Bolje vprašati dovoljenje: najboljše prakse za zasebnost in varnost

Avtor: Roger Morrison
Datum Ustvarjanja: 23 September 2021
Datum Posodobitve: 9 Maj 2024
Anonim
Better to Ask Permission? Best Practices for Privacy and Security
Video.: Better to Ask Permission? Best Practices for Privacy and Security

Odvzem: Voditelj Eric Kavanagh razpravlja o varnosti in dovoljenjih z dr. Robin Bloor in IDERA Vicky Harp.



Trenutno niste prijavljeni. Če si želite ogledati video, se prijavite ali prijavite.

Eric Kavanagh: V redu, dame in gospodje, pozdravljeni in spet dobrodošli. Njegova sreda, štirje vzhodni in v svetu podjetniške tehnologije, ki ponovno pomeni čas za Hot Technologies! Da, resnično. Seveda jih je predstavila skupina Bloor, ki jih poganjajo naši prijatelji iz Techopedije. Danes je tema zelo kul: "Bolje vprašati dovoljenje: Najboljše prakse za zasebnost in varnost." Tako je, njegova težka tema, veliko ljudi govori o njej, vendar je precej resna in resnično postaja vsak dan resnejši, odkrito povedano. Mnogo organizacij je v številnih pogledih resno vprašanje. O tem se bomo pogovarjali in se pogovarjali o tem, kaj lahko storite, da zaščitite svojo organizacijo pred zlobnimi znaki, za katere se zdi, da so v teh dneh vsepovsod.


Tako je danes voditeljica Vicky Harp, ki prihaja iz IDERA. Programsko opremo IDERA lahko vidite na LinkedInu - nova funkcija mi je všeč na LinkedInu. Čeprav lahko rečem, da na določene načine vlečejo strune in ne dovolijo dostopa do ljudi, vas skušajo kupiti, da kupite ta premijska članstva. Tukaj imamo svoj Robin Bloor, ki danes kliče na območje San Diega. In resnično vaš moderator / analitik.

Torej o čem govorimo? Kršitve podatkov. Pravkar sem vzel te podatke z IdentityForce.com, ki so se že odpravile na dirke. Seveda je bilo maja v tem letu in je bilo le toliko kršitev podatkov, seveda jih je res ogromno Yahoo! je bil velik, in slišali smo seveda, da je ameriška vlada napadla. Pravkar so bile propadle francoske volitve.

To se dogaja povsod, njeno nadaljevanje in ne bo ustavilo, zato je, kot pravijo, resničnost, nova stvarnost. Resnično moramo razmišljati o načinih za zagotavljanje varnosti naših sistemov in svojih podatkov. In ta proces je v teku, zato je ravno pravi čas, da razmisli o vseh različnih vprašanjih, ki pridejo v poštev. To je le delni seznam, vendar vam to daje nekaj vpogleda v to, kako resne so razmere s podjetniškimi sistemi v teh dneh. Pred to oddajo smo v našem predvajalnem pasu govorili o odkupi, ki je prizadel nekoga, ki ga poznam, kar je zelo neprijetna izkušnja, ko nekdo prevzame vaš iPhone in zahteva denar, da dobite nazaj dostop do vašega telefona. Ampak to se zgodi, zgodi se z računalniki, zgodi se s sistemi, videl sem ga že drugi dan, to se dogaja milijarderjem s svojimi jahtami. Predstavljajte si, da bi nekega dne šli na vašo jahto in skušali narediti vtis na vse svoje prijatelje in jih sploh ne morete vklopiti, ker je nek tat ukradel dostop do kontrol, nadzorne plošče. Pravkar sem prejšnji dan v intervjuju z nekom povedal, naj ima vedno ročni preglas. Kot, da nisem velik oboževalec vseh povezanih avtomobilov - tudi avtomobile je mogoče pokvariti. Vse, kar je povezano z internetom ali povezano z omrežjem, v katero je mogoče prodreti, je mogoče vdreti, karkoli.


Torej, tukaj je le nekaj elementov, ki jih je treba upoštevati v smislu oblikovanja prepričanja, kako resna je situacija. Spletni sistemi so danes povsod, še naprej se širijo. Koliko ljudi kupuje stvari na spletu? Prav danes skozi streho, zato je Amazon v teh dneh tako močna sila. Zato, ker toliko ljudi kupuje stvari po spletu.

Torej, se spomnite, pred 15 leti so bili ljudje precej nervozni, ko so kreditno kartico dali v spletni obrazec, da bi dobili svoje podatke, in takrat je bil argument: "No, če svojo kreditno kartico izročite natakarju na restavracija, potem je to isto stvar. "Torej, naš odgovor je pritrdilen. To je ista stvar. Vse te kontrolne točke ali dostopne točke, ista stvar, druga stran istega kovanca, kamor jih lahko dajo ljudje v nevarnost, kjer vam lahko nekdo vzame denar ali nekdo lahko ukrade od vas.

Nato IoT seveda razširi grožnjo - to besedo imam rad - z redom velikosti. Mislim, razmislite - z vsemi temi novimi napravami povsod, če lahko nekdo vdre v sistem, ki jih nadzoruje, lahko vse te bote obrne proti vam in povzroči veliko in veliko težav, tako da je to zelo resna težava. V današnjem času imamo svetovno gospodarstvo, ki grožnjo še bolj širi, in še več, imate ljudi v drugih državah, ki lahko dostopajo do spleta na enak način kot vi in ​​jaz, in če ne znate govoriti rusko, ali ne glede na število drugih jezikov, težko boste razumeli, kaj se dogaja, ko vdrejo v vaš sistem. Torej imamo napredek pri mreženju in virtualizaciji, kar je dobro.

Toda na tej sliki imam na desni strani meč in razlog, da ga imam, je zato, ker vsak meč reže oboje. Kot pravijo, je dvorezni meč in stari kliše, vendar pomeni, da meč, ki ga imam, lahko škodi ali pa mi lahko škodi. Lahko se vrne na mene, bodisi s poskakovanjem nazaj, bodisi s prevzemom nekoga. To je pravzaprav ena izmed Ezosovih basni - našim sovražnikom pogosto dajemo orodja za lastno uničenje. To je resnično prepričljiva zgodba in se nanaša na nekoga, ki je uporabil lok in puščico ter ustrelil ptico in ptičje žago, ko se je puščica dvigala, da je bilo perje enega od njegovih prijateljev kokoši na robu puščice, na zadnji strani puščice, da ga vodi, in si je mislil: "O, človek, tukaj je moje perje, moja družina, ki me bodo uporabili, da me bodo odnesli." To se dogaja ves čas, slišiš statistika o tem, da imaš pištolo v hiši, tat lahko pištolo vzame. No, to je vse res. Torej, če to razmislim kot analogijo, je treba imeti vsa ta različna dogajanja pozitivne in negativne strani.

In če govorimo o, zabojniki za tiste, ki resnično sledite vrhunskim podjetniškim računalništvom, so kontejnerji najnovejša stvar, najnovejši način za zagotavljanje funkcionalnosti, resnično poroka virtualizacije v storitveno usmerjeni arhitekturi, vsaj za mikroservise in njegove zelo zanimive stvari. Z varnostnimi protokoli in varnostnimi protokoli ter s svojimi podatki in podobno lahko zagotovo zasežete z uporabo vsebnikov, kar vam daje začasno obdobje, prej ali slej pa bodo slabi fantje to ugotovili in potem bo še težje preprečiti, da bi izkoristili vaše sisteme. Torej, obstaja to globalna delovna sila, ki zaplete omrežje in varnost, in od koder se ljudje prijavljajo.

Dobili smo vojne brskalnika, ki se nadaljujejo, in zahtevajo nenehno delo, da bi posodobili in nadgradili stvari. Še vedno slišimo o starih brskalnikih Microsoft Explorer, kako so bili vdrli in tam na voljo. Torej, več denarja je treba vložiti v taks, danes je celotna industrija. To me je naučil moj partner dr. Bloor pred osmimi leti - spraševal sem se, zakaj vidimo toliko tega, in spomnil je jaz, celotna industrija, ki je vpletena v taksist. In v tem smislu je pripoved, ki je ena od mojih najmanj priljubljenih besed o varnosti, res zelo nepoštena, saj vam pripoved prikazuje v vseh teh videoposnetkih in kakršnih koli poročilih o novicah, ki jih hekerji prikažejo, kakšen fant v hoodieju sedi v njegovi kleti v temno osvetljeni sobi, to sploh ni tako. To sploh ne predstavlja resničnosti. Njeni osamljeni hekerji so zelo malo osamljenih hekerjev, tam so, povzročajo nekaj težav - ne bodo povzročali velikih težav, lahko pa zaslužijo veliko denarja. Torej, zgodijo se, da hekerji vstopijo in prodrejo v vaš sistem, nato pa ta dostop prodajo nekomu drugemu, ki se obrne in proda nekomu drugemu, nato pa nekje navzdol, nekdo izkoristi ta heker in vas izkoristi. In obstaja nešteto načinov, kako izkoristiti ukradene podatke.

Sploh sem se čudil temu, kako smo zaslovili ta koncept. Ta izraz vidite vsepovsod, "hekerska rast" je njegova dobra stvar. Heking za rast, veste, kramljanje je lahko dobra stvar, če si prizadevate, da bi tako dobri fantje sodelovali in vdrli v sistem, kot smo o Severni Koreji in njihovih lansiranjih izstrelkov, s katerimi lahko potencialno vdremo - to je dobro . Toda hekanje je pogosto slaba stvar. Tako smo ga zdaj glamorirali, skoraj tako kot Robin Hood, ko smo očarali Robina Hooda. In potem je tu brezgotovinska družba, kar odkrito zadeva dnevne luči iz mene. Vse, kar pomislim vsakič, ko slišim, je: „Ne, prosim, ne delaj tega! Prosim, ne! «Nočem, da ves naš denar izgine. Torej, to je le nekaj vprašanj, ki jih je treba razmisliti, in spet, to je igra mačk in mišk; Nikoli se ne bo ustavilo, vedno bodo potrebe po varnostnih protokolih in po napredovanju varnostnih protokolov. In za spremljanje svojih sistemov, da bi sploh vedeli in zaznali, kdo je zunaj, z razumevanjem, da bi to lahko bilo celo notranje delo. Torej, njegova stalna težava, ki jo bomo že kar nekaj časa spremljali - nikar ne bo pomote.

In s tem ga bom izročil doktorju Bloorju, ki lahko z nami deli nekaj misli o varovanju podatkovnih baz. Robin, vzemi ga.

Robin Bloor: V redu, eden od zanimivih kramp, mislim, da se je zgodil pred približno petimi leti, ampak v bistvu je to podjetje, ki se ukvarja s procesiranjem kartic. In ukradeno je bilo veliko število kartic. Zanimivo pri meni pa je bilo to, da so dejansko vstopili v testno bazo podatkov in verjetno je prišlo do velikih težav pri vstopu v dejansko, resnično bazo podatkov za obdelavo kartic. Ampak saj veste, kako je z razvijalci, ti samo odsečejo bazo podatkov in jo potisnejo tja. Da bi to preprečili, bi morali biti veliko bolj pozorni. Ampak tam je veliko zanimivih hekerskih zgodb, na enem področju je zelo zanimiva tema.

Tako bom na tak ali drugačen način dejansko ponovil nekaj stvari, ki jih je rekel Eric, vendar je varnost podatkov preprosto statična kot cilj; lažje samo zato, ker je lažje analizirati statične situacije in potem razmišljati o tem, da bi tam vstavil obrambo, obrambo pa ne. Njegova gibajoča se tarča in to je ena izmed stvari, ki nekako določa celoten varnostni prostor. Samo tako, da se razvija vsa tehnologija, razvija se tudi tehnologija slabih fantov. Torej, kratek pregled: Kraja podatkov ni nič novega, pravzaprav je vohunjenje podatkov kraja podatkov in to se dogaja že tisoče let.

Največji podatek o tem so bili Britanci, ki so zlomili nemške kode, Američani pa japonske kode in v obeh primerih so vojno zelo skrajšali. In kradeli so le koristne in dragocene podatke, seveda zelo pametno, toda veste, kaj se trenutno dogaja, je na veliko načinov zelo pametno. Cyber ​​tatvina se je rodila z internetom in eksplodirala okoli leta 2005. Šel sem in pogledal vse statistične podatke, in ko ste se začeli resno resno in tako ali drugače presenetljivo visoke številke začeti približno leta 2005. Od leta 2005 se je samo še poslabšalo. torej. Vključenih je veliko igralcev, vlad, vpletena so podjetja, hekerske skupine in posamezniki.

Odšel sem v Moskvo - to je moralo biti približno pet let - in dejansko sem preživel veliko časa s fantom iz Velike Britanije, ki je raziskal celoten hekerski prostor. In to je rekel - in pojma nimam, ali je to res, dobil sem samo besedo zanjo, vendar se sliši zelo verjetno - da je v Rusiji nekaj, kar se imenuje Poslovna mreža, ki je skupina hekerjev, ki so vsi, vi vedo, prišli so iz ruševin KGB-ja. In prodajajo se, ne samo, mislim, prepričan sem, da jih uporablja ruska vlada, ampak se prodajo komurkoli in se je govorilo, ali se je govorilo, da se je govorilo, da različne tuje vlade uporabljajo Poslovno mrežo za verodostojno zanikanje . Ti fantje so imeli mreže milijonov ogroženih osebnih računalnikov, s katerih bi lahko napadli. In imeli so vsa orodja, ki si jih lahko zamislite.

Tako se je razvijala tehnologija napada in obrambe. Podjetja so dolžna skrbeti za svoje podatke, ne glede na to, ali jih imajo v lasti ali ne. In to začne postajati veliko bolj jasno v zvezi z različnimi predpisi, ki dejansko že veljajo ali začnejo veljati. In verjetno se bo izboljšalo. Nekatera telesa na tak ali drugačen način morajo nekdo nositi stroške kramp tako, da spodbudijo, da zaprejo možnost. To je ena izmed stvari, za katero mislim, da je potrebna. Torej glede hekerjev se lahko nahajajo kjer koli. Zlasti v vaši organizaciji - ogromno domiselnih hekerjev, za katere sem slišal, da je nekdo odpiral vrata. Veste, oseba, kakršna je bila podobna razmeram z bančnimi roparji, je skoraj vedno govorila v dobrih bančnih ropih insajder. Toda notranje informacije morajo le posredovati informacije, tako da jih je težko dobiti, vedeti, kdo je bil, in tako naprej, in tako naprej.

In morda jih je težko prinesti pred sodišče, kajti če vas bo skupina Moldavije zasvojila, čeprav veste, da je bila to skupina, kako se bo zgodilo, da se bo okoli njih zgodil kakšen pravni dogodek? Njene vrste, od ene do druge pristojnosti, njegove pravične, ne obstaja zelo dober nabor mednarodnih dogovorov, s katerimi bi prikrajšali hekerje. Delijo tehnologijo in informacije; veliko je odprte kode. Če želite sestaviti svoj virus, se tam naložijo množice virusov - popolnoma odprte kode. In imajo precejšnja sredstva, veliko je bilo botnetov v več kot milijon ogroženih naprav v podatkovnih centrih in osebnih računalnikih in tako naprej. Nekatera so donosna podjetja, ki že dolgo delujejo, nato pa vladne skupine, kot sem omenil.Kot je dejal Eric, je malo verjetno, da bi se ta pojav kdaj končal.

Torej, to je zanimiv kramp, za katerega sem mislil, da ga omenjam, saj je šlo za dokaj nedavni kramp; zgodilo se je lani. V pogodbi DAO se je pojavila ranljivost, povezana s kripto kovancem Etherium. In o njem se je razpravljalo na forumu, in v enem dnevu je bila pogodba DAO vložena, natančno je bila uporabljena ta ranljivost. 50 milijonov dolarjev v eteru je bilo odstranjenih, kar je povzročilo takojšnjo krizo v projektu DAO in ga zaprlo. In Etherium se je v resnici boril, da bi preprečil hekerju dostop do denarja in so mu nekoliko zmanjšali izkušnjo. A verjeli so tudi - zagotovo ni znano -, da je heker pred napadom dejansko znižal ceno etra, saj je vedel, da se bo cena etra zrušila, in tako ustvaril dobiček na drug način.

In to je še ena, če želite, stratagem, ki ga lahko hekerji uporabljajo. Če lahko škodijo vaši delniški ceni in vedo, da bodo to storili, potem je edino, kar jim je potrebno, da skrijejo ceno delnice in se lotijo, tako da so ti fantje pametni, veste. Cena pa je naravnost tatvina denarja, motnje in odkupnina, vključno z naložbami, kjer motiš in primanjkuješ zaloge, sabotaže, krajo identitete, vse vrste prevar, samo zaradi oglaševanja. Običajno gre za politično ali očitno vohunjenje informacij in celo obstajajo ljudje, ki preživljajo od nabojev hroščev, ki jih lahko dobite, če poskusite loviti Google, Apple, - tudi Pentagon, pravzaprav daje napake. In samo hecate; če je uspešen, samo pojdi in zahtevaš nagrado, škode pa ne naredi, tako da je to lepa stvar, veš.

Lahko bi omenil tudi skladnost in ureditev. Poleg sektorskih pobud so v zakonodaji ZDA tudi množice uradnih predpisov: HIPAA, SOX, FISMA, FERPA in GLBA. Obstajajo standardi; PCI-DSS je postal dokaj splošen standard. In potem je tu ISO 17799 o lastništvu podatkov. Nacionalni predpisi se razlikujejo od države do države, tudi v Evropi. In trenutno GDPR - Global Data, kaj pomeni? Globalna uredba o varstvu podatkov, mislim, da to pomeni - a to začne veljati naslednje leto, je rekel. In zanimivost pri tem je, da velja po vsem svetu. Če imate 5000 ali več strank, ki ste jih dobili osebne podatke in živijo v Evropi, vas bo Evropa dejansko prevzela naloge, ne glede na to, ali ima sedež podjetja ali kje deluje. In kazni, največja kazen znaša štiri odstotke letnega prihodka, kar je ogromno, tako da bo to zanimiv preobrat sveta, ko bo to začelo veljati.

O čemer je treba razmisliti, dobro, ranljivosti DBMS, večina dragocenih podatkov dejansko leži v bazah podatkov. Dragoceno je, ker smo vložili ogromno časa, da bi ga dali na razpolago in ga dobro organizirali, zato je bolj ranljiv, če dejansko ne uporabljate pravih vrednostnih papirjev DBMS. Če nameravate načrtovati takšne stvari, morate ugotoviti, kateri ranljivi podatki so v celotni organizaciji, pri čemer morate upoštevati, da so podatki iz različnih razlogov ranljivi. Lahko gre za podatke o strankah, lahko pa bi to bili tudi notranji dokumenti, ki bi bili koristni za vohunske namene in tako naprej. Varnostna politika, zlasti v zvezi z varnostjo dostopa - ki je v zadnjem času po mojem mnenju zelo šibka, v novih odprtokodnih stvareh - šifriranje postaja vse bolj uporabna, ker je precej trdna.

Stroški kršitve varnosti večina ljudi ni vedela, če pa dejansko pogledate, kaj se je zgodilo z organizacijami, ki so utrpele kršitve varnosti, se izkaže, da so stroški kršitve varnosti pogosto precej višji, kot mislite. Druga stvar, o kateri morate razmišljati, je napadalna površina, kajti kateri koli del programske opreme kjer koli, ki teče z vašimi organizacijami, predstavlja napadalno površino. Torej storite katero koli od naprav, tako tudi podatke, ne glede na to, kako so shranjeni. Vse skupaj, napadna površina raste z internetom stvari, napadna površina se bo verjetno podvojila.

Torej, končno DBA in varnost podatkov. Varnost podatkov je običajno del vloge DBA. Toda tudi njegovo sodelovanje. In mora biti podvržena korporativni politiki, sicer verjetno ne bo dobro izvedena. Ko sem to rekel, mislim, da lahko prenesem žogo.

Eric Kavanagh: V redu, naj dam ključe Vicky. In lahko daste v skupno rabo zaslon ali se premaknete na te diapozitive, odvisno od vas, ga odnesite.

Vicky Harp: Ne, začnem s temi diapozitivi, hvala lepa. Torej, ja, samo želel sem se na trenutek predstaviti. Im Vicky Harp. Sem vodja, upravljanje izdelkov za izdelke SQL v programski opremi IDERA, in za tiste, ki nas morda ne poznate, ima IDERA številne linije izdelkov, vendar tukaj govorim za stvari SQL Server. In tako izvajamo nadzor uspešnosti, skladnost z varnostjo, varnostno kopiranje, skrbniška orodja - in le njihovo vrsto seznama. In seveda, o čemer bom danes govoril, je varnost in spoštovanje.

Večina tega, o čemer želim danes govoriti, niso nujno naši izdelki, čeprav bom nekaj primerov tega pokazal pozneje. Želel sem govoriti z vami več o varnosti baz podatkov, nekaterih grožnjah v svetu varnosti baze podatkov, nekaj stvari, o katerih morate razmišljati, in nekaj uvodnih idej, na kaj morate biti pozorni, da zaščitite svoj SQL Strežniške baze podatkov in tudi, da se prepričate, ali so skladne z regulativnim okvirom, za katerega boste morda veljali, kot je bilo omenjeno. Obstaja veliko različnih predpisov; gredo v različne panoge, različne kraje po svetu, in o teh stvareh je treba razmišljati.

Tako bi si želel vzeti trenutek in spregovoriti o stanju kršitev podatkov - in ne ponavljati preveč tistega, o čemer smo že razpravljali tukaj - pred nedavnim sem brskal po tej raziskavi Intelove varnostne raziskave in čez njihovo - mislim 1500 organizacij, s katerimi so govorili - so imeli v povprečju šest kršitev varnosti v zvezi s kršitvami izgube podatkov, 68 odstotkov pa jih je v določenem smislu zahtevalo razkritje, zato so vplivale na ceno delnic ali pa so morale opraviti kakšen kredit spremljanje za svoje stranke ali zaposlene itd.

Še nekaj zanimivih statistik je, da so bili za 43 odstotkov tistih notranjih akterjev. Torej, veliko ljudi veliko razmišlja o hekerjih in tovrstnih senčnih kvazi vladnih organizacijah ali organiziranem kriminalu itd., Vendar notranji akterji še vedno neposredno ukrepajo proti svojim delodajalcem v precej velikem deležu primerov. In te so včasih težje zaščititi, ker imajo ljudje upravičene razloge za dostop do teh podatkov. Približno polovica tega, kar 43 odstotkov, je bila v nekem smislu slučajna izguba. Tako na primer v primeru, ko je nekdo podatke odnesel domov in nato izgubil sled te podatke, kar me pripelje do te tretje točke, to je, da so bile stvari na fizičnih medijih še vedno vpletene v 40 odstotkov kršitev. Torej, ključi USB, to so prenosniki, to je tisto, kar je bilo zapisano na fizične diske in odpeljano iz stavbe.

Če razmišljate o tem, ali imate razvijalca, ki ima na prenosnem računalniku dev kopijo vaše proizvodne baze? Nato gredo na letalo in se spustijo z letala ter dobijo preverjeno prtljago in njihov prenosnik ukradejo. Zdaj ste imeli kršitev podatkov. Morda ne mislite, da se je zato ta prenosnik vzel, morda se ne bo nikoli pojavil v divjini. Ampak to je še vedno nekaj, kar šteje za kršitev, njegovo razkritje bo zahtevalo razkritje vseh posledic izgube teh podatkov na koncu prodajne verige samo zaradi izgube tega fizičnega medija.

Druga zanimivost pa je, da veliko ljudi razmišlja o kreditnih podatkih in podatkih o kreditnih karticah kot najdragocenejših, vendar to v resnici ne drži več. Ti podatki so dragoceni, številke kreditnih kartic so uporabne, iskreno pa se te številke zelo hitro spremenijo, medtem ko se osebni podatki ljudi ne spreminjajo zelo hitro. Nekaj ​​tistega novice, razmeroma nedavno, VTech, proizvajalec igrač, je imel te igrače, ki so bile zasnovane za otroke. In ljudje bi imeli svoja imena za otroke, imeli bi podatke o tem, kje otroci živijo, imeli so imena staršev, imeli so fotografije otrok. Nič od tega ni bilo šifrirano, ker se ni štelo za pomembno. Toda njihova gesla so bila šifrirana. No, ko se je kršitev neizogibno zgodila, si rekel: »V redu, imam seznam otroških imen, njihovih staršev, kje živijo - vsi ti podatki so tam zunaj, in mislite, da je geslo najdragocenejši del tega? "Ni bilo; ljudje ne morejo spremeniti teh vidikov svojih osebnih podatkov, naslova itd. In tako so informacije dejansko zelo dragocene in jih je treba zaščititi.

Želel sem torej spregovoriti o nekaterih stvareh, ki se dogajajo, in prispevati k temu, da se kršitve podatkov trenutno dogajajo. Eden največjih žarišč, ki ga trenutno imamo, je socialni inženiring. Zato ga ljudje imenujejo lažno predstavljanje, lažno predstavljanje itd., Kjer ljudje dobijo dostop do podatkov, pogosto prek notranjih akterjev, tako da jih samo prepričajo, da naj bi do njih dostopali. Torej, ravno drugi dan smo imeli ta črv Google Docs, ki se je vrtel. In kaj bi se zgodilo - in dejansko sem prejel njeno kopijo, čeprav na srečo nisem kliknil - ste dobili od kolega in rekel: "Tu je povezava z Google Doc; morate to klikniti, če si želite ogledati, kaj sem ravnokar delil z vami. "No, v organizaciji, ki uporablja Google Dokumente, to je zelo običajno, boste na dan dobili desetine teh prošenj. Če bi kliknili nanjo, bi vas prosil za dovoljenje za dostop do tega dokumenta in morda rekel: "Hej, tudi to je nekoliko čudno, ampak veste, tudi videti je zakonito, tako da grem naprej in klikni nanj, "In takoj ko ste to storili, ste tej tretji osebi omogočili dostop do vseh svojih dokumentov v Googlu in tako ustvarili to povezavo, da bo ta zunanji akter imel dostop do vseh svojih dokumentov v Googlu Drive. To je švigalo povsod. V nekaj urah je prizadel več sto tisoč ljudi. In to je bil v osnovi phishing napada, ki ga je moral Google sam ustaviti, saj je bil zelo dobro izveden. Ljudje so padli zaradi tega.

Tu omenjam kršitev HR SnapChat. To je bila preprosta zadeva nekoga, ki se je izgovarjal, da je generalni direktor v oddelku za kadrovske zadeve in rekel: "Potrebuješ mi to preglednico." In verjeli so jim, da so postavili preglednico s 700 različnimi nadomestili zaposlenih informacije, njihove domače naslove itd., ki so jih posredovali tej drugi stranki, to dejansko ni bil izvršni direktor. Zdaj so podatki izšli, vsi njihovi osebni zasebni podatki pa so bili tam na voljo in na voljo za izkoriščanje. Torej, socialni inženiring je nekaj, kar ga omenjam v svetu baz podatkov, ker je to nekaj, čemur se lahko poskušate braniti z izobraževanjem, vendar se morate spomniti tudi tega, da kjer koli, kjer imate človeka, ki deluje s svojo tehnologijo, in če se zanašate na njihovo dobro presojo, da bi preprečili izpad, jih veliko vprašate.

Ljudje delajo napake, ljudje kliknejo stvari, ki jih ne bi smeli imeti, ljudje padejo pametne laži. In lahko se zelo potrudite, da jih zaščitite pred njim, vendar pa ni dovolj močna, morate poskusiti omejiti zmožnost, da bi ljudje slučajno oddali te podatke v vaših sistemih baz podatkov. Druga stvar, ki sem jo želel omeniti, da se očitno veliko govori, so odkupne programske opreme, botneti, virusi - vsi ti različni avtomatizirani načini. In zato menim, da je pri odkupovanju treba razumeti, ali res spreminja model dobička za napadalce. V primeru, da govorite o kršitvi, morajo v nekem smislu izvleči podatke in jih imeti zase ter jih izkoristiti. In če so vaši podatki prikriti, če so šifrirani, če je specifičen za panogo, morda nimajo nobene vrednosti za to.

Do tega trenutka so se ljudje morda počutili, kot da je to zaščita zanje: "Ni se mi treba zaščititi pred kršitvijo podatkov, ker če bodo vstopili v moj sistem, bodo imeli vse, kar sem, fotografski studio , Imam seznam, kdo bo prišel v kakšnih dneh za naslednje leto. Komu je mar za to? "No, izkazalo se je, da vas to skrbi; shranjujete te podatke, ki so pomembni za vaše podjetje. Torej, z uporabo odkupne programske opreme bo napadalec rekel: "No, nihče mi ne bo dal denarja za to, ampak vi." Torej, izkoriščajo dejstvo, da podatkov sploh ne smejo izvabiti, sploh ne smejo Če pridejo do kršitve, morajo preprosto uporabiti varnostna orodja, ki vas žaljivo napadajo. Vpišejo se v vašo bazo podatkov, šifrirajo njeno vsebino in nato rečejo: »V redu, imamo geslo in plačati nam boste morali 5000 USD, da dobimo to geslo, ali pa le teh podatkov nimate več. ”

In ljudje res plačajo; se znajdejo zaradi tega. MongoDB je imel nekaj mesecev pred velikimi težavami, verjetno je bilo to januarja, ko je odkupna programska oprema po mnenju več kot milijon podatkovnih zbirk MongoDB, ki jih imajo na voljo javnosti, na internetu temeljila na nekaterih privzetih nastavitvah. In kar je še poslabšalo to, da so ljudje plačevali, zato bi druge organizacije prišle in ponovno šifrirale ali trdile, da so bile tiste, ki so jih prvotno šifrirale, torej ko ste plačali svoj denar, in mislim, da so bili v tem primeru ko bi prosili za nekaj 500 dolarjev, bi ljudje rekli: "V redu, plačal bi več raziskovalcu, da bi prišel sem, da bi mi pomagal ugotoviti, kaj je šlo narobe. Samo plačam 500 ameriških dolarjev. "In tega sploh niso plačali pravemu igralcu, zato so se z njimi nabrali deset različnih organizacij, ki jim govorijo:" Imamo geslo "ali" Dobili smo način, da odklenete odkupljene podatke "In plačati bi morali vse, da bi lahko delo začelo.

Tam so bili tudi primeri, ko so avtorji odkupa imeli napake, mislim, niso govorili o tem, da gre za popolnoma nadpovprečno situacijo, zato tudi ko je napaden, tudi ko plačate, ni nobenega zagotovila, da boste dobili vse svoje podatkov, nekaj pa se zaplete tudi z orožjem orodja InfoSec. Torej Shadow Brokers je skupina, ki je puščala orodja iz NSA. Bila so orodja, ki jih je vladni subjekt oblikoval za vohunjenje in dejansko deluje proti drugim vladnim subjektom. Nekateri od njih so bili resnično odmevni napadi brez dnevnega dne, zaradi česar znani varnostni protokoli preprosto odpadejo. Tako je na primer v eni od zadnjih odlagališč Shadow Brokers prišlo do večje ranljivosti v protokolu SMB.

In tako lahko ta orodja, ki se pojavijo tu, v nekaj urah resnično spremenijo igro na vas, glede na napadalno površino. Kadarkoli razmišljam o tem, je to nekaj, kar je na organizacijski ravni varnostni InfoSec lastna funkcija, je treba jemati resno. Kadar koli ste govorili o bazah podatkov, lahko to nekoliko zanemarim, vam ni treba, da ste kot skrbnik zbirke podatkov popolnoma razumeli, kaj se dogaja s Shadow Brokerji ta teden, vendar se morate zavedati, da se vse to spreminja , dogajajo se stvari in tako bo stopnja, do katere svojo domeno držite tesno in varno, resnično vam bo pomagala v primeru, da se stvari nekako iztrgajo izpod vas.

Torej, želel sem si za trenutek, preden se posebej pogovorim o SQL Serverju, v resnici malo razpravljati z našimi strokovnjaki o nekaterih pomislekih glede varnosti baze podatkov. Torej, sem prišel do te točke, o nekaterih stvareh, ki jih nismo omenili, sem želel govoriti o injekciji SQL kot vektorju. Torej, to je injekcija SQL, očitno je to način, kako ljudje vnašajo ukaze v sistem baz podatkov, tako da napačno vnesejo vhode.

Eric Kavanagh: Ja, pravzaprav sem srečal fanta - mislim, da je bilo to v letalski bazi Andrews - pred približno petimi leti je bil svetovalec, da sem z njim govoril na hodniku in sva si nekako delila vojne zgodbe - nobena punca ni bila namenjena - in on omenil, da ga je nekdo pripeljal na posvet s precej visokim vojaškim članom in tip ga je vprašal: "No, kako vemo, da si dober v tem, kar počneš?" in to in to. Medtem ko je z njimi govoril, ki jih je uporabljal na svojem računalniku, je hed zašel v omrežje, s pomočjo injekcije SQL je vstopil v register za to bazo in za te ljudi. In našel je osebe, s katerimi je govoril, in ravnokar mu je pokazal svoje na svojem stroju! In fant je bil takšen, "Kako si to storil?" Rekel je: "No, uporabil sem SQL injekcijo."

To je bilo pred natanko petimi leti, in to v bazi zračnih sil, kajne? Torej, kar zadeva prepir, je ta stvar še vedno zelo resnična in bi jo lahko uporabili z res grozljivimi učinki. Hočem reči, radoveden sem vedeti katere koli vojne zgodbe, ki jih ima Robin na to temo, vendar vse te tehnike še vedno veljajo. Še vedno se uporabljajo v mnogih primerih, vprašanje vzgoje pa je, ali ne?

Robin Bloor: No ja. Ja, možno je braniti pred vbrizgavanjem SQL-a s tem delom. Zlahka je razumeti, zakaj je bila ideja, ko je bila izumljena in prvič razširjena, enostavno razumeti, zakaj je bila tako prekleto uspešna, saj jo lahko preprosto nalepite na vnosno polje na spletni strani in dobite, da vrne podatke za vas ali jih dobite da izbriše podatke v bazi podatkov ali kar koli - za to lahko preprosto vstavite kodo SQL. Vendar me je zanimalo to, da je to, da veste, da bi morali opraviti malo razčlenitve vsakega vnesenega podatka, vendar je povsem mogoče opaziti, da ga kdo poskuša. In to je resnično, mislim, da je res tako, saj ljudje še vedno pobegnejo z njo, mislim, da je prav zares čudno, da ni bilo preprostega načina za boj proti temu. Veste, da bi ga vsi zlahka uporabili, mislim, kolikor vem, ni bilo, Vicky, tam?

Vicky Harp: No, pravzaprav nekatere rešitve talcev, kot je SQL Azure, mislim, da imajo precej dobrih metod odkrivanja, ki temeljijo na strojnem učenju. To je tisto, kar bo verjetno prišlo v prihodnosti, nekaj, kar poskuša izdelati eno velikost, ki ustreza vsem. Mislim, da je odgovor, ali ena velikost ne ustreza vsem, vendar imamo stroje, ki se lahko naučijo, kakšna je vaša velikost, in poskrbite, da se ji prilagajate, kajne? In tako, da če imate lažno pozitivnost, je to zato, ker dejansko počnete nekaj nenavadnega, pa ne zato, ker ste morali skozi in mukotrpno prepoznati vse, kar bi kdajkoli lahko storila vaša aplikacija.

Mislim, da je eden od razlogov, da je še vedno tako plodovit, to, da se ljudje še vedno zanašajo na aplikacije drugih proizvajalcev, prošnje ISV-jev in tistih pa se sčasoma razmažejo.Torej, govorite o organizaciji, ki je kupila aplikacijo za inženiring, ki je bila napisana leta 2001. In tega niso posodobili, saj od takrat ni bilo večjih funkcionalnih sprememb, in prvotni avtor tega je bil nekako, niso bili inženir , niso bili strokovnjak za varnost baz podatkov, v aplikaciji stvari niso naredili pravilno, zato so vektorji. Razumem, da je - mislim, da je bila kršitev podatkov Target, resnično velika - napad vektorja prek enega od njihovih dobaviteljev klimatskih naprav, kajne? Težave s temi tretjimi osebami lahko imate, če imate lastno razvojno trgovino, morda na voljo nekatera od teh pravil, ki jih počnete na splošno kadarkoli. Kot organizacija imate lahko na stotine ali celo tisoče aplikacij z različnimi profili. Mislim, da bo tu prišlo do strojnega učenja in nam veliko pomagalo.

Moja vojna zgodba je bila poučno življenje. Moram videti napad s injekcijo SQL in nekaj, kar se mi nikoli ni zgodilo, je, da uporabljam navadno berljiv SQL. Izvajam te stvari, ki se imenujejo prikriti P SQL počitniške kartice; Všeč mi je, da je ta SQL videti čim bolj zmedeno. Theres je prikrival tekmovanje s kodo C ++, ki poteka že desetletja, in njegova vrsta je ista ideja. Torej, v resnici ste dobili injekcijo SQL, ki je bila v odprtem nizu niz, je zapirala vrvico, dala v podpičje in nato dala ukaz exec, ki je imel nato vrsto številk in je v bistvu uporabljal ukaz za uvajanje, če želite te številke vstaviti v binarne in jih nato pretvoriti v vrednosti znakov in jih nato izvesti. Torej, ni všeč, da bi morali videti nekaj, kar je pisalo: "Izbriši zagon iz proizvodne tabele", pravzaprav je bilo polnjeno v številčna polja, zaradi česar je bilo videti veliko težje. In tudi ko ste to enkrat videli, da bi prepoznali, kaj se dogaja, je bilo potrebno nekaj pravih posnetkov SQL, da smo lahko ugotovili, kaj se dogaja, do takrat pa je bilo delo že opravljeno.

Robin Bloor: In ena od stvari, ki je samo pojav v celotnem hekerskem svetu, je ta, da če nekdo ugotovi slabost in se zgodi, da je v delu programske opreme, ki se običajno prodaja, veste, ena od prvih težav je geslo baze podatkov da ste dobili, ko ste namestili bazo podatkov, je bilo v resnici veliko baz podatkov samo privzeto. In veliko DBA-jev preprosto ni nikoli spremenilo, zato bi lahko takrat uspeli priti v mrežo; lahko poskusite to geslo in če deluje, no, pravkar ste osvojili loterijo. Zanimivo je, da vse te informacije zelo učinkovito in učinkovito krožijo med hekerskimi skupnostmi na spletnih straneh darkneta. In vedo. Torej, precej lahko pregledajo tisto, kar je tam zunaj, najdejo nekaj primerov in samodejno vržejo nekaj hekerskega izkoriščanja nanj, in oni so noter. In to je, mislim, da je veliko ljudi, ki so vsaj na obrobju vsega tega dejansko ne razumete, kako hitro se hekerska mreža odzove na ranljivost.

Vicky Harp: Ja, to dejansko pomeni še eno stvar, ki sem jo želel omeniti, preden nadaljujem, to je ta pojem poverilnic, kar je nekaj, kar je veliko, kar pomeni, da so enkrat, ko so vaše poverilnice ukradene nekomu kjerkoli, kadar koli spletnega mesta, bodo te poverilnice poskusili uporabiti prek celotne plošče. Če torej uporabljate podvojena gesla, recimo, če so vaši uporabniki enaki, lahko to omogoči, bo morda nekdo lahko dobil dostop, kar se zdi popolnoma veljaven nabor poverilnic. Torej, recimo, da sem isto geslo uporabil v Amazonu in v svoji banki, pa tudi na forumu in da je bila programska programska oprema vlomljena, tako da imajo moje uporabniško ime in moje geslo. Nato lahko isto uporabniško ime uporabijo v Amazonu ali pa ga uporabijo v banki. Kar se banke tiče, je šlo za povsem veljavno prijavo. Zdaj lahko prek popolnoma pooblaščenega dostopa storite zlobne ukrepe.

Tako se spet vrne na tisto, kar sem govoril o notranjih kršitvah in notranjih navadah. Če imate v svoji organizaciji ljudi, ki uporabljajo svoje isto geslo za notranji dostop, kot ga imajo za zunanji dostop, imate možnost, da pridejo kdo in vas predstavijo prek kršitve na kakšnem drugem mestu, za katerega sploh ne veste. In ti podatki se zelo hitro širijo. Obstajajo seznami, mislim, da je zadnja obremenitev, ki jo je "prišel na mene" Troy Hunt, dejal, da ima pol milijarde nabora poverilnic, kar je - če upoštevate število ljudi na planetu - to je res veliko število poverilnic, ki so bile na voljo za polnjenje poverilnic.

Torej bom stopil nekoliko globlje in govoril o varnosti SQL Serverja. Zdaj želim povedati, da vam ne bom poskušal dati vsega, kar morate vedeti, da v naslednjih 20 minutah zaščitite strežnik SQL; to se zdi nekoliko visok. Torej, za začetek bi rad rekel, da obstajajo spletne skupine in viri na spletu, ki jih zagotovo lahko Google, obstajajo knjige, dokumenti najboljše prakse v Microsoftu, tam je varnostno virtualno poglavje za strokovne sodelavce na SQL Serveru, so na security.pass.org in verjamem, da imajo mesečne spletne oddaje in posnetke spletnih oddaj, da nekako presegajo resnično, poglobljeno, kako narediti varnost SQL Serverja. Ampak to je nekaj, o čemer jaz, ko govorim s teboj kot podatkovni strokovnjaki, kot IT strokovnjaki, kot DBA, želim, da veste, da morate vedeti o varnosti SQL Serverja.

Torej prva je fizična varnost. Tako kot sem že rekel, kraje fizičnih medijev so še vedno izjemno pogoste. In tako je scenarij, ki sem ga dal s napravo dev, s kopijo vaše baze podatkov na napravi dev, ki jo ukradejo - to je izjemno običajen vektor, to je vektor, ki se ga morate zavedati in poskusiti ukrepati proti. To velja tudi za varnost varnostne kopije, zato morate kadar koli varnostno kopirati podatke, če jih želite varnostno kopirati, jih morate varnostno kopirati. Velikokrat so bili ti podatki, ki so bili resnično zaščiteni v bazi podatkov, takoj ko začnejo prihajati na obrobne lokacije, na naprave za razvijalce, na testne stroje, smo nekoliko manj previdni pri popravljanju, dobimo malo manj pozorni do ljudi, ki imajo dostop do njega. Naslednja stvar, ki jo poznate, imate v javnem deležu v ​​organizaciji shranjene šifrirane varnostne kopije baz podatkov, ki so na voljo za izkoriščanje številnim različnim ljudem. Torej, pomislite na fizično varnost in prav tako preprosto, ali lahko nekdo stopi in v strežnik samo položi ključ USB? Tega ne bi smeli dovoliti.

Naslednji element, o katerem želim razmisliti, je varnost platforme, tako posodobljeni OS, posodobljeni popravki. Zelo naporno je slišati ljudi, ki govorijo o bivanju na starejših različicah sistema Windows, starejših različicah SQL Serverja in mislijo, da so edini stroški v igri stroški nadgradnje licenc, kar pa ne drži. Smo z varnostjo, njenim tokom, ki še naprej gre po hribu navzdol in s časom se najde več podvigov. Microsoft bo v tem primeru in druge skupine glede na primer posodobil starejše sisteme do te mere, da bodo na koncu izpadle podpore in jih ne bodo več posodabljali, saj je to le neskončen postopek vzdrževanja.

In zato morate biti v podprtem operacijskem sistemu in morate biti na tekočem s svojimi popravki, pred kratkim pa smo ugotovili, kot pri Shadow Brokers, v nekaterih primerih je Microsoft morda vpogled v prihodnje večje kršitve varnosti, še preden bodo storjene. javna, pred razkritjem, zato si ne dovolite, da se vam vse vrti iz vrst. Raje si ne vzamem časa izpada, raje počakam in preberem vsakega od njih in se odločim. Morda ne boste vedeli, kakšna je njegova vrednost, dokler ne ugotovite, zakaj je prišlo do tega popravka. Torej, ostanite pri vrhu.

Naj bo vaš požarni zid konfiguriran. Škoda SNB-ja je bila pretresljiva, koliko ljudi je izvajalo starejše različice SQL Serverja, pri čemer je požarni zid popolnoma odprt za internet, tako da bi lahko kdor koli vstopil in delal vse, kar je želel, s svojimi strežniki. Morali bi uporabljati požarni zid. Dejstvo, da boste občasno morali konfigurirati pravila ali narediti posebne izjeme za način poslovanja, je v redu cena, ki jo je treba plačati. V sistemih baz podatkov morate nadzorovati površino - ali na isti stroj nameščate storitve ali spletne strežnike, kot je IIS? Ali želite deliti isti prostor na disku in si deliti isti pomnilniški prostor kot vaše baze podatkov in vaše zasebne podatke? Poskusite, da tega ne storite, poskusite ga izolirati, ohranite manjšo površino, da vam ne bo treba toliko skrbeti, da bo vse to varno na vrhu baze podatkov. Lahko jih fizično ločite, platformo, ločite, si zagotovite malo prostora za dihanje.

Ne bi smeli imeti super administratorjev, ki bi tekali okrog povsod in bi lahko imeli dostop do vseh svojih podatkov. Za skrbniške račune OS morda ni treba imeti dostopa do vaše baze podatkov ali do osnovnih podatkov v bazi podatkov s šifriranjem, o katerih lahko govorite v minuti. In dostop do datotek baze podatkov morate tudi omejiti. Nekako neumno, če bi rekli, no, nekdo ne more dostopati do teh baz prek baze podatkov; SQL Server jim ne bo dovolil dostopa do njega, če pa lahko potem obiščejo kopijo dejanske datoteke MDF, jo preprosto premaknete in priložite svojemu SQL strežniku, niste dosegli zelo veliko.

Šifriranje, torej šifriranje je tisti znameniti dvosmerni meč. Obstaja veliko različnih ravni šifriranja, ki jih lahko naredite na ravni OS, sodobni način dela za SQL in Windows pa je z BitLockerjem, na ravni baze pa se imenuje TDE ali pregledno šifriranje podatkov. Torej, to sta oba načina, kako ohraniti svoje podatke šifrirane v mirovanju. Če želite svoje podatke ohraniti bolj šifrirano, lahko naredite šifrirane - oprostite, nekako sem stopil naprej. Lahko naredite šifrirane povezave, tako da, kadar je nekdo v tranzitu, še vedno šifriran, tako da če nekdo posluša ali ima moški sredi napada, boste imeli nekaj zaščite teh podatkov prek žice. Vaše varnostne kopije morajo biti šifrirane, kot sem že rekel, lahko so dostopne drugim, nato pa, če želite, da se šifrirajo v pomnilniku in med uporabo, smo dobili šifriranje stolpcev in nato, SQL 2016 ima to pojem "vedno šifrirano" kjer je dejansko šifriran na disku, v pomnilniku, na žici, vse do aplikacije, ki dejansko uporablja podatke.

Zdaj vse to šifriranje ni brezplačno: Theres CPU režijski stroški, včasih za šifriranje stolpcev in vedno šifriran primer, to vpliva na uspešnost v smislu vaše sposobnosti, da išče te podatke. Če pa je ta šifrirana pravilno sestavljena, to pomeni, da če bi nekdo dobil do vaših podatkov, se škoda močno zmanjša, saj so jo lahko dobili in potem z njo ne morejo ničesar storiti. Vendar pa je to tudi način, kako deluje odkupna programska oprema, je, da nekdo vstopi in vklopi te predmete z lastnim potrdilom ali lastnim geslom in do njega nimate dostopa. Zato je pomembno, da se prepričate, da to počnete, in imate dostop do nje, vendar je ne dajete, odprto za druge in napadalce.

In potem, varnostna načela - te točke ne bom prevzela, vendar se prepričajte, da nimate vsakega uporabnika, ki deluje v SQL Serveru kot super administrator. Vaši razvijalci si ga morda želijo, različni uporabniki si ga lahko želijo - razočarali so ga, ker bi morali zahtevati dostop do posameznih elementov -, vendar morate biti pozorni pri tem in čeprav je morda bolj zapleteno, omogočite dostop do predmetov in baz podatkov in sheme, ki veljajo za tekoče delo, in je poseben primer, morda to pomeni posebno prijavo, ne pomeni nujno višanja pravic za povprečnega uporabnika primera.

In potem lahko upoštevanje zakonodaje, ki se nanaša na to in nekatere primere, dejansko nekako odpravi na svoj način - torej HIPAA, SOX, PCI - je vse to različno. In ko boste opravili revizijo, boste pričakovali, da boste pokazali, da sprejemate ukrepe, da to upoštevate. In to je veliko za spremljanje, kot rečeno, seznam opravil DBA, poskušate zagotoviti varnostno konfiguracijo fizičnega šifriranja, poskušate zagotoviti, da se dostop do teh podatkov pregleduje za namene skladnosti , in poskrbite, da bodo vaši občutljivi stolpci vedeli, kaj so, kje so, katere bi morali šifrirati in gledati dostop do njih. In poskrbite, da bodo konfiguracije usklajene z regulativnimi smernicami, za katere veljate. In to morate posodobiti, saj se stvari spreminjajo.

Torej, veliko je narediti, in če bi ga pustil samo tam, bi rekel, da grem. Ampak obstaja veliko različnih orodij za to, zato sem vam, če bi morda lahko pokazal v zadnjih minutah, nekaj orodij, ki jih imamo v IDERI za to. In danes sem želel spregovoriti o SQL Secure in SQL Compliance Manager. SQL Secure je naše orodje za pomoč pri prepoznavanju ranljivosti konfiguracije. Vaši varnostni pravilniki, uporabniška dovoljenja, konfiguracije vaše površine. In ima predloge, s katerimi lahko upoštevate različne regulativne okvire. To samo po sebi, ta zadnja vrstica, bi ljudje lahko bili razlog za to. Ker je branje teh različnih predpisov in ugotavljanje, kaj to pomeni, PCI in nato vodenje do SQL strežnika v moji trgovini, veliko dela. To je nekaj, za kar bi lahko plačali veliko denarja za svetovanje; to svetovanje smo že storili, sodelovali smo z različnimi revizijskimi družbami itd., da bi oblikovali, kakšne so te predloge - nekaj, kar bi verjetno prestalo revizijo, če bodo te vzpostavljene. In potem lahko uporabite te predloge in jih vidite v svojem okolju.

Na voljo imamo tudi drugo, sestrsko orodje v obliki upravitelja skladnosti SQL, in tu gre za nastavitve konfiguracije SQL Secure. SQL Compliance Manager govori o tem, kaj je kdo storil, kdaj in kdaj. Torej, njegova revizija, zato vam omogoča spremljanje dejavnosti, ki se pojavlja, in vam omogoča, da zaznate in spremljate, kdo do stvari dostopa. Je nekdo, prototipni primer, ki ga je zvezdnik preverjal v vaši bolnišnici, kdo odhajal in iskal njihove podatke, samo iz radovednosti? So imeli razlog za to? Lahko si ogledate zgodovino revizije in vidite, kaj se je dogajalo, kdo je dostopal do teh zapisov. In lahko prepoznate, da ima to orodje, s pomočjo katerega lahko prepoznate občutljive stolpce, zato vam ni nujno, da jih preberete in to storite sami.

Torej, če smem, bom šel naprej in vam pokazal nekaj teh orodij tukaj v zadnjih nekaj minutah - in prosim, ne upoštevajte tega kot poglobljenega demo. Sem produktni vodja, ne prodajni inženir, zato vam bom pokazal nekaj stvari, za katere menim, da so pomembne za to razpravo. Torej, to je naš izdelek SQL Secure. In kot lahko vidite, sem dobil nekakšno to kartico poročil na visoki ravni. To sem rekel včeraj. In prikaže mi nekatere stvari, ki niso pravilno nastavljene, in nekatere stvari, ki so pravilno nastavljene. Torej, lahko vidite kar nekaj več kot 100 različnih pregledov, ki smo jih opravili tukaj. In vidim, da moje šifriranje varnostnih kopij za varnostne kopije, ki sem jih delal, ne uporabljam šifriranja varnostnih kopij. Moj račun SA, izrecno imenovan »SA račun«, ni onemogočen ali preimenovan. Vloga javnega strežnika ima dovoljenje, zato bi bilo vse, kar bi morda rad spremenil.

Tu sem postavil pravilnik, tako da če bi želel postaviti nov pravilnik, se prijaviti na svoje strežnike, smo dobili vse te vgrajene pravilnike. Torej, uporabljam obstoječo predlogo politike in lahko vidite, da imam CIS, HIPAA, PCI, SR in se dogaja, in pravzaprav nenehno dodajamo dodatne politike, ki temeljijo na tem, kar ljudje potrebujejo na tem področju. Ustvarite lahko tudi novo politiko, tako da če veste, kaj išče vaš revizor, ga lahko ustvarite sami. In potem, ko to storite, lahko izbirate med vsemi temi različnimi nastavitvami, ki jih morate nastaviti, v nekaterih primerih jih imate - naj se vrnem nazaj in najdem eno od že vgrajenih. To je priročno, lahko izberem, recimo, HIPAA - že sem dobil HIPAA, slabo - PCI, potem pa, ko Im klical sem, dejansko vidim zunanjo navzkrižno sklicevanje na odsek uredbe, da je to navezujoč se. To vam bo pomagalo kasneje, ko boste poskušali ugotoviti, zakaj to postavljam? Zakaj poskušam to pogledati? S katerim odsekom je to povezano?

To ima tudi lepo orodje, s pomočjo katerega lahko vstopate in brskate po svojih uporabnikih, zato je ena izmed zapletenih stvari pri raziskovanju uporabniških vlog ta, da bom pravzaprav tukaj moral pogledati. Če torej pokažem dovoljenja za svoje, poglejmo, tukaj izberite uporabnika. Pokaži dovoljenja. Lahko vidim dodeljena dovoljenja za ta strežnik, potem pa lahko tu kliknem in izračunam efektivna dovoljenja, in na podlagi tega mi bo dal celoten seznam, tako da je v tem primeru to admin, tako da to ni tako zanimivo, vendar bi lahko pojdite skozi in izberite različne uporabnike in na podlagi vseh različnih skupin, ki jim pripadajo, poglejte, katera so njihova dejanska dovoljenja. Če boste kdaj poskusili to storiti sami, je to dejansko nekaj težav, če želite ugotoviti, v redu. Ta uporabnik je član teh skupin in ima zato dostop do teh stvari prek skupin itd.

Način delovanja tega izdelka je, če naredi posnetke, zato resnično ni tako težaven postopek rednega fotografiranja strežnika, nato pa te posnetke shrani skozi čas, tako da se lahko primerjate s spremembami. Torej ne gre za neprekinjeno spremljanje v tradicionalnem pomenu kot orodje za spremljanje uspešnosti; to je nekaj, kar ste morda nastavili, da se izvaja enkrat na noč, enkrat na teden - pa čeprav se vam zdi, da je veljavno - tako, da potem, ko delate analizo in počnete malo več, dejansko delate znotraj našega orodja. S strežnikom se toliko ne povezujete, tako da je to precej lepo orodje, s katerim lahko delate, da bi dosegli skladnost s takšnimi statičnimi nastavitvami.

Drugo orodje, ki vam ga želim pokazati, je naše orodje za upravljanje skladnosti. Upravljavec skladnosti bo spremljal bolj nepretrgano. In to bo videti, kdo počne kaj na vašem strežniku, in vam omogoča, da si oglejte to. Torej, kar sem tukaj naredil, v zadnjih nekaj urah, sem poskušal ustvariti nekaj majhnih težav. Torej, tu sem dobil, ali gre za težavo ali ne, morda bi vedel zanj, nekdo je dejansko ustvaril prijavo in jo dodal v vlogo strežnika. Torej, če grem noter in pogledam to, lahko vidim - Mislim, da ne morem desno klikniti, da vidim, kaj se dogaja.Torej, to je moja nadzorna plošča in vidim, da sem imel veliko prej neuspelih prijav malo prej. Imel sem kup varnostnih dejavnosti, dejavnosti DBL.

Torej, naj grem k svojim revizijskim dogodkom in si ogledam. Tu sem dobil svoje revizijske dogodke, razvrščene po kategorijah in ciljnih objektih, tako da, če pogledam to varnost od prej, lahko vidim DemoNewUser, je prišlo do te prijave v strežnik za ustvarjanje. In vidim, da je prijavni SA ustvaril ta račun DemoNewUser, tukaj ob 14:42. In potem lahko vidim, da po vrsti dodate prijavo na strežnik, ta DemoNewUser je bil dodan v skrbniško skupino strežnika, dodani so bili v skrbniško skupino za nastavitev, dodani so bili v sysadmin skupino. Torej, to je nekaj, kar bi rad vedel. Prav tako sem ga postavil tako, da se občutljivi stolpci v mojih tabelah spremljajo, tako da lahko vidim, kdo je do njega dostopal.

Torej, tukaj imam nekaj izbranih, ki so se pojavili na mizi moje osebe, iz Adventure Works. Lahko pa pogledam in vidim, da je uporabnik SA na tabeli Adventure Works naredil izbrano deseterico od osebe dot osebe. Mogoče v svoji organizaciji ne želim, da ljudje izbirajo zvezde od osebe dot osebe, ali pričakujem, da bodo to storili le nekateri uporabniki, zato bom to videl tukaj. Torej, - kar potrebujete glede vaše revizije, lahko to nastavimo na podlagi okvira in to je nekoliko bolj intenzivno orodje. Uporablja SQL Trace ali SQLX dogodke, odvisno od različice. In to je nekaj, zaradi česar boste morali imeti na svojem strežniku prostor za glavo, vendar je to ena od teh stvari, kot je zavarovanje, kar je lepo, če ne bi morali imeti avtomobilskega zavarovanja - to bi bil strošek, ki ga ne bi je treba vzeti - toda če imate strežnik, na katerem morate spremljati, kdo kaj počne, boste morda morali imeti malo dodatnega prostora za glavo in takega orodja, da to storite. Ne glede na to, ali uporabljate naše orodje ali ga sami prevajate, boste na koncu odgovorni za to, da boste te podatke imeli za potrebe skladnosti s predpisi.

Tako kot sem rekel, ne poglobljena predstavitev, le hiter, majhen povzetek. Prav tako sem vam želel pokazati hitro, malo brezplačno orodje v obliki tega iskanja v stolpcu SQL, ki ga lahko uporabite za prepoznavanje, kateri stolpci v vašem okolju so občutljivi podatki. Torej, imamo številne iskalne konfiguracije, kjer iščejo različna imena stolpcev, ki običajno vsebujejo občutljive podatke, nato pa sem Ive dobil celoten seznam njih, ki so bili identificirani. Jaz sem jih dobil 120, nato pa sem jih izvozil sem, da jih lahko izkoristim, da rečem, poglejmo in poskrbim, da Im sledim dostop do srednjega imena, ena oseba pika ali stopnja davka na promet itd.

Vem, da smo prišli ravno ob koncu našega časa tukaj. In to je vse, kar sem vam pravzaprav moral pokazati, torej kakšna vprašanja zame?

Eric Kavanagh: Imam nekaj dobrih za vas. Dovolite mi, da se pomaknem sem. Eden od prisotnih je zastavil res dobro vprašanje. Eden izmed njih se sprašuje o davku na uspešnost, zato vem, da se razlikuje od rešitve do rešitve, a ali imate kakšno splošno predstavo o tem, kaj je davek na uspešnost za uporabo varnostnih orodij IDERA?

Vicky Harp: Torej, na SQL Secure je, kot sem že rekel, njegova zelo nizka stopnja, le nekajkrat bo treba posneti nekaj. In četudi tečete precej pogosto, je pridobivanje statičnih informacij o nastavitvah in tako zelo nizko, skoraj zanemarljivo. Glede upravitelja skladnosti je:

Eric Kavanagh: Kot en odstotek?

Vicky Harp: Če bi moral dati odstotno številko, ja, to bi bil en odstotek ali manj. Njene osnovne informacije o vrstnem redu uporabe SSMS in vstopu na varnostni zavihek ter razširjanju stvari. Kar zadeva skladnost, je njegova veliko večja - zato sem rekel, da potrebuje malo prostora za glavo - takšen, kot je precej nad tistim, kar imate v zvezi s spremljanjem učinkovitosti. Zdaj nočem ljudi prestrašiti pred tem, trik s spremljanjem skladnosti, in če je njegova revizija, da se prepričate, da samo revidirate, za kaj nameravate ukrepati. Torej, ko se filtrirate in si rečete: "Hej, želim vedeti, kdaj ljudje dostopajo do določenih tabel, in želim vedeti, kdaj ljudje dostopajo do teh posebnih ukrepov", potem bo temeljilo na tem, kako pogosto so te stvari se dogaja in koliko podatkov ustvarjate. Če rečete: "Želim si popoln SQL vsakega izbranega, ki se kdaj zgodi v kateri koli od teh tabel", to bodo morda gigabajti in gigabajti podatkov, ki jih bo moral razčleniti shranjeni SQL Server, premaknjeni v naš izdelek itd. .

Če ga držite navzdol, bo tudi več informacij, kot bi jih verjetno imeli. Če bi ga lahko spustili na manjši niz, tako da bi dobili nekaj sto dogodkov na dan, potem je to očitno veliko nižje. Torej res na nek način skicira mejo. Če za vse nadzor vklopite vse nastavitve, potem ja, to bo 50-odstotna uspešnost. Ampak, če ga boste spremenili v nekakšno bolj zmerno, premišljeno raven, bi morda zrkel 10 odstotkov? To je res ena od teh stvari, ki bo zelo odvisna od vaše delovne obremenitve.

Eric Kavanagh: Ja seveda. Tu je še eno vprašanje glede strojne opreme. In nato so v trgovino vstopili prodajalci strojne opreme in resnično sodelovali s prodajalci programske opreme in jaz sem odgovoril skozi okno za vprašanja in vprašanja. Vem za en poseben primer, Cloudera, ki sodeluje z Intelom, kjer je Intel investiral vanje, del računa pa je bil, da bo Cloudera dobil zgoden dostop do oblikovanja čipov in tako lahko vgradnjo varnosti v čip stopnjo arhitekture, ki je precej impresivna. Toda vseeno je nekaj, kar se bo tam izteklo, in še vedno lahko izkoriščajo obe strani. Ali poznate kakršne koli trende ali kakršne koli težnje proizvajalcev strojne opreme k sodelovanju s prodajalci programske opreme na varnostnem protokolu?

Vicky Harp: Ja, pravzaprav verjamem, da je Microsoft sodeloval, da bi imel nekaj podobnega pomnilniškega prostora za nekatere šifriranje, ki se dejansko dogaja na ločenih čipih na matičnih ploščah, ki so ločeni od vašega glavnega pomnilnika, tako da je nekaj teh stvari je fizično ločen. In verjamem, da je to pravzaprav nekaj, kar je prišlo od Microsofta v smislu odhoda prodajalcem, rekel: "Ali lahko izmislimo način, kako to narediti, v bistvu njegov nepomembni pomnilnik, ne morem skozi preliv medpomnilnika priti do tega spomina , ker v nekem smislu tega sploh ni, zato vem, da se nekaj tega dogaja. "

Eric Kavanagh: Ja.

Vicky Harp: To bodo očitno res veliki prodajalci, najverjetneje.

Eric Kavanagh: Ja. Radoveden sem, da bi to spremljal in morda Robin, če imaš hitro sekundo, radoveden, da bom vedel svoje izkušnje v preteklih letih, kajti spet, kar zadeva strojno opremo, v smislu dejanske znanosti o materialih, ki sega v tisto, kar si postavil skupaj s strani prodajalca bi lahko te informacije šle na obe strani, teoretično pa gremo na obe strani dokaj hitro, torej obstaja kakšen način, kako strojno uporabiti strojno opremo, z vidika oblikovanja do večje varnosti? Kaj misliš? Robin, se utišaš?

Robin Bloor: Ja, ja. Žal mi je, tukaj sem; Samo razmišljam o vprašanju. Če sem iskren, nisem dobil mnenja, njegovega področja, ki si ga nisem ogledal v veliki globini, tako da si nekako, veste, lahko izmislim mnenje, vendar v resnici ne vem. Raje imam, da so stvari v programski opremi varne, v bistvu je to samo način igranja.

Eric Kavanagh: Ja. No, ljudje, žgali smo skozi eno uro in se tukaj spremenili. Velika zahvala Vicky Harp za njen čas in pozornost - za ves vaš čas in pozornost; cenimo, da se predstavljate za te stvari. To je velika stvar; ne bo kmalu minilo. To je igra mačke in miške, ki bo nadaljevala in se dogajala. In zato so bili hvaležni, da so nekatera podjetja zunaj, osredotočena na zagotavljanje varnosti, toda kot je Vicky celo namigovala in malo spregovorila v svoji predstavitvi, so na koncu dneva sodelovali njeni ljudje v organizacijah, ki morajo o njih zelo dobro razmisliti. phishing napadov, takšnega socialnega inženiringa, in držite se svojih prenosnikov - ne puščajte jih v kavarni! Spremenite geslo, naredite osnove in tam boste dobili 80 odstotkov poti.

Torej, s tem se boste ljudje poslovili, še enkrat hvala za vaš čas in pozornost. Pa vas dohitevam naslednjič, pazite. Adijo.

Vicky Harp: Adijo, hvala.