La pachet: Gazda Eric Kavanagh discută despre securitate și permisiuni cu Dr. Robin Bloor și IDERAs Vicky Harp.
În prezent nu sunteți autentificat. Vă rugăm să vă conectați sau să vă înregistrați pentru a vedea videoclipul.
Eric Kavanagh: OK, doamnelor și domnilor, salut și bineveniți din nou. Este o miercuri, cele patru sale orientale și în lumea tehnologiilor de întreprindere, ceea ce înseamnă încă o dată timpul pentru Hot Technologies! Da, întradevăr. Prezentat de Grupul Bloor, bineînțeles, susținut de prietenii noștri de la Techopedia. Subiectul de astăzi este unul cu adevărat interesant: „Mai bine să solicitați permisiunea: cele mai bune practici pentru confidențialitate și securitate”. Așa este, un fel de subiect dificil, o mulțime de oameni vorbesc despre asta, dar este unul destul de serios și într-adevăr devine mai serios în fiecare zi, destul de sincer. Este o problemă gravă în multe privințe pentru multe organizații. Aveam de gând să vorbesc despre asta și aveam de gând să vorbim despre ce poți face pentru a-ți proteja organizația de personajele nefaste care par a fi peste tot în aceste zile.
Așa că prezentatoarea de astăzi este Vicky Harp apelând de la IDERA. Puteți vedea IDERA Software pe LinkedIn - Îmi place noua funcționalitate pe LinkedIn. Deși pot spune că trag anumite șiruri în anumite moduri, nu vă permit să accesați oameni, încercând să vă determină să cumpărați acele membri premium. Acolo te duci, avem chiar propriul nostru Robin Bloor, care face apeluri - chiar de fapt în zona din San Diego astăzi. Și al tău cu adevărat ca moderator / analist.
Deci despre ce vorbim? Încălcări ale datelor. Tocmai am luat aceste informații de pe IdentityForce.com, deja în cursele sale. Au fost în cursul lunii mai a acestui an și, doar, o tonă de încălcări ale datelor, există unele foarte mari, desigur, de către Yahoo! a fost unul mare și am auzit despre desigur că guvernul american a fost hacked. Tocmai am avut piratele din alegerile franceze.
Acest lucru se întâmplă peste tot, continuând și nu se va opri, deci este o realitate, noua ei realitate, așa cum spun ei. Avem nevoie cu adevărat să ne gândim la modalități de a impune securitatea sistemelor noastre și a datelor noastre. Și este un proces continuu, deci este la timp doar să ne gândim la toate problemele care vin în joc. Aceasta este doar o listă parțială, dar aceasta vă oferă o perspectivă asupra cât de precară este situația din zilele noastre cu sistemele de întreprindere. Și înainte de această emisiune, în banterul pre-show am vorbit despre ransomware-ul care a lovit pe cineva pe care îl cunosc, ceea ce este o experiență foarte neplăcută, când cineva preia iPhone-ul și îți cere bani pentru a putea accesa înapoi telefonul. Dar se întâmplă, se întâmplă cu calculatoarele, se întâmplă și cu sistemele, am văzut chiar a doua zi, se întâmplă cu miliardarii cu iahturile lor. Imaginați-vă că mergeți la iahtul dvs. într-o zi, încercați să vă impresionați toți prietenii și nu puteți chiar să-l porniți, pentru că un hoț a furat accesul la comenzi, la panoul de control. Tocmai am spus că a doua zi într-un interviu cuiva, să ai întotdeauna o înlocuire manuală. Cum ar fi, nu sunt un mare fan al tuturor mașinilor conectate - chiar și mașinile pot fi hackate. Orice este conectat la internet sau conectat la o rețea care poate fi pătrunsă poate fi hacked, orice.
Iată, așadar, doar câteva elemente de luat în considerare în ceea ce privește încadrarea situației în care situația este gravă. Sistemele bazate pe web sunt peste tot în aceste zile, continuă să prolifereze. Câți oameni cumpără lucruri online? Este doar prin acoperiș în aceste zile, de aceea Amazon este o forță atât de puternică în aceste zile. Pentru că atât de mulți oameni cumpără lucruri online.
Așadar, îți amintești atunci, acum 15 ani, oamenii erau destul de nervoși în privința introducerii cardului de credit într-un formular web pentru a obține informațiile lor, iar atunci, argumentul era: „Ei bine, dacă dai cartea de credit unui chelner la un restaurant, atunci acesta este același lucru. ”Deci, răspunsul nostru este da, este același lucru, există toate aceste puncte de control, sau puncte de acces, același lucru, latura diferită a aceleiași monede, unde oamenii pot fi puși în pericol, unde cineva vă poate lua banii sau cineva vă poate fura.
Apoi, IoT extinde desigur peisajul amenințărilor - iubesc acest cuvânt - prin ordine de mărime. Adică, gândiți-vă - cu toate aceste dispozitive noi peste tot, dacă cineva poate hack într-un sistem care le controlează, poate transforma toate aceste roboți împotriva ta și poate cauza o mulțime de probleme, deci este o problemă foarte serioasă. Avem o economie globală în zilele noastre, care extinde și mai mult peisajul amenințărilor și, mai mult, aveți oameni din alte țări care pot accesa web-ul în același mod în care voi și cu mine, și dacă nu știți să vorbiți limba rusă sau orice alt număr de alte limbi, veți avea greutăți să înțelegeți ce se întâmplă atunci când intră în sistemul dvs. Deci avem progrese în rețea și virtualizare, este bine.
Dar am partea dreaptă a acestei imagini aici, o sabie și motivul pentru care o am acolo este pentru că fiecare sabie taie ambele feluri. Este o sabie cu două tăișuri, așa cum spun ei, și este un clișeu vechi, dar înseamnă că sabia pe care o am vă poate face rău sau mă poate dăuna. Se poate întoarce pe mine, fie prin săritură înapoi, fie prin cineva care o ia. Este de fapt una dintre fabulele Aesops - adesea le oferim dușmanilor noștri instrumentele propriei noastre distrugeri. Povestea este foarte convingătoare și are de-a face cu cineva care a folosit un arc și o săgeată și a doborât o pasăre, iar pasărea a văzut, în timp ce săgeata venea în sus, acea pene de la unul dintre prietenii săi de pasăre era pe marginea săgeții, pe spatele săgeții pentru a-l ghida și s-a gândit la el însuși: „O, omule, iată, propriile mele pene, propria mea familie vor fi obișnuite să mă doboare.” Asta se întâmplă tot timpul, auziți statisticile despre tine ai o armă în casă, hoțul poate lua arma. Ei bine, acest lucru este adevărat. Deci, arunc asta acolo ca o analogie doar să iau în considerare, toate aceste evoluții diferite au laturi pozitive și laturi negative.
Și vorbind despre, containerele pentru aceia dintre voi care urmăresc cu adevărat avantajele de calcul ale întreprinderii, containerele sunt ultimele lucruri, cea mai recentă modalitate de a furniza funcționalitate, este căsătoria virtualizării în arhitectura orientată către servicii, cel puțin pentru microservicii și chestii foarte interesante. Cu siguranță puteți să vă desconsiderați protocoalele de securitate și protocoalele de aplicare și datele dvs., folosind containere și asta vă oferă un avans pentru o perioadă de timp, dar mai devreme sau mai târziu, cei răi vor descoperi asta și atunci va fi și mai greu să-i împiedici să profite de sistemele tale. Deci, asta este forța de muncă globală, care complică rețeaua și securitatea și de unde se conectează oamenii.
Avem războaiele de browser care continuă cu pas și necesită o muncă constantă pentru actualizare și pentru a rămâne la curent. Continuăm să auzim despre vechile browsere Microsoft Explorer, despre cum au fost hacked și disponibile acolo. Deci, sunt mai mulți bani care vor fi câștigați în hacking în aceste zile, există o întreagă industrie, asta este ceea ce partenerul meu, Dr. Bloor, m-a învățat în urmă cu opt ani - mă întrebam de ce vedem atât de mult din asta și mi-a reamintit. eu, o întreagă industrie implicată în hacking. Și în acest sens, narațiunea, care este unul dintre cuvintele mele cele mai puțin preferate despre securitate, este într-adevăr foarte necinstit, pentru că narațiunea vă arată în toate aceste videoclipuri și orice fel de acoperire de știri pe unii hacking pe care îi arată unui tip în glugă, așezat în subsolul său, într-o cameră cu lumină întunecată, nu este deloc cazul. Aceasta nu este deloc reprezentativă pentru realitate. Hackerii săi singulari, există foarte puțini hackeri singulari, sunt acolo, provoacă unele probleme - nu vor cauza mari probleme, dar pot face bani mulți. Așadar, ceea ce se întâmplă este ca hackerii să intre, să vă pătrundă în sistem și apoi să vândă acel acces către altcineva, care se întoarce și îl vinde altcuiva, iar undeva în linia de jos, cineva exploatează acel hack și profită de tine. Și există nenumărate modalități de a profita de datele furate.
Am fost chiar minunată de mine despre modul în care am glamat acest concept. Puteți vedea acest termen peste tot, „hack hacking” ca un lucru bun. Știința, hacking-ul pentru creștere, știți, hacking-ul poate fi un lucru bun, dacă încercați să lucrați pentru băieții buni, ca să vorbim și să hack într-un sistem, ca și cum continuăm să auzim despre Coreea de Nord și despre lansările de rachete, posibil să fie hacked - asta e bine. . Dar hackingul este adesea un lucru rău. Așa că acum îl străluceau, aproape ca Robin Hood, când îl glamizam pe Robin Hood. Și atunci este societatea fără numerar, ceva care este sincer legat de luminile din timpul meu. Tot ce cred de fiecare dată când aud asta este: „Nu, vă rog să nu o faceți! Te rog, nu! ”Nu vreau să dispară toți banii noștri. Așadar, acestea sunt doar câteva aspecte care trebuie luate în considerare și, din nou, un joc de pisici și șoarece; nu se va opri niciodată, va fi întotdeauna nevoie de protocoale de securitate și de avansare a protocoalelor de securitate. Și pentru monitorizarea sistemelor dvs. chiar și pentru a ști și a sesiza care sunt acolo, înțelegerea fiind că poate fi chiar o treabă interioară. Deci, este o problemă continuă, va fi o problemă continuă pentru destul de mult timp - nu face nicio greșeală în acest sens.
Și cu asta, o voi transmite dr. Bloor, care poate împărtăși cu noi câteva gânduri despre securizarea bazelor de date. Robin, ia-o.
Robin Bloor: OK, unul dintre hack-urile interesante, cred că a apărut în urmă cu aproximativ cinci ani, dar practic a fost o companie de procesare a cardurilor care a fost hacked. Și un număr mare de detalii despre carduri au fost furate. Însă, lucru interesant pentru mine, a fost faptul că în baza de date de test au intrat de fapt și, probabil, au avut mari dificultăți în a intra în baza de date reală a cardurilor de procesare. Dar știi cum este cu dezvoltatorii, ei iau doar o tăietură a unei baze de date, o duc acolo. Ar fi trebuit să fi fost mult mai multă vigilență pentru a opri acest lucru. Dar există o mulțime de povești de hacking interesante, face într-o singură zonă, face un subiect foarte interesant.
Așadar, voi repeta, într-un fel sau altul, câteva dintre lucrurile pe care le-a spus Eric, dar este ușor să gândești securitatea datelor ca o țintă statică; este mai ușor doar pentru că este mai ușor să analizezi situațiile statice și apoi să te gândești să introduci apărări în apărare acolo, dar nu este. Ținta sa mișcătoare și acela este unul dintre lucrurile care definesc întregul spațiu de securitate. Este exact în modul în care evoluează toată tehnologia, evoluează și tehnologia celor răi. Deci, o privire de ansamblu scurtă: furtul de date nu este nimic nou, de fapt, spionajul de date este furt de date și asta se întâmplă de mii de ani, cred.
Cea mai mare informație în acești termeni a fost britanica încălcarea codurilor germane și americanii încălcarea codurilor japoneze și, în ambele cazuri, au scurtat foarte mult războiul. Și tocmai furau date utile și valoroase, desigur era foarte inteligent, dar știi, ceea ce se întâmplă în acest moment este foarte inteligent în multe moduri. Furtul cibernetic s-a născut odată cu internetul și a explodat în jurul anului 2005. M-am dus și m-am uitat la toate statisticile și când ai început să devii cu adevărat serioase și, într-un fel sau altul, numere remarcabil de mari începând cu 2005. atunci. Mulți jucători, guverne sunt implicați, întreprinderi sunt implicate, grupuri de hackeri și persoane fizice.
M-am dus la Moscova - asta trebuie să fi fost vreo cinci ani - și am petrecut de fapt mult timp cu un tip din Marea Britanie, cercetând întreg spațiul de hacking. Și a spus asta - și nu am idee dacă acest lucru este adevărat, am primit doar cuvântul lui pentru asta, dar sună foarte probabil - că în Rusia există ceva numit Business Network, care este un grup de hackeri care sunt toți, știu, au ieșit din ruinele KGB-ului. Și se vând singuri, nu doar, vreau să spun, sunt sigur că guvernul rus le folosește, dar se vând pe oricine și s-a zvonit, sau a spus că se zvonea, că diverse guverne străine foloseau Rețeaua de Afaceri pentru o negatibilitate plauzibilă . Acești tipuri aveau rețele de milioane de computere compromise de la care ar putea ataca. Și aveau toate instrumentele pe care ți le poți imagina.
Deci, tehnologia de atac și de apărare a evoluat. Iar întreprinderile au datoria de a-și îngriji datele, indiferent dacă le dețin sau nu. Și asta începe să devină mult mai clar în ceea ce privește diferitele regulamente care sunt deja în vigoare sau intră în vigoare. Și probabil că se vor îmbunătăți, unii sau alții, într-un fel sau altul, cineva trebuie să suporte costurile pirateriei în așa fel încât să fie încurajați să închidă posibilitatea. Acesta este unul dintre lucrurile pe care cred că este necesar. Deci, despre hackeri, ei pot fi localizați oriunde. În special în cadrul organizației voastre - o mulțime groaznică de haine ingenioase despre care am auzit despre cineva care deschide ușa. Știi, persoana respectivă, ca și situația tâlharilor din bănci, aproape întotdeauna își spunea în jafuri bancare că este un privilegiu. Insiderul trebuie doar să ofere informații, așa că este dificil să le obțină, să știe cine era și așa mai departe și așa mai departe.
Și poate fi dificil să-i aduci în fața justiției, pentru că dacă ai fost hackat de un grup de oameni din Moldova, chiar dacă știi că era acel grup, cum vei face ca un fel de eveniment legal să se întâmple în jurul lor? Genul său de, de la o jurisdicție la alta, justă, nu există un set foarte bun de aranjamente internaționale pentru a pune în evidență hackerii. Ei împărtășesc tehnologia și informația; o mare parte din acestea este open source. Dacă doriți să vă construiți propriul virus, acolo sunt o mulțime de kituri de virus - sursa complet deschisă. Și au resurse considerabile, au existat o serie de botnete în peste un milion de dispozitive compromise în centrele de date și pe PC-uri și așa mai departe. Unele sunt afaceri profitabile, care merg de mult timp, apoi sunt grupuri guvernamentale, așa cum am menționat.Este puțin probabil, așa cum a spus Eric, puțin probabil ca acest fenomen să se termine.
Așadar, acesta este un hack interesant pe care tocmai l-am crezut că îl menționez, pentru că a fost un hack destul de recent; s-a întâmplat anul trecut. A existat o vulnerabilitate în contractul DAO asociat cu moneda Crypto Etherium. Și a fost discutat pe un forum și, într-o zi, a fost hackat contractul DAO, folosind exact această vulnerabilitate. 50 de milioane de dolari în eter au fost sifonați, provocând o criză imediată în proiectul DAO și închizându-l. Și Etherium s-a luptat de fapt pentru a încerca să-l împiedice pe hacker să acceseze banii, iar ei au redus acțiunea. Dar, de asemenea, se credea - nu se știe sigur - că hackerul a scurtat de fapt prețul eterului înainte de atacul său, știind că prețul eterului se va prăbuși, și astfel a obținut un profit într-un alt mod.
Și este o altă strategie, pe care o pot folosi hackerii. Dacă vă pot deteriora prețul acțiunii și știu că vor face acest lucru, atunci este necesar doar ca aceștia să reducă prețul acțiunii și să facă hack-ul, așa că genul acesta este, acești tipi sunt deștepți. Iar prețul este furtul total de bani, întreruperea și răscumpărarea, inclusiv investițiile, în care întrerupeți și scurtați stocul, sabotajul, furtul de identitate, tot felul de escrocherii, doar de dragul publicității. Și are tendința de a fi politice sau, evident, de a spiona informațiile și există chiar și oameni care își trăiesc viața din banii de erori pe care îi puteți obține încercând să hack Google, Apple sau chiar Pentagonul, dă de fapt bug-uri. Și pur și simplu piratezi; dacă are succes, atunci te duci să îți revendici premiul și nu se face nicio pagubă, așa că este un lucru frumos, știi.
La fel de bine aș menționa conformitatea și reglementările. În afară de inițiativele sectoriale, o mulțime de reglementări oficiale: HIPAA, SOX, FISMA, FERPA și GLBA sunt toate legislațiile americane. Există standarde; PCI-DSS a devenit un standard destul de general. Și apoi există ISO 17799 despre proprietatea datelor. Reglementările naționale diferă de la o țară la alta, chiar și din Europa. Și în prezent GDPR - Global Data, la ce se referă? Reglementarea globală privind protecția datelor, cred că este valabilă, dar asta va intra în vigoare anul viitor. Iar lucrul interesant este că se aplică în întreaga lume. Dacă aveți 5.000 de clienți sau mai mulți, pe care ați obținut informații personale și care locuiesc în Europa, atunci Europa vă va duce cu adevărat la sarcină, indiferent dacă corporația dvs. are de fapt sediul sau unde își desfășoară activitatea. Și penalități, pedeapsa maximă este de patru la sută din veniturile anuale, ceea ce este doar uriaș, deci va fi o răsucire interesantă asupra lumii, când aceasta va intra în vigoare.
Lucruri de gândit, bine, vulnerabilitățile DBMS, cele mai multe date valoroase stau de fapt în bazele de date. Este valabil pentru că am pus foarte mult timp în punerea la dispoziție și la organizarea ei bună și asta îl face mai vulnerabil, dacă nu aplicați de fapt titlurile DBMS potrivite. Evident, dacă intenționați să planificați astfel de lucruri, trebuie să identificați care sunt datele vulnerabile din întreaga organizație, ținând cont că datele pot fi vulnerabile din diferite motive. Poate fi date despre clienți, dar ar putea fi în egală măsură documente interne care ar fi valoroase în scopuri de spionaj ș.a. Politica de securitate, în special în ceea ce privește securitatea accesului - care în ultimele mele ori a fost foarte slabă, în noile chestii open source - criptarea devine mai multă folosire, deoarece este destul de solid.
Costul unei încălcări de securitate, majoritatea oamenilor nu știau, dar dacă te uiți la ce s-a întâmplat cu organizațiile care au suferit încălcări de securitate, se dovedește că costul unei încălcări de securitate este adesea mult mai mare decât crezi. Și atunci celălalt lucru la care trebuie să vă gândiți este suprafața de atac, deoarece orice software de oriunde, care rulează cu organizațiile dvs. prezintă o suprafață de atac. La fel face și oricare dintre dispozitive, la fel și datele, indiferent de modul în care sunt stocate. Totul, suprafața de atac crește odată cu internetul lucrurilor, suprafața de atac probabil se va dubla.
Deci, în sfârșit, DBA și securitatea datelor. Securitatea datelor face parte de obicei din rolul DBA. Dar și colaborarea sa. Și trebuie să facă obiectul politicii corporative, altfel probabil că nu va fi implementat bine. Acestea fiind spuse, cred că pot trece mingea.
Eric Kavanagh: Bine, permiteți-mi să dau cheile lui Vicky. Și puteți să vă partajați ecranul sau să vă deplasați la aceste diapozitive.
Harp Vicky: Nu, încep cu aceste diapozitive, vă mulțumesc foarte mult. Deci, da, am vrut doar să iau un moment rapid și să mă prezint. Im Vicky Harp. Sunt manager, management de produse pentru produsele SQL din software-ul IDERA și pentru aceia dintre voi care ar putea să nu fie familiarizați cu noi, IDERA are o serie de linii de produse, dar vorbesc aici pentru aspectele SQL Server. Și astfel, facem monitorizarea performanței, respectarea securității, backup, instrumente de administrare - și doar un fel de listare a acestora. Și, desigur, ceea ce sunt aici pentru a vorbi este securitatea și conformitatea.
Cea mai mare parte a ceea ce vreau să vorbesc astăzi nu este neapărat produsele noastre, deși intenționez să arăt câteva exemple despre asta mai târziu. Am vrut să vă vorbesc mai multe despre securitatea bazelor de date, unele dintre amenințările din lumea securității bazei de date chiar acum, unele lucruri la care să vă gândiți și câteva idei introductive despre ceea ce trebuie să priviți pentru a vă asigura SQL Baze de date server și, de asemenea, pentru a vă asigura că sunt conforme cu cadrul de reglementare la care puteți face obiectul, așa cum a fost menționat. Există multe reglementări diferite în vigoare; ei merg pe diferite industrii, locuri diferite din întreaga lume și acestea sunt lucruri de gândit.
Așadar, vreau să iau un moment și să vorbesc despre starea încălcărilor de date - și să nu repet prea mult din ceea ce s-a discutat deja aici - am privit recent acest studiu de cercetare în domeniul securității Intel și de-a lungul lor - cred 1500 de organizații cu care au vorbit - au avut, în medie, șase încălcări de securitate, în ceea ce privește încălcările privind pierderea de date, iar 68 la sută dintre cele au solicitat dezvăluirea într-un anumit sens, așa că au afectat prețul acțiunilor sau au trebuit să facă ceva credit. monitorizarea clienților sau a angajaților acestora etc.
Unele alte statistici interesante sunt că actorii interni care au fost responsabili pentru 43 la sută dintre aceștia. Așadar, o mulțime de oameni se gândesc foarte mult la hackeri și la acest tip de organizații cenuvernamentale umbroase sau la criminalitatea organizată etc., dar actorii interni continuă să acționeze direct împotriva angajatorilor lor, într-o proporție destul de mare din cazuri. Și acestea sunt uneori mai greu de protejat împotriva, deoarece oamenii pot avea motive legitime pentru a avea acces la aceste date. Aproximativ jumătate din aceasta, 43% a reprezentat pierderi accidentale într-un anumit sens. Așa că, de exemplu, în cazul în care cineva a luat datele acasă, și apoi a pierdut evidența acestor date, ceea ce mă duce până la acest al treilea punct, care este că chestii din mediile fizice erau încă implicate de 40% din încălcări. Deci, tastele USB, acelea sunt laptopurile popoarelor, sunt suporturi reale care au fost arse pe discurile fizice și scoase din clădire.
Dacă vă gândiți, aveți un dezvoltator care are o copie dev a bazei de date de producție pe laptopul lor? Apoi se urcă într-un avion și coboară din avion și primesc bagajul verificat și laptopul este furat. Ai avut acum o încălcare a datelor. S-ar putea să nu credeți neapărat că de aceea a fost luat laptopul, s-ar putea să nu apară vreodată în sălbăticie. Dar asta este încă ceva care contează ca o încălcare, va avea nevoie de dezvăluire, veți avea toate efectele din aval de a pierde aceste date, doar din cauza pierderii acelui suport fizic.
Și celălalt lucru interesant este faptul că o mulțime de oameni se gândesc la datele de credit și informațiile despre cardul de credit ca fiind cele mai valoroase, dar nu mai este cazul. Aceste date sunt valoroase, numerele cărților de credit sunt utile, dar, sincer, aceste numere sunt schimbate foarte repede, în timp ce datele personale ale oamenilor nu sunt schimbate foarte repede. Ceva care știrile recente, relativ recente, VTech, un producător de jucării a avut aceste jucării care au fost concepute pentru copii. Și oamenii ar avea numele de copii, ar avea informații despre locul în care trăiesc copiii, aveau numele părinților lor, aveau fotografii cu copiii. Nimic din asta nu a fost criptat, deoarece nu a fost considerat a fi important. Parolele lor au fost criptate. Ei bine, atunci când încălcarea s-a întâmplat în mod inevitabil, spuneți: „OK, așa că am o listă cu numele copiilor, numele părinților lor, unde locuiesc - toate aceste informații sunt acolo și credeți că parola este cea mai valoroasă parte de asta? ”Nu a fost; oamenii nu pot schimba acele aspecte despre datele lor personale, adresa lor etc. Și astfel încât informațiile sunt de fapt foarte valoroase și trebuie protejate.
Așadar, am vrut să vorbim despre unele dintre lucrurile care se întâmplă, pentru a contribui la modul în care se întâmplă încălcarea datelor în acest moment. Unul dintre marile hotspoturi, spații în acest moment este inginerie socială. Așadar, oamenii îl numesc phishing, acolo sunt supersonare etc., unde oamenii obțin acces la date, adesea prin actori interni, doar convingându-i că ar trebui să aibă acces la ea. Deci, chiar a doua zi, am avut acest vierme Google Docs care se întâmpla. Și ce s-ar întâmpla - și am primit de fapt o copie a acesteia, deși din fericire nu am dat clic pe ea - primiți de la un coleg, spunând: „Iată un link Google Doc; trebuie să faceți clic pe acest lucru pentru a vedea ce tocmai am distribuit cu dvs. ”Ei bine, într-o organizație care folosește Google Docs, este foarte convențională, veți primi zeci de solicitări pe zi. Dacă ați face clic pe acesta, v-ar solicita permisiunea de a accesa acest document și, probabil, ați spune: „Hei, asta pare cam ciudat, dar știți, pare și legitim, așa că mergeți mai departe și faceți clic pe el, ”Și de îndată ce ați făcut acest lucru, ați oferit acestui terț acces la toate documentele dvs. Google și, astfel, a creat acest link pentru ca acest actor extern să aibă acces la toate documentele dvs. pe Google Drive. Acest lucru a viermat peste tot. A lovit sute de mii de oameni în câteva ore. Și acesta a fost fundamental un atac de phishing pe care Google însuși a sfârșit să-l oprească, pentru că a fost foarte bine executat. Oamenii au căzut pentru asta.
Menționez aici încălcarea SnapChat HR. Aceasta a fost doar o simplă problemă a cuiva, care a presupus că ei sunt directorul general, aducând departamentul de resurse umane, spunând: „Am nevoie de tine pentru mine această foaie de calcul.” Și ei i-au crezut și au pus o foaie de calcul cu 700 de angajați diferiți. informațiile, adresele de domiciliu etc., au editat-o către acest alt partid, nu a fost de fapt CEO. Acum, datele erau la dispoziție, iar toți angajații lor aveau informații personale, private și disponibile pentru exploatare. Deci, inginerie socială este ceva pe care îl menționez în lumea bazelor de date, deoarece acesta este un lucru pe care îl puteți încerca să vă apărați prin educație, dar trebuie să vă amintiți doar că oriunde aveți o persoană care interacționează cu tehnologia dvs. și dacă te bazezi pe buna lor judecată pentru a preveni o întrerupere, îi ceri pe mulți.
Oamenii fac greșeli, oamenii fac clic pe lucruri pe care nu ar trebui să le aibă, oamenii se potrivesc pentru ruse inteligente. Și puteți încerca foarte mult să le protejați împotriva acesteia, dar nu este suficient de puternic, trebuie să încercați să limitați capacitatea oamenilor de a da din greșeală aceste informații în sistemele dvs. de baze de date. Celălalt lucru pe care am vrut să-l menționez că, în mod evident, vorbeau despre multe este ransomware-ul, botnet-urile, virușii - toate aceste modalități automatizate. Și deci ceea ce cred că este important să înțelegem despre ransomware este că schimbă cu adevărat modelul de profit pentru atacatori. În cazul în care vorbești despre o încălcare, trebuie, într-un anumit sens, să extragă date și să le aibă pentru ele și să le folosească. Și dacă datele dvs. sunt obscure, dacă sunt criptate, dacă sectorul său specific, poate că nu au nicio valoare pentru acestea.
Până în acest moment, oamenii ar fi putut simți că aceasta a fost o protecție pentru ei, „Nu am nevoie să mă protejez de o încălcare a datelor, deoarece, dacă vor ajunge în sistemul meu, tot ce vor avea este, sunt un studio de fotografie. , Am o listă a celor care urmează să vină în ce zile pentru anul următor. Cui îi pasă de asta? ”Ei bine, se dovedește că răspunsul vă pasă de asta; stocați informațiile, informațiile dvs. esențiale pentru afaceri. Așadar, folosind ransomware-ul unui atacator va spune: „Ei bine, nimeni altcineva nu îmi va da bani pentru asta, dar veți face asta”. Astfel, ei folosesc faptul că nici măcar nu trebuie să scoată datele, nici măcar nu trebuie au o încălcare, trebuie doar să utilizeze instrumentele de securitate în mod ofensiv împotriva ta. Acestea intră în baza de date, criptează conținutul acesteia și apoi spun: „OK, avem parola și va trebui să ne plătiți 5.000 de dolari pentru a obține parola, sau altfel nu mai aveți aceste date. “
Și oamenii plătesc; se găsesc că trebuie să facă asta. MongoDB a avut o problemă uriașă acum câteva luni, cred că a fost în ianuarie, unde ransomware-ul a lovit, cred, peste un milion de baze de date MongoDB pe care le au în public pe internet, bazate pe unele setări implicite. Și ceea ce a înrăutățit este faptul că oamenii plăteau, astfel încât alte organizații să intre și să cripteze sau să pretindă că au fost cele care l-au criptat inițial, așa că atunci când ați plătit banii, și cred că în acest caz au fost solicitând ceva de 500 $, oamenii ar spune: „OK, aș plăti mai mult decât asta pentru a plăti unui cercetător pentru a intra aici, care să mă ajute să îmi dau seama ce a mers prost. Voi plăti doar 500 de dolari. ”Și nici măcar nu i-au plătit actorului potrivit, așa că aveau să fie îngrămădiți cu zece organizații diferite care le spuneau:„ Am primit parola ”sau„ Am primit calea pentru a vă debloca datele răscumpărate ”Și ar trebui să le plătiți pe toate pentru a putea ajunge să funcționeze.
De asemenea, au fost cazuri în care autorii ransomware-ului au avut bug-uri, adică nu vorbeau despre faptul că este o situație perfect deasupra bordului, așa că chiar și odată ce a fost atacat, chiar și odată ce ați plătit, nu există nicio garanție că veți primi toate date înapoi, unele dintre acestea sunt complicate, de asemenea, cu instrumente informatizate InfoSec. Deci, Shadow Brokers este un grup care a scos instrumente care au fost de la NSA. Au fost instrumente concepute de entitatea guvernamentală în scopul spionajului și care lucrează efectiv împotriva altor entități guvernamentale. Unele dintre acestea au fost atacuri de înaltă valoare de zero zile, ceea ce face ca protocoalele de securitate cunoscute să fie doar deoparte. Și, astfel, a existat o vulnerabilitate majoră în protocolul SMB, de exemplu, într-unul dintre recentele depozite Shadow Brokers.
Și astfel aceste instrumente care vin aici pot, în câteva ore, să schimbe cu adevărat jocul, în ceea ce privește suprafața de atac. Deci, de fiecare dată când mă gândesc la acest lucru, este ceva care, la nivel organizațional, securitatea InfoSec este propria funcție, trebuie să fie luat în serios. Ori de câte ori am vorbit despre baze de date, pot să le reduc puțin, nu trebuie neapărat să aveți ca administrator de baze de date o înțelegere completă a ceea ce se întâmplă cu Shadow Brokers săptămâna aceasta, dar trebuie să știți că toate acestea se schimbă. , există lucruri care se întâmplă și, astfel, gradul în care îți păstrezi propriul domeniu strâns și sigur, acesta te va ajuta cu adevărat în cazul în care lucrurile te vor smulge de sub tine.
Așadar, am vrut să iau un moment aici, înainte de a trece la discuții despre SQL Server în mod specific, pentru a avea de fapt o discuție deschisă cu comisarii noștri cu privire la unele dintre considerațiile legate de securitatea bazei de date. Deci, am ajuns la acest punct, unele dintre lucrurile pe care nu le-am menționat, am vrut să vorbesc despre injecția SQL ca vector. Deci, aceasta este injecția SQL, în mod evident, modul în care oamenii introduc comenzi într-un sistem de baze de date, printr-un fel de malformare a intrărilor.
Eric Kavanagh: Da, am întâlnit de fapt un tip - cred că a fost la baza Forței Aeriene a lui Andrews - în urmă cu aproximativ cinci ani, un consultant despre care vorbeam cu el pe hol și am fost doar un fel de a împărtăși povești de război - niciun punct de vedere intenționat - și el a menționat că a fost adus de cineva pentru a se consulta cu un membru al rangului destul de înalt al armatei și tipul l-a întrebat: „Păi, de unde știm că ești bun la ceea ce faci?” și asta și asta. Și, în timp ce vorbea cu aceștia, el a folosit pe computerul său, a intrat în rețea, a folosit injecția SQL pentru a intra în registrul pentru acea bază și pentru acei oameni. Și a găsit persoanele cu care stătea de vorbă și tocmai i-a arătat-o pe mașina lui! Și tipul a fost de genul: „Cum ai făcut asta?” El a spus: „Ei bine, am folosit injecția SQL”.
Deci, asta a fost doar acum cinci ani și a fost la o bază a Forței Aeriene, nu? Deci, vreau să spun, în termeni de con, acest lucru este încă foarte real și ar putea fi folosit cu efecte într-adevăr terifiante. Vreau să spun că aș fi curios să aflu despre orice povești de război pe care Robin le are pe această temă, dar toate aceste tehnici sunt încă valabile. Se mai folosesc în multe cazuri, iar întrebarea este să te educi pe tine, nu?
Robin Bloor: Ei bine, da. Da, este posibil să se apere împotriva injecției SQL făcând lucrul. Este ușor de înțeles de ce atunci când ideea a fost inventată și prima dată a proliferat, este ușor de înțeles de ce a fost atât de nenorocit de succes, pentru că puteai doar să o lipești într-un câmp de intrare pe o pagină web și să-l poți returna pentru tine sau să obții pentru a șterge datele din baza de date sau orice altceva - puteți doar să injectați cod SQL pentru a face asta. Dar lucrul care m-a interesat este faptul că este că știți, ar trebui să faceți un pic de analiză, fiecare informație introdusă, dar este foarte posibil să observați că unii încearcă să facă asta. Și într-adevăr, cred că este într-adevăr, pentru că oamenii încă scapă de ea, mă refer doar la faptul că este foarte ciudat că nu a existat o modalitate ușoară de a combate asta. Știi, că toată lumea ar putea folosi cu ușurință, vreau să spun, din câte știu eu, nu a existat, Vicky, nu?
Harp Vicky: Ei bine, de fapt unele dintre soluțiile ostatice, cum ar fi SQL Azure, cred că au câteva metode de detectare destul de bune care se bazează pe învățarea mașinii. Probabil că ceea ce urmau să vadă în viitor, este ceva care încearcă să vină cu dimensiunea unică. Cred că răspunsul a fost că nu există o dimensiune potrivită tuturor, dar avem mașini care pot învăța care este dimensiunea dvs. și vă asigurați că vă potriviți, nu? Și astfel încât dacă aveți o falsă pozitivă, pentru că faceți de fapt ceva neobișnuit, nu pentru că ați trebuit să parcurgeți și să identificați cu atenție tot ceea ce aplicația dvs. ar putea face vreodată.
Cred că unul dintre motivele pentru care este într-adevăr atât de prolific este faptul că oamenii se bazează în continuare pe aplicații terțe, iar aplicațiile de la ISV-uri și cele care sunt distruse de-a lungul timpului.Așadar, vorbești despre o organizație care a cumpărat o aplicație de inginerie care a fost scrisă în 2001. Și nu au actualizat-o, deoarece nu au existat modificări funcționale majore de atunci, iar autorul inițial al acesteia a fost un pic, nu au fost un inginer , nu au fost experți în securitatea bazelor de date, nu au făcut lucrurile așa cum trebuie în aplicație și se termină fiind un vector. Înțelegerea mea este că - cred că a fost încălcarea datelor Target, cea cu adevărat mare - vectorul de atac a fost prin intermediul unuia dintre furnizorii lor de aer condiționat, nu? Deci, problema cu acești terți, puteți, dacă dețineți propriul magazin de dezvoltare, puteți avea unele dintre aceste reguli în vigoare, făcându-l în mod generic ori de câte ori. Ca organizație, puteți avea sute sau chiar mii de aplicații rulate, cu toate diferitele profiluri. Cred că de aici urmează învățarea mașinii și va începe să ne ajute foarte mult.
Povestea mea de război a fost educativă. Am ajuns să văd un atac de injecție SQL și ceva ce nu mi se întâmplase niciodată este acela de a utiliza SQL simplu citit. Fac aceste lucruri numite cărți de vacanță P SQL vaccinate; Îmi place să fac, faceți ca acest SQL să pară cât se poate de confuz. Există un concurs de coduri C ++ care a avut loc deja de zeci de ani și de aceeași idee. Deci, ceea ce ați obținut a fost injecția SQL care a fost într-un câmp de șir deschis, a închis șirul, a introdus în punct și virgulă, apoi a pus comanda exec care a avut apoi o serie de numere și apoi a fost practic folosind comanda casting pentru a arunca aceste numere în mod binar și apoi turnarea acestora, la rândul lor, în valori ale caracterelor și apoi executarea acestora. Așadar, nu este ca și cum ai ajuns să vezi ceva care spunea: „Șterge pornirea din tabelul de producție”, era de fapt umplut în câmpuri numerice care făceau mult mai greu de văzut. Și chiar și odată ce l-ați văzut, pentru a identifica ce se întâmplă, a fost nevoie de câteva fotografii SQL reale, pentru a putea să vă dați seama ce se întâmplă, moment în care lucrarea fusese deja făcută.
Robin Bloor: Și unul dintre lucrurile care este doar un fenomen în toată lumea hackingului este că, dacă cineva găsește o slăbiciune și se întâmplă să fie într-o aplicație software care a fost vândută în general, știți, una dintre problemele timpurii este parola bazei de date. că vi s-a dat când a fost instalată o bază de date, o mulțime de baze de date, în realitate, a fost doar o valoare implicită. Și o mulțime de DBA-uri pur și simplu nu l-au schimbat niciodată și, prin urmare, puteți reuși să intrați în rețea atunci; puteți încerca doar parola, iar dacă a funcționat, bine ați câștigat la loterie. Și interesant este că toate aceste informații sunt vehiculate foarte eficient și eficient în rândul comunităților de hacking de pe site-urile web cu darknet. Și știu. Așadar, ei pot face destul de mult un aspect din ceea ce există, să găsească câteva cazuri și doar să arunce automat niște exploatări de hacking la ea și să intre. Și asta cred, sunt mulți oameni care sunt cel puțin la periferie. din toate acestea, nu înțelegem de fapt cât de rapid răspunde rețeaua de hacking la vulnerabilitate.
Harp Vicky: Da, asta aduce de fapt un alt lucru pe care voiam să-l menționez înainte de a merge mai departe, care este această noțiune de umpluturi de credințe, care este ceva care a apărut mult, și este că, odată ce acreditările tale au fost furate pentru cineva oriunde, oriunde site-ul, aceste acreditări vor fi încercate să fie reutilizate peste tot. Așadar, dacă utilizați parole duplicate, spuneți că, dacă utilizatorii dvs. sunt, chiar, permiteți-o să fie așa, cineva ar putea să poată avea acces prin intermediul a ceea ce pare a fi un set complet de acreditări. Așadar, să spunem că am folosit aceeași parolă la Amazon și la banca mea, precum și la un forum și că software-ul forumului a fost hacked, ei bine, au numele meu de utilizator și parola mea. Și apoi pot folosi același nume de utilizator la Amazon sau îl pot folosi la bancă. Și în ceea ce privește banca, a fost o autentificare complet validă. Acum, puteți întreprinde acțiuni nefaste prin intermediul accesului complet autorizat.
Așadar, genul acesta se întoarce din nou la ceea ce spuneam despre încălcările interne și utilizările interne. Dacă aveți persoane din organizația dvs. care folosesc aceeași parolă pentru acces intern pe care o fac pentru acces extern, aveți posibilitatea ca unii să vină și să vă răspundă printr-o încălcare pe un alt site despre care nici măcar nu știți. Și aceste date sunt diseminate foarte repede. Există liste cu care cred că cea mai recentă încărcătură de „am fost preluată” de Troy Hunt, a spus că are o jumătate de miliard de credite, ceea ce este - dacă luați în considerare numărul de oameni de pe planetă - asta este un număr foarte mare de acreditări care au fost puse la dispoziție pentru umplerea credențială.
Așadar, voi păși un pic mai adânc și voi vorbi despre securitatea SQL Server. Acum vreau să spun că nu voi încerca să vă ofer tot ce trebuie să știți pentru a vă securiza SQL Server în următoarele 20 de minute; asta pare un ordin înalt. Deci, pentru a începe chiar, vreau să spun că există grupuri online și resurse online pe care le puteți cu siguranță Google, există cărți, există documente de bune practici pe Microsoft, există un capitol virtual de securitate pentru asociații profesioniști de la SQL Server, sunt la securitate.pass.org și au, cred, transmisiuni web lunare și înregistrări de webcast-uri pentru a trece peste adevărat, în profunzime, cum să facă securitatea SQL Server. Dar acestea sunt unele dintre lucrurile pe care eu, vorbindu-vă ca profesioniști de date, ca profesioniști IT, ca DBA-uri, vreau să știți că trebuie să știți despre securitatea SQL Server.
Deci primul este securitatea fizică. Deci, așa cum am spus mai devreme, furtul de suporturi fizice este încă extrem de frecvent. Și, astfel, scenariul pe care l-am oferit cu mașina dev, cu o copie a bazei de date pe mașina dev, care este furată - acela este un vector extrem de comun, acela este un vector de care trebuie să fiți conștienți și să încercați să acționați. Este valabil și pentru securitatea copiilor de siguranță, așa că ori de câte ori faceți o copie de rezervă a datelor, trebuie să faceți o copie de rezervă criptată, trebuie să faceți o copie de siguranță într-o locație sigură. De multe ori aceste date care au fost cu adevărat protejate în baza de date, de îndată ce încep să ajungă în locații periferice, pe mașini dev, pe mașini de testare, suntem puțin mai atenți la corecție, obținem un pic mai puțin atent la persoanele care au acces la ea. Următorul lucru pe care îl știți, veți avea copii de rezervă necriptate ale bazei de date stocate pe o porțiune publică din organizația dvs., disponibile pentru exploatare de la o mulțime de oameni diferiți. Deci, gândiți-vă la securitatea fizică și la fel de simplu, poate cineva să meargă și să introducă o cheie USB în serverul dvs.? Nu ar trebui să permiteți asta.
Următorul articol la care vreau să vă gândiți este securitatea platformei, sisteme de operare actualizate, patch-uri la zi. Este foarte obositor să aud oamenii care vorbesc despre a rămâne pe versiuni mai vechi de Windows, versiuni mai vechi de SQL Server, considerând că singurul cost în joc este costul actualizării licențelor, ceea ce nu este cazul. Suntem cu securitate, este un flux care continuă să coboare pe deal și, pe măsură ce trece timpul, se găsesc mai multe exploatări. Microsoft în acest caz, precum și alte grupuri, după caz, vor actualiza sistemele mai vechi până la un punct și, în cele din urmă, nu vor mai fi suportate și nu le vor mai actualiza, deoarece este doar un proces de întreținere care nu se încheie niciodată.
Și deci, trebuie să fiți pe un sistem de operare acceptat și trebuie să fiți la curent cu patch-urile dvs. și am găsit recent ca și cu Shadow Brokers, în unele cazuri, Microsoft poate avea informații despre viitoarele încălcări majore de securitate, înainte ca acestea să fie făcute. public, înainte de divulgare, deci nu vă lăsați să vă scoateți din fire. Mai degrabă nu iau timpul de oprire, mai degrabă așteaptă și citește fiecare dintre ele și decide. Este posibil să nu știți care este valoarea acesteia până la câteva săptămâni în jos, după ce aflați de ce a apărut această patch. Deci, rămâneți în vârf.
Ar trebui să aveți firewallul configurat. A fost șocant în încălcarea SNB cât de multe persoane rulau versiuni mai vechi ale SQL Server cu firewall-ul complet deschis la internet, astfel încât oricine să poată intra și să facă orice dorea cu serverele lor. Ar trebui să folosiți un firewall. Faptul că, uneori, trebuie să configurați regulile sau să faceți excepții specifice pentru modul în care faceți afacerea dvs. este un preț OK de plătit. Trebuie să controlați suprafața în sistemele dvs. de baze de date - co-instalați servicii sau servere web ca IIS pe aceeași mașină? Împărtășind același spațiu pe disc, împărtășind același spațiu de memorie ca bazele de date și datele private? Încercați să nu faceți acest lucru, încercați să o izolați, să păstrați suprafața mai mică, astfel încât să nu fiți nevoit să vă faceți griji cu privire la faptul că toate acestea sunt sigure în partea de sus a bazei de date. Puteți separa fizic cele, platforma, separați-le, oferiți-vă un pic de spațiu de respirație.
Nu ar trebui să aveți super admin-uri care rulează peste tot, capabil să aibă acces la toate datele dvs. Conturile de administrare ale sistemului de operare pot să nu fie neapărat nevoie de acces la baza de date, sau la datele de bază din baza de date prin criptare, despre care se vorbește bine într-un minut. Iar accesul la fișierele bazei de date, trebuie să restricționați și acestea. Un fel de prost, dacă ar fi să spui, ei bine, cineva nu poate accesa aceste baze de date prin intermediul bazei de date; SQL Server în sine nu le va permite să-l acceseze, dar dacă atunci pot să meargă, să ia o copie a fișierului MDF real, să-l mute pur și simplu așa, să-l atașeze la propriul lor SQL Server, nu ai reușit foarte mult.
Criptare, deci criptarea este acea faimoasă sabie cu două sensuri. Există o mulțime de niveluri diferite de criptare pe care le puteți face la nivelul sistemului de operare și modul contemporan de a face lucrurile pentru SQL și Windows este cu BitLocker, iar la nivelul bazei de date se numește TDE sau criptare de date transparentă. Așadar, acestea sunt ambele modalități de a menține datele criptate în repaus. Dacă doriți să vă păstrați datele criptate mai cuprinzător, puteți face criptate - îmi pare rău, am făcut un pas înainte. Puteți face conexiuni criptate, astfel încât, ori de câte ori este în tranzit, este încă criptat, astfel încât dacă cineva ascultă sau are un bărbat în mijlocul unui atac, ați obținut o anumită protecție asupra datelor respective. Copiile de rezervă trebuie să fie criptate, așa cum am spus, acestea ar putea fi accesibile pentru alții și atunci, dacă doriți ca acesta să fie criptat în memorie și în timpul utilizării, am obținut criptarea coloanelor, iar SQL 2016 are această noțiune de „întotdeauna criptat”. unde de fapt este criptat pe disc, în memorie, pe fir, până la aplicația care utilizează de fapt datele.
Acum, toată această criptare nu este gratuită: Theres overhead CPU, there are uneori pentru criptarea coloanelor și cazul întotdeauna criptat, implicațiile asupra performanței în termeni de capacitatea dvs. de a face căutați pe acele date. Cu toate acestea, această criptare, dacă este asociată corect, atunci înseamnă că, dacă cineva ar avea acces la datele dvs., daunele sunt mult diminuate, deoarece au reușit să le obțină și atunci nu sunt capabile să facă nimic cu acesta. Totuși, acesta este și modul în care funcționează ransomware-ul, prin faptul că cineva intră și activează aceste articole, cu propriul certificat sau parola proprie și nu ai acces la el. De aceea, este important să vă asigurați că faceți acest lucru și că aveți acces la el, dar nu îl dați, deschideți și ceilalți și atacatorii.
Și apoi, principii de securitate - nu voi reduce acest punct, dar asigurați-vă că nu aveți fiecare utilizator care rulează în SQL Server ca super administrator. Dezvoltatorii dvs. ar putea să o dorească, diferiți utilizatori ar putea să o dorească - ei sunt frustrați de faptul că trebuie să ceară acces pentru articole individuale - dar trebuie să fii sârguincios în acest sens și, chiar dacă ar putea fi mai complicat, acordă acces la obiecte și baze de date. și schemele care sunt valabile pentru lucrările în desfășurare și există un caz special, poate asta înseamnă o autentificare specială, nu înseamnă neapărat o majorare a drepturilor, pentru utilizatorul mediu.
Și apoi, există considerente de conformitate cu reglementările care implică acest aspect și unele cazuri ar putea de fapt să plece în felul lor - deci HIPAA, SOX, PCI - sunt toate aceste considerente diferite. Și atunci când parcurgeți un audit, va fi de așteptat să arate că întreprindeți acțiuni pentru a rămâne în conformitate cu aceasta. Și deci, este foarte mult să urmăriți, aș spune ca o listă de activități DBA, încercați să vă asigurați configurația de criptare fizică de securitate, încercați să vă asigurați că accesul la aceste date este auditat în scopurile dvs. de conformitate. , asigurându-vă că coloanele dvs. sensibile, că știți care sunt, unde sunt, la ce ar trebui să criptați și să urmăriți accesul. Și asigurați-vă că configurațiile sunt aliniate cu ghidurile de reglementare la care vă supuneți. Și trebuie să țineți toate aceste informații pe măsură ce lucrurile se schimbă.
Deci, este foarte mult de făcut, și, dacă ar fi să o las doar acolo, aș spune să mergem să fac asta. Dar există o mulțime de instrumente diferite pentru asta, și așa, dacă pot fi în ultimele minute, am vrut să vă arăt unele dintre instrumentele pe care le avem la IDERA pentru asta. Și cei doi despre care am vrut să vorbesc astăzi sunt SQL Secure și SQL Compliance Manager. SQL Secure este instrumentul nostru pentru a ajuta la identificarea tipului de vulnerabilități de configurare. Politicile dvs. de securitate, permisiunile utilizatorului, configurațiile zonei dvs. de suprafață. Și are șabloane care vă ajută să vă conformați cu diferite cadre de reglementare. Aceasta, ultima linie, ar putea fi motivul pentru care oamenii să o ia în considerare. Deoarece citind aceste regulamente diferite și identificând ce înseamnă acestea, PCI și apoi iau totul până la serverul SQL din magazinul meu, asta înseamnă multă muncă. E ceva ce ai putea plăti foarte mulți bani pentru consultanță; am plecat și am făcut acea consultanță, am lucrat cu diferite companii de audit etc., pentru a găsi care sunt acele șabloane - ceva care este probabil să treacă un audit dacă acestea sunt în vigoare. Și atunci puteți utiliza acele șabloane și le puteți vedea, în mediul dvs.
Avem, de asemenea, un alt fel de instrument suror sub forma SQL Compliance Manager și aici este SQL Secure despre setările de configurare. SQL Compliance Manager este despre a vedea ce a fost făcut de cine, când. Așadar, auditul său, astfel vă permite să monitorizați activitatea pe măsură ce are loc și vă permite să detectați și să urmăriți cine accesează lucrurile. Cineva, exemplul prototipic fiind o celebritate verificată în spitalul tău, cineva mergea și își căuta informațiile, doar din curiozitate? Au avut un motiv să facă acest lucru? Puteți arunca o privire la istoricul auditului și a vedea ce se întâmplă, cine a accesat acele înregistrări. Și puteți identifica acest lucru are instrumente care vă ajută să identificați coloane sensibile, astfel încât nu trebuie neapărat să citiți și să faceți asta singur.
Așadar, dacă aș putea, voi merge mai departe și vă voi arăta câteva dintre aceste instrumente aici în ultimele câteva minute - și vă rog să nu le considerați ca o demonstrație aprofundată. Eu sunt manager de produse, nu inginer de vânzări, așa că vă voi arăta câteva dintre lucrurile care cred că sunt relevante pentru această discuție. Deci, acesta este produsul nostru SQL Secure. Și după cum vedeți aici, am primit un fel de acest raport de nivel înalt. Am condus asta, cred, ieri. Și îmi arată câteva dintre lucrurile care nu sunt configurate corect și unele dintre cele care sunt configurate corect. Deci, puteți vedea acolo un număr de peste 100 de verificări diferite pe care le-am făcut aici. Și pot vedea că criptarea mea de rezervă pe backup-urile pe care le-am făcut, nu am folosit criptare de rezervă. Contul meu SA, denumit explicit „cont SA” nu este dezactivat sau redenumit. Rolul serverului public are permisiune, așa că acestea sunt toate lucrurile pe care aș putea dori să le privesc schimbarea.
Am stabilit politica aici, așa că dacă aș dori să configurez o nouă politică, să o aplic pe serverele mele, am primit toate aceste politici încorporate. Așadar, folosesc un șablon de politică existent și puteți vedea că am CIS, HIPAA, PCI, SR și continuă, și de fapt suntem în proces de adăugare continuă a unor politici suplimentare, pe baza lucrurilor pe care oamenii trebuie să le aibă în domeniu. Și, de asemenea, puteți crea o nouă politică, așa că dacă știți ce caută auditorul dvs., o puteți crea singur. Și atunci, atunci când faceți acest lucru, puteți alege dintre toate aceste setări diferite, pe care trebuie să le setați, în unele cazuri, aveți unele - permiteți-mi să mă întorc și să găsesc una dintre cele pre-construite. Acest lucru este convenabil, pot alege, să zicem, HIPAA - Am primit deja HIPAA, PC-ul meu rău - PCI, apoi, în timp ce fac clic aici, pot vedea efectiv referința externă la secțiunea regulamentului că aceasta este în legătură cu. Deci, asta vă va ajuta mai târziu, când încercați să aflați de ce stabilesc acest lucru? De ce încerc să mă uit la asta? Cu ce secțiune este legată asta?
Acest lucru are, de asemenea, un instrument frumos prin faptul că vă permite să intrați și să răsfoiți utilizatorii, așa că unul dintre lucrurile complicate despre explorarea rolurilor dvs. de utilizator este că, de fapt, o să arunc o privire aici. Așadar, dacă afișez permisiunile pentru mele, lasă să vedem, să alegem un utilizator aici. Afișați permisiunile. Pot vedea permisiunile alocate pentru acest server, dar apoi pot face clic aici și să calculez permisiunile efective și îmi va oferi lista completă bazată pe, deci în acest caz este admin, deci nu este chiar atât de interesant, dar aș putea parcurgeți și alegeți diferiții utilizatori și vedeți care sunt permisiunile lor efective, pe baza tuturor grupurilor din care ar putea face parte. Dacă vreți să încercați să faceți acest lucru pe cont propriu, poate fi de fapt un pic de dificultate, pentru a vă da seama, OK acest utilizator este membru al acestor grupuri și, prin urmare, are acces la aceste lucruri prin grupuri etc.
Deci, modul în care acest produs funcționează, este nevoie de instantanee, deci nu este un proces foarte dificil de a lua o instantanee a serverului în mod regulat și apoi păstrează aceste instantanee în timp, astfel încât să puteți compara cu modificările. Deci, aceasta nu este o monitorizare continuă în sensul tradițional de a fi un instrument de monitorizare a performanței; este ceva pe care s-ar putea să-l configurați pentru a rula o dată pe noapte, o dată pe săptămână - oricât de des credeți că este valabil - astfel încât atunci, de fiecare dată când faceți analiza și faceți un pic mai mult, efectiv lucrați în cadrul instrumentului nostru. Nu vă conectați la serverul dvs. atât de mult, așa că acesta este un instrument foarte frumos cu care să lucrați, pentru a respecta aceste tipuri de setări statice.
Celălalt instrument pe care vreau să vi-l arăt este instrumentul nostru Compliance Manager. Compliance Manager va monitoriza într-un mod mai continuu. Și va vedea care face ce face pe serverul dvs. și vă permite să aruncați o privire la el. Deci, ce am făcut aici, în ultimele două ore, am încercat de fapt să creeze câteva mici probleme. Deci, aici am primit dacă este o problemă sau nu, s-ar putea să știu despre asta, cineva a creat de fapt un login și l-a adăugat la un rol de server. Deci, dacă intru și arunc o privire la asta, pot vedea ... cred că nu pot face clic dreapta acolo, pot vedea ce se întâmplă.Deci, acesta este tabloul meu de bord și pot vedea că am avut o serie de autentificări eșuate astăzi ceva mai devreme. Am avut o grămadă de activități de securitate, activitate DBL.
Așadar, permiteți-mă să merg la evenimentele mele de audit și să arunc o privire. Aici am primit evenimentele mele de audit grupate pe categorii și obiectul țintă, așa că, dacă arunc o privire asupra securității de mai devreme, pot vedea DemoNewUser, s-a produs această conectare la server. Și văd că SA-ul de conectare a creat acest cont DemoNewUser, aici, la 2:42 p.m. Și apoi, pot vedea că, la rândul său, adăugare autentificare la server, acest DemoNewUser a fost adăugat la grupul de admin server, au fost adăugate la grupul de administrare de configurare, au fost adăugate la grupul sysadmin. Deci, ceva ce aș vrea să știu s-a întâmplat. De asemenea, am configurat astfel încât coloanele sensibile din tabelele mele să fie urmărite, astfel încât să văd cine a accesat-o.
Aici, am primit câteva selecții care au apărut pe masa persoanei mele, de la Adventure Works. Și pot să arunc o privire și să văd că utilizatorul SA de pe tabela Adventure Works a făcut o selecție de top zece stele din persoana punct. Așadar, poate că în organizația mea nu vreau ca oamenii să facă stele selectate de la persoana dot persoană, sau mă aștept doar anumiți utilizatori să facă acest lucru, așa că o să văd asta aici. Deci, ceea ce aveți nevoie în ceea ce privește auditul dvs., îl putem configura pe baza cadrului și acesta este un instrument mai intensiv. Utilizează evenimente SQL Trace sau SQLX, în funcție de versiune. Și este ceva ce va trebui să aibă o cameră de cap pe serverul dvs. pentru a se acomoda, dar este una dintre aceste lucruri, un fel de asigurare asemănătoare, care este frumos dacă nu ar trebui să avem o asigurare auto - ar fi un cost pe care nu trebuie să luați - dar dacă aveți un server de unde trebuie să urmăriți ceea ce faceți ce anume, ar trebui să aveți un mic spațiu în plus și un instrument de acest fel pentru a face acest lucru. Indiferent dacă folosești instrumentul nostru sau îl folosești singur, vei fi în cele din urmă responsabil pentru furnizarea acestor informații în scopuri de conformitate cu reglementările.
Așa cum spuneam, nu o demonstrație aprofundată, ci doar un scurt rezumat. De asemenea, am vrut să vă arăt un instrument rapid, puțin gratuit, sub forma acestei căutări de coloane SQL, ceea ce puteți utiliza pentru a identifica ce coloane din mediul dvs. par a fi informații sensibile. Deci, avem o serie de configurații de căutare în care se caută diferite nume de coloane care conțin în mod obișnuit date sensibile, iar apoi am primit această listă întreagă care au fost identificate. Am primit 120 dintre ele și apoi le-am exportat aici, pentru a putea să le folosesc pentru a spune, dă drumul să mă uit și să mă asigur că sunt urmărirea accesului la numele de mijloc, o persoană punct sau o taxă de vânzare etc.
Știu că aveam dreptate la sfârșitul timpului nostru aici. Și asta este tot ceea ce am avut de fapt să vă arăt, deci vreo întrebare pentru mine?
Eric Kavanagh: Am câteva bune pentru tine. Permiteți-mi să derulez asta aici. Unul dintre participanți a pus o întrebare foarte bună. Unul dintre ei se întreabă despre impozitul pe performanță, așa că știu că acesta variază de la soluție la soluție, dar aveți idee generală despre ce este taxa de performanță pentru utilizarea instrumentelor de securitate IDERA?
Harp Vicky: Deci, pe SQL Secure, așa cum am spus, este foarte scăzut, va face doar instantanee. Chiar dacă ați rulat destul de des, informațiile sale statice cu privire la setări, și deci sunt foarte scăzute, aproape neglijabile. În ceea ce privește Compliance Manager, acesta este -
Eric Kavanagh: Ca un procent?
Harp Vicky: Dacă ar trebui să dau un număr la sută, da, ar fi cu un procent sau mai mic. Informațiile sale de bază despre ordinea utilizării SSMS și intrarea în fila de securitate și extinderea lucrurilor. În ceea ce privește Conformitatea, este mult mai ridicat - de aceea am spus că are nevoie de un mic spațiu de cap - este de genul său, dincolo de ceea ce ai în ceea ce privește monitorizarea performanței. Acum, nu vreau să speri oamenii de la ea, trucul cu monitorizarea conformității și dacă auditul său este să te asiguri că nu vei audia decât ceea ce urmează să acționezi. Așadar, odată ce te filtrezi pentru a spune: „Hei, vreau să știu când oamenii accesează aceste tabele particulare și vreau să știu ori de câte ori oamenii accesează, iau aceste acțiuni speciale”, atunci aceasta se va baza pe cât de des sunt aceste lucruri se întâmplă și câte date generați. Dacă spuneți: „Vreau SQL complet pentru fiecare selecție care se întâmplă vreodată pe oricare dintre aceste tabele”, asta va fi doar gigabyte și gigabyte de date care trebuie să fie analizate de către SQL Server stocate pe produsul nostru, etc. .
Dacă o mențineți până la ... va fi, de asemenea, mai multe informații decât probabil ați putea face față. Dacă puteți duce-o la un set mai mic, astfel încât să obțineți câteva sute de evenimente pe zi, atunci, evident, este mult mai mic. Deci, într-adevăr, într-un fel, skys limita. Dacă activați toate setările pe toate monitorizările pentru tot, atunci da, va fi un succes de 50%. Dar dacă o să-l transformi într-un nivel mai moderat, considerat, aș putea să vadă globul ocular cu 10%? Este, într-adevăr, unul dintre acele lucruri care vor depinde foarte mult de volumul de muncă.
Eric Kavanagh: Da, sigur. Există o altă întrebare despre hardware. Și apoi, acolo sunt furnizorii de hardware care au intrat în joc și colaborând cu furnizorii de software și am răspuns prin fereastra Q&A. Știu despre un caz particular, de Cloudera care lucrează cu Intel, unde Intel a făcut acea investiție uriașă în ele, iar o parte a calculului a fost că Cloudera va avea acces timpuriu la designul cipului și astfel ar putea să asigure securitatea nivelului de cip al arhitectura, care este destul de impresionantă. Dar totuși, ceva ce va ieși acolo și poate fi exploatat de ambele părți. Cunoașteți tendințele sau tendințele furnizorilor de hardware de a colabora cu furnizorii de software la protocolul de securitate?
Harp Vicky: Da, de fapt, cred că Microsoft a colaborat pentru a avea o parte din spațiul de memorie pentru unele dintre lucrările de criptare se întâmplă de fapt pe cipuri separate pe plăci de bază care sunt separate de memoria principală, astfel încât unele dintre aceste lucruri este separat fizic. Și cred că asta a fost ceva care a venit de la Microsoft în ceea ce privește ieșirea către vânzători pentru a spune: „Putem veni cu o modalitate de a face acest lucru, practic memoria sa neadresabilă, nu pot trece printr-un reapar de tampon pentru a ajunge la această memorie , pentru că nu este chiar acolo, într-un anumit sens, așa că știu că se întâmplă o parte din asta. ”
Eric Kavanagh: Da.
Harp Vicky: Asta vor fi în mod evident vânzătorii cu adevărat mari, cel mai probabil.
Eric Kavanagh: Da. Sunt curios să privesc asta și poate Robin, dacă ai o secundă rapidă, să fiu curios să știu experiența ta de-a lungul anilor, pentru că din nou, din punct de vedere al hardware-ului, în ceea ce privește știința materialelor actuale, care intră în ceea ce pui. împreună din partea vânzătorului, informațiile respective ar putea merge pe ambele părți și, teoretic, mergem pe ambele părți destul de repede, deci există vreun fel de a utiliza hardware-ul mai atent, dintr-o perspectivă de proiectare pentru a consolida securitatea? Tu ce crezi? Robin, ești mut?
Robin Bloor: Da da. Îmi pare rău, sunt aici; Doar mă gândesc la întrebare. Ca să fiu sincer, nu am o opinie, este un domeniu pe care nu l-am privit în profunzime semnificativă, așa că sunt, știi, pot inventa o opinie, dar nu știu cu adevărat. Prefer ca lucrurile să fie sigure în software, doar modul în care joc, practic.
Eric Kavanagh: Da. Ei bine, oameni buni, am ars peste o oră și ne-am schimbat aici. Mulțumiri deosebite Vicky Harp pentru timpul și atenția acordată - pentru tot timpul și atenția ta; vă apreciem că vă prezentați pentru aceste lucruri. Este o afacere mare; nu va pleca oricând curând. Este un joc de pisici și mouse-ul care va continua să meargă și să meargă și să meargă. Și așa au fost mulțumitori că unele companii sunt acolo, concentrate pe asigurarea securității, dar cum Vicky chiar a făcut aluzie și a vorbit un pic în prezentarea ei, la sfârșitul zilei, oamenii săi din organizații care trebuie să se gândească foarte atent la acestea atacuri de phishing, genul acela de inginerie socială și țineți-vă de laptopuri - nu lăsați-l la cafenea! Schimbați parola, faceți elementele de bază și veți obține 80 la sută din drum.
Deci, cu asta, oameni buni, aveau de gând să-ți ia rămas bun, mulțumesc încă o dată pentru timpul și atenția acordată. Ei bine, prinde-ți data viitoare, ai grijă. Pa! Pa.
Harp Vicky: Adio, mulțumesc.