De personalul Techopedia, 10 mai 2017
Take away : Gazda Eric Kavanagh discută securitatea și permisiunile cu Dr. Robin Bloor și IDERA Vicky Harp.
În prezent nu sunteți autentificat. Vă rugăm să vă conectați sau să vă înregistrați pentru a vedea videoclipul.
Eric Kavanagh: Bine, doamnelor și domnilor, salut și bineveniți din nou. Este o zi de miercuri, este patru orientale și în lumea tehnologiilor de întreprindere, ceea ce înseamnă că este timpul din nou pentru Hot Technologies! Da, întradevăr. Prezentat de Grupul Bloor, bineînțeles, susținut de prietenii noștri de la Techopedia. Subiectul de astăzi este unul cu adevărat interesant: „Mai bine să ceri permisiunea: cele mai bune practici pentru confidențialitate și securitate.” Așa este, este un subiect dificil, mulți oameni vorbesc despre asta, dar este unul destul de serios și chiar devine mai serios în fiecare zi, destul de sincer. Este o problemă serioasă în multe privințe pentru multe organizații. Vom vorbi despre asta și vom discuta despre ceea ce puteți face pentru a vă proteja organizația de personajele nefaste care par a fi peste tot în aceste zile.
Așadar, prezentatoarea de astăzi este Vicky Harp apelând de la IDERA. Puteți vedea IDERA Software pe LinkedIn - Îmi place noua funcționalitate pe LinkedIn. Deși pot spune că trag anumite șiruri în anumite moduri, nu vă permit să accesați oameni, încercând să vă determină să cumpărați acele membri premium. Acolo te duci, îl avem pe propriul nostru Robin Bloor, care face apel. - El este de fapt în zona din San Diego astăzi. Și al tău cu adevărat ca moderator / analist.
Deci despre ce vorbim? Scurgeri de date. Tocmai am luat aceste informații de pe IdentityForce.com, e deja în cursă. Suntem în mai, desigur, în acest an și există doar o mulțime de încălcări ale datelor, există unele foarte mari, desigur, de către Yahoo! a fost unul mare și am auzit despre desigur că guvernul american a fost hacked. Tocmai am avut piratele din alegerile franceze.
Acest lucru se întâmplă peste tot, continuă și nu se va opri, deci este o realitate, este noua realitate, așa cum spun ei. Avem nevoie cu adevărat să ne gândim la modalități de a impune securitatea sistemelor noastre și a datelor noastre. Și este un proces continuu, așa că este la timp să ne gândim la toate diferitele probleme care vin în joc. Aceasta este doar o listă parțială, dar aceasta vă oferă o perspectivă asupra cât de precară este situația din zilele noastre cu sistemele de întreprindere. Și înainte de această emisiune, în banterul pre-show am vorbit despre ransomware-ul care a lovit pe cineva pe care îl cunosc, ceea ce este o experiență foarte neplăcută, când cineva preia iPhone-ul și îți cere bani pentru a putea accesa înapoi telefonul. Dar se întâmplă, se întâmplă cu calculatoarele, se întâmplă cu sistemele, am văzut chiar a doua zi, se întâmplă miliardarilor cu iahturile lor. Imaginați-vă că mergeți la iahtul vostru într-o zi, încercând să vă impresionați toți prietenii și nici nu puteți să-l porniți, pentru că un hoț a furat accesul la comenzi, la panoul de control. Tocmai am spus că a doua zi într-un interviu cuiva, să ai întotdeauna o înlocuire manuală. Parcă nu sunt un mare fan al tuturor mașinilor conectate - chiar și mașinile pot fi hackate. Orice este conectat la internet sau conectat la o rețea care poate fi pătrunsă poate fi hacked, orice.
Iată, așadar, doar câteva elemente de luat în considerare în ceea ce privește încadrarea contextului cât de gravă este situația. Sistemele bazate pe web sunt peste tot în aceste zile, continuă să prolifereze. Câți oameni cumpără lucruri online? Doar prin acoperiș în aceste zile, de aceea Amazon este o forță atât de puternică în aceste zile. Se datorează faptului că atât de mulți oameni cumpără lucruri online.
Așadar, îți amintești atunci, acum 15 ani, oamenii erau destul de nervoși în privința introducerii cardului de credit într-un formular web pentru a obține informațiile lor, iar atunci, argumentul era: „Ei bine, dacă dai cartea de credit unui chelner la un restaurant, atunci acesta este același lucru. ”Deci, răspunsul nostru este da, este același lucru, există toate aceste puncte de control, sau puncte de acces, același lucru, latura diferită a aceleiași monede, unde oamenii pot fi puși în pericol, unde cineva vă poate lua banii sau cineva vă poate fura.
Apoi, IoT extinde desigur peisajul amenințărilor - iubesc acest cuvânt - prin ordine de mărime. Adică, gândiți-vă - cu toate aceste dispozitive noi peste tot, dacă cineva poate hack într-un sistem care le controlează, poate transforma toate aceste roboți împotriva ta și poate cauza o mulțime de probleme, deci este o problemă foarte serioasă. Avem o economie globală în zilele noastre, care extinde și mai mult peisajul amenințărilor și, mai mult, aveți oameni din alte țări care pot accesa web-ul în același mod în care voi și cu mine, și dacă nu știți să vorbiți limba rusă sau orice alt număr de alte limbi, va fi dificil să înțelegeți ce se întâmplă atunci când se conectează la sistemul dvs. Deci, avem progrese în rețea și virtualizare, ei bine.
Dar am partea dreaptă a acestei imagini aici, o sabie și motivul pentru care o am acolo este pentru că fiecare sabie taie ambele feluri. Este o sabie cu două tăișuri, după cum se spune, și este un clișeu vechi, dar înseamnă că sabia pe care o am vă poate face rău sau mă poate dăuna. Se poate întoarce pe mine, fie prin săritură înapoi, fie prin cineva care o ia. Este de fapt una din Fabulele lui Esop - adesea le dăm dușmanilor noștri instrumentele propriei noastre distrugeri. Este într-adevăr povestea convingătoare și are de-a face cu cineva care a folosit un arc și o săgeată și a doborât o pasăre și pasărea a văzut, în timp ce săgeata venea în sus, acea pene de la unul dintre prietenii săi de pasăre era pe marginea săgeții, pe spatele săgeții pentru a-l ghida și s-a gândit la el însuși: „O, omule, iată, propriile mele pene, propria mea familie vor fi obișnuite să mă doboare.” Asta se întâmplă tot timpul, auziți statisticile despre tine ai o armă în casă, hoțul poate lua arma. Ei bine, acest lucru este adevărat. Deci, arunc acest lucru ca o analogie doar să iau în considerare, toate aceste evoluții diferite au laturi pozitive și laturi negative.
Și vorbind despre, containerele pentru aceia dintre voi care urmează cu adevărat de ultimă oră a computerelor de întreprindere, containerele sunt ultimele lucruri, cea mai recentă modalitate de a oferi funcționalitate, este cu adevărat căsătoria virtualizării în arhitectura orientată către servicii, cel puțin pentru microservicii și este chestii foarte interesante. Cu siguranță puteți să vă desconsiderați protocoalele de securitate și protocoalele de aplicare și datele dvs., folosind containere și asta vă oferă un avans pentru o perioadă de timp, dar mai devreme sau mai târziu, cei răi vor descoperi asta și atunci va fi și mai greu să îi împiedici să profite de sistemele tale. Deci, există asta, există forță de muncă globală care complică rețeaua și securitatea și de unde se conectează oamenii.
Avem războaiele de browser care continuă cu pas și necesită o muncă constantă pentru actualizare și pentru a rămâne la curent. Continuăm să auzim despre vechile browsere Microsoft Explorer, despre cum au fost hacked și disponibile acolo. Deci, sunt mai mulți bani care trebuie câștigați în hacking în aceste zile, există o întreagă industrie, lucru pe care partenerul meu, Dr. Bloor, mi l-a învățat acum opt ani - mă întrebam de ce vedem atât de mult, și mi-a reamintit. eu, este o întreagă industrie implicată în hacking. Și în acest sens, narațiunea, care este unul dintre cuvintele mele cele mai puțin preferate despre securitate, este într-adevăr foarte necinstit, pentru că narațiunea vă arată în toate aceste videoclipuri și orice fel de acoperire de știri pe unii hacking pe care îi arată unui tip în glugă, așezat în subsolul său, într-o cameră cu lumină întunecată, nu este deloc cazul. Aceasta nu este deloc reprezentativă pentru realitate. Este vorba de hackeri singulari, sunt foarte puțini hackeri singulari, sunt acolo, provoacă unele probleme - nu vor cauza marele necaz, dar pot face bani mulți. Așadar, ceea ce se întâmplă este ca hackerii să intre, să vă pătrundă în sistem și apoi să vândă acel acces către altcineva, care se întoarce și îl vinde altcuiva, iar apoi undeva în linie, cineva exploatează acel hack și profită de tine. Și există nenumărate modalități de a profita de datele furate.
Chiar m-am minunat de modul în care am glamat acest concept. Vedeți acest termen peste tot, „hack hacking”, de parcă este un lucru bun. Știți, hacking-ul pentru creștere, hacking-ul poate fi un lucru bun, dacă încercați să lucrați pentru băieții buni, astfel încât să vorbim și să piratăm într-un sistem, ca și cum continuăm să auzim despre Coreea de Nord și despre lansările lor de rachete, posibil să fie hackate - Asta e bine. Dar hackingul este adesea un lucru rău. Așadar, acum îl glamizăm, aproape ca Robin Hood, când l-am glamizat pe Robin Hood. Și atunci există societatea fără numerar, ceva ce se referă sincer la lumina zilei din mine. Tot ce cred de fiecare dată când aud asta este: „Nu, vă rog să nu o faceți! Te rog, nu! ”Nu vreau să dispară toți banii noștri. Așadar, acestea sunt doar câteva aspecte de luat în considerare și, din nou, este un joc pentru pisici și mouse; nu se va opri niciodată, va fi întotdeauna nevoie de protocoale de securitate și de avansare a protocoalelor de securitate. Și pentru monitorizarea sistemelor dvs. chiar și pentru a ști și a sesiza cine este acolo, cu înțelegerea că ar putea fi chiar o treabă interioară. Deci, este o problemă continuă, va fi o problemă continuă de ceva timp - nu faceți greșeală în acest sens.
Și cu asta, o voi înmâna dr. Bloor, care poate împărtăși cu noi câteva gânduri despre securizarea bazelor de date. Robin, ia-o.
Robin Bloor: OK, unul dintre hack-urile interesante, cred că a apărut în urmă cu aproximativ cinci ani, dar practic a fost o companie de procesare a cardurilor care a fost hacked. Și un număr mare de detalii despre carduri au fost furate. Însă, lucru interesant pentru mine, a fost faptul că în baza de date de test au intrat de fapt și, probabil, au avut mari dificultăți în a intra în baza de date reală a cardurilor de procesare. Dar știi cum este cu dezvoltatorii, ei iau doar o tăietură a unei baze de date, o duc acolo. Ar fi trebuit să fi fost mult mai multă vigilență pentru a opri acest lucru. Dar există o mulțime de povești de hacking interesante, face într-o singură zonă, face un subiect foarte interesant.
Așadar, voi repeta, într-un fel sau altul, câteva dintre lucrurile pe care le-a spus Eric, dar este ușor să cred că securitatea datelor este o țintă statică; este mai ușor doar pentru că este mai ușor să analizezi situațiile statice și apoi să te gândești să introduci apărări acolo, apărări, dar nu este. Este o țintă mișcătoare și acesta este unul dintre lucrurile care definesc tot spațiul de securitate. Este exact în modul în care evoluează toată tehnologia, evoluează și tehnologia celor răi. Așadar, o privire de ansamblu sumară: furtul de date nu este nimic nou, de fapt, spionajul de date este furt de date și asta se întâmplă de mii de ani, cred.
Cea mai mare informație în acești termeni a fost britanica încălcarea codurilor germane și americanii încălcarea codurilor japoneze și, în ambele cazuri, au scurtat foarte mult războiul. Și tocmai furau date utile și valoroase, desigur era foarte inteligent, dar știi, ceea ce se întâmplă acum este foarte inteligent în mai multe moduri. Furtul cibernetic s-a născut odată cu internetul și a explodat în jurul anului 2005. M-am dus și m-am uitat la toate statisticile și când ai început să devii cu adevărat serioase și, într-un fel sau altul, numere remarcabil de mari începând cu 2005. apoi. Mulți jucători, guverne sunt implicați, întreprinderi sunt implicate, grupuri de hackeri și persoane fizice.
M-am dus la Moscova - asta trebuie să fi trecut vreo cinci ani - și de fapt am petrecut mult timp cu un tip din Marea Britanie, care cercetează întreg spațiul de hacking. Și a spus asta - și nu am idee dacă acest lucru este adevărat, am primit doar cuvântul lui pentru asta, dar sună foarte probabil - că în Rusia există ceva numit Business Network, care este un grup de hackeri care sunt toți, știi, au ieșit din ruinele KGB-ului. Și se vând singuri, nu doar, vreau să spun, sunt sigur că guvernul rus le folosește, dar se vând pe oricine și s-a zvonit, sau a spus că se zvonea, că diverse guverne străine foloseau rețeaua de afaceri pentru negare plauzibila. Acești tipuri aveau rețele de milioane de computere compromise de la care ar putea ataca. Și aveau toate instrumentele pe care ți le poți imagina.
Deci, tehnologia de atac și de apărare a evoluat. Iar întreprinderile au datoria de a-și îngriji datele, indiferent dacă le dețin sau nu. Și asta începe să devină mult mai clar în ceea ce privește diferitele regulamente care sunt deja în vigoare sau intră în vigoare. Și probabil că se va îmbunătăți, cineva este într-un fel sau altul, cineva trebuie să suporte costurile hackingului, astfel încât să fie încurajat să închidă posibilitatea. Acesta este unul dintre lucrurile pe care cred că este necesar. Deci, despre hackeri, ei pot fi localizați oriunde. În special în cadrul organizației voastre - o mulțime groaznică de haine ingenioase despre care am auzit despre cineva care deschide ușa. Știi, persoana, este ca și situația tâlharilor din bănci, aproape întotdeauna se spunea în jafurile bancare bune, există un cunoscut. Insiderul trebuie doar să ofere informații, așa că este dificil să le obții, să știi cine a fost și așa mai departe.
Și poate este dificil să-i aduci în fața justiției, pentru că dacă ai fost hackat de un grup de oameni din Moldova, chiar dacă știi că a fost acel grup, cum vei face ca un fel de eveniment legal să se întâmple în jurul lor? Este un fel de, de la o jurisdicție la alta, este pur și simplu, nu există un set foarte bun de aranjamente internaționale pentru a pune în evidență hackerii. Ei împărtășesc tehnologia și informația; o mare parte din acestea este open source. Dacă doriți să vă construiți propriul virus, există o mulțime de kituri de virus acolo - complet open source. Și au resurse considerabile, au existat o serie de botnete în peste un milion de dispozitive compromise în centrele de date și pe PC-uri și așa mai departe. Unele sunt afaceri profitabile, care merg de mult timp, iar apoi există grupuri guvernamentale, așa cum am menționat. Este puțin probabil, așa cum a spus Eric, este puțin probabil ca acest fenomen să se termine.
Așadar, acesta este un hack interesant pe care tocmai l-am crezut că îl menționez, pentru că a fost un hack destul de recent; s-a întâmplat anul trecut. A existat o vulnerabilitate în contractul DAO asociat cu moneda Crypto Etherium. Și a fost discutat pe un forum și, într-o zi, a fost hackat contractul DAO, folosind exact această vulnerabilitate. 50 de milioane de dolari în eter au fost sifonați, provocând o criză imediată în proiectul DAO și închizându-l. Și Etherium s-a luptat de fapt pentru a încerca să-l împiedice pe hacker să acceseze banii, iar ei au redus acțiunea. Dar, de asemenea, se credea - nu se știe sigur - că hackerul a scurtat de fapt prețul eterului înainte de atacul său, știind că prețul eterului se va prăbuși, și astfel a obținut un profit într-un alt mod.
Și asta este o altă, dacă doriți, o stratagemă pe care hackerii o pot folosi. Dacă vă pot deteriora prețul acțiunii și știu că vor face asta, atunci este necesar ca aceștia să scurteze prețul acțiunii și să facă hack-ul, așa că este un fel, acești tipi sunt deștepți, știți. Iar prețul este furtul total de bani, întreruperea și răscumpărarea, inclusiv investițiile, în care întrerupeți și scurtați stocul, sabotajul, furtul de identitate, tot felul de escrocherii, doar de dragul publicității. Și are tendința de a fi politice sau, evident, de a spiona informațiile și există chiar și oameni care își fac viața din banii de erori pe care îi puteți obține încercând să hack Google, Apple, Facebook - chiar și Pentagonul, oferă de fapt bug-uri. Și pur și simplu piratezi; dacă are succes, atunci mergi doar să-ți revendici premiul și nu se face nicio pagubă, așa că este un lucru frumos, știi.
La fel de bine aș menționa conformitatea și reglementările. Pe lângă inițiativele sectoriale, există multe reglementări oficiale: HIPAA, SOX, FISMA, FERPA și GLBA sunt toate legislațiile americane. Există standarde; PCI-DSS a devenit un standard destul de general. Și atunci există ISO 17799 despre proprietatea datelor. Reglementările naționale diferă de la o țară la alta, chiar și din Europa. Și în prezent GDPR - Global Data, la ce se referă? Reglementarea globală privind protecția datelor, cred că este valabilă - dar aceasta va intra în vigoare anul viitor. Iar lucrul interesant este că se aplică în întreaga lume. Dacă aveți 5.000 de clienți sau mai mulți, pe care aveți informații personale și aceștia locuiesc în Europa, atunci Europa vă va duce cu adevărat la sarcină, indiferent dacă compania dvs. are de fapt sediul sau unde își desfășoară activitatea. Și penalități, pedeapsa maximă este de patru la sută din veniturile anuale, ceea ce este doar uriaș, astfel încât va fi o răsucire interesantă asupra lumii, când aceasta va intra în vigoare.
Lucruri despre care să vă gândiți, bine, vulnerabilitățile DBMS, majoritatea datelor valoroase stau de fapt în bazele de date. Este valabil pentru că am acordat foarte mult timp punerii la dispoziție și organizării sale bune și asta îl face mai vulnerabil, dacă nu aplicați de fapt titlurile DBMS potrivite. Evident, dacă intenționați să planificați astfel de lucruri, trebuie să identificați care sunt datele vulnerabile din întreaga organizație, ținând cont că datele pot fi vulnerabile din diferite motive. Poate fi date despre clienți, dar ar putea fi în egală măsură documente interne care ar fi valoroase în scopuri de spionaj ș.a. Politica de securitate, în special în ceea ce privește securitatea accesului - care în ultimele mele ori a fost foarte slabă, în noile chestii open source - criptarea se folosește mai mult, deoarece este destul de solid.
Costul unei încălcări de securitate, majoritatea oamenilor nu știau, dar dacă te uiți la ce s-a întâmplat cu organizațiile care au suferit încălcări de securitate, se dovedește că costul unei încălcări de securitate este adesea mult mai mare decât crezi. . Și atunci celălalt lucru la care trebuie să vă gândiți este suprafața de atac, deoarece orice software de oriunde, care rulează cu organizațiile dvs. prezintă o suprafață de atac. La fel face și oricare dintre dispozitive, la fel și datele, indiferent de modul în care sunt stocate. Este totul, suprafața atacului crește odată cu internetul lucrurilor, suprafața de atac probabil se va dubla.
Deci, în sfârșit, DBA și securitatea datelor. Securitatea datelor este de obicei o parte a rolului DBA. Dar este și colaborativ. Și trebuie să facă obiectul politicii corporative, altfel probabil nu va fi implementat bine. Acestea fiind spuse, cred că pot trece mingea.
Eric Kavanagh: Bine, permiteți-mi să dau cheile lui Vicky. Și puteți să vă partajați ecranul sau să vă mutați la aceste diapozitive, depinde de voi, luați-l departe.
Vicky Harp: Nu, voi începe cu aceste diapozitive, vă mulțumesc foarte mult. Deci, da, am vrut doar să iau un moment rapid și să mă prezint. Sunt Vicky Harp. Sunt manager, management de produse pentru produsele SQL de la software-ul IDERA, iar pentru aceia dintre voi care ar putea să nu fie familiarizați cu noi, IDERA are o serie de linii de produse, dar vorbesc aici pentru aspectele SQL Server. Și deci, facem monitorizarea performanței, respectarea securității, backup, instrumente de administrare - și este doar un fel de listare a acestora. Și bineînțeles, despre ce sunt aici să vorbesc astăzi este securitatea și conformitatea.
Cea mai mare parte a ceea ce vreau să vorbesc astăzi nu este neapărat produsele noastre, deși intenționez să arăt câteva exemple despre asta mai târziu. Am vrut să vă vorbesc mai multe despre securitatea bazelor de date, unele dintre amenințările din lumea securității bazei de date chiar acum, unele lucruri la care să vă gândiți și câteva idei introductive despre ceea ce trebuie să priviți pentru a vă asigura SQL Baze de date server și, de asemenea, pentru a vă asigura că sunt conforme cu cadrul de reglementare la care puteți face obiectul, așa cum a fost menționat. Există multe reglementări diferite în vigoare; ei merg pe diferite industrii, locuri diferite din întreaga lume și acestea sunt lucruri de gândit.
Așadar, vreau să iau un moment și să vorbesc despre starea încălcărilor de date - și să nu repet prea mult din ceea ce s-a discutat deja aici - am privit recent acest studiu de cercetare în domeniul securității Intel și de-a lungul lor - cred 1500 de organizații cu care au vorbit - au avut, în medie, șase încălcări de securitate, în ceea ce privește încălcările privind pierderea de date, iar 68 la sută dintre cele au solicitat dezvăluirea într-un anumit sens, așa că au afectat prețul stocului sau au trebuit să facă un credit monitorizarea clienților sau a angajaților acestora etc.
Unele alte statistici interesante sunt că actorii interni care au fost responsabili pentru 43 la sută dintre aceștia. Așadar, o mulțime de oameni se gândesc foarte mult la hackeri și la acest tip de organizații cenuvernamentale umbroase sau la criminalitatea organizată etc., dar actorii interni continuă să acționeze direct împotriva angajatorilor lor, într-o proporție destul de mare din cazuri. Și acestea sunt uneori mai greu de protejat împotriva, deoarece oamenii pot avea motive legitime pentru a avea acces la aceste date. Aproximativ jumătate din aceasta, 43% a reprezentat pierderi accidentale într-un anumit sens. Așa că, de exemplu, în cazul în care cineva a luat datele acasă, și apoi a pierdut evidența acestor date, ceea ce mă duce până la acest al treilea punct, care este că chestii din mediile fizice erau încă implicate de 40% din încălcări. Deci, asta este chei USB, adică laptopuri ale oamenilor, adică suporturi media care au fost arse pe discurile fizice și scoase din clădire.
Dacă vă gândiți, aveți un dezvoltator care are o copie dev a bazei de date de producție pe laptopul lor? Apoi se urcă într-un avion și coboară din avion și primesc bagajul verificat și laptopul este furat. Ați avut acum o încălcare a datelor. S-ar putea să nu credeți neapărat că de aceea laptopul a fost luat, s-ar putea să nu apară vreodată în sălbăticie. Dar totuși este ceva care reprezintă o încălcare, va necesita dezvăluire, veți avea toate efectele din aval de a fi pierdut aceste date, doar din cauza pierderii acelui suport fizic.
Și celălalt lucru interesant este că o mulțime de oameni se gândesc la datele de credit, iar informațiile despre cardul de credit sunt cele mai valoroase, dar nu mai este cazul. Aceste date sunt valoroase, numerele cărților de credit sunt utile, dar, sincer, aceste numere sunt schimbate foarte repede, în timp ce datele personale ale oamenilor nu sunt schimbate foarte repede. Ceva care știrile recente, relativ recente, VTech, un producător de jucării a avut aceste jucării care au fost concepute pentru copii. Și oamenii ar avea, ar avea numele copiilor lor, ar avea informații despre locul în care trăiesc copiii, aveau numele părinților lor, aveau fotografii cu copiii. Nimic din toate acestea nu a fost criptat, deoarece nu a fost considerat a fi important. Parolele lor au fost criptate. Ei bine, atunci când încălcarea s-a întâmplat inevitabil, spuneți: „OK, așa că am o listă cu numele copiilor, numele părinților lor, unde locuiesc - toate aceste informații sunt acolo și vă gândiți că parola a fost cea mai valoroasă parte din asta? ”Nu a fost; oamenii nu pot schimba acele aspecte cu privire la datele lor personale, adresa lor etc. Și astfel încât informațiile sunt de fapt foarte valoroase și trebuie protejate.
Așadar, am vrut să vorbim despre unele dintre lucrurile care se întâmplă, pentru a contribui la modul în care se întâmplă încălcarea datelor în acest moment. Unul dintre marile hotspoturi, spații în acest moment este inginerie socială. Așa că oamenii îl numesc phishing, există o sugestie etc., unde oamenii obțin acces la date, adesea prin actori interni, doar convingându-i că ar trebui să aibă acces la ea. Deci, chiar a doua zi, am avut acest vierme Google Docs care se întâmpla. Și ce s-ar întâmpla - și am primit de fapt o copie a acesteia, deși din fericire nu am dat clic pe ea - primiți un e-mail de la un coleg, spunând: „Iată un link Google Doc; trebuie să faceți clic pe acest lucru pentru a vedea ce am împărtășit doar cu dvs. ”Ei bine, că într-o organizație care folosește Google Docs, care este foarte convențională, veți primi zeci de solicitări pe zi. Dacă ați face clic pe el, v-ar solicita permisiunea de a accesa acest document și poate ați spune: „Hei, asta pare puțin ciudat, dar știți, pare și legitim, așa că o să merg mai departe și faceți clic pe el ”și, imediat ce ați făcut acest lucru, ați oferit acestui terț acces la toate documentele dvs. Google și, astfel, a creat acest link pentru ca acest actor extern să aibă acces la toate documentele dvs. pe Google Drive. Acest lucru a viermat peste tot. A lovit sute de mii de oameni în câteva ore. Și acesta a fost fundamental un atac de phishing pe care Google însuși a sfârșit să-l oprească, pentru că a fost foarte bine executat. Oamenii au căzut pentru asta.
Menționez aici încălcarea SnapChat HR. Aceasta a fost doar o simplă chestiune de trimitere a unui e-mail, care presupune că sunt directorul general, trimitând un e-mail către departamentul de resurse umane, spunând: „Am nevoie ca tu să-mi trimiți această foaie de calcul.” Și ei i-au crezut și au pus o foaie de calcul cu 700 de angajați diferiți. „informațiile de compensare, adresele de domiciliu etc., le-au trimis prin e-mail către acest alt partid, nu era de fapt CEO. Acum, datele erau pe deplin și toate informațiile personale, private ale angajaților lor erau acolo și disponibile pentru exploatare. Deci, inginerie socială este ceva pe care îl menționez în lumea bazelor de date, deoarece acesta este un lucru pe care îl puteți încerca să vă apărați prin educație, dar trebuie să vă amintiți doar că oriunde aveți o persoană care interacționează cu tehnologia dvs. și dacă te bazezi pe buna lor judecată pentru a preveni o întrerupere, îi ceri pe mulți.
Oamenii fac greșeli, oamenii fac clic pe lucruri pe care nu ar trebui să le aibă, oamenii se confruntă cu ruse inteligente. Și puteți încerca foarte mult să le protejați împotriva acesteia, dar nu este suficient de puternic, trebuie să încercați să limitați capacitatea oamenilor de a da din greșeală aceste informații în sistemele dvs. de baze de date. Celălalt lucru pe care am vrut să-l menționez că, în mod evident, vorbim despre multe despre ransomware, botnets, viruși - toate aceste modalități automatizate. Și deci ceea ce cred că este important să înțelegem despre ransomware este că schimbă cu adevărat modelul de profit pentru atacatori. În cazul în care vorbești despre o încălcare, trebuie, într-un anumit sens, să extragă date și să le aibă pentru ele și să le folosească. Și dacă datele dvs. sunt obscure, dacă sunt criptate, dacă sunt specifice industriei, poate nu au nicio valoare pentru acestea.
Până în acest moment, oamenii ar fi putut simți că aceasta a fost o protecție pentru ei: „Nu am nevoie să mă protejez de o încălcare a datelor, deoarece, dacă vor intra în sistemul meu, vor avea tot ce vor avea este, sunt un studio de fotografie, am o listă cu cine va veni în ce zile pentru anul următor. Cui îi pasă de asta? ”Ei bine, se dovedește că răspunsul vă pasă de asta; stocați informațiile respective, sunt informațiile dvs. critice pentru afaceri. Așadar, folosind ransomware, un atacator va spune: „Ei bine, nimeni altcineva nu îmi va da bani pentru asta, dar veți face asta”. Astfel, ei folosesc faptul că nici măcar nu trebuie să scoată datele, ci nu ” chiar nu trebuie să aibă o încălcare, trebuie doar să folosească ofensiv instrumentele de securitate împotriva ta. Vă intră în baza de date, criptează conținutul acesteia și apoi spun: „OK, avem parola și va trebui să ne plătiți 5.000 de dolari pentru a obține acea parolă, sau altfel pur și simplu nu aveți aceste date mai sunt. "
Și oamenii plătesc; se găsesc că trebuie să facă asta. MongoDB a avut o problemă uriașă acum câteva luni, cred că a fost în ianuarie, unde ransomware-ul a lovit, cred, peste un milion de baze de date MongoDB pe care le au în public pe internet, bazate pe unele setări implicite. Și ceea ce a înrăutățit este faptul că oamenii plăteau, astfel încât alte organizații să intre și să cripteze sau să pretindă că au fost cele care l-au criptat inițial, așa că atunci când ați plătit banii, și cred că în acest caz au fost solicitând ceva de 500 $, oamenii ar spune: „OK, aș plăti mai mult decât asta pentru a plăti unui cercetător pentru a intra aici, care să mă ajute să îmi dau seama ce a mers prost. Voi plăti doar 500 de dolari. ”Și nici măcar nu i-au plătit actorului potrivit, așa că ar fi îngrămădiți cu zece organizații diferite care le spuneau:„ Avem parola ”sau„ Avem a primit calea pentru a vă debloca datele răscumpărate. ”Și ar trebui să le plătiți pe toate pentru a putea să funcționeze.
Au fost, de asemenea, cazuri în care autorii ransomware-ului au avut erori, adică nu vorbim despre faptul că este o situație perfect superioară, așa că, odată ce a fost atacat, chiar și odată ce ați plătit, nu există nicio garanție că sunteți o să vă recupereze toate datele, unele dintre acestea sunt complicate și de instrumentele InfoSec armate. Deci, Shadow Brokers este un grup care a scos instrumente care au fost de la NSA. Au fost instrumente concepute de entitatea guvernamentală în scopul spionajului și care lucrează efectiv împotriva altor entități guvernamentale. Unele dintre acestea au fost atacuri de înaltă valoare de zero zile, ceea ce face ca protocoalele de securitate cunoscute să fie doar deoparte. Și, astfel, a existat o vulnerabilitate majoră în protocolul SMB, de exemplu, într-unul dintre depozitele recente de la Shadow Brokers.
Și astfel aceste instrumente care vin aici pot, în câteva ore, să schimbe cu adevărat jocul, în ceea ce privește suprafața de atac. Deci, de fiecare dată când mă gândesc la asta, este ceva care, la nivel organizațional, securitatea InfoSec este funcția proprie, trebuie luată în serios. Ori de câte ori vorbim despre baze de date, pot să le redus puțin, nu trebuie neapărat să ai ca administrator de baze de date o înțelegere completă a ceea ce se întâmplă cu Shadow Brokers săptămâna aceasta, dar trebuie să fii conștient că toate dintre acestea se schimbă, există lucruri care se întâmplă și, astfel, gradul în care îți păstrezi propriul domeniu strâns și în siguranță, te va ajuta cu adevărat în cazul în care astfel de lucruri te vor scoate de sub tine.
Așadar, am vrut să iau un moment aici, înainte de a trece la discuții despre SQL Server în mod specific, pentru a avea de fapt o discuție deschisă cu comisarii noștri cu privire la unele dintre considerațiile legate de securitatea bazei de date. Deci, am ajuns la acest punct, unele dintre lucrurile pe care nu le-am menționat, am vrut să vorbesc despre injecția SQL ca vector. Deci, aceasta este o injecție SQL, în mod evident, este modul în care oamenii introduc comenzi într-un sistem de baze de date, printr-un fel de malformare a intrărilor.
Eric Kavanagh: Da, am cunoscut de fapt un tip - cred că a fost la baza Forței Aeriene a lui Andrews - acum aproximativ cinci ani, un consultant despre care vorbeam cu el pe hol și că eram doar un fel de a împărtăși povești de război - fără niciun fel de intenție - și a menționat că a fost adus de cineva pentru a se consulta cu un membru al rangului destul de înalt al armatei, iar tipul l-a întrebat: „Păi, de unde știm că ești bun la ceea ce faci?” Și asta și asta . Și cum vorbea cu aceștia pe care-l folosea pe computer, ajunsese în rețea, folosea injecția SQL pentru a intra în registrul de e-mail pentru acea bază și pentru acei oameni. Și a găsit e-mail-ul persoanei cu care vorbea și i-a arătat doar e-mailul pe mașina sa! Și tipul a fost de genul: „Cum ai făcut asta?” El a spus: „Ei bine, am folosit injecție SQL”.
Deci, acum doar cinci ani și a fost la o bază a Forței Aeriene, nu? Deci, vreau să spun, din punct de vedere al contextului, acest lucru este încă foarte real și ar putea fi folosit cu efecte într-adevăr terifiante. Adică, aș fi curios să aflu despre orice povești de război pe care Robin le are pe această temă, dar toate aceste tehnici sunt încă valabile. Încă sunt folosite în multe cazuri și este o problemă de a te educa, nu?
Robin Bloor: Ei, da. Da, este posibil să vă apărați împotriva injecției SQL făcând lucrul. Este ușor de înțeles de ce atunci când ideea a fost inventată și prima dată a proliferat, este ușor de înțeles de ce a fost atât de nenorocit de succes, deoarece puteți doar să o lipiți într-un câmp de intrare pe o pagină web și să-l puteți returna pentru dvs. sau să obțineți date pentru a șterge datele din baza de date sau orice altceva - puteți doar să injectați cod SQL pentru a face asta. Dar lucrul care m-a interesat este că, știți, ar trebui să faceți un pic de analiză, fiecare informație introdusă, dar este foarte posibil să observați că cineva încearcă să facă asta. Și chiar este, cred că este într-adevăr, pentru că oamenii încă mai scapă de asta, vreau să spun că este foarte ciudat că nu a existat o modalitate ușoară de a combate asta. Știi, că toată lumea ar putea folosi cu ușurință, vreau să spun, din câte știu eu, nu a existat, Vicky, nu?
Vicky Harp: Ei bine, de fapt unele dintre soluțiile ostatice, cum ar fi SQL Azure, cred că au câteva metode de detectare destul de bune care se bazează pe învățarea mașinii. Probabil că asta vom vedea în viitor, este ceva ce încearcă să vină cu dimensiunea unică. Cred că răspunsul a fost că nu există o dimensiune potrivită tuturor, dar avem mașini care pot afla care este dimensiunea dvs. și vă asigurați că vă potriviți, nu? Și astfel încât dacă aveți un fals pozitiv, este pentru că faceți de fapt ceva neobișnuit, nu pentru că ați trebuit să parcurgeți și să identificați cu atenție tot ceea ce ar putea face aplicația dvs. vreodată.
Cred că unul dintre motivele pentru care este într-adevăr încă atât de prolific este faptul că oamenii se bazează în continuare pe aplicații terțe, iar cererile de la ISV-uri și acestea sunt distruse de-a lungul timpului. Așadar, vorbești despre o organizație care a cumpărat o aplicație de inginerie care a fost scrisă în 2001. Și nu au actualizat-o, deoarece nu au existat modificări funcționale majore de atunci, iar autorul inițial al acesteia a fost un fel de, nu erau un inginer, nu erau experți în securitatea bazelor de date, nu făceau lucrurile așa cum trebuie în aplicație și se termină fiind un vector. Înțelegerea mea este că - cred că a fost încălcarea datelor Target, cea cu adevărat mare - vectorul de atac a fost prin intermediul unuia dintre furnizorii lor de aer condiționat, nu? Deci, problema cu acești terți, puteți, dacă dețineți propriul magazin de dezvoltare, puteți avea unele dintre aceste reguli în vigoare, făcându-l în mod generic ori de câte ori. Ca organizație, puteți avea sute sau chiar mii de aplicații rulate, cu toate diferitele profiluri. Cred că de aici urmează învățarea mașinii și va începe să ne ajute foarte mult.
Povestea mea de război a fost educativă. Am ajuns să văd un atac de injecție SQL și ceva ce nu mi se întâmplase niciodată este acela de a utiliza SQL simplu citit. Fac aceste lucruri numite cărți de vacanță P SQL vaccinate; Îmi place să fac, faceți ca acest SQL să pară cât se poate de confuz. Există un concurs de coduri C ++ disfuncționate, care se desfășoară de zeci de ani și este cam aceeași idee. Deci, ceea ce ați obținut a fost injecția SQL care a fost într-un câmp de șir deschis, a închis șirul, a introdus în punct și virgulă, apoi a pus comanda exec care a avut apoi o serie de numere și apoi a fost practic folosind comanda casting pentru a arunca aceste numere în mod binar și apoi turnarea acestora, la rândul lor, în valori ale caracterelor și apoi executarea acestora. Așadar, nu este ca și cum ai fi văzut să spui ceva care spunea: „Șterge pornirea din tabelul de producție”, era de fapt umplut în câmpuri numerice care făceau mult mai greu de văzut. Și chiar și odată ce l-ați văzut, pentru a identifica ce se întâmplă, a fost nevoie de câteva fotografii SQL reale, pentru a putea să vă dați seama ce se întâmplă, moment în care lucrarea fusese deja făcută.
Robin Bloor: Și unul dintre lucrurile care este doar un fenomen în toată lumea hackingului este că, dacă cineva găsește o slăbiciune și se întâmplă să fie într-o aplicație software care a fost vândută în general, știi, una dintre primele probleme este parola bazei de date pe care vi s-a dat când a fost instalată o bază de date, o mulțime de baze de date, de fapt, a fost doar o valoare implicită. Și o mulțime de DBA-uri pur și simplu nu l-au schimbat niciodată și, prin urmare, puteți reuși să intrați în rețea atunci; puteți încerca doar parola, iar dacă a funcționat, bine ați câștigat la loterie. Și interesant este că toate aceste informații sunt vehiculate foarte eficient și eficient în rândul comunităților de hacking de pe site-urile web cu darknet. Și știu. Așadar, ei pot face destul de mult un aspect din ceea ce există, să găsească câteva cazuri și doar să arunce automat niște exploatări de hacking la ea și să intre. Și, cred, o mulțime de oameni care sunt cel puțin pe periferia a toate acestea, nu înțelege de fapt cât de rapid răspunde rețeaua de hacking la vulnerabilitate.
Vicky Harp: Da, asta aduce de fapt un alt lucru pe care voiam să-l menționez înainte de a merge mai departe, care este această noțiune de umplutură de credințe, care este ceva care a apărut mult, și este că, odată ce acreditările tale au fost furate pentru cineva oriunde, pe orice site, aceste acreditări vor fi încercate să fie reutilizate peste tot. Așadar, dacă utilizați parole duplicate, spuneți că, dacă utilizatorii dvs. sunt chiar, hai să spunem așa, cineva ar putea avea acces prin intermediul a ceea ce pare a fi un set complet de acreditare. Deci, să zicem că mi-am folosit aceeași parolă la Amazon și la banca mea, dar și la un forum și că software-ul forumului a fost hacked, ei bine, au numele meu de utilizator și parola mea. Și apoi pot folosi același nume de utilizator la Amazon sau îl pot folosi la bancă. Și în ceea ce privește banca, a fost o autentificare complet validă. Acum, puteți întreprinde acțiuni nefaste prin intermediul accesului complet autorizat.
Așadar, genul acesta se întoarce din nou la ceea ce spuneam despre încălcările interne și utilizările interne. Dacă aveți persoane din organizația dvs. care utilizează aceeași parolă pentru accesul intern pe care o fac pentru acces extern, aveți posibilitatea ca cineva să vină și să vă înlocuiască printr-o încălcare pe un alt site pe care îl donați nici macar nu stiu. Și aceste date sunt diseminate foarte repede. Există liste cu care cred că cea mai recentă încărcătură de „am fost preluată” de Troy Hunt, a spus că are o jumătate de miliard de credite, ceea ce este - dacă luați în considerare numărul de oameni de pe planetă - asta este un un număr foarte mare de acreditări care au fost puse la dispoziție pentru umplerea credențială.
Așa că, voi merge un pic mai adânc și voi vorbi despre securitatea SQL Server. Acum vreau să spun că nu voi încerca să vă ofer tot ce trebuie să știți pentru a vă securiza SQL Server în următoarele 20 de minute; asta pare un ordin înalt. Așadar, chiar pentru a începe, vreau să spun că există grupuri online și resurse online pe care le puteți cu siguranță Google, există cărți, există documente de bune practici pe Microsoft, există un capitol virtual de securitate pentru asociații profesioniști de la SQL Server, sunt la securitate.pass.org și au, cred eu, transmisiuni web lunare și înregistrări de webcast-uri pentru a trece peste adevărat, în profunzime, cum să facă securitatea SQL Server. Dar acestea sunt unele dintre lucrurile pe care eu, vorbindu-vă ca profesioniști de date, ca profesioniști IT, ca DBA-uri, vreau să știți că trebuie să știți despre securitatea SQL Server.
Deci primul este securitatea fizică. Deci, așa cum am spus mai devreme, furtul de suporturi fizice este încă extrem de frecvent. Și, astfel, scenariul pe care l-am oferit cu mașina dev, cu o copie a bazei de date pe mașina dev, care este furată - acesta este un vector extrem de comun, acesta este un vector de care trebuie să fiți conștienți și să încercați să acționați. Este valabil și pentru securitatea copiilor de rezervă, de aceea, ori de câte ori faceți o copie de rezervă a datelor, trebuie să faceți o copie de rezervă criptată, trebuie să faceți o copie de siguranță într-o locație sigură. De multe ori aceste date care au fost cu adevărat protejate în baza de date, de îndată ce încep să ajungă în locații periferice, pe mașini dev, pe mașini de testare, suntem puțin mai atenți la corecție, obținem un pic mai puțin atent la persoanele care au acces la ea. Următorul lucru pe care îl cunoașteți, aveți backup-uri necriptate ale bazei de date stocate pe o porțiune publică din organizația dvs., disponibile pentru exploatare de la o mulțime de oameni diferiți. Deci, gândiți-vă la securitatea fizică și la fel de simplu, poate cineva să meargă și să introducă o cheie USB în serverul dvs.? Nu ar trebui să permiteți asta.
Următorul articol la care vreau să vă gândiți este securitatea platformei, sisteme de operare actualizate, patch-uri la zi. Este foarte obositor să aud oamenii care vorbesc despre a rămâne pe versiuni mai vechi de Windows, versiuni mai vechi de SQL Server, gândindu-se că singurul cost în joc este costul actualizării licențelor, ceea ce nu este cazul. Suntem cu securitate, este un flux care continuă să coboare pe deal și, pe măsură ce trece timpul, se găsesc mai multe exploatări. Microsoft în acest caz, precum și alte grupuri, după caz, vor actualiza sistemele mai vechi până la un punct și, în cele din urmă, vor cădea din suport și nu le vor mai actualiza, deoarece este doar un proces care nu se încheie niciodată. întreținere.
Și deci, trebuie să fiți pe un sistem de operare acceptat și trebuie să fiți la curent cu patch-urile dvs., iar noi am găsit recent ca Shadow Brokers, în unele cazuri, Microsoft poate avea informații despre viitoarele încălcări majore de securitate, înainte de acestea fiind făcut public înainte de divulgare, deci nu vă lăsați să vă scoateți din fire. Aș prefera să nu iau timpul oprit, aș prefera să aștept și să le citesc pe fiecare și să decid. Este posibil să nu știți care este valoarea acesteia până la câteva săptămâni în jos, după ce aflați de ce a apărut această patch. Deci, rămâneți în vârf.
Ar trebui să aveți firewallul configurat. A fost șocant în încălcarea SNB cât de multe persoane rulau versiuni mai vechi ale SQL Server cu firewall-ul complet deschis la internet, astfel încât oricine să poată intra și să facă orice dorea cu serverele lor. Ar trebui să folosiți un firewall. Faptul că, uneori, trebuie să configurați regulile sau să faceți excepții specifice pentru modul în care vă desfășurați afacerea este un preț OK de plătit. Trebuie să controlați suprafața în sistemele dvs. de baze de date - co-instalați servicii sau servere web ca IIS pe aceeași mașină? Împărtășind același spațiu pe disc, împărtășind același spațiu de memorie ca bazele de date și datele private? Încercați să nu faceți acest lucru, încercați să o izolați, să păstrați suprafața mai mică, astfel încât să nu vă faceți atât de mult griji pentru a vă asigura că toate acestea sunt sigure în baza de date. Puteți separa fizic cele, platforma, separați-le, oferiți-vă un pic de spațiu de respirație.
Nu ar trebui să aveți super admin-uri care rulează peste tot, capabil să aibă acces la toate datele dvs. Conturile de administrare ale sistemului de operare pot să nu fie neapărat nevoie de acces la baza de date, sau la datele de bază din baza de date prin criptare, despre care vom vorbi într-un minut. Iar accesul la fișierele bazei de date, trebuie să restricționați și acestea. E o prostie dacă ar fi să spui, ei bine, cineva nu poate accesa aceste baze de date prin baza de date; SQL Server în sine nu le va permite să-l acceseze, dar dacă atunci pot să ocolească, să ia o copie a fișierului MDF real, să-l mute pur și simplu așa, să-l atașeze la propriul SQL Server, nu ai reușit mult.
Criptare, deci criptarea este acea faimoasă sabie cu două sensuri. Există o mulțime de niveluri diferite de criptare pe care le puteți face la nivelul sistemului de operare, iar modul contemporan de a face lucrurile pentru SQL și Windows este cu BitLocker, iar la nivelul bazei de date se numește TDE sau criptare de date transparentă. Așadar, acestea sunt ambele modalități de a menține datele criptate în repaus. Dacă doriți să vă păstrați datele criptate mai cuprinzător, puteți face criptate - scuze, am făcut un pas înainte. Puteți face conexiuni criptate, astfel încât, ori de câte ori este în tranzit, acesta este încă criptat, astfel încât dacă cineva ascultă sau are un bărbat în mijlocul unui atac, aveți o anumită protecție asupra datelor respective. Copiile de rezervă trebuie să fie criptate, așa cum am spus, acestea ar putea fi accesibile pentru alții și atunci, dacă doriți ca acesta să fie criptat în memorie și în timpul utilizării, avem criptare de coloană, iar SQL 2016 are această noțiune de „întotdeauna criptat ”acolo unde este de fapt criptat pe disc, în memorie, pe fir, până la aplicația care utilizează de fapt datele.
Acum, toată această criptare nu este gratuită: există CPU deasupra capului, există uneori pentru criptarea coloanelor și cazul întotdeauna criptat, există implicații asupra performanței în ceea ce privește capacitatea dvs. de a căuta aceste date. Totuși, această criptare, dacă este montată corect, atunci înseamnă că, dacă cineva ar avea acces la datele dvs., daunele sunt mult diminuate, deoarece au reușit să le obțină și atunci nu sunt capabile să facă nimic cu acesta. Totuși, acesta este și modul în care funcționează ransomware-ul, prin faptul că cineva intră și activează aceste articole, cu propriul certificat sau propria parolă și nu ai acces la el. Așadar, de aceea este important să vă asigurați că faceți acest lucru și că aveți acces la el, dar nu îl dați, deschideți pentru alții și atacatori.
Și apoi, principii de securitate - nu voi reduce acest punct, dar asigurați-vă că nu aveți fiecare utilizator care rulează în SQL Server ca super administrator. Dezvoltatorii dvs. ar putea să o dorească, diferiți utilizatori ar putea să o dorească - sunt frustrați de faptul că trebuie să ceară acces pentru articole individuale - dar trebuie să fii sârguincios în acest sens și, chiar dacă ar putea fi mai complicat, dă acces la obiecte și bazele de date și schemele care sunt valabile pentru lucrările în desfășurare și există un caz special, poate asta înseamnă o autentificare specială, nu înseamnă neapărat o majorare a drepturilor pentru utilizatorul mediu.
Și apoi, există considerente de conformitate cu reglementările care implică acest aspect și unele cazuri ar putea de fapt să se desprindă în felul lor - deci există HIPAA, SOX, PCI - există toate aceste considerente diferite. Și atunci când parcurgeți un audit, va fi de așteptat să arate că întreprindeți acțiuni pentru a rămâne în conformitate cu acest lucru. Și deci, este foarte mult să urmăriți, aș spune ca listă de activități DBA, încercați să vă asigurați configurația de criptare fizică de securitate, încercați să vă asigurați că accesul la aceste date este auditat în scopul respectării dvs., asigurându-vă că coloanele dvs. sensibile, că știți care sunt, unde sunt, pe care ar trebui să criptați și să urmăriți accesul. Și asigurați-vă că configurațiile sunt aliniate cu ghidurile de reglementare la care vă supuneți. Și trebuie să țineți toate aceste informații pe măsură ce lucrurile se schimbă.
Deci, sunt multe de făcut și, dacă ar fi să o las doar acolo, aș spune să mergem să fac asta. Dar există o mulțime de instrumente diferite pentru asta, și așa, dacă am putea în ultimele minute, aș dori să vă arăt unele dintre instrumentele pe care le avem la IDERA pentru asta. Și cei doi despre care am vrut să vorbesc astăzi sunt SQL Secure și SQL Compliance Manager. SQL Secure este instrumentul nostru pentru a ajuta la identificarea tipului de vulnerabilități de configurare. Politicile dvs. de securitate, permisiunile utilizatorului, configurațiile zonei dvs. de suprafață. Și are șabloane care vă ajută să vă conformați cu diferite cadre de reglementare. Aceasta, ultima linie, ar putea fi motivul pentru care oamenii să o ia în considerare. Deoarece să citiți aceste regulamente diferite și să identificați ce înseamnă acestea, PCI și apoi să parcurgeți până la serverul SQL din magazinul meu, asta este mult de muncă. Acest lucru ar putea plăti o mulțime de bani de consultanță pentru a face; am plecat și am făcut acea consultanță, am colaborat cu diferite companii de audit etc., pentru a găsi care sunt acele șabloane - ceva ce poate trece un audit dacă acestea sunt în vigoare. Și atunci puteți utiliza acele șabloane și le puteți vedea, în mediul dvs.
Avem, de asemenea, un alt fel de instrument suror sub forma SQL Compliance Manager și aici este SQL Secure despre setările de configurare. SQL Compliance Manager este despre a vedea ce a fost făcut de cine, când. Deci, este auditare, astfel încât vă permite să monitorizați activitatea pe măsură ce se întâmplă și vă permite să detectați și să urmăriți cine accesează lucrurile. Cineva, exemplul prototipic fiind o celebritate verificată în spitalul tău, cineva mergea și își căuta informațiile, doar din curiozitate? Au avut un motiv să facă acest lucru? Puteți arunca o privire la istoricul auditului și a vedea ce se întâmplă, cine a accesat acele înregistrări. Și puteți identifica acest lucru are instrumente care vă ajută să identificați coloane sensibile, astfel încât nu trebuie neapărat să citiți și să faceți asta singur.
Așadar, dacă pot, voi merge mai departe și vă voi arăta câteva dintre aceste instrumente aici în ultimele minute - și vă rog să nu le considerați ca o demonstrație aprofundată. Sunt manager de produse, nu inginer de vânzări, așa că vă voi arăta câteva dintre lucrurile care cred că sunt relevante pentru această discuție. Deci, acesta este produsul nostru SQL Secure. Și după cum vedeți aici, am un fel de acest raport de nivel înalt. Am condus asta, cred, ieri. Și îmi arată câteva dintre lucrurile care nu sunt configurate corect și unele dintre cele care sunt configurate corect. Deci, puteți vedea că există un număr destul de mare de peste 100 de verificări diferite pe care le-am făcut aici. Și pot vedea că criptarea mea de rezervă pe copiile de rezervă pe care le-am făcut, nu am folosit criptare de rezervă. Contul meu SA, denumit explicit „cont SA” nu este dezactivat sau redenumit. Rolul serverului public are permisiune, așa că acestea sunt toate lucrurile pe care aș putea dori să le privesc schimbarea.
Am stabilit politica aici, așa că, dacă aș dori să configurez o nouă politică, să o aplic pe serverele mele, avem toate aceste politici încorporate. Așadar, voi folosi un șablon de politică existent și puteți vedea că am CIS, HIPAA, PCI, SR și continuă și de fapt suntem în proces de adăugare continuă a unor politici suplimentare, pe baza lucrurilor pe care oamenii trebuie să le aibă în domeniu. . Și, de asemenea, puteți crea o nouă politică, așa că dacă știți ce caută auditorul dvs., o puteți crea singur. Și atunci, atunci când faceți acest lucru, puteți alege dintre toate aceste setări diferite, pe care trebuie să le setați, în unele cazuri, aveți unele - permiteți-mi să mă întorc și să găsesc una dintre cele pre-construite. Acest lucru este convenabil, pot alege, să zicem, HIPAA - Am deja HIPAA, PC-ul meu rău - PCI, și atunci, când fac clic aici, pot vedea efectiv referința externă la secțiunea din reglementare la care este legată. Așadar, asta vă va ajuta mai târziu, când încercați să aflați de ce stabilesc acest lucru? De ce încerc să mă uit la asta? Cu ce secțiune este legată asta?
Acest lucru are, de asemenea, un instrument frumos prin faptul că vă permite să accesați și să răsfoiți utilizatorii, așa că unul dintre lucrurile complicate despre explorarea rolurilor dvs. de utilizator este că, de fapt, o să arunc o privire aici. Deci, dacă afișez permisiunile pentru ale mele, să vedem, să alegem un utilizator aici. Afișați permisiunile. Pot vedea permisiunile alocate pentru acest server, dar apoi pot face clic aici și să calculez permisiunile efective și îmi va oferi lista completă bazată pe, deci în acest caz este admin, deci nu este chiar atât de interesant, dar Aș putea să parcurg diferiții utilizatori și să văd care sunt permisiunile lor efective, pe baza tuturor grupurilor din care ar putea face parte. Dacă vreți să încercați să faceți acest lucru pe cont propriu, poate fi de fapt un pic de dificultate, pentru a vă da seama, OK acest utilizator este membru al acestor grupuri și, prin urmare, are acces la aceste lucruri prin grupuri etc.
Deci, modul în care funcționează acest produs, este nevoie de instantanee, deci nu este un proces foarte dificil de a lua o instantanee a serverului în mod regulat și apoi păstrează aceste instantanee în timp, astfel încât să poți compara cu modificările. Deci, aceasta nu este o monitorizare continuă în sensul tradițional de a fi un instrument de monitorizare a performanței; este ceva ce s-ar putea să fi configurat să funcționeze o dată pe noapte, o dată pe săptămână - oricât de des credeți că este valabil - astfel încât, atunci când faceți analiza și faceți un pic mai mult, sunteți de fapt doar lucrând în cadrul instrumentului nostru. Nu vă conectați la serverul dvs. atât de mult, așa că acesta este un instrument foarte frumos cu care să lucrați, pentru a respecta aceste tipuri de setări statice.
Celălalt instrument pe care vreau să vi-l arăt este instrumentul nostru Compliance Manager. Compliance Manager va monitoriza într-un mod mai continuu. Și va vedea cine face ce face pe serverul dvs. și vă va permite să aruncați o privire. Deci, ceea ce am făcut aici, în ultimele două ore, am încercat de fapt să creez câteva mici probleme. Așadar, aici am primit dacă este o problemă sau nu, s-ar putea să știu despre asta, cineva a creat de fapt un login și l-a adăugat la un rol de server. Deci, dacă intru și arunc o privire la asta, pot vedea … cred că nu pot face clic dreapta acolo, pot vedea ce se întâmplă. Deci, acesta este tabloul meu de bord și pot vedea că am avut o serie de autentificări eșuate astăzi ceva mai devreme. Am avut o grămadă de activități de securitate, activitate DBL.
Așadar, permiteți-mă să merg la evenimentele mele de audit și să arunc o privire. Aici am evenimentele mele de audit grupate pe categorii și obiectul țintă, așa că, dacă arunc o privire asupra securității de mai devreme, pot vedea DemoNewUser, s-a produs această autentificare a autentificării pe server. Și văd că SA-ul de conectare a creat acest cont DemoNewUser, aici, la 2:42 pm Și apoi, pot vedea că, la rândul său, adăugați autentificare pe server, acest DemoNewUser a fost adăugat la grupul de admin server, au fost adăugate la configurați grupul de admin, au fost adăugați la grupul sysadmin. Deci, asta aș vrea să știu că s-a întâmplat. De asemenea, l-am configurat astfel încât coloanele sensibile din tabelele mele să fie urmărite, astfel încât să văd cine a accesat-o.
Aici, am câteva selecții care au apărut pe masa persoanei mele, de la Adventure Works. Și pot să arunc o privire și să văd că utilizatorul SA de pe tabela Adventure Works a făcut o selecție de top zece stele din persoana punct. Așadar, poate că în organizația mea nu vreau ca oamenii să facă stele selectate de la persoana dot persoană, sau mă aștept doar anumiți utilizatori să facă acest lucru, așa că voi vedea acest lucru aici. Deci, ceea ce aveți nevoie în ceea ce privește auditul dvs., îl putem configura pe baza cadrului și acesta este un instrument mai intensiv. Utilizează evenimente SQL Trace sau SQLX, în funcție de versiune. Și este ceva ce va trebui să aveți o cameră de cap pe server pentru a vă acomoda, dar este una dintre aceste lucruri, un fel de asigurare, care este frumos dacă nu ar trebui să avem o asigurare auto - ar fi o cost pe care nu ar trebui să-l asumăm - dar dacă aveți un server unde trebuie să țineți cont de cine face ce anume, ar trebui să aveți un pic de cap în plus și un instrument de acest fel pentru a face acest lucru. Indiferent dacă utilizați instrumentul nostru sau îl rulați singur, veți fi în cele din urmă responsabili de faptul că aveți aceste informații în conformitate cu reglementările.
Așa cum spuneam, nu o demonstrație aprofundată, ci doar un scurt rezumat. De asemenea, am vrut să vă arăt un instrument rapid, puțin gratuit, sub forma acestei căutări de coloane SQL, ceea ce puteți utiliza pentru a identifica ce coloane din mediul dvs. par a fi informații sensibile. Deci, avem o serie de configurații de căutare în care se caută diferite nume de coloane care conțin în mod obișnuit date sensibile, iar apoi am o listă completă a acestora care au fost identificate. Am 120 dintre ele și apoi le-am exportat aici, pentru a putea să le folosesc pentru a spune, să mergem să ne uităm și să mă asigur că urmăresc accesul la numele de mijloc, o persoană punct sau o taxă de vânzări. rata etc.
Știu că vom ajunge chiar la sfârșitul timpului nostru aici. Și asta este tot ceea ce am avut de fapt să vă arăt, deci vreo întrebare pentru mine?
Eric Kavanagh: Am câteva bune pentru tine. Permiteți-mi să derulez asta aici. Unul dintre participanți a pus o întrebare foarte bună. Unul dintre ei se întreabă despre impozitul pe performanță, așa că știu că acesta variază de la soluție la soluție, dar aveți idee generală despre ce este taxa de performanță pentru utilizarea instrumentelor de securitate IDERA?
Vicky Harp: Deci, pe SQL Secure, așa cum am spus, este foarte scăzut, va face doar instantanee. Și chiar dacă ați rulat destul de des, acesta obține informații statice despre setări, deci este foarte scăzut, aproape neglijabil. În ceea ce privește Compliance Manager, acesta este -
Eric Kavanagh: Ca un procent?
Vicky Harp: Dacă ar trebui să dau un număr la sută, da, ar fi cu un procent sau mai mic. Este informație de bază cu privire la ordinea utilizării SSMS și intrarea în fila de securitate și extinderea lucrurilor. În ceea ce privește Conformitatea, este mult mai mare - de aceea am spus că are nevoie de puțin spațiu de cap - este ca și cum ar fi cu mult peste ceea ce ai în ceea ce privește monitorizarea performanței. Acum, nu vreau să speri oamenii de la ea, trucul cu monitorizarea Conformității, iar dacă este auditul este să te asiguri că vei verifica doar ceea ce vei acționa. Așadar, odată ce te filtrezi pentru a spune: „Hei, vreau să știu când oamenii accesează aceste tabele particulare și vreau să știu ori de câte ori accesează oamenii, iau aceste acțiuni”, atunci se va baza pe cât de des sunt aceste lucruri se întâmplă și câte date generați. Dacă spuneți: „Vreau textul complet SQL al fiecărei selecții care se întâmplă vreodată pe oricare dintre aceste tabele”, asta va fi doar gigabyte și gigabyte de date care trebuie să fie analizate de către SQL Server stocate pe produsul nostru, etc.
Dacă o mențineți până la … va fi, de asemenea, mai multe informații decât puteți face față. Dacă ați putea să-l reduceți la un set mai mic, astfel încât să primiți câteva sute de evenimente pe zi, atunci, evident, este mult mai mic. Deci, într-adevăr, în unele privințe, cerul este limita. Dacă activați toate setările pe toate monitorizările pentru tot, atunci da, va fi un succes de 50%. Dar dacă o să-l transformi într-un nivel mai moderat, considerat, aș putea să crească globul ocular cu 10%? Este într-adevăr unul dintre acele lucruri pe care le va depinde foarte mult de volumul de muncă.
Eric Kavanagh: Da, nu. Există o altă întrebare despre hardware. Și atunci, vânzătorii de hardware intră în joc și colaborează într-adevăr cu furnizorii de software și am răspuns prin fereastra Q&A. Știu despre un caz particular, de Cloudera care lucrează cu Intel, unde Intel a făcut acea investiție uriașă în ele, iar o parte a calculului a fost că Cloudera va avea acces timpuriu la designul cipului și astfel ar putea să asigure securitatea nivelului de cip al arhitectura, care este destul de impresionantă. Cu toate acestea, este ceva ce va ieși acolo și poate fi exploatat de ambele părți. Cunoașteți tendințele sau tendințele furnizorilor de hardware de a colabora cu furnizorii de software la protocolul de securitate?
Vicky Harp: Da, cred, de fapt, cred că Microsoft a colaborat pentru a avea un spațiu de memorie pentru unele dintre lucrările de criptare care se întâmplă de fapt pe cipuri separate pe plăci de bază care sunt separate de memoria principală, astfel încât unele din aceste lucruri este separat fizic. Și cred că asta a fost ceva care a venit de la Microsoft în ceea ce privește ieșirea către vânzători pentru a spune: „Putem veni cu o modalitate de a face acest lucru, practic este o memorie neadresabilă, nu pot trece printr-un preaplin de tampon. această amintire, pentru că nu există nici măcar acolo, într-un anumit sens, așa că știu că se întâmplă o parte din asta. ”
Eric Kavanagh: Da.
Vicky Harp: Asta vor fi, evident, cei mai mari furnizori, cel mai probabil.
Eric Kavanagh: Da. Sunt curios să mă uit la asta și poate Robin, dacă ai o secundă rapidă, aș fi curios să știu experiența ta de-a lungul anilor, pentru că din nou, din punct de vedere al hardware-ului, în ceea ce privește știința materialelor actuale. în ceea ce faceți împreună din partea vânzătorului, informațiile respective ar putea merge către ambele părți și, teoretic, mergem în ambele părți destul de repede, deci există vreun fel de a utiliza hardware-ul mai atent, dintr-o perspectivă de proiectare pentru a consolida securitatea? Tu ce crezi? Robin, ești mut?
Robin Bloor: Da, da. Îmi pare rău, sunt aici; Doar mă gândesc la întrebare. Sincer, nu am o opinie, este un domeniu pe care nu l-am privit în profunzime semnificativă, așa că sunt cam, știi, pot inventa o opinie, dar nu prea știu. Prefer ca lucrurile să fie sigure în software, este doar modul în care joc, practic.
Eric Kavanagh: Da. Ei bine, oameni buni, ne-am ars peste o oră și ne-am schimbat aici. Mulțumiri deosebite Vicky Harp pentru timpul și atenția acordată - pentru tot timpul și atenția ta; vă apreciem că vă prezentați pentru aceste lucruri. Este o afacere mare; nu va pleca niciodată în curând. Este un joc cu pisici și șoareci care va continua să meargă și să meargă și să meargă. Și deci suntem recunoscători pentru faptul că unele companii sunt acolo, concentrate pe asigurarea securității, dar cum Vicky chiar a făcut aluzie și a vorbit despre un pic în prezentarea ei, la sfârșitul zilei, oamenii din organizații trebuie să se gândească foarte atent despre aceste atacuri de phishing, genul acela de inginerie socială și țineți-vă de laptopuri - nu lăsați-l la cafenea! Schimbați parola, efectuați elementele de bază și veți obține 80% din drum.
Deci, cu asta, oameni buni, vă vom adora, vă mulțumesc încă o dată pentru timp și atenție. Vom prinde data viitoare, aveți grijă. Pa! Pa.
Vicky Harp: Adio, mulțumesc.