, kolikor lahko.
Dez Blanchfield: Ja, s srbenjem sem postavil vprašanje z drugega in tretjega diapozitiva. Kakšen je običajni primer uporabe za to orodje? Kdo so najpogostejši tipi uporabnikov, ki to sprejemajo in uvajajo? In na hrbtni strani tega, tipičnega, nekakšnega modela primera, kako to počnejo? Kako se izvaja?
Ignacio Rodriguez: V redu, tipičen primer uporabe so DBA-ji, ki jim je dodeljena odgovornost nadzora dostopa do baze podatkov, ki skrbijo, da so vsa dovoljenja nastavljena tako, kot morajo biti, in nato spremljajo, ter njihovi standardi na mestu. Veste, ti določeni uporabniški računi imajo lahko dostop samo do teh posebnih tabel, itd. In s tem se trudijo, da so ti standardi postavljeni in se ti standardi skozi čas niso spremenili. In to je ena od velikih stvari, s katerimi se ljudje poslužujejo, je, da izsledijo in ugotovijo, ali se izvajajo kakšne spremembe, o katerih ne vemo.
Dez Blanchfield: Ker so strašljivi, kajne? Ali imate morda, recimo, strateški dokument, imate politike, na katerih temeljijo, pod njim imate skladnost in upravljanje in sledite politikam, upoštevate upravljanje in dobiva zeleno luč in potem nenadoma kakšen mesec kasneje nekdo uvede spremembo in iz nekega razloga ne gre skozi isti odbor za pregled sprememb ali postopek sprememb, ali karkoli že bi bilo, ali se je projekt šele nadaljeval in nihče ne ve.
Ali imate kakšne primere, ki jih lahko delite - in vem, očitno ni vedno nekaj, kar delite, ker stranke malo skrbijo o tem, zato nam ni treba nujno navajati imen - vendar nam navedite primer, kje bi morda to dejansko videli, veste, organizacija je to postavila na svoje mesto, ne da bi se tega zavedala, in le našli so nekaj in spoznali: "Vau, bilo je vredno desetkrat, našli smo nekaj, česar nismo spoznali." kateri koli primer, ko so ljudje to izvedli in nato odkrili, da imajo večji problem ali resnično težavo, za katero niso vedeli, da jo imajo, in potem se takoj doda na seznam božičnih voščilnic?
Ignacio Rodriguez: No, mislim, da je največ, kar smo videli ali poročali, to, kar sem pravkar omenil, kar zadeva dostop, ki ga je imel nekdo. Obstajajo razvijalci in ko so uporabili orodje, zares niso ugotovili, da ima X veliko teh razvijalcev toliko dostopa do baze in dostop do določenih predmetov. Še ena stvar pa so računi samo za branje. Obstajali so nekateri računi samo za branje, ugotovite, ali so ti računi samo za branje, tudi vstavili so podatke in izbrisali privilegije. Tu smo videli nekaj koristi za uporabnike. Ponovno je velika stvar, da smo slišali, da je ljudem všeč, da lahko spet spremljamo spremembe in poskrbimo, da jih nič ne zaslepi.
Dez Blanchfield: Kot je poudaril Robin, imate scenarije, ki jih ljudje pogosto ne razmišljajo, kajne? Ko se veselimo, nekako mislimo, veste, če delamo vse po pravilih, in ugotovim, in prepričan sem, da tudi vi to vidite - povejte mi, če se s tem ne strinjate - organizacije se tako osredotočijo močno razvijajo strategijo in politiko ter usklajenost in upravljanje ter KPI in poročanje, da se na to pogosto tako omejijo, da ne razmišljajo o odvajalcih. In Robin je imel res odličen primer, ki mu ga bom ukradel - oprostite Robin, - ampak primer je kdaj drugič, ko živim kopijo baze podatkov, posnetkom in postavim v testni razvoj, kajne? Dev naredimo, naredimo teste, naredimo UAT, naredimo sistemsko integracijo, vse to in nato naredimo še kup preizkusov skladnosti. Pogosto test razvijalcev, UAT, SIT ima na sebi dejansko komponento skladnosti, pri kateri se samo prepričamo, ali je vse zdravo in varno, vendar tega ne počnejo vsi. Ta primer, ki ga je Robin dal s kopijo žive kopije baze podatkov, ki je bila preizkušena z razvojnim okoljem, da bi ugotovila, ali še vedno deluje s podatki v živo. Zelo malo podjetij sedi in pomisli: »Ali se to sploh zgodi ali je to mogoče?« Vedno so pritrjeni na proizvodne stvari. Kako izgleda pot izvedbe? Govorimo o dnevih, tednih, mesecih? Kako izgleda običajna uporaba za organizacijo povprečne velikosti?
Ignacio Rodriguez: Dnevi. To sploh ni dnevi, mislim, samo nekaj dni. Pravkar smo dodali funkcijo, kjer lahko registriramo veliko, veliko strežnikov. Namesto da bi morali v orodje iti tja in reči, da ste imeli 150 strežnikov, ste morali tam vstopati posamično in jih registrirati - zdaj vam tega ni treba storiti. Ustvarite datoteko CSV, ki jo samodejno odstranimo in je zaradi varnosti ne hranimo tam. Toda to moramo upoštevati še to, ali boste imeli tam datoteko CSV z uporabniškim imenom / geslom.
Kar počnemo, je samodejno, ali ga znova izbrišemo, a to je možnost, ki jo imate. Če želite posamično iti tja in jih registrirati in ne želite tvegati, potem lahko to storite. Če pa želite uporabiti datoteko CSV, jo postavite na varno mesto, usmerite aplikacijo na to lokacijo, zažene to datoteko CSV in nato samodejno nastavi to datoteko, ko bo končana. Pojdite in se prepričajte, ali je datoteka odstranjena. Najdaljši drog v mivki, ki smo ga imeli do implementacije, je bila registracija dejanskih strežnikov.
Dez Blanchfield: V redu. Zdaj ste govorili o poročilih. Ali nam lahko predstavite malo več podrobnosti in vpogleda v tisto, kar je vnaprej sestavljeno v zvezi s poročanjem okrog, mislim, sestavnega dela odkritja, da pogledamo, kaj je tam, in poročamo o tem, trenutno stanje naroda, kaj je pred- zgrajena in vnaprej pripravljena do poročil o trenutnem stanju skladnosti in varnosti, nato pa, kako enostavno jih je mogoče razširiti? Kako gradimo na teh?
Ignacio Rodriguez: V redu. Nekatera poročila, ki jih imamo, imamo poročila, ki se ukvarjajo z med strežnikom, preverjanjem prijav, filtri za zbiranje podatkov, zgodovino dejavnosti in nato poročili o oceni tveganja. In tudi vsi računi Windows s sumom. Tu je veliko, veliko. Oglejte si prijave sumljivih SQL, prijav v strežnik in preslikavo uporabnikov, uporabniška dovoljenja, vsa dovoljenja uporabnikov, vloge strežnika, vloge baze podatkov, nekaj ranljivosti, ki jo imamo ali poročila za preverjanje pristnosti v mešanem načinu, baze podatkov z omogočanjem gostov, ranljivost OS z XPS, razširjene postopke, in nato ranljive fiksne vloge. To je nekaj poročil, ki jih imamo.
Dez Blanchfield: In omenili ste, da so dovolj pomembni in da jih je veliko, kar je logična stvar. Kako enostavno sem ga prilagoditi? Če vodim poročilo in dobim tako velik velik graf, vendar želim vzeti nekaj kosov, ki me pravzaprav ne zanimajo, in dodati še nekaj drugih funkcij, ali obstaja pisatelj poročil, ali obstaja kakšen vmesnik in orodje za konfiguriranje in prilagajanje ali celo potencialno izdelavo novega poročila iz nič?
Ignacio Rodriguez: Uporabnike bi nato usmerili, naj za to uporabljajo storitve Microsoft SQL Report Services, in imamo veliko strank, ki bodo dejansko delale nekatera poročila, jih prilagodile in načrtovale, kadar koli bodo želele. Nekateri od teh fantov si želijo ta poročila ogledati mesečno ali tedensko in informacije, ki jih imamo, bodo prevzeli, jih prenesli v storitve poročanja in nato naredili od tam. Nimamo orodja za pisanje poročil, ki je integrirano z našim orodjem, vendar izkoriščamo storitve poročanja.
Dez Blanchfield: Mislim, da je to največji izziv pri teh orodjih. Lahko pridete tja in poiščete stvari, potem pa jih morate imeti možnost, da jih potegnete ven, in jih prijavite ljudem, ki niso nujno DBA in sistemski inženirji. Po mojih izkušnjah je zanimiva vloga, in to je, veste, policisti za tveganje so bili vedno v organizacijah in so bili večinoma okoli, in povsem drugačen obseg tveganj, ki smo ga videli v zadnjem času, medtem ko zdaj s podatki če CRO niso postale stvar, ampak dejanski cunami, se je CRO od zdaj, kot veste, odpravila na področje človekovih pravic in usklajenosti ter na področju varnosti in zdravja pri delu, usmerila v kibernetsko tveganje. Veste, kršitev, kramp, varnost - veliko več tehničnega. In to je zanimivo, ker obstaja veliko CRO-jev, ki izvirajo iz rodoslovja MBA in ne tehničnega rodovnika, zato jim je treba nekako na glavo, kaj to pomeni za prehod med kibernetskim tveganjem, da se premakne na CRO in tako naprej. Toda velika stvar, ki jo želijo, je samo poročanje o vidnosti.
Nam lahko poveste karkoli glede pozicioniranja glede skladnosti? Očitno je ena od velikih prednosti tega, da lahko vidite, kaj se dogaja, lahko spremljate, se lahko učite, lahko o tem poročite, lahko na to odreagirate, nekatere stvari lahko celo opustite. Splošni izziv je skladnost upravljanja. Ali obstajajo ključni deli tega, ki se namerno povezujejo z obstoječimi zahtevami skladnosti ali skladnostjo industrije, kot je PCI, ali kaj podobnega trenutno ali je to nekaj, kar se spusti v načrt? Se nekako ujema v okvir standardov COBIT, ITIL in ISO? Če nam to orodje namesti, nam poda vrsto preverjanj in ravnotežij, ki ustrezajo tem okvirom, ali kako ga vgradimo v te okvire? Kje je položaj ob takšnih stvareh v mislih?
Ignacio Rodriguez: Da, imamo predloge, ki jih dobimo z orodjem. In spet smo prišli do točke, ko prenavljamo svoje predloge in dodajamo, kmalu pa bo prišlo še več. FISMA, FINRA, nekaj dodatnih predlog, ki jih imamo, in običajno predloge pregledamo in pogledamo, kaj se je spremenilo, kaj moramo dodati? In pravzaprav želimo priti do točke, ko se, veste, varnostne zahteve precej spremenijo, zato iščemo način, kako narediti to razširljivo možnost na tekočem. To je nekaj, kar gledamo v prihodnosti.
Trenutno pa si ogledamo, ali morda predloge ustvarjamo in jih lahko dobimo s spletnega mesta; jih lahko prenesete In tako ravnamo s tem - ravnamo z njimi prek predlog in tukaj v prihodnosti iščemo načine, kako to hitro in hitro razširiti. Ker ko sem delal revizijo, se stvari spreminjajo. En revizor bi prišel en mesec, naslednji mesec pa bi radi videli nekaj drugega. Potem je to eden od izzivov z orodji, to je, da lahko spremenimo te spremembe in dobimo tisto, kar potrebuješ, in to je vrsta, kamor želimo priti.
Dez Blanchfield: Mislim, da se revizorjev izziv redno spreminja glede na to, da se svet giblje hitreje. Nekoč bi bila zahteva z revizijskega vidika po mojih izkušnjah zgolj čista komercialna skladnost, potem pa je postala tehnična skladnost in zdaj operativna skladnost. In obstaja še vse to, veste, vsak dan se nekdo pojavi in vas ne meri samo na način, kot sta ISO 9006 in 9002, ampak gleda na vse stvari. In vidim, da je 38.000 serij postalo velika stvar tudi v ISO. Predstavljam si, da bo to postalo vse bolj zahtevno. Bom izročil Robinu, ker sem pregnal pasovno širino.
Najlepša hvala za to, in zagotovo bom porabil več časa za to, da se spoznam, ker se pravzaprav nisem zavedal, da je v resnici to zelo poglobljeno. Hvala, Ignacio, zdaj bom šel Robinu. Odlična predstavitev, hvala. Robin, čez tebe.
Dr. Robin Bloor: Ok Iggy, poklical vas bom Iggy, če je to v redu. Kar me muči, in mislim, da glede na nekatere stvari, ki jih je Dez povedal v svoji predstavitvi, se tam dogaja grozno, za katere morate reči, da ljudje res ne skrbijo za podatke. Veste, še posebej, če gre za to, da vidite le del ledene gore in verjetno se marsikaj dogaja, da nihče ne poroča. Zanima me vaša perspektiva o tem, koliko strank, ki jih poznate, ali potencialnih strank, ki jih poznate, ima raven zaščite, ki jo nekako ponujate, ne samo s tem, pa tudi vaša tehnologija za dostop do podatkov? Mislim, kdo je tam primerno opremljen za spopadanje z grožnjo, je vprašanje?
Ignacio Rodriguez: Kdo je pravilno opremljen? Mislim, veliko kupcev, ki jih resnično nismo obravnavali, se zavedate. Imeli so jih nekaj, a velika stvar je, da poskušajo biti v koraku s tem in ga poskušajo vzdrževati in poskrbeti. Veliko vprašanje, ki smo ga videli, je - in čeprav ga imam, ko sem izvajal skladnost, - če bi izvajali svoje skripte, bi to storili enkrat na četrtletje, ko bi prišli revizorji in ste ugotovili težavo. No, uganite kaj, to je že prepozno, revizija je tam, revizorji so tam, želijo svoje poročilo, to označijo. In potem bodisi dobimo oceno bodisi so nam rekli, hej, te težave moramo odpraviti, in tu bi prišlo do tega. Šlo bi bolj za proaktivno vrsto, kjer lahko najdete tveganje in zmanjšate tveganje. kaj iščejo naše stranke. Način, da bi bili nekoliko proaktivni, v nasprotju z reaktivnostjo, ko revizorji pridejo in najdejo nekaj dostopov, niso tam, kjer bi morali biti, drugi ljudje imajo upravne privilegije in jih ne bi smeli imeti, take vrste stvari. In tam smo videli veliko povratnih informacij, da je ljudem to orodje všeč in ga uporabljajo.
Dr Robin Bloor: V redu, še eno vprašanje, ki ga imam, je v določenem smislu tudi očitno vprašanje, vendar sem samo radoveden. Koliko ljudi dejansko prihaja k tebi zaradi heca? Kje veste, poslujete, ne zato, ker so pogledali njihovo okolje in ugotovili, da jih je treba zavarovati na veliko bolj organiziran način, ampak dejansko ste tam, ker so že trpeli nekaj bolečina.
Ignacio Rodriguez: V času, ko sem v IDERI, ga še nisem videl. Iskreno povedano, večina interakcij s strankami, s katerimi sem sodeloval, se bolj veseli in poskušam začeti revidirati in se ukvarjati s privilegiji, etcetera. Kot sem že rekel, tudi jaz v svojem času tukaj nisem doživel, da smo imeli nekoga, ki bi prišel po kršitvi, ki ga poznam.
Dr. Robin Bloor: Oh, to je zanimivo. Mislim, da bi jih bilo vsaj nekaj. To pravzaprav gledam, pa tudi dodajam vse zapletenosti, ki dejansko zagotavljajo varnost podatkov v podjetju na vse načine in v vseh dejavnostih. Ali neposredno ponujate svetovanje za pomoč ljudem? Mislim, jasno je, da lahko kupite orodja, vendar po mojih izkušnjah pogosto ljudje kupujejo prefinjena orodja in jih zelo slabo uporabljajo. Ponujate konkretno svetovanje - kaj storiti, koga trenirati in podobne stvari?
Ignacio Rodriguez: Obstajajo nekatere storitve, ki bi lahko, kar zadeva podporne storitve, omogočile, da se nekatere pojavijo. Kar pa se tiče svetovanja, ne nudimo nobenih svetovalnih storitev, ampak usposabljanja, veste, kako uporabljati takšna orodja in podobne stvari, nekatere od njih bi bile obravnavane s stopnjo podpore. Toda sami po sebi nimamo oddelka za storitve, ki bi to storil.
Dr. Robin Bloor: V redu. Kar zadeva bazo podatkov, ki jo pokrivate, tukajšnja predstavitev omenja Microsoft SQL Server - ali počnete tudi Oracle?
Ignacio Rodriguez: Najprej se bomo širili v področje Oracle z upraviteljem skladnosti. S tem bomo začeli projekt, zato bomo to razširili v Oracle.
Dr. Robin Bloor: In verjetno boste šli drugam?
Ignacio Rodriguez: Ja, to je nekaj, kar moramo pogledati v časovnih načrtih in videti, kako so stvari, toda to so nekatere stvari, o katerih razmišljamo, katere druge platforme baz podatkov moramo tudi napadati.
Dr. Robin Bloor: Tudi mene je zanimala ločitev, o tem še nimam nobene vnaprejšnje slike, toda glede uvajanja, koliko tega je dejansko nameščenega v oblaku ali pa je skoraj vse na mestu ?
Ignacio Rodriguez: Vse na mestu. Gledamo tudi razširitev Secure in zajema Azure, ja.
Dr Robin Bloor: To je bilo vprašanje Azure, tam še niste, toda tam grete, ima veliko smisla.
Ignacio Rodriguez: Ja, tam gremo zelo kmalu.
Dr. Robin Bloor: Ja, Microsoftovo razumevanje je, da se z Microsoft SQL Serverjem v Azureu dogaja zelo veliko. Če želite, postane ključni del tega, kar ponujajo. Drugo vprašanje, ki me nekako zanima - ni tehnično, je bolj kot vprašanje, kako se lotite - kdo je kupec tega? Ali se obrnete na oddelek za informacijsko tehnologijo ali se obrnete na OCD ali gre za različne vrste ljudi? Ko se kaj takega razmišlja, ali je to del pogleda na celo vrsto stvari za varstvo okolja? Kakšna je situacija tam?
Ignacio Rodriguez: To je mešanica. Imamo organizacije civilne družbe, velikokrat se bo prodajna ekipa obrnila in se pogovorila z DBA. In potem so bili znova pooblaščeni akterji pooblaščenih strank z uvedbo nekakšnih politik revizijskih postopkov. Nato bodo od tam ocenili orodja in poročali o verigi ter se odločili, kateri del bodo želeli kupiti. Ampak to je mešana vrečka, kdo nas bo kontaktiral.
Dr. Robin Bloor: V redu. Mislim, da se bom zdaj vrnil Eriku, ker smo nekako opravili uro, toda morda bo nekaj vprašanj občinstva. Eric?
Eric Kavanagh: Zagotovo, tukaj smo pregoreli veliko dobrih vsebin. Tu je eno res dobro vprašanje, ki vam ga bom vrnil od enega od prisotnih. Govori o blockchainu in o čem govorite in sprašuje, ali je mogoče del delovne baze SQL migracije, ki je samo za branje, premakniti na nekaj podobnega, kot to ponuja blockchain? Je nekako težka.
Ignacio Rodriguez: Ja, iskrena bom z vami, na to nimam odgovora.
Eric Kavanagh: Prestavil ga bom Robinu. Ne vem, če ste slišali to vprašanje, Robin, toda samo se sprašuje, ali je mogoče premakniti del podatkovne baze SQL, ki je samo za branje, na nekaj podobnega, kot to ponuja blockchain? Kaj meniš o tem?
Dr. Robin Bloor: Če boste migrirali bazo podatkov, boste tudi preselili promet v bazi. Pri tem je cela vrsta zapletenosti. Vendar tega ne bi storili iz nobenega drugega razloga, kot da bi podatke naredili nedotakljive. Ker bo blockchain počasnejši do dostopa, torej, veste, če je hitrost vaša stvar - in skoraj vedno je stvar - potem tega ne bi počeli. Če pa bi želeli omogočiti nekakšen šifriran dostop do dela tega dela nekaterim, ki to počnejo, bi to lahko storili, vendar bi morali imeti zelo dober razlog. Veliko bolj verjetno je, da ga boste pustili tam, kjer je, in ga zavarovali tam, kjer je.
Dez Blanchfield: Ja, strinjam se s tem, če lahko hitro tehtam. Mislim, da je izziv blockchaina, tudi blockchaina, ki je javno tam, uporabljen na bitcoinu - težko ga je obseg preseči, nekako, štiri transakcije na minuto v celoti razdeljen. Ne le zaradi računalniškega izziva, čeprav je tam, polna vozlišča pa so le težko spremljati količino podatkovne baze, ki se premika nazaj in naprej, in količino podatkov, ki se kopirajo, ker gre zdaj za koncerte, ne samo za megs.
Prav tako pa mislim, da je ključni izziv, da morate spremeniti arhitekturo aplikacije, saj v bazi podatkov pretežno prihaja vse do osrednje lokacije in imate tak model tipa odjemalec-strežnik. Blockchain je obratna; gre za razdeljene kopije. V mnogih pogledih je bolj kot BitTorrent in to je, da je veliko kopij tam enakih podatkov. In, veste, tako kot Cassandra in zbirke podatkov v pomnilniku, kamor jih distribuirate, vam lahko veliko strežnikov iz distribuiranega indeksa da kopije istih podatkov. Mislim, da sta dva ključna dela, kot ste rekli, Robin: ena, če jo želite zavarovati in se prepričati, da je ni mogoče ukrasti ali vdreti, je to odlično, vendar še vedno ni nujno, da gre za transakcijsko platformo, in mi sem to doživel s projektom bitcoin. Toda v teoriji so ga drugi rešili. Tudi arhitekturno veliko aplikacij tam preprosto ne ve, kako poizvedovati in brati iz blockchaina.
Tam je treba veliko dela. Mislim pa, da je ključna točka tamkajšnjega vprašanja, če le smem, utemeljitev, da ga prestavimo v blockchain, mislim, da je vprašanje, ki ga zastavljamo, ali lahko vzamete podatke iz baze podatkov in jih postavite v neko obliko, ki je bolj varna? In odgovor je, da ga lahko pustite v bazi podatkov in ga preprosto šifrirate. Tehnologij je zdaj veliko. Samo šifrirajte podatke v mirovanju ali v gibanju. Ni razloga, da ne morete imeti šifriranih podatkov v pomnilniku in bazi podatkov na disku, kar je veliko bolj preprost izziv, ker nimate ene same arhitekturne spremembe. Nepomembno večino platform baz podatkov je pravzaprav le funkcija, ki se omogoči.
Eric Kavanagh: Ja, imamo še zadnje vprašanje, Iggy. Precej dobra. Kakšen davek je z vidika SLA in načrtovanja zmogljivosti uporabljen v vašem sistemu? Z drugimi besedami, kakršne koli dodatne zamude ali previsoke pretočnosti, če želi v sistem proizvodnih baz nekdo vključiti tehnologijo IDERA?
Ignacio Rodriguez: Resnično ne vidimo veliko vpliva. Spet gre za izdelek brez agentov in vse je odvisno od, kot sem že omenil, posnetkov. Varnost temelji na posnetkih. Tam bo šel in ustvaril delo, ki bo šlo tam na podlagi izbranih intervalov. Ali želite to storiti, spet, tedensko, dnevno, mesečno. Tam bo šel in izvršil to opravilo in nato zbral podatke iz primerkov. V tem trenutku se nato obremenitev vrne v storitve upravljanja in zbiranja, ko enkrat začnete izvajati primerjave in vse to, obremenitev baze podatkov pri tem ne igra nobene vloge. Vse to obremenitev je zdaj na strežniku za upravljanje in zbiranje, kar se tiče primerjav in vsega poročanja in vsega tega. Edini čas, ko udarite v bazo podatkov, je vedno, ko dela dejanski posnetek. In še nismo poročali o tem, da bi resnično škodoval proizvodnim okoljem.
Eric Kavanagh: Ja, to je res dobra točka. V bistvu lahko samo določite, koliko slik boste kdaj posneli, kakšen je časovni interval in odvisno od tega, kaj se lahko zgodi, vendar je to zelo inteligentna arhitektura. To je dobro, človek. No, fantje ste na prvem mestu in nas poskušajo zaščititi pred vsemi hekerji, o katerih smo govorili v prvih 25 minutah oddaje. In tam so, ljudje, ne bo pomote.
No, poslušajte, povezavo do te spletne oddaje, arhivov, bomo objavili na našem spletnem mestu insideanalysis.com. Stvari lahko najdete na SlideShare, najdete jih na YouTubu. In ljudje, dobre stvari. Hvala za tvoj čas, Iggy, mimogrede obožujem tvoj vzdevek. S tem se bomo poslovili, ljudje. Najlepša hvala za vaš čas in pozornost. Naslednjič vas bomo dohiteli. Adijo.
