Acasă Securitate Noul normal: abordarea realității unei lumi nesigure

Noul normal: abordarea realității unei lumi nesigure

Anonim

De personalul Techopedia, 27 octombrie 2016

Take away : Gazda Eric Kavanagh discută despre securitatea bazei de date cu Robin Bloor, Dez Blanchfield și IDERA lui Ignacio Rodriguez.

În prezent nu sunteți autentificat. Vă rugăm să vă conectați sau să vă înregistrați pentru a vedea videoclipul.

Eric Kavanagh: Bună ziua și bine ați venit, încă o dată, la Hot Technologies. Ma numesc Eric Kavanagh; Voi fi gazda dvs. pentru webcast astăzi și este un subiect fierbinte și nu va fi niciodată un subiect fierbinte. Acesta este un subiect fierbinte acum din cauza, sincer, a tuturor încălcărilor despre care auzim și vă pot garanta că nu va dispărea niciodată. Așadar, subiectul de astăzi, titlul exact al emisiunii ar trebui să spun, este „Noul normal: Abordarea realității unei lumi nesigure”. Exact asta avem de-a face.

Avem adevărata ta gazdă, chiar acolo. De acum câțiva ani, minteți-vă, probabil că ar trebui să îmi actualizez fotografia; asta a fost 2010. Timpul zboară. Trimiteți-mi un e-mail cu dacă doriți să faceți câteva sugestii. Așadar, acesta este diapozitivul standard „la cald” pentru Hot Technologies. Scopul întregului spectacol este de a defini cu adevărat un anumit spațiu. Deci, astăzi vorbim despre securitate, evident. Luăm un unghi foarte interesant, de fapt, alături de prietenii noștri de la IDERA.

Și voi sublinia că, în calitate de membri ai publicului nostru, jucați un rol semnificativ în program. Te rog, nu fi timid. Trimiteți-ne o întrebare oricând și o vom pune la dispoziție pentru întrebări și întrebări dacă avem suficient timp pentru aceasta. Avem trei oameni astăzi online, Dr. Robin Bloor, Dez Blanchfield și Ignacio Rodriguez, care sună dintr-o locație nedezvăluită. Deci, în primul rând, Robin, ești primul prezentator. Îți predau cheile. Ia-o de aici.

Dr. Robin Bloor: Bine, mulțumesc pentru asta, Eric. Securizarea bazei de date - Presupunem că am putea spune că probabilitatea ca cele mai valoroase date pe care le conduce o companie să fie într-o bază de date. Așadar, putem vorbi despre o serie întreagă de lucruri de securitate. Dar ceea ce credeam că voi face este să vorbesc despre subiectul securizării bazei de date. Nu vreau să îndepărtez nimic din prezentarea pe care o va oferi Ignacio.

Deci, să începem, este ușor să ne gândim la securitatea datelor ca la o țintă statică, dar nu este. Este o țintă mișcătoare. Și acest lucru este important să înțelegem în sensul că mediile IT ale majorității oamenilor, în special mediile IT de companie, se schimbă tot timpul. Și pentru că se schimbă tot timpul, suprafața de atac, zonele în care cineva poate încerca, într-un fel sau altul, fie din interior, fie din exterior, să compromită securitatea datelor, se schimbă tot timpul. Și atunci când faceți ceva de genul, actualizați o bază de date, nu aveți idee dacă tocmai ați creat un fel de vulnerabilitate pentru dvs. Dar nu sunteți la curent și poate nu veți afla niciodată până când nu se va întâmpla ceva rău.

Există un scurt rezumat al securității datelor. În primul rând, furtul de date nu este nimic nou și sunt vizate date valoroase. În mod normal, este ușor să lucrezi pentru o organizație la care sunt datele pe care trebuie să le ofere cea mai mare protecție. Un fapt curios este că primul, sau ceea ce am putea pretinde a fi primul computer, a fost construit de informațiile britanice în timpul celui de-al Doilea Război Mondial, cu un singur scop în minte, și acesta a fost de a fura date din comunicațiile germane.

Așadar, furtul de date a făcut parte din industria IT de la început. A devenit mult mai grav odată cu nașterea internetului. M-am uitat la un jurnal al numărului de încălcări ale datelor care au avut loc an de an. Și numărul începuse să crească peste 100 până în 2005 și, din acel moment, acesta va fi din ce în ce mai rău în fiecare an.

Cantități mai mari de date furate și un număr mai mare de hacks. Și acestea sunt hackurile care sunt raportate. Există un număr foarte mare de incidente care apar în cazul în care compania nu spune niciodată nimic, deoarece nu există nimic care să îl forțeze să spună ceva. Așadar, păstrează liniștea încălcarea datelor. Există mulți jucători în activitatea de hacking: guverne, întreprinderi, grupuri de hackeri, persoane fizice.

Un lucru pe care cred că este interesant să-l menționez, când m-am dus la Moscova, cred că a fost cândva în urmă cu aproximativ patru ani, a fost o conferință software la Moscova, vorbeam cu un jurnalist care s-a specializat în domeniul hackingului de date. Și el a susținut - și sunt sigur că are dreptate, dar nu o știu, decât că este singura persoană care mi-a menționat-o vreodată, dar - există o afacere rusă numită „Russian Business Network”, probabil că are un rus nume, dar cred că aceasta este traducerea în engleză, care este de fapt angajat pentru a hack.

Deci, dacă sunteți o organizație mare oriunde în lume și doriți să faceți ceva pentru a vă deteriora concurența, puteți angaja aceste persoane. Și dacă angajezi acești oameni obții o negabilitate foarte plauzibilă cu privire la cine era în spatele hack-ului. Pentru că, dacă este descoperit la toți cei care se află în spatele hack-ului, va indica faptul că este probabil cineva din Rusia care a făcut-o. Și nu va părea că încercați să deteriorați un concurent. Și cred că Rețeaua de afaceri rusă a fost de fapt angajată de guverne pentru a face lucruri precum hack-ul în bănci pentru a încerca să afle cum se mișcă banii teroristi. Și acest lucru este făcut cu o negreșire plauzibilă a guvernelor care nu vor admite că au făcut asta vreodată.

Tehnologia de atac și de apărare evoluează. Cu mult timp în urmă, mergeam la Chaos Club. A fost un site din Germania în care vă puteți înregistra și puteți urmări doar conversațiile diferitelor persoane și a vedea ce a fost disponibil. Și am făcut asta când mă uit la tehnologia de securitate, mă gândesc în jurul anului 2005. Și am făcut-o doar ca să văd ce se întâmplă atunci, iar lucrul care m-a uimit a fost numărul de viruși, unde practic era un sistem open-source. Mergeam și oamenii care scriau viruși sau viruși îmbunătățiți lipeau doar codul acolo pentru ca cineva să-l folosească. Și mi s-a întâmplat în momentul în care hackerii pot fi foarte, foarte deștepți, dar există o mulțime de hackeri care nu sunt neapărat deștepți, dar folosesc instrumente inteligente. Iar unele dintre aceste instrumente sunt remarcabil de inteligente.

Și punctul final aici: întreprinderile au datoria de a-și îngriji datele, indiferent dacă le dețin sau nu. Și cred că asta devine din ce în ce mai realizat decât era înainte. Și devine din ce în ce mai mult, să zicem, scump pentru o afacere să suferă de fapt un hack. Despre hackeri, aceștia pot fi localizați oriunde, poate dificil de adus în justiție, chiar dacă sunt identificați corect. Mulți dintre ei foarte pricepuți. Resurse considerabile, au botnete peste tot. Se crede că recentul atac DDoS care a avut parte de peste un miliard de dispozitive. Nu știu dacă este adevărat sau dacă acesta este doar un reporter care folosește un număr rotund, dar cu siguranță un număr mare de dispozitive robot au fost folosite pentru a face un atac la rețeaua DNS. Unele afaceri profitabile, există grupuri guvernamentale, există război economic, există război cibernetic, totul se petrece acolo și este puțin probabil, cred că am spus în prezent, este puțin probabil să se termine.

Conformitate și reglementări - există o serie de lucruri care continuă de fapt. Există o mulțime de inițiative de conformitate care se bazează pe sector, știți - sectorul farmaceutic sau sectorul bancar sau sectorul sănătății - pot avea inițiative specifice pe care oamenii le pot urma, diverse tipuri de bune practici. Există, de asemenea, multe reglementări oficiale care, pentru că sunt legi, au sancțiuni pentru oricine încalcă legea. Exemplele americane sunt HIPAA, SOX, FISMA, FERPA, GLBA. Există câteva standarde, PCI-DSS este un standard pentru companiile de carduri. ISO / IEC 17799 se bazează pe încercarea de a obține un standard comun. Aceasta este proprietatea datelor. Reglementările naționale diferă de la o țară la alta, chiar și în Europa, sau poate ar trebui să spunem, mai ales în Europa unde este foarte confuz. Și există un GDPR, un regulament global de protecție a datelor care este în prezent negociat între Europa și Statele Unite pentru a încerca și armoniza reglementările, deoarece există atât de multe, în mod obișnuit, cum sunt, de fapt, internaționale, iar apoi există servicii cloud pe care le-ar putea nu credeți că datele dvs. au fost internaționale, dar au fost internaționale imediat ce ați intrat în cloud, pentru că s-au mutat din țara dvs. Deci, acestea sunt un set de reglementări care sunt negociate, într-un fel sau altul, pentru a trata protecția datelor. Și cea mai mare parte are legătură cu datele unei persoane, care, desigur, includ aproape toate datele de identitate.

Lucruri de gândit: vulnerabilitățile bazei de date. Există o listă de vulnerabilități care sunt cunoscute și raportate de furnizorii de baze de date atunci când sunt descoperite și patchate cât mai repede posibil, deci există toate acestea. Există lucruri care se referă la acesta în ceea ce privește identificarea datelor vulnerabile. Unul dintre marile și cele mai de succes rezultate ale datelor de plată a fost făcut unei companii de procesare a plăților. Ulterior, aceasta a fost preluată pentru că trebuia să intre în lichidare dacă nu, dar datele nu au fost furate din nicio bază de date operațională. Datele au fost furate dintr-o bază de date de testare. La fel s-a întâmplat că dezvoltatorii tocmai au preluat un subset de date care erau date reale și le-au folosit, fără nicio protecție, într-o bază de date de testare. Baza de date a testului a fost hacked și o mulțime de detalii financiare personale ale oamenilor au fost luate din ea.

Politica de securitate, în special în ceea ce privește securitatea accesului în ceea ce privește bazele de date, cine poate citi, cine poate scrie, cine poate acorda permisiuni, există vreun fel prin care cineva să ocolească ceva? Apoi, există, desigur, criptarea din bazele de date permite asta. Există costurile unei încălcări de securitate. Nu știu dacă este vorba despre o practică standard în cadrul organizațiilor, dar știu că unii, cum ar fi, șefii de securitate încearcă să ofere directorilor o idee despre costul unei încălcări de securitate înainte de a se întâmpla mai degrabă decât după. Și ei, într-un fel, trebuie să facă asta pentru a se asigura că obțin suma potrivită de buget pentru a putea apăra organizația.

Și apoi suprafața de atac. Suprafața de atac pare să crească tot timpul. E an de an suprafața atacului pare să crească. În rezumat, intervalul este un alt punct, dar securitatea datelor este de obicei o parte a rolului DBA. Dar securitatea datelor este, de asemenea, o activitate de colaborare. Trebuie să aveți, dacă faceți securitate, trebuie să aveți o idee completă despre protecțiile de securitate pentru organizație în ansamblu. Și trebuie să existe o politică corporativă în acest sens. Dacă nu există politici corporative, ajungeți doar cu soluții fragmente. Știi, bandă de cauciuc și plastic, un fel de, încearcă să oprească securitatea.

Acestea fiind spuse, cred că predau lui Dez, care probabil că vă va oferi diverse povești de război.

Eric Kavanagh: Scoate-l, Dez.

Dez Blanchfield: Mulțumesc, Robin. Este întotdeauna un act greu de urmat. Voi veni în acest sens din capătul opus al spectrului doar pentru, cred, să ne oferim un sentiment de amploarea provocării cu care te confrunți și de ce ar trebui să facem mai mult decât să ne așezăm și să fim atenți la acest lucru . Provocarea pe care o vedem acum cu scara, cantitatea și volumul, viteza cu care se întâmplă aceste lucruri, este că lucrul pe care îl aud acum în jurul locului cu o mulțime de CXO-uri, nu doar CIO-uri, dar cu siguranță CIO-urile sunt cele care participă acolo unde se oprește buck, și consideră că încălcările de date devin rapid norma. Este ceva ce aproape că se așteaptă să se întâmple. Deci, ei privesc acest lucru din punctul de vedere al: „Bine, bine, când ne încălcăm - nu dacă - când ne încălcăm, ce trebuie să facem despre asta?” Și apoi conversațiile încep, ce fac în mediile și routerele tradiționale, comutatoarele, serverele, detectarea intruziunilor, inspecția pătrunderii? Ce fac în sistemele în sine? Ce fac cu datele? Și atunci totul revine la ceea ce au făcut cu bazele de date.

Permiteți-mi să ating doar câteva exemple despre unele lucruri care au capturat multe imaginații ale oamenilor și apoi să mă descurc, pentru a le destrăma un pic. Așa că am auzit în știri că Yahoo - probabil că cel mai mare număr pe care oamenii l-au auzit este de aproximativ o jumătate de milion, dar se dovedește de fapt că este mai neoficial mai mult ca un miliard - am auzit un număr ieșit de trei miliarde, dar asta este aproape jumătate din populația mondială, așa că cred că este puțin mai mare. Dar am verificat-o de la o serie de oameni din spațiile relevante care cred că există puțin peste un miliard de înregistrări care au fost scoase din Yahoo. Și acesta este doar un număr neplăcut. Acum, unii jucători privesc și se gândesc, ei bine, sunt doar conturi de e-mail, nu este mare lucru, dar apoi, adăugați faptul că o mulțime de aceste conturi de e-mail și un număr curios, mai mare decât am anticipat, sunt de fapt conturi plătite. Acolo oamenii își introduc detaliile cardului de credit și plătesc pentru a elimina anunțurile, pentru că s-au săturat de reclame și deci 4 sau 5 dolari pe lună sunt dispuși să cumpere un serviciu de stocare web și cloud care nu are anunțuri. și eu sunt unul dintre aceștia și am obținut asta la trei furnizori diferiți în care îmi conectez cardul de credit.

Apoi, provocarea capătă un pic mai multă atenție, deoarece nu este doar un lucru care există ca o linie de a spune: „O, bine, Yahoo a pierdut, să zicem, între 500 de milioane și 1.000 de milioane de conturi”, 1.000 de milioane de euro sună foarte mare și conturile de e-mail, dar detaliile cărții de credit, prenumele, prenumele, adresa de e-mail, data nașterii, cardul de credit, numărul pin, orice vrei, parole, iar apoi devine un concept mult mai înspăimântător. Și, din nou, oamenii îmi spun: „Da, dar este doar un serviciu web, este doar un e-mail, nu este o mare afacere.” Și apoi îmi spun: „Da, bine, este posibil ca contul Yahoo să fi fost folosit și în serviciile de bani Yahoo pentru a cumpăra. și vinde acțiuni. ”Apoi devine mai interesant. Și pe măsură ce începi să te descurci, îți dai seama că, bine, aceasta este de fapt mai mult decât doar mame și tătici acasă, iar adolescenții, cu conturi de mesagerie, acest lucru este de fapt ceva în care oamenii efectuează tranzacții de afaceri.

Deci acesta este un capăt al spectrului. Celălalt capăt al spectrului este faptul că un furnizor de servicii de sănătate foarte mic, general, din Australia, a furat aproximativ 1.000 de înregistrări. A fost o treabă internă, a plecat cineva, erau doar curioși, au ieșit pe ușă, în acest caz era un dischetă de 3, 5 inch. A fost cu puțin timp în urmă - dar puteți spune era mass-media - dar au fost pe tehnologie veche. Dar s-a dovedit că motivul pentru care au luat datele a fost că erau doar curioși despre cine se afla acolo. Pentru că aveau destul de mulți oameni în acest oraș mic, care era capitala noastră națională, care erau politicieni. Și erau interesați de cine era acolo și de unde erau viața lor și de tot felul de informații. Așadar, cu o încălcare a datelor foarte mică, care a fost făcută intern, un număr semnificativ de mari politicieni din detaliile guvernului australian ar fi fost în public.

Trebuie să avem în vedere două capete diferite ale spectrului. Acum realitatea este că scara pură a acestor lucruri este destul de uluitoare și am un diapozitiv la care vom sări la foarte, foarte repede aici. Există câteva site-uri web care listează tot felul de date, dar acesta este de la un specialist în securitate care a avut site-ul unde puteți merge și să căutați adresa dvs. de e-mail sau numele dvs. și vă va arăta fiecare incident de date. încălcați în ultimii 15 ani că a reușit să pună mâna pe el, apoi să se încarce într-o bază de date și să verifice, și vă va spune dacă ați fost ponei, așa cum este termenul. Dar când începi să te uiți la unele dintre aceste numere și acest ecran nu a fost actualizat cu cea mai recentă versiune, care include un cuplu, cum ar fi Yahoo. Dar gândiți-vă doar la tipurile de servicii de aici. Avem Myspace, avem LinkedIn, Adobe. Adobe este interesant, deoarece oamenii arată și se gândesc, ei bine, ce înseamnă Adobe? Majoritatea dintre noi care descarcă Adobe Reader într-un anumit formular, mulți dintre noi au cumpărat produse Adobe cu un card de credit, adică 152 de milioane de oameni.

Acum, până la punctul lui Robin anterior, acestea sunt un număr foarte mare, este ușor să fii copleșit de ei. Ce se întâmplă când ai 359 de milioane de conturi care au fost încălcate? Ei bine, există câteva lucruri. Robin a subliniat faptul că aceste date sunt invariabil într-o bază de date cu o anumită formă. Acesta este mesajul critic aici. Aproape nimeni de pe această planetă, de care sunt conștient, care rulează un sistem de orice formă, nu îl stochează într-o bază de date. Dar ceea ce este interesant este că există trei tipuri diferite de date în acea bază de date. Există lucruri legate de securitate, cum ar fi numele de utilizator și parolele, care sunt de obicei criptate, dar în mod invariabil există o mulțime de exemple în care nu sunt. Există informațiile reale despre clienți în jurul profilului lor și datele pe care le-au creat, fie că este vorba despre o fișă de sănătate sau dacă este vorba de un e-mail sau un mesaj instant. Și atunci există logica reală încorporată, deci aceasta ar putea fi stocată proceduri, ar putea fi o grămadă de reguli, dacă + acest + atunci + asta. Și invariabil, este doar un text ASCII blocat în baza de date, foarte puțini oameni stau acolo gândindu-se: „Ei bine, acestea sunt reguli de afaceri, așa este modul în care datele noastre sunt mutate și controlate, ar trebui să cripțăm acest lucru atunci când este în repaus și când este în mișcare poate că o decripționăm și o păstrăm în memorie ”, dar, în mod ideal, ar trebui să fie și la fel de bine.

Dar revin la acest punct cheie că toate aceste date sunt într-o bază de date de o anumită formă și mai des, accentul este, doar istoric, a fost pe routere, switch-uri și servere și chiar stocare, și nu întotdeauna pe baza de date la partea din spate. Pentru că ne gândim că avem marginea rețelei acoperite și este, cam așa, un tipic vechi, care locuiește într-un castel și ai pus o groapă în jurul lui și speri că cei răi nu vor face să poată înota. Dar apoi, dintr-odată, cei răi au lucrat cum să facă scări extinse și să le arunce peste gropă și să urce peste groapă și să urce pe pereți. Și, dintr-o dată, groapa ta este destul de inutilă.

Deci, acum suntem în scenariul în care organizațiile sunt în modul de captură într-un sprint. În opinia mea, ele sunt literalmente sprint în toate sistemele și, cu siguranță, experiența mea, în acest sens, nu este întotdeauna doar aceste unicornuri web, așa cum ne referim adesea la ele, mai des decât organizațiile tradiționale de întreprindere care sunt încălcate. Și nu trebuie să aveți multă imaginație pentru a afla cine sunt. Există site-uri web precum unul numit pastebin.net și dacă accesați pastabin.net și introduceți doar lista de e-mailuri sau lista de parole, veți ajunge cu sute de mii de intrări pe zi care sunt adăugate în care oamenii listează exemple de seturi de date de până la o mie de înregistrări de nume, prenume, detalii despre cardul de credit, nume de utilizator, parolă, parole decriptate, apropo. În cazul în care oamenii pot apuca acea listă, mergeți și verificați trei sau patru dintre ei și decid că, da, vreau să cumpăr acea listă și, de obicei, există o formă de mecanism care oferă un fel de poartă anonimă pentru persoana care vinde datele.

Ceea ce este interesant este că, odată ce antreprenorul afiliat își dă seama că poate face acest lucru, nu este nevoie de atât de multă imaginație pentru a realiza că dacă cheltuiți 1.000 de dolari SUA pentru a cumpăra una dintre aceste liste, care este primul lucru pe care îl faceți cu asta? Nu mergeți și nu încercați să urmăriți conturile, îi puneți o copie înapoi pe pastbin.net și vindeți două copii pentru 1.000 de dolari fiecare și obțineți un profit de 1.000 $. Și aceștia sunt copii care fac asta. Există câteva organizații profesionale extrem de mari din întreaga lume care fac asta pentru a-și trăi viața. Există chiar națiuni de stat care atacă alte state. Știți, se vorbește mult despre America care atacă China, China care atacă America, nu este chiar atât de simplu, dar există cu siguranță organizații guvernamentale care încalcă sisteme care sunt invariabil alimentate de baze de date. Nu este doar cazul unor organizații mici, ci și țări versus țări. Ne readuce la această problemă, unde sunt stocate datele? Este într-o bază de date. Ce controale și mecanisme există? Sau invariabil, nu sunt criptate și, dacă sunt criptate, nu sunt întotdeauna toate datele, poate este doar parola care este sărată și criptată.

Și înfășurate în acest sens, avem o serie de provocări cu ceea ce există în aceste date și cum oferim acces la date și conformare SOX. Așadar, dacă vă gândiți la gestionarea averii sau la activități bancare, aveți organizații care vă îngrijorează provocarea credențială; ai organizații care se tem de respectarea spațiului corporativ; ai respectarea cerințelor guvernamentale și a reglementărilor; aveți scenarii acum unde avem baze de date premise; avem baze de date în centre de date ale terților; Avem baze de date așezate în medii cloud, astfel încât mediile sale cloud nu sunt întotdeauna în țară. Și, astfel, aceasta devine o provocare din ce în ce mai mare, nu doar din punct de vedere al securității pure, nu-l-am obține, ci și cum putem îndeplini toate nivelurile de conformitate? Nu numai standardele HIPAA și ISO, dar există literalmente zeci și zeci și zeci dintre acestea la nivel de stat, la nivel național și la nivel global care trec granițele. Dacă faceți afaceri cu Australia, nu puteți muta datele guvernamentale. Orice date private australiene nu pot părăsi țara. Dacă ești în Germania este și mai strict. Și știu că America se mișcă foarte repede în acest sens din mai multe motive.

Dar mă readuce din nou la această întreagă provocare despre cum știți ce se întâmplă în baza de date, cum o monitorizați, cum spuneți cine face ce face în baza de date, cine are vederi despre diverse tabele și rânduri și coloane și câmpuri, când o citesc, cât de des îl citesc și cine îl urmărește? Și cred că asta mă duce la punctul meu final înainte de a preda oaspetelui nostru de astăzi, care ne va ajuta să vorbim despre cum rezolvăm această problemă. Dar vreau să ne lăsăm cu acest gând și, adică, o mare parte a atenției este orientată către costul pentru afaceri și costul pentru organizație. Și nu vom acoperi acest punct în detaliu astăzi, dar vreau doar să-l lăsăm în mintea noastră pentru a reflecta și este că există o estimare aproximativă între 135 și 585 dolari SUA pe înregistrare pentru a fi curățate după o încălcare. Deci investiția pe care o faceți în securitatea dvs. în rute și switch-uri și servere este bună și bună și firewall-uri, dar cât de mult ați investit în securitatea bazei de date?

Dar este o economie falsă și când încălcarea Yahoo s-a întâmplat recent și o am pe autoritate bună, este aproximativ un miliard de conturi, nu 500 de milioane. Când Verizon a cumpărat organizația pentru ceva de genul 4, 3 miliarde, de îndată ce a avut loc încălcarea au cerut un miliard de dolari înapoi sau o reducere. Acum, dacă faceți matematica și spuneți că există aproximativ un miliard de înregistrări care au fost încălcate, o reducere de un miliard de dolari, estimarea de la 135 la 535 USD pentru curățarea unui record devine acum 1 dolar. Ceea ce, din nou, este farcical. Nu costă 1 dolar pentru curățarea unui miliard de înregistrări. La 1 dolar pe înregistrare pentru a curăța un miliard de înregistrări pentru o încălcare de această dimensiune. Nici măcar nu puteți publica un comunicat de presă pentru un astfel de cost. Și astfel ne concentrăm mereu pe provocările interne.

Dar cred că unul dintre aceste lucruri și ne privește să ne luăm foarte în serios la nivel de bază de date, motiv pentru care acesta este un subiect foarte important pentru care să vorbim și, de aceea, nu vorbim niciodată despre om Taxă. Care este taxa umană pe care o suportăm? Și voi lua un exemplu înainte de a mă înfășura rapid. LinkedIn: în 2012, sistemul LinkedIn a fost piratat. Au fost o serie de vectori și nu voi intra în asta. Și sute de milioane de conturi au fost furate. Oamenii spun că aproximativ 160 de milioane de ciudă, dar este de fapt un număr mult mai mare, ar putea ajunge la aproximativ 240 de milioane. Dar această încălcare nu a fost anunțată decât la începutul acestui an. Sunt patru ani în care sunt înregistrate sute de milioane de persoane. Acum, erau câțiva oameni care plăteau pentru servicii cu carduri de credit și alți oameni cu conturi gratuite. Însă LinkedIn este interesant, pentru că nu numai că au primit acces la detaliile contului dvs. dacă ați fost încălcat, dar au primit și acces la toate informațiile de profil. Deci, la cine ai fost conectat și toate conexiunile pe care le-ai avut, precum și tipurile de locuri de muncă pe care le-au avut și tipurile de abilități pe care le-au avut și cât timp au lucrat la companii și tot acest tip de informații și datele de contact ale acestora.

Așadar, gândiți-vă la provocarea pe care o avem în securizarea datelor din aceste baze de date, securizarea și gestionarea sistemelor de baze de date în sine și fluxul asupra impactului, numărul uman al acestor date fiind acolo timp de patru ani. Și probabilitatea ca cineva să apeleze la o vacanță undeva în sud-estul Asiei și să aibă datele sale acolo de patru ani. Și s-ar putea ca cineva să fi cumpărat o mașină sau să fi obținut un împrumut la domiciliu sau să fi cumpărat zece telefoane de-a lungul anului pe carduri de credit, unde au creat un ID fals pe acele date care au fost acolo timp de patru ani - pentru că chiar și datele LinkedIn v-au oferit suficiente informații pentru creați un cont bancar și un ID fals - și urcați în avion, plecați în vacanță, aterizați și sunteți aruncați la închisoare. Și de ce ești aruncat în închisoare? Ei bine, pentru că ai furat actul de identitate. Cineva a creat un ID fals și a acționat ca tine și sute de mii de dolari și făceau asta patru ani și nici nu știai despre asta. Pentru că este acolo, tocmai s-a întâmplat.

Deci cred că ne aduce la această provocare de bază cum știm ce se întâmplă în bazele noastre de date, cum o urmărim, cum o monitorizăm? Și aștept cu nerăbdare să aud cum prietenii noștri de la IDERA au venit cu o soluție pentru a aborda asta. Și cu asta, voi preda.

Eric Kavanagh: Bine, Ignacio, podea este a ta.

Ignacio Rodriguez: Bine. Bun venit tuturor. Mă numesc Ignacio Rodriguez, mai cunoscut sub numele de Iggy. Sunt cu IDERA și un manager de produse pentru produse de securitate. Subiecte foarte bune pe care tocmai le-am abordat și trebuie să ne facem griji cu privire la încălcările datelor. Trebuie să avem politici de securitate întărite, trebuie să identificăm vulnerabilitățile și să evaluăm nivelurile de securitate, să controlăm permisiunile utilizatorilor, să controlăm securitatea serverului și să respectăm auditurile. Am făcut audituri în istoria mea trecută, mai ales pe partea Oracle. Am făcut unele pe SQL Server și le făceam cu instrumente sau, practic, scripturi casnice, ceea ce a fost grozav, dar trebuie să creați un depozit și să vă asigurați că depozitul este sigur, trebuind să mențineți scripturile în mod constant cu modificări de la auditori, Ce ai.

Așadar, în instrumente, dacă aș fi știut că IDERA era acolo și aveam un instrument, probabil că aș fi cumpărat-o. Dar, oricum, vom vorbi despre Securitate. Este unul dintre produsele noastre din linia noastră de produse de securitate, iar ceea ce face, practic, este să analizăm politicile de securitate și să le mapăm în conformitate cu orientările de reglementare. Puteți vizualiza un istoric complet al setărilor SQL Server și, de asemenea, puteți, practic, să faceți o bază de referință a acestor setări și apoi să le comparați cu modificările viitoare. Puteți crea o instantanee, care este o bază de referință a setărilor dvs., și apoi puteți urmări dacă oricare dintre aceste lucruri au fost schimbate și, de asemenea, veți fi alertat dacă sunt schimbate.

Unul dintre lucrurile pe care le facem bine este prevenirea riscului de securitate și a încălcărilor. Cardul de raport de securitate vă oferă o vedere a vulnerabilităților de securitate de top pe servere și apoi fiecare verificare de securitate este clasificată drept risc ridicat, mediu sau scăzut. Acum, pe aceste categorii sau verificări de securitate, toate acestea pot fi modificate. Să spunem dacă aveți unele controale și utilizați unul dintre șabloanele pe care le avem și decideți, bine, controalele noastre indică într-adevăr sau doriți că această vulnerabilitate nu este într-adevăr un nivel ridicat, ci un mediu sau invers. S-ar putea să aveți unele care sunt etichetate ca mediu, dar în organizația dvs. controalele pe care doriți să le etichetați sau să le considerați, la fel de ridicate, toate aceste setări pot fi configurate de utilizator.

O altă problemă critică la care trebuie să analizăm este identificarea vulnerabilităților. Înțelegerea cui are acces la ce și identificarea fiecărui drept efectiv al utilizatorului asupra tuturor obiectelor SQL Server. Cu instrumentul pe care îl vom putea parcurge și vom analiza drepturile asupra tuturor obiectelor SQL Server și vom vedea o captură de ecran de aici aici în curând. De asemenea, raportăm și analizăm permisiunile de utilizator, grup și rol. Una dintre celelalte caracteristici este să livrăm rapoarte detaliate privind riscurile de securitate. Avem rapoarte extracomunente și conțin parametri flexibili pentru a crea tipurile de rapoarte și pentru a afișa datele pe care le solicită auditorii, ofițerii de securitate și managerii.

De asemenea, putem compara schimbări de securitate, risc și configurare în timp, așa cum am menționat. Iar acestea sunt cu instantanee. Și acele instantanee pot fi configurate în măsura în care doriți să le faceți - lunar, trimestrial, anual - care pot fi programate în cadrul instrumentului. Și, din nou, puteți face comparații pentru a vedea ce s-a schimbat și ce este frumos este dacă ați avut o încălcare puteți crea o instantaneu după ce a fost corectată, faceți o comparație și veți vedea că există un nivel înalt risc asociat cu instantaneul anterior și apoi raport, vedeți de fapt în următoarea instantanee după ce s-a corectat că nu mai este o problemă. Este un instrument de audit bun pe care l-ai putea oferi auditorului, un raport pe care l-ai putea oferi auditorilor și să spui: „Uite, am avut acest risc, l-am atenuat și acum nu mai este un risc”. Și, din nou, eu menționate împreună cu instantaneele, puteți alerta când se modifică o configurație, iar dacă o configurație este modificată și sunt detectate, care prezintă un nou risc, veți fi înștiințat și despre asta.

Primim câteva întrebări cu privire la Arhitectura SQL Server cu Secure și vreau să fac o corecție la diapozitiv aici unde se spune „Serviciu de colectare”. Nu avem niciun serviciu, ar fi trebuit să fie „Administrare și colectare server. ”Avem consola noastră, apoi serverul nostru de administrare și colectare și avem o capturare fără agent care va ieși în bazele de date care au fost înregistrate și să adune datele prin joburi. Și avem un depozit SQL Server și lucrăm împreună cu serviciile de raportare SQL Server pentru a programa rapoarte și a crea rapoarte personalizate. Acum, pe un card de raport de securitate acesta este primul ecran pe care îl veți vedea când se începe SQL Secure. Veți vedea cu ușurință care sunt elementele critice pe care le-ați detectat. Și, din nou, avem maximele, mediile și minusculele. Și atunci avem și politicile care sunt în joc cu verificările de securitate specifice. Avem un șablon HIPAA; avem șabloane IDERA de securitate 1, 2 și 3; avem ghiduri PCI. Acestea sunt toate șabloanele pe care le puteți utiliza și, din nou, vă puteți crea propriul șablon, pe baza propriilor controale. Și, din nou, sunt modificabile. Îți poți crea propriul tău. Oricare dintre șabloanele existente poate fi folosit ca linie de bază, apoi le puteți modifica după cum doriți.

Unul dintre lucrurile frumoase de făcut este să vezi cine are permisiuni. Și cu acest ecran aici vom putea vedea ce conectări SQL Server sunt pe întreprindere și veți putea vedea toate drepturile și permisiunile alocate și eficiente la baza de date server la nivel de obiect. Facem asta aici. Veți putea selecta, din nou, bazele de date sau serverele, apoi puteți extrage raportul permisiunilor SQL Server. Deci, capabil să vezi cine are ce acces la ce. O altă caracteristică plăcută este că vei putea compara setările de securitate. Să spunem că aveți setări standard care trebuiau să fie setate în întreprinderea dvs. Ați putea apoi să faceți o comparație a tuturor serverelor dvs. și să vedeți ce setări au fost setate pe celelalte servere din întreprinderea dvs.

Din nou, șabloanele de politică, acestea sunt câteva dintre șabloanele pe care le avem. Practic, din nou, utilizați una dintre acestea, creați-vă propriul. Puteți crea propria politică, așa cum se vede aici. Utilizați unul dintre șabloane și le puteți modifica în funcție de necesități. De asemenea, putem vedea drepturile efective ale SQL Server. Acest lucru va verifica și demonstra că permisiunile sunt setate corect pentru utilizatori și roluri. Din nou, puteți merge acolo și să priviți și să vedeți și să verificați dacă permisiunea este setată corect pentru utilizatori și roluri. Apoi, cu drepturile de acces la obiect SQL Server, puteți răsfoi și analiza arborele de obiecte SQL Server în jos de la nivel de server până la rolurile și obiectivele la nivel de obiect. Și puteți vizualiza instantaneu permisiunile moștenite atribuite și eficiente și proprietățile legate de securitate la nivelul obiectului. Acest lucru vă oferă o vedere bună asupra acceselor pe care le aveți pe obiectele de bază de date și care le are acces la acestea.

Avem, din nou, rapoartele noastre pe care le avem. Sunt rapoarte conserve, avem mai multe dintre care le puteți selecta pentru a vă face raportarea. Și o mulțime de acestea pot fi personalizate sau puteți avea rapoarte despre clienți și puteți utiliza asta împreună cu serviciile de raportare și puteți crea de acolo raporturi personalizate. Acum, comparațiile instantanee, aceasta este o caracteristică destul de mișto, cred, unde puteți ieși acolo și puteți face o comparație cu instantaneele pe care le-ați făcut și căutați să vedeți dacă există diferențe în ceea ce privește numărul. Există obiecte adăugate, au existat permisiuni care s-au schimbat, s-ar putea să vedem ce modificări au fost făcute între instantanee. Unii oameni vor privi acestea la nivel lunar - vor face o instantaneu lunară și vor face o comparație în fiecare lună pentru a vedea dacă s-a schimbat ceva. Și dacă nu ar fi trebuit să se schimbe nimic, orice s-a dus la ședințele de control al schimbărilor și vedeți că s-au schimbat unele permisiuni, puteți să vă întoarceți să vedeți ce s-a întâmplat. Aceasta este o caracteristică destul de frumoasă aici, unde puteți face, din nou, comparația cu tot ceea ce este auditat în instantaneu.

Apoi, comparația dvs. de evaluare. Aceasta este o altă caracteristică drăguță pe care o avem acolo unde puteți ieși acolo și să analizați evaluările, apoi să faceți o comparație a acestora și să observați că comparația de aici a avut un cont SA care nu a fost dezactivat în acest instantaneu recent pe care l-am făcut - acesta este acum corectat. Acesta este un lucru destul de frumos, unde puteți arăta că, bine, am avut ceva risc, au fost identificați de instrument și acum am atenuat aceste riscuri. Și, din nou, acesta este un raport bun pentru a arăta auditorilor că, de fapt, aceste riscuri au fost atenuate și sunt îngrijite.

În rezumat, securitatea bazelor de date, este esențială și cred că de multe ori ne uităm la încălcările care provin din surse externe și uneori nu prea acordăm prea multă atenție încălcărilor interne și acestea sunt unele dintre aspectele pe care trebuie să fii atent. Și Secure vă va ajuta acolo pentru a vă asigura că nu există privilegii care nu trebuie să fie alocate, știți, asigurați-vă că toate aceste securități sunt setate corect la conturi. Asigurați-vă că conturile SA au parole. Verifică, de asemenea, cheile de criptare, au fost exportate? Doar mai multe lucruri diferite pe care le verificăm și vă vom avertiza asupra faptului dacă a existat o problemă și la ce nivel de problemă este. Avem nevoie de un instrument, mulți profesioniști au nevoie de instrumente pentru gestionarea și monitorizarea permisiunilor de acces la bazele de date și de fapt ne uităm să oferim o capacitate extinsă de a controla permisiunile bazelor de date și de a urmări activitățile de acces și de a atenua riscul de încălcare.

Acum, o altă parte a produselor noastre de securitate este că există un WebEx care a fost acoperit, iar o parte din prezentarea despre care am vorbit anterior au fost date. Știți cine are acces la ce, ce aveți și acesta este instrumentul nostru pentru SQL Compliance Manager. Și există un WebEx înregistrat pe acel instrument și care vă va permite de fapt să monitorizați cine accesează ce tabele, ce coloane, puteți identifica tabele care au coloane sensibile, în ceea ce privește data nașterii, informații despre pacient, acele tipuri de tabele și vezi de fapt cine are acces la informațiile respective și dacă sunt accesate.

Eric Kavanagh: Bine, deci hai să ne scufundăm în întrebări, cred, aici. Poate, Dez, o să ți-o arunc mai întâi și Robin, chime în cât poți.

Dez Blanchfield: Da, mi-a plăcut să pun o întrebare din diapozitivul 2 și 3. Care este cazul tipic de utilizare pe care îl vedeți pentru acest instrument? Cine sunt cele mai obișnuite tipuri de utilizatori pe care le vedeți care adoptă acest lucru și îl pun în joc? Și în spatele acestuia, modelul tipului de caz tipic, de tip, cum se întâmplă? Cum se implementează?

Ignacio Rodriguez: Bine, cazul obișnuit de utilizare pe care îl avem sunt DBA-urilor cărora li s-a atribuit responsabilitatea controlului de acces pentru baza de date, care se asigură că toate permisiunile sunt setate așa cum trebuie și urmează apoi urmările și standardele lor la loc. Știi, aceste anumite conturi de utilizator pot avea acces doar la aceste tabele, etc. Și ceea ce fac cu acesta este să se asigure că aceste standarde au fost stabilite și că aceste standarde nu s-au schimbat de-a lungul timpului. Și acesta este unul dintre lucrurile mari pentru care oamenii îl folosesc este să urmărească și să identifice dacă se fac modificări despre care nu se știe.

Dez Blanchfield: Pentru că sunt cei înfricoșători, nu-i așa? Este posibil să aveți, să zicem, un document de strategie, aveți politici care stau la baza acesteia, aveți conformitate și guvernanță în acest sens și respectați politicile, respectați guvernanța și devine un aspect verde și apoi, dintr-o dată, o lună mai târziu, cineva lansează o schimbare și, dintr-un anumit motiv, nu trece prin același comitet de revizuire sau proces de schimbare, sau orice altceva ar fi, sau proiectul tocmai a mutat și nimeni nu știe.

Aveți exemple pe care le puteți împărtăși - și știu, evident, nu este întotdeauna ceva pe care îl împărtășiți, deoarece clienții sunt un pic preocupați de asta, deci nu trebuie să numim neapărat nume - ci dați-ne un exemplu despre locul unde s-ar putea să fi văzut asta de fapt, știi, o organizație a pus acest lucru în funcție fără să-și dea seama și au găsit doar ceva și au realizat: „Uau, a meritat de zece ori, am găsit doar ceva ce nu ne-am dat seama”. vreun exemplu în care oamenii au pus în aplicare acest lucru și apoi au descoperit că au o problemă mai mare sau o problemă reală pe care nu și-au dat seama că o au și atunci veți fi adăugați imediat pe lista de cărți de Crăciun?

Ignacio Rodriguez: Cred că cel mai mare lucru pe care l-am văzut sau l-am raportat este ceea ce am menționat, în ceea ce privește accesul pe care l-a avut cineva. Există dezvoltatori și când au implementat instrumentul nu au realizat cu adevărat că numărul X din acești dezvoltatori au atât de mult acces în baza de date și au acces la anumite obiecte. Și un alt lucru sunt conturile numai în citire. Au fost câteva conturi de citire numai, au aflat că aceste conturi numai de citire sunt de fapt, au introdus date și au șters privilegii. Acolo am văzut unele avantaje pentru utilizatori. Marele lucru, din nou, că am auzit că oamenii le place, este să poată, din nou, să urmărească schimbările și să ne asigurăm că nimic nu le orbește.

Dez Blanchfield: Așa cum a evidențiat Robin, aveți scenarii la care oamenii nu se gândesc adesea, nu? Când ne așteptăm cu nerăbdare, știi, dacă facem totul în conformitate cu regulile și găsesc și sunt sigur că o vezi și tu - spune-mi dacă nu ești de acord cu aceasta - organizațiile se concentrează astfel în mare măsură în ceea ce privește dezvoltarea strategiei și a politicilor, a conformității și a guvernanței și a IPC, precum și de multe ori acestea sunt atât de fixate în acest sens, încât nu se gândesc la valorile externe. Și Robin a avut un exemplu cu adevărat grozav pe care îl voi fura de la el - îmi pare rău Robin - dar exemplul este celălalt timp în care o copie live a bazei de date, o instantanee și o pun în test de dezvoltare, nu? Facem dev, facem teste, facem UAT, facem integrare de sisteme, tot felul de lucruri și apoi facem o grămadă de teste de conformitate. Adesea, testul dev, UAT, SIT are de fapt o componentă de conformitate, unde ne asigurăm că este totul sănătos și sigur, dar nu toată lumea face asta. Acest exemplu pe care Robin l-a dat cu o copie a unei copii live a bazei de date puse într-un test cu mediu de dezvoltare pentru a vedea dacă încă mai funcționează cu datele live. Foarte puține companii se întorc și se gândesc: „Chiar se întâmplă sau este posibil?” Sunt întotdeauna fixate pe lucrurile de producție. Cum arată călătoria de implementare? Vorbim despre zile, săptămâni, luni? Cum arată o desfășurare regulată pentru o organizație cu dimensiuni medii?

Ignacio Rodriguez: Zile. Nu sunt chiar zile, vreau să spun, sunt doar câteva zile. Tocmai am adăugat o caracteristică în care putem înregistra multe, multe servere. În loc să fii nevoit să intri acolo în instrument și să spui că ai 150 de servere, trebuie să intri acolo individual și să înregistrezi serverele - acum nu trebuie să faci asta. Există un fișier CSV pe care îl creați și îl eliminăm automat și nu îl păstrăm acolo din cauza problemelor de securitate. Dar acesta este un alt lucru pe care trebuie să-l luăm în considerare, este că veți avea un fișier CSV acolo cu nume de utilizator / parolă.

Ce facem noi este automat, este că îl ștergem din nou, dar aceasta este o opțiune pe care o aveți. Dacă doriți să intrați acolo individual și să le înregistrați și nu doriți să vă asumați acest risc, atunci puteți face asta. Dar dacă doriți să utilizați un fișier CSV, puneți-l într-o locație sigură, îndreptați aplicația către acea locație, va rula acel fișier CSV și apoi va fi setat automat pentru a șterge acel fișier odată terminat. Și va merge și va asigura și verifica că fișierul este eliminat. Cel mai lung pol din nisipul pe care l-am avut în ceea ce privește implementarea a fost înregistrarea serverelor reale.

Dez Blanchfield: Bine. Acum ai vorbit despre rapoarte. Puteți să ne oferiți un pic mai multe detalii și informații despre ceea ce este preambalat în ceea ce privește raportarea în jur, cred, componenta de descoperire de a privi ce este acolo și de a raporta asupra acesteia, starea actuală a națiunii, ce vine înainte construite și preparate în prealabil, în măsura în care sunt raportate în jurul stării actuale de conformitate și securitate, și cât de ușor sunt extensibile? Cum ne construim pe acestea?

Ignacio Rodriguez: Bine. Unele dintre rapoartele pe care le avem, avem rapoarte care se referă la cross-server, verificări de conectare, filtre de colectare a datelor, istoricul activității și apoi rapoartele de evaluare a riscurilor. Și, de asemenea, orice cont suspect Windows. Sunt multe, multe aici. Vedeți conectări SQL suspecte, conectări la server și mapare utilizator, permisiuni de utilizator, toate permisiunile de utilizare, rolurile serverului, rolurile bazei de date, o anumită cantitate de vulnerabilitate pe care o avem sau rapoarte de autentificare în mod mixt, baze de date pentru clienți, vulnerabilitate pentru sistemul de operare prin XPS, procedurile extinse, și apoi rolurile fixe vulnerabile. Acestea sunt câteva dintre rapoartele pe care le avem.

Dez Blanchfield: Și ai menționat că sunt suficient de semnificative și un număr de ele, ceea ce este un lucru logic. Cât de ușor este pentru mine să-l personalizez? Dacă rulez un raport și obțin acest grafic grozav, dar vreau să scot câteva piese de care nu mă interesează și să adaug câteva alte funcții, există un scriitor de rapoarte, există un fel de interfață și instrument pentru a configura și adapta sau chiar construi un alt raport de la zero?

Ignacio Rodriguez: Le-am îndruma apoi pe utilizatori să utilizeze Microsoft SQL Report Services pentru a face acest lucru și avem mulți clienți care de fapt vor prelua unele dintre rapoarte, le vor personaliza și le vor programa oricând doresc. Unii dintre acești tipi vor să vadă aceste rapoarte lunar sau săptămânal și vor lua informațiile pe care le avem, le vor muta în serviciile de raportare și apoi vor face asta de acolo. Nu avem un scriitor de rapoarte integrat instrumentului nostru, dar profităm de serviciile de raportare.

Dez Blanchfield: Cred că aceasta este una dintre cele mai mari provocări cu aceste instrumente. Poți să intri acolo și să găsești lucruri, dar atunci trebuie să poți să-l scoți, să le raportezi persoanelor care nu sunt neapărat DBA și ingineri de sisteme. Există un rol interesant care a apărut în experiența mea și, adică, știți, ofițerii de risc au fost întotdeauna în organizații și că au fost preponderent în jur și o gamă complet diferită de riscuri pe care le-am văzut recent, în timp ce acum cu date încălcările devenind nu doar un lucru, ci un tsunami propriu-zis, CRO a plecat de la a fi, știi, resursele umane și conformitatea și sănătatea în muncă și tipul de securitate se concentrează acum asupra riscului cibernetic. Știi, încălcarea, hackingul, securitatea - mult mai tehnice. Și devine interesant pentru că există o mulțime de CRO-uri care provin dintr-un pedigree MBA și nu dintr-un pedigree tehnic, așa că trebuie să-și ridice capul, cam ce înseamnă asta pentru tranziția dintre riscul cibernetic de a trece la un CRO și așa mai departe. Dar marele lucru pe care și-l doresc este doar raportarea vizibilității.

Ne puteți spune ceva în jurul poziționării în ceea ce privește respectarea? Evident, unul dintre punctele forte ale acestui lucru este că puteți vedea ce se întâmplă, îl puteți monitoriza, puteți învăța, puteți raporta despre el, puteți reacționa la acesta, puteți chiar preveni unele lucruri. Provocarea generală este respectarea guvernanței. Există părți cheie ale acestora care se leagă în mod deliberat de cerințele de conformitate existente sau de conformitatea industriei, cum ar fi PCI, sau ceva de genul acesta în prezent, sau este ceva care vine pe harta rutieră? Se încadrează, într-un fel, în cadrul standardelor COBIT, ITIL și ISO? Dacă am implementat acest instrument, ne oferă o serie de verificări și solduri care se încadrează în acele cadre sau cum îl putem construi în aceste cadre? Unde este în minte poziția cu acele feluri de lucruri?

Ignacio Rodriguez: Da, există șabloane pe care le avem pe care le livrăm cu instrumentul. Și ajungem din nou la punctul în care ne reevaluăm șabloanele și vom adăuga și în curând vor fi mai multe. FISMA, FINRA, câteva șabloane suplimentare pe care le avem și, de obicei, examinăm șabloanele și privim pentru a vedea ce s-a schimbat, ce trebuie să adăugăm? Și de fapt vrem să ajungem la punctul în care, știți, cerințele de securitate s-au schimbat destul de mult, așa că ne uităm la o modalitate de a face acest lucru expansibil din mers. Este ceva la care ne uităm în viitor.

Dar acum ne uităm la crearea de șabloane și la posibilitatea de a obține șabloanele de pe un site web; le puteți descărca. Și așa ne descurcăm - le gestionăm prin șabloane și căutăm modalități în viitor aici pentru a le face ușor expansibile și rapide. Pentru că atunci când făceam audit, știți, lucrurile se schimbă. Un auditor ar veni o lună, iar luna următoare vor să vadă ceva diferit. Atunci aceasta este una dintre provocările cu instrumentele, este să puteți face acele schimbări și să obțineți ceea ce aveți nevoie, și acesta este, în felul în care dorim să ajungem.

Dez Blanchfield: Bănuiesc că provocarea unui auditor se schimbă regulat, având în vedere faptul că lumea se mișcă mai repede. Și, odată, cerința din punct de vedere al auditului, din experiența mea, ar fi doar o conformitate comercială pură, apoi a devenit conformitate tehnică și acum este conformitatea operațională. Și există toate aceste alte lucruri, știți, în fiecare zi cineva apare și nu te măsoară doar la ceva precum ISO 9006 și 9002, ci se uită la tot felul de lucruri. Și văd acum seria 38.000 devine un lucru mare și în ISO. Îmi imaginez că asta va deveni tot mai provocator. Sunt pe cale să-i predau lui Robin pentru că am atins lățimea de bandă.

Mulțumesc foarte mult, vedeți asta și cu siguranță o să petrec mai mult timp pentru a-l cunoaște, pentru că nu mi-am dat seama că de fapt este destul de detaliat. Așa că, mulțumesc, Ignacio, acum mă voi înmâna lui Robin. O prezentare minunată, mulțumesc. Robin, vizavi de tine.

Dr. Robin Bloor: Bine Iggy, o să te sun Iggy, dacă e bine. Ceea ce mă deranjează și cred că, având în vedere unele dintre lucrurile pe care Dez le-a spus în prezentarea sa, există multe lucruri groaznice pe care trebuie să le spui că oamenii nu au grijă de date. Știi, mai ales când vine vorba de faptul că vezi doar o parte a aisbergului și, probabil, se întâmplă multe despre care nu se raportează nimeni. Mă interesează perspectiva dvs. cu privire la cât de mulți dintre clienții de care sunteți conștienți sau potențiali clienți de care cunoașteți au un nivel de protecție pe care îl oferiți, nu numai cu acest lucru, dar și tehnologia dvs. de acces la date? Adică, cine este echipat corespunzător pentru a face față amenințării, este întrebarea?

Ignacio Rodriguez: Cine este echipat corespunzător? Adică, mulți clienți pe care nu i-am adresat într-adevăr niciun fel de audit, știți. Au avut parte de ceva, dar lucrul cel mare este încercarea de a ține pasul cu acesta și de a încerca să-l mențină și să te asiguri. Marea problemă pe care am văzut-o este - și chiar am avut-o atunci când făceam conformitatea, este - dacă îți administrezi scripturile, o vei face o dată în fiecare trimestru când vor veni auditorii și ai găsit o problemă. Ei bine, ghici ce, asta este deja prea târziu, auditul este acolo, auditorii sunt acolo, își doresc raportul, îl semnalizează. Și atunci fie obținem o notă, fie ni s-a spus, hei, trebuie să rezolvăm aceste probleme și de aici ar veni acest lucru. Ar fi mai mult un lucru de tip proactiv unde îți poți găsi riscul și să diminuezi riscul și asta este ce caută clienții noștri. O modalitate de a fi oarecum proactivă, spre deosebire de a fi reactiv atunci când auditorii vin și găsesc că unele dintre accesuri nu sunt acolo unde trebuie să fie, alte persoane au privilegii administrative și nu ar trebui să le aibă, acele tipuri de lucruri. Și de aici am văzut multe feedback-uri, că oamenii le plac instrumentul și îl folosesc.

Dr. Robin Bloor: Bine, am avut o altă întrebare care este, într-un anumit sens, și o întrebare evidentă, dar sunt pur și simplu curios. Câți oameni vin de fapt în urma unui hack? Unde știi, primești afacerea, nu pentru că s-au uitat la mediul lor și au considerat că trebuie asigurate într-un mod mult mai organizat, ci, de fapt, ești acolo pur și simplu pentru că au suferit deja o parte din durere.

Ignacio Rodriguez: Pe vremea mea aici, la IDERA, nu am văzut niciunul. Pentru a fi sincer cu tine, cea mai mare parte a interacțiunii cu care am avut parte de clienții cu care am fost implicată așteaptă mai mult și încearcă să auditeze și să înceapă să se uite la privilegii, etcetera. Așa cum spuneam, eu nu am experimentat în timpul meu aici, că am avut pe cineva care a venit după încălcarea pe care o cunosc.

Dr. Robin Bloor: Oh, este interesant. Aș fi crezut că ar fi fost cel puțin câteva. Mă uit de fapt la acest lucru, dar îi adaug și toate complexitățile care de fapt asigură securizarea datelor în întreprindere în orice mod și în fiecare activitate pe care o desfășurați. Oferiți consultanță direct pentru a ajuta oamenii să iasă? Adică, este clar că poți cumpăra instrumente, dar, din experiența mea, de multe ori oamenii cumpără instrumente sofisticate și le folosesc foarte prost. Oferiți consultanță specifică - ce să faceți, pe cine să instruiți și lucruri de genul acesta?

Ignacio Rodriguez: Există unele servicii pe care le-ai putea, în măsura în care serviciile de sprijin, vor permite ca unele dintre acestea să se producă. Dar, în ceea ce privește consultanța, nu oferim servicii de consultanță, ci instruire, știi, cum să folosești instrumentele și chestiile de genul, unele dintre acestea ar fi abordate cu nivelul de asistență. Dar, în sine, nu avem un departament de servicii care iese și face asta.

Dr. Robin Bloor: Bine. În ceea ce privește baza de date pe care o acoperiți, prezentarea de aici menționează doar Microsoft SQL Server - faceți și Oracle?

Ignacio Rodriguez: Urmează să ne extindem pe tărâmul Oracle cu Compliance Manager. Vom începe un proiect cu asta, așa că vom căuta să extindem acest lucru în Oracle.

Dr. Robin Bloor: Și ești probabil să pleci în altă parte?

Ignacio Rodriguez: Da, este ceva pe care trebuie să-l analizăm pe foile de parcurs și să vedem cum stau lucrurile, dar care sunt unele dintre aspectele pe care le avem în vedere, este ceea ce trebuie să atacăm și alte platforme de baze de date.

Dr. Robin Bloor: De asemenea, am fost interesat de divizare, nu am nicio imagine preconcepută despre asta, dar în ceea ce privește implementările, cât de mult se desfășoară efectiv în cloud sau este aproape totul la fața locului. ?

Ignacio Rodriguez: Toate la fața locului. Ne uităm să extindem Secure și pentru a acoperi Azure, da.

Dr. Robin Bloor: Aceasta a fost întrebarea Azure, încă nu sunteți acolo, dar mergeți acolo, are mult sens.

Ignacio Rodriguez: Da, mergem acolo foarte curând.

Dr. Robin Bloor: Da, bine, înțelegerea mea de la Microsoft este că există o acțiune groaznică cu Microsoft SQL Server în Azure. Devine, dacă îți place, o parte cheie a ceea ce oferă ei. Cealaltă întrebare de care mă interesează - nu este tehnică, ci mai degrabă ca o întrebare despre cum se angajează - cine este cumpărătorul pentru asta? Sunteți abordat de departamentul IT sau sunteți abordat de OSC, sau este vorba de o varietate diferită de oameni? Când se ia în considerare ceva de genul acesta, este parte să analizăm o serie întreagă de lucruri pentru asigurarea mediului? Care este situația acolo?

Ignacio Rodriguez: Este un amestec. Avem OSC-uri, de multe ori echipa de vânzări va face contact cu DBA-urile. Și apoi DBA-urile, din nou, au fost încredințate cu obținerea unui fel de politici de proces de audit în vigoare. Și apoi de acolo vor evalua instrumentele și vor raporta lanțul și vor lua o decizie asupra acelei părți pe care vor să o cumpere. Dar este o geantă mixtă care ne va contacta.

Dr. Robin Bloor: Bine. Cred că o să-i înapoiez lui Eric acum, pentru că am făcut orele, dar pot fi câteva întrebări ale publicului. Eric?

Eric Kavanagh: Da, sigur, am arătat prin mult conținut bun aici. Iată o întrebare foarte bună pe care o voi transmite unuia dintre participanți. Vorbește despre blockchain și despre ce vorbești și se întreabă, există o modalitate posibilă de a migra o parte doar citită a unei baze de date SQL către ceva similar cu ceea ce oferă blockchain? Este cam greu.

Ignacio Rodriguez: Da, voi fi sincer cu tine, nu am răspuns la asta.

Eric Kavanagh: Îl voi arunca lui Robin. Nu știu dacă ați auzit această întrebare, Robin, dar el doar se întreabă, există o modalitate de a migra partea citită a unei baze de date SQL către ceva similar cu ceea ce oferă blockchain? Ce crezi despre?

Dr. Robin Bloor: Este ca, dacă veți migra baza de date, veți migra și traficul bazei de date. Există un ansamblu de complexități implicate în realizarea acestui lucru. Dar nu ai face-o din alt motiv decât să faci ca datele să fie inviolabile. Pentru că un blockchain va avea acces mai lent, deci, știi, dacă viteza este lucrul tău - și este aproape întotdeauna lucrul - atunci nu ai face acest lucru. Dar dacă doriți să oferiți un tip criptat de acces la o parte a acesteia unor persoane care fac acel fel de lucruri, puteți face acest lucru, dar ar trebui să aveți un motiv foarte bun. Ești mult mai probabil să îl lași acolo unde este și să-l asiguri acolo unde este.

Dez Blanchfield: Da, sunt de acord, dacă pot cântări repede. Cred că provocarea blockchainului, chiar și a blockchain-ului public, este folosită pe bitcoin - ne este greu să o extindem dincolo, de patru tranzacții pe minut, într-o manieră complet distribuită. Nu atât din cauza provocării de calcul, deși există, nodurile complete doar consideră că este greu să ții pasul cu volumele bazei de date care se mișcă înapoi și înainte și cantitatea de date care sunt copiate pentru că este vorba de instrumente acum, nu doar de megafoci.

Dar, de asemenea, cred că provocarea cheie este că trebuie să schimbați arhitectura aplicației, deoarece într-o bază de date este vorba în principal de a aduce totul la o locație centrală și aveți acel model de tip client-server. Blockchain este invers; este vorba despre copii distribuite. Seamănă mai mult cu BitTorrent în multe feluri și este faptul că o mulțime de copii există acolo din aceleași date. Și, știi, la fel ca bazele de date Cassandra și in-memory în care o distribuie și o mulțime de servere îți pot oferi copii ale acelorași date dintr-un index distribuit. Cred că cele două părți-cheie, așa cum ați spus, Robin, sunt: ​​una, dacă doriți să o securizați și să vă asigurați că nu poate fi furată sau hackată, asta este grozav, dar nu este neapărat o platformă tranzacțională încă, iar noi Am experimentat asta cu proiectul bitcoin. Dar, în teorie, alții au rezolvat-o. Dar, din punct de vedere arhitectural, o mulțime de aplicații de acolo pur și simplu nu știu să interogheze și să citești dintr-un blockchain.

Acolo sunt multe de muncit. Dar cred că aspectul cheie al întrebării de acolo, doar dacă pot, este rațiunea de a o muta într-un blockchain, cred că întrebarea care se pune este: puteți să scoateți datele dintr-o bază de date și să le puneți într-o formă care să fie mai sigur? Iar răspunsul este că îl puteți lăsa în baza de date și o puteți cripta doar. Există o mulțime de tehnologii acum. Criptați datele în repaus sau în mișcare. Nu există niciun motiv pentru care nu puteți avea date criptate în memorie și în baza de date de pe disc, ceea ce este o provocare mult mai simplă, deoarece nu aveți o modificare arhitecturală unică. Invariabil majoritatea platformelor de baze de date, este de fapt doar o caracteristică care este activată.

Eric Kavanagh: Da, avem o ultimă întrebare pe care o voi transmite, Iggy. Este unul destul de bun. Din perspectiva SLA și a planificării capacității, ce fel de impozit există prin utilizarea sistemului dvs.? Cu alte cuvinte, vreo latență suplimentară sau debit de rezervă suplimentar dacă, într-un sistem de baze de date de producție, cineva vrea să implice tehnologia IDERA aici?

Ignacio Rodriguez: Chiar nu avem un impact prea mare. Din nou, este un produs fără agent și totul depinde, așa cum am menționat anterior, de instantanee. Secure se bazează pe instantanee. Va ieși acolo și de fapt va crea un job care va ieși acolo pe baza intervalelor pe care le-ați selectat. Fie vrei să o faci, din nou, săptămânal, zilnic, lunar. Va ieși acolo și va executa acea lucrare, apoi va colecta datele din instanțe. În acel moment, apoi încărcarea revine la serviciile de gestionare și colectare, după ce începeți să faceți comparații și toate acestea, încărcarea din baza de date nu joacă un rol în asta. Toată această încărcare este acum pe serverul de gestionare și colectare, în ceea ce privește comparațiile și toate raportările și toate acestea. Singurul moment când atingeți baza de date este întotdeauna când face instantaneu real. Și nu am avut niciun fel de rapoarte despre aceasta cu adevărat dăunătoare mediilor de producție.

Eric Kavanagh: Da, acesta este un punct foarte bun pe care îl pui acolo. Practic, puteți seta doar câte instantanee faceți, care este acel interval de timp și în funcție de ceea ce se poate întâmpla, dar aceasta este o arhitectură foarte inteligentă. Sunt lucruri bune, omule. Ei bine, voi sunteți în prima linie încercând să ne protejeze de toți acei hackeri despre care am vorbit în primele 25 de minute ale serialului. Și sunt acolo, oameni buni, nu greșesc.

Ei bine, ascultă, vom posta un link către acest webcast, arhivele, pe site-ul nostru interioranalysis.com. Puteți găsi chestii pe SlideShare, le puteți găsi pe YouTube. Și oameni buni, lucruri bune. Mulțumesc pentru timpul tău, Iggy, apropo îți place porecla. Cu asta vă vom lua rămas bun, oameni buni. Va multumesc mult pentru timpul acordat si atentie. Ne vom prinde de tine data viitoare. Pa! Pa.

Noul normal: abordarea realității unei lumi nesigure