Osoblje Techopedia, 10.5.2017
Odlazak: Domaćin Eric Kavanagh razgovara o sigurnosti i dozvolama s dr. Robin Bloor i IDERA-inom Vickyjem Harpom.
Trenutno niste prijavljeni. Prijavite se ili prijavite da biste pogledali videozapis.
Eric Kavanagh: Dobro, dame i gospodo, zdravo i dobrodošli ponovo. To je srijeda, četiri su istočna i svjetska poduzeća poduzeća što znači da je ponovno vrijeme za Hot Technologies! Da svakako. Predstavljena od strane grupa Bloor, koju su pokrenuli naši prijatelji iz Techopedije. Današnja tema je zaista cool: „Bolje pitati dopuštenje: Najbolje prakse za privatnost i sigurnost.“ Točno, to je vrsta teške teme, puno ljudi govori o njoj, ali prilično je ozbiljna i stvarno je svakim danom sve ozbiljnije, iskreno. Mnogo je organizacija to ozbiljno pitanje. Razgovarat ćemo o tome i razgovarat ćemo o tome što možete učiniti kako biste zaštitili svoju organizaciju od zlih likova koji su, čini se, ovih dana na sve strane.
Dakle, današnji voditelj je Vicky Harp koji dolazi iz IDERA-e. IDERA Software možete vidjeti na LinkedInu - ja volim novu funkcionalnost na LinkedInu. Iako mogu reći da povlače neke žice na određene načine, ne dopuštajući vam pristup ljudima, pokušavajući vas natjerati da kupite ta premium člana. Evo nas, imamo vlastiti Robin Bloor, koji zove - on je danas u području San Diega. I uistinu vaš moderator / analitičar.
Pa o čemu razgovaramo? Kršenja podataka. Upravo sam uzeo ove podatke s IdentityForce.com, već su utrke. Ove godine smo u svibnju, a tu je i samo nekoliko podataka kršenja podataka, ima ih zaista ogromnih, naravno, Yahoo! bio je velik, a čuli smo naravno da je američka vlada bila hakirana. Upravo su nam bili hakirani francuski izbori.
To se događa svugdje, nastavlja se i neće se zaustaviti, pa je to stvarnost, to je nova stvarnost, kako kažu. Zaista trebamo razmišljati o načinima da osiguramo sigurnost naših sustava i naših podataka. I to je proces koji je u toku, tako da je upravo na vrijeme da razmislite o svim različitim pitanjima koja dolaze u igru. Ovo je samo djelomični popis, ali to vam daje određenu perspektivu koliko je situacija sa poslovnim sustavima ovih dana nesigurna. I prije ove emisije, u našoj reklami za pred-show govorili smo o ransomware-u koji je udario nekoga koga poznajem, što je vrlo neugodno iskustvo, kada netko preuzme vaš iPhone i zahtijeva novac da vam vrati pristup vašem telefonu. Ali to se događa, događa se s računalima, događa se sa sustavima, vidio sam tek neki dan, događa se milijarderima sa svojim jahtama. Zamislite da jednog dana odete na svoju jahtu, pokušavajući impresionirati sve svoje prijatelje, a ne možete je uključiti, jer je neki lopov ukrao pristup komandama, upravljačkoj ploči. Rekao sam neki dan u nekome intervjuu, neka uvijek ručno prevlada. Kao, nisam veliki obožavatelj svih povezanih automobila - čak se i automobili mogu hakirati. Sve što je povezano s internetom ili povezano s mrežom u koju se može probiti može biti hakirano, bilo što.
Dakle, evo samo nekoliko predmeta koje treba razmotriti u smislu uokvirivanja konteksta koliko je situacija ozbiljna. Ovi sustavi temeljeni na Internetu ovih su dana posvuda, i dalje se šire. Koliko ljudi kupuje stvari na internetu? Upravo je danas kroz krov, zato je Amazon ovih dana tako snažna sila. To je zato što toliko mnogo ljudi kupuje stvari na internetu.
Dakle, sjećate se tada, prije 15 godina, ljudi su bili prilično nervozni zbog stavljanja svoje kreditne kartice u web obrazac kako bi dobili svoje podatke, i tada je argument bio: „Pa, ako svoju kreditnu karticu predate konobaru na naš odgovor je da, to je ista stvar. Sve ove kontrolne točke, ili pristupne točke, ista stvar, različite strane iste kovanice, gdje se ljudi mogu staviti dovedeni u opasnost, gdje vam netko može uzeti novac ili netko može ukrasti od vas.
Tada IoT naravno proširuje scenu prijetnji - volim tu riječ - naredbama veličine. Mislim, razmislite o tome - sa svim tim novim uređajima svugdje, ako netko može upadati u sustav koji ih kontrolira, može sve te robota okrenuti protiv vas i stvoriti puno i puno problema, tako da je to vrlo ozbiljan problem. Ovih dana imamo globalno gospodarstvo, što prijetnju još više proširuje, a što je više, imate ljude u drugim zemljama koji mogu pristupati webu na isti način na koji vi i ja možemo, a ako ne znate kako govoriti ruski ili bilo koji drugi broj jezika, teško ćete shvatiti što se događa kada upadnu u vaš sustav. Tako da imamo napredak u umrežavanju i virtualizaciji, to je dobro.
Ali ovdje s desne strane imam ovu sliku, mač i razlog zašto ga imam zato što svaki mač siječe oba puta. Mač s dvostrukim oštricama, kako kažu, i stari je kliše, ali znači da mač koji imam može vam naštetiti ili može naštetiti meni. Može se vratiti na mene, bilo kad odskoči, bilo tako da ga netko uzme. To je zapravo jedna od Aesopovih basni - našim neprijateljima često dajemo oruđe vlastitog uništenja. To je doista uvjerljiva priča i ima veze s nekim tko je upotrijebio luk i strijelu i oborio pticu, a ptičica je vidjela, kako se strelica dizala, to perje jednog prijatelja od peradi bilo je na rubu strijele, na stražnjoj strani strelice kako bi je vodio, i pomislio je u sebi: "O čovječe, evo me, moje perje, moja vlastita obitelj, koristit će me da me sruše." To se stalno događa, čujete statistika o tome kako imate pištolj u kući, lopov vam može uzeti pištolj. Pa, sve je to istina. Dakle, bacam ovo na analogiju samo u obzir, svi ti različiti događaji imaju pozitivne i negativne strane.
A kad govorimo o spremnicima za one koji stvarno slijede vrhunsku poslovnu računalnost, kontejneri su najnovija stvar, najnoviji način za pružanje funkcionalnosti, to je zaista brak virtualizacije u servisno orijentiranoj arhitekturi, barem za mikroservise i to vrlo zanimljive stvari. Možete zasigurno zaštititi svoje protokole sigurnosti i protokole svojih aplikacija i svoje podatke i tako dalje pomoću kontejnera, a to vam daje unaprijed određeno vrijeme, ali prije ili kasnije, negativci će to shvatiti, i tada će biti još teže spriječiti ih da iskoriste vaše sustave. Dakle, tu je to, postoji globalna radna snaga koja komplicira mrežu i sigurnost i odakle se ljudi prijavljuju.
Imamo ratove u preglednicima koji i dalje traju i zahtijevaju stalni rad na ažuriranju i ostati na vrhu. Stalno slušamo o starim preglednicima Microsoft Explorer, kako su bili hakirani i dostupni tamo. Dakle, ima se više novca za hakiranje ovih dana, postoji čitava industrija, to je nešto što me je moj partner, dr. Bloor, naučio prije osam godina - pitao sam se zašto toliko toga vidimo, a on je podsjetio mene, cijela je industrija uključena u hakiranje. I u tom smislu, pripovijest, koja je jedna od mojih najmanje omiljenih riječi o sigurnosti, zaista je vrlo nepoštena, jer pripovijedanje vam prikazuje u svim tim videozapisima i bilo kakvim vijestima koje neki hakiraju prikazuju nekog tipa u hoodieju, kako sjedi u njegovom podrumu u tamno osvijetljenoj sobi, to uopće nije slučaj. To uopće nije reprezentativno za stvarnost. To su usamljeni hakeri, vrlo je malo usamljenih hakera, oni su vani, stvaraju neke probleme - neće stvoriti velike probleme, ali mogu zaraditi puno novca. Dakle, ono što se događa je da hakeri uđu i prodiru u vaš sustav, a taj pristup prodaju nekom drugom, tko se okrene i proda nekome drugom, a onda negdje dolje, neko iskoristi taj haker i iskoristi vas. I postoji bezbroj načina da se iskoriste ukradeni podaci.
Čak sam se i divila sebi kako smo glamorirali ovaj koncept. Ovaj pojam vidite svugdje, "sjeckanje rasta" kao da je to dobra stvar. Znate, sjeckanje rasta može biti dobra stvar, ako pokušavate raditi za dobre momke, da tako kažemo, i provaliti u sustav, kao što to stalno slušamo sa Sjevernom Korejom i njihovim lansiranjima raketa, što može biti hakirano - to je dobro. Ali sjeckanje je često loše. Dakle, sada je glamoriramo, gotovo kao Robin Hood, kada smo glamorirali Robin Hooda. A onda je tu bezgotovinsko društvo, nešto što se iskreno tiče dnevnih svjetala. Sve što mislim svaki put kad to čujem glasi: „Ne, molim te, ne radi to! Molim te, nemoj! Ne želim da sav naš novac nestane. Dakle, ovo su samo neka pitanja koja treba razmotriti, i opet, to je igra mačaka i miša; to se nikada neće zaustaviti, uvijek će postojati potreba za sigurnosnim protokolima i za napredovanjem sigurnosnih protokola. I za nadgledanje vaših sustava čak i kada znate i osjetite tko je vani, s tim da bi razumijevanje moglo biti čak i posao iznutra. Dakle, to je trajno pitanje, to će biti u tijeku već dugo vremena - ne pravite grešku u vezi s tim.
I s tim ću ga predati dr. Blooru, koji može s nama podijeliti neke misli o osiguravanju baza podataka. Robin, odvedi ga.
Robin Bloor: U redu, jedan od zanimljivih hakova, mislim da se dogodio prije otprilike pet godina, ali u osnovi to je bila hakirana tvrtka za obradu kartica. I velik broj podataka o karticama ukraden je. Ali zanimljiva stvar u vezi s tim bila je činjenica da su oni zapravo ušli u testnu bazu podataka, i vjerojatno je bio slučaj da su imali velikih poteškoća pri ulasku u stvarnu, stvarnu bazu podataka za obradu karata. Ali znate kako je s programerima, oni samo izrezuju bazu podataka i ubace je unutra. Da bi se to zaustavilo, moralo bi biti mnogo više budnosti. Ali postoji puno zanimljivih priča o hakiranju, to se čini na jednom području, što je vrlo zanimljiva tema.
Tako da ću zapravo, na ovaj ili onaj način, ponoviti neke stvari koje je Eric rekao, ali o sigurnosti podataka je lako razmišljati kao o statičkoj meta; to je lakše samo zato što je lakše analizirati statičke situacije i onda razmišljati o tome da unesete obranu, tu obranu, ali nije. To je pokretna meta i to je jedna od stvari koja definira cjelinu sigurnosnog prostora. To je upravo na način na koji se razvija sva tehnologija, razvija se i tehnologija loših momaka. Dakle, kratki pregled: Krađa podataka nije ništa novo, zapravo, špijunaža podataka je krađa podataka i to se događa tisućama godina.
Najveći hedisti podataka bili su Britanci koji su kršili njemačke kodove, a Amerikanci kršili japanske kodove i prilično su u oba slučaja rat znatno skratili. I oni su samo krali korisne i vrijedne podatke, to je naravno bilo jako pametno, ali znate, ono što se događa trenutno na mnogo je načina pametno. Cyber krađa rođena je s internetom i eksplodirala je oko 2005. Otišao sam i pogledao sve statistike, a kada ste počeli otprilike ozbiljne i, na neki ili drugi način, nevjerojatno visoke brojke otprilike 2005. godine. zatim. Uključeni su mnogi igrači, vlade, uključene tvrtke, hakerske grupe i pojedinci.
Otišao sam u Moskvu - mora da je prošlo oko pet godina - i zapravo sam proveo dosta vremena s momkom iz Velike Britanije, koji je istraživao čitav hakerski prostor. Rekao je da - i nemam pojma je li to istina, samo sam za to rekao njegovu riječ, ali zvuči vrlo vjerovatno - da u Rusiji postoji nešto što se zove Poslovna mreža, a to je grupa hakera, znate, izašli su iz ruševina KGB-a. I oni se prodaju, ne samo, mislim, siguran sam da ih ruska vlada koristi, ali oni se prodaju bilo kome, i pričalo se, ili je rekao da je glasina, da razne strane vlade koriste Poslovnu mrežu za uvjerljiva porekljivost. Ti su ljudi imali mreže milijuna kompromitiranih računala s kojih su mogli napasti. I imali su sve alate kakve možete zamisliti.
Dakle, razvijala se tehnologija napada i obrane. A tvrtke su dužne brinuti se o svojim podacima, bilo da ih posjeduju ili ne. I to počinje postajati mnogo jasnije u pogledu različitih propisa koji su zapravo već na snazi ili stupaju na snagu. I vjerojatno će se poboljšati, netko mora na ovaj ili onaj način, netko mora snositi troškove hakiranja na takav način da potiče na zatvaranje mogućnosti. To je jedna od stvari za koju pretpostavljam da je potrebna. Što se tiče hakera, oni se mogu nalaziti bilo gdje. Osobito u vašoj organizaciji - strašno puno genijalnih hakova za koje sam čuo da su nekoga otvorili vrata. Znate, osoba, to je poput situacije s pljačkašima banaka, gotovo da su je često govorili u pljački banaka, postoji insajder. Ali insajder samo treba davati informacije, pa ih je teško dobiti, znati tko je to bio i tako dalje, i tako dalje.
I možda će biti teško privesti ih pravdi, jer ako vas je skupina Moldavije uhvatila, čak i ako znate da je to ta skupina, kako ćete napraviti pravni događaj oko njih? Nekako, od jedne nadležnosti do druge, to je jednostavno, ne postoji baš dobar skup međunarodnih aranžmana koji bi zakačili hakere. Dijele tehnologiju i informacije; puno toga je otvorenog koda. Ako želite izgraditi vlastiti virus, tamo ima mnoštvo virusnih setova - potpuno otvoreni izvor. I imaju značajne resurse, bilo je nekoliko njih koji su imali botnete na više od milijun kompromitiranih uređaja u podatkovnim centrima i na osobnim računalima i tako dalje. Neki su profitabilna poduzeća koja traju već duže vrijeme, a tu su i vladine grupe, kao što sam spomenuo. Kao što je Eric rekao, malo je vjerojatno da će se ova pojava ikad završiti.
Dakle, ovo je zanimljiv hack koji sam upravo mislio spomenuti, jer je to bio prilično nedavni hack; dogodilo se prošle godine. Postojala je ranjivost u DAO ugovoru povezana s kripto-novčanicom Etherium. A o njemu se raspravljalo na forumu, a za jedan dan je hakiran DAO-ov ugovor, precizno koristeći tu ranjivost. 50 milijuna dolara u eteru je otpušteno, što je izazvalo trenutnu krizu u projektu DAO i njegovo zatvaranje. Etherium se zapravo borio da pokuša spriječiti hakera da pristupi novcu, a oni su na neki način smanjili njegovu zaradu. No također se vjerovalo - nije poznato zasigurno - da je haker doista smanjio cijenu etera prije napada, znajući da će se cijena etera srušiti, pa je tako na drugi način donio profit.
I to je druga, ako želite, strategija koju hakeri mogu koristiti. Ako mogu oštetiti vašu cijenu dionica, a znaju da će to i učiniti, onda im je samo potrebno da skrenu cijenu dionice i izvrgnu hack, tako da je nekako, ovi momci su pametni, znate. A cijena je izuzeta krađa novca, poremećaji i otkupnine, uključujući investicije, gdje poremetite i skraćujete zalihe, sabotaže, krađe identiteta, sve vrste prijevara, samo radi reklame. I ima tendenciju da se radi o političkom ili očito špijuniranju informacija, pa čak postoje i ljudi koji zarađuju za život od štetnih gomila koje možete dobiti pokušavajući hakirati Google, Apple, Facebook - čak i Pentagon, zapravo daje velike gnjuhe. A ti samo hakiraš; ako je uspješan, samo idite i zatražite nagradu, a šteta se ne napravi, tako da je to lijepa stvar, znate.
Mogao bih spomenuti i poštivanje i propise. Osim sektorskih inicijativa, postoje mnoštvo službenih propisa: HIPAA, SOX, FISMA, FERPA i GLBA sve su američko zakonodavstvo. Postoje standardi; PCI-DSS postao je prilično općenit standard. A onda je tu i ISO 17799 o vlasništvu podataka. Nacionalni propisi razlikuju se od zemlje do države, čak i u Europi. A trenutno GDPR - Global Data, čemu se to zalaže? Globalna uredba o zaštiti podataka, mislim da se zalaže - ali to stupa na snagu iduće godine, rečeno je. A zanimljivost je u tome što se primjenjuje u cijelom svijetu. Ako imate 5000 ili više kupaca o kojima imate osobne podatke i žive u Europi, onda će vas Europa povesti na zadatak, bez obzira na to gdje je sjedište vaše korporacije ili gdje posluje. A penali, maksimalna kazna je četiri posto godišnjeg prihoda, što je jednostavno ogromno, tako da će to biti zanimljiv zaokret u svijetu kada to stupi na snagu.
O čemu valja razmisliti, dobro, ranjivosti DBMS-a, većina vrijednih podataka zapravo sjedi u bazama podataka. Dragocjena je po tome što smo uložili jako puno vremena u to što je učinimo dostupnom i dobro organizirajući, što je čini ranjivijom, ako zapravo ne primijenite prave DBMS vrijednosne papire. Očito, ako planirate takve stvari, trebate identificirati koji su ranjivi podaci u cijeloj organizaciji imajući u vidu da podaci mogu biti ranjivi iz različitih razloga. To mogu biti podaci o kupcima, ali to bi u jednakoj mjeri mogli biti i interni dokumenti koji bi bili korisni u špijunske svrhe i tako dalje. Sigurnosna politika, posebno u pogledu sigurnosti pristupa - koja je u posljednje vrijeme po mom mišljenju vrlo slaba, u novim stvarima s otvorenim kodom - šifriranje postaje sve više korištena jer je prilično solidna.
Trošak sigurnosnog kršenja većina ljudi nije znala, ali ako stvarno pogledate što se dogodilo s organizacijama koje su pretrpjele kršenje sigurnosti, ispada da su troškovi kršenja sigurnosti često znatno veći nego što mislite da bi bili, A druga stvar o kojoj treba razmišljati je površina napada, jer bilo koji dio softvera bilo gdje, koji se izvodi s vašim organizacijama, predstavlja površinu napada. To učinite s bilo kojim uređajem, pa i podaci, bez obzira na to kako su pohranjeni. Sve je, površina napada raste internetom stvari, napadna površina će se vjerojatno udvostručiti.
I konačno, sigurnost DBA i podataka. Sigurnost podataka obično je dio uloge DBA. Ali i to je suradničko. I to mora biti podložno korporacijskoj politici, jer se inače vjerojatno neće dobro provoditi. Rekavši to, mislim da mogu prenijeti loptu.
Eric Kavanagh: Dobro, dopustite da dam ključeve Vicky. I možete dijeliti zaslon ili se pomicati na tim slajdovima, na vama je samo, odnesite ga.
Vicky Harp: Ne, počet ću s tim slajdovima, hvala vam puno. Pa, da, samo sam htio iskoristiti trenutak i predstaviti se. Ja sam Vicky Harp. Ja sam menadžer, upravljanje proizvodima za SQL proizvode softvera IDERA, a za one od vas koji nas možda nisu upoznati, IDERA ima niz linija proizvoda, ali ovdje govorim za stvari SQL Servera. I tako, mi radimo nadzor performansi, sigurnosnu usklađenost, sigurnosne kopije, alate za administraciju - i to je samo vrsta njihovog popisa. I naravno, danas ću razgovarati o sigurnosti i poštivanju zakona.
Većina onoga o čemu danas želim razgovarati nisu nužno naši proizvodi, iako to namjeravam pokazati nekoliko primjera kasnije. Željela sam razgovarati s vama više o sigurnosti baze podataka, nekim prijetnjama u svijetu sigurnosti baze podataka, nekim stvarima o kojima morate razmišljati i nekim uvodnim idejama što morate gledati kako biste osigurali svoj SQL Server baze podataka i da biste bili sigurni da su u skladu s regulatornim okvirom koji vam mogu biti podložni, kao što je spomenuto. Postoje mnogi različiti propisi; oni idu u različite industrije, na različita mjesta širom svijeta i to su stvari o kojima treba razmišljati.
Dakle, na neki način želim iskoristiti trenutak i porazgovarati o stanju kršenja podataka - i ne ponavljati previše onoga što se ovdje već raspravljalo - gledao sam nedavno ovu istraživačku sigurnosnu studiju Intela, i preko njihove - mislim 1500 ili oko toga organizacija s kojima su razgovarali - imali su u prosjeku šest narušavanja sigurnosti, u smislu kršenja gubitaka podataka, a 68 posto njih zahtijevalo je otkrivanje u određenom smislu, pa su utjecali na cijenu dionica ili su morali učiniti neki kredit nadgledanje za svoje kupce ili zaposlenike itd.
Još jedna zanimljiva statistika je da su unutarnji akteri koji su bili odgovorni za 43 posto njih. Dakle, puno ljudi mnogo razmišlja o hakerima i takvim sjenovitim kvazi vladinim organizacijama ili organiziranom kriminalu itd., Ali unutarnji akteri još uvijek izravno poduzimaju mjere protiv svojih poslodavaca, u prilično visokom broju slučajeva. A njih je ponekad teže zaštititi jer ljudi mogu imati opravdane razloge za pristup tim podacima. Otprilike polovica toga, 43 posto, u nekom smislu je bio slučajni gubitak. Primjerice, u slučaju kada je netko uzeo podatke kući, a zatim izgubio te podatke, što me dovodi do treće točke, a to je da su stvari na fizičkim medijima i dalje sudjelovale s 40 posto kršenja. Dakle, to su USB ključevi, to su prijenosna računala ljudi, to su stvarni mediji koji su spaljeni na fizičkim diskovima i izvađeni iz zgrade.
Ako razmišljate, imate li programera koji na svom prijenosnom računalu ima dev kopiju vaše proizvodne baze podataka? Zatim odlaze na avion i spuštaju se iz aviona, uzimaju provjerenu prtljagu i ukrade im se laptop. Sad ste imali povredu podataka. Možda nećete nužno misliti da je razlog zašto je taj laptop uzet, možda se nikada neće pojaviti u divljini. Ali to se još uvijek smatra kršenjem, trebat će ih objaviti; imat ćete sve posljedice nakon gubitka tih podataka, samo zbog gubitka tog fizičkog medija.
I druga zanimljivost je da puno ljudi razmišlja o podacima o kreditnim podacima i podacima o kreditnim karticama kao najvrjednijim, ali to zapravo više nije slučaj. Ti su podaci vrijedni, brojevi kreditnih kartica su korisni, ali iskreno, ti se brojevi mijenjaju vrlo brzo, dok se osobni podaci ljudi ne mijenjaju vrlo brzo. Nešto što je u novoj vijesti, relativno nedavno, VTech, proizvođač igračaka imao je ove igračke koje su dizajnirane za djecu. I ljudi bi, imali bi imena svoje djece, imali bi informacije o tome gdje djeca žive, imali su imena roditelja, imali su fotografije djece. Ništa od toga nije šifrirano, jer nije smatrano da je važno. Ali njihove su lozinke bile šifrirane. Pa, kad se kršenje neminovno dogodilo, kažete: "OK, tako da ja imam popis dječjih imena, imena njihovih roditelja gdje žive - svi ti podaci su vani, a vi mislite da je lozinka bio je najvrjedniji dio toga? "Nije; ljudi ne mogu promijeniti te aspekte o svojim osobnim podacima, adresi itd. I tako da su informacije zapravo vrlo vrijedne i moraju ih se zaštititi.
Dakle, želio sam razgovarati o nekim stvarima koje se događaju i pridonijeti načinu na koji se trenutno događaju kršenja podataka. Jedan od velikih vrućih prostora, prostor upravo je socijalni inženjering. Pa ga ljudi nazivaju lažnim predstavljanjem, postoji lažno predstavljanje itd. Gdje ljudi dobivaju pristup podacima, često putem unutarnjih aktera, samo ih uvjerejući da bi trebali imati pristup do njih. Pa, samo neki dan imali smo crva Google Docs koji se vrtio okolo. A što bi se dogodilo - i zapravo sam primio kopiju, iako, srećom, nisam je kliknuo - dobili ste e-poruku od kolege rekavši: "Evo veze za Google Doc; trebate kliknuti na ovo da biste vidjeli što sam upravo podijelio s vama. "Pa, u organizaciji koja koristi Google dokumente, to je vrlo konvencionalno, svakodnevno ćete dobiti desetke tih zahtjeva. Ako ste kliknuli na njega, tražio bi vas dopuštenje za pristup ovom dokumentu i možda biste rekli: "Hej, i to izgleda pomalo čudno, ali znaš, izgleda i zakonito, pa ću nastaviti naprijed kliknite na nju ", a čim ste to učinili, ovoj trećoj strani dajete pristup svim svojim dokumentima na Googleu i na taj način stvorite ovu vezu da bi ovaj vanjski akter imao pristup svim svojim dokumentima na Google disku. Ovo se vrtilo na sve strane. U nekoliko sati pogodili su stotine tisuća ljudi. A ovo je u osnovi bio krađa identiteta koji je sam Google završio jer je morao biti zaustavljen jer je bio vrlo dobro izveden. Ljudi su pali zbog toga.
Ovdje spominjem SnapChat HR kršenje. To je bila samo jednostavna stvar o tome da je netko poslao e-poštu, lažno se predstavljajući da je on glavni direktor, poslao je e-poštu HR službi rekavši: "Trebate mi poslati ovu proračunsku tablicu." I oni su im vjerovali i stavili proračunsku tablicu sa 700 različitih zaposlenika 'informacije o naknadi štete, njihove kućne adrese itd. poslali smo ih e-mailom drugoj osobi, zapravo nije izvršni direktor. Sad su podaci bili izbačeni, a svi osobni i privatni podaci njihovih zaposlenika bili su vani i dostupni za eksploataciju. Dakle, socijalni inženjering je nešto što spominjem u svijetu baza podataka, jer to je nešto od čega se možete pokušati braniti kroz obrazovanje, ali morate se samo sjetiti toga bilo gdje da imate osobu koja komunicira sa vašom tehnologijom, i ako se oslanjate na njihovu dobru prosudbu da spriječe prekid, pitate ih puno.
Ljudi griješe, ljudi kliknu na stvari koje ne bi smjeli, ljudi padaju na pametne propuste. I možete se vrlo truditi da ih zaštitite od toga, ali nije dovoljno jak, morate pokušati ograničiti mogućnost da ljudi slučajno odaju te podatke u vašim sustavima baza podataka. Drugo što sam želio napomenuti je da očito puno govorimo o ransomwareu, botnetima, virusima - svi ti različiti automatizirani načini. I tako, mislim da je važno znati ransomware, je li to doista promjena modela zarade za napadače. U slučaju da govorite o kršenju, oni moraju na neki način izdvojiti podatke i imati ih za sebe i iskoristiti. Ako su vaši podaci nejasni, ako su šifrirani, ako su specifični za industriju, možda za njih nemaju nikakvu vrijednost.
Do ovog trenutka ljudi su se možda osjećali kao da je to zaštita za njih: „Ne moram se štititi od kršenja podataka, jer ako će ući u moj sustav, svi će im trebati jest, ja sam fotografski studio, imam popis tko će doći u koje dane naredne godine. Koga je briga za to? "Pa, ispada da je odgovor da li ti je stalo do toga; pohranjujete te podatke, to su vaše poslovne kritične informacije. Dakle, koristeći ransomware napad, napadač će reći: "Pa, nitko mi drugi neće dati novac za to, ali hoćete." Dakle, oni iskorištavaju činjenicu da čak i ne moraju izvlačiti podatke, oni to ne rade " čak i ako moraju imati prekršaj, samo trebaju upotrijebiti sigurnosne alate uvredljivo protiv vas. Ulaze u vašu bazu podataka, šifriraju sadržaj i tada kažu: "U redu, imamo lozinku i morat ćete nam platiti 5000 USD da bismo dobili tu lozinku, ili je jednostavno nemate ti podaci više. "
A ljudi plaćaju; nalaze se da to moraju učiniti. MongoDB je imao problema s velikim problemom prije nekoliko mjeseci, pretpostavljam da je to bilo u siječnju, kad je, po mom izboru, ransomware pogodio preko milijun MongoDB baza podataka koje imaju u javnosti na temelju nekih zadanih postavki. A što je još više pogoršalo to što su ljudi plaćali, pa bi druge organizacije dolazile i ponovno šifrirale ili tvrdile da su one koje su ih prvotno šifrirale, pa kada ste uplatili svoj novac, i mislim da su u tom slučaju to bili pitajući za nešto poput 500 dolara, ljudi bi rekli: “U redu, platio bih više od toga da platim istraživaču da uđe ovdje da mi pomogne shvatiti što je pošlo po zlu. Jednostavno ću platiti 500 USD. "A čak ih nisu ni platili pravom glumcu, pa bi se nagomilali s deset različitih organizacija koje su im govorile:" Imamo lozinku "ili" Imamo dobio sam način da otključate otkupljene podatke. "I morat ćete ih platiti da biste eventualno uspjeli raditi.
Bilo je i slučajeva da su autori ransomwarea imali greške, mislim, ne govorimo o tome da je to savršeno izvanbolnička situacija, tako da čak i kad jednom napadnete, čak i nakon što platite, nema garancije da ste vratit ćemo sve vaše podatke, nešto od toga se komplicira i oružanim alatima InfoSec. Dakle, Shadow Brokers je skupina koja je puštala alate koji su bili iz NSA-e. Bili su to alati koje je vladino tijelo osmislilo za špijunažu i zapravo radilo protiv drugih državnih tijela. Neki od njih bili su doista visoki napadi nula dana, što u osnovi čini da se poznati sigurnosni protokoli jednostavno odbace. Tako je, na primjer, došlo do velike ranjivosti u SMB protokolu, na jednom od nedavnih deponija Shadow Brokera.
I tako ovi alati koji ovdje izađu mogu za nekoliko sati zaista promijeniti igru na vama, u odnosu na vašu napadnu površinu. Dakle, kad god razmislim o tome, to je nešto što na organizacijskoj razini sigurnost InfoSec-a predstavlja svoju funkciju, to treba shvatiti ozbiljno. Kad god pričamo o bazama podataka, mogu to uzeti malo manje, ne morate nužno imati kao administrator baze podataka potpuno razumijevanje onoga što se događa s Shadow Brokerima ovaj tjedan, ali morate biti svjesni da sve od toga se mijenjaju, događaju se stvari, pa će vam stupanj do kojeg držite čvrsto i sigurno vlastitu domenu zaista pomoći u slučaju da vam stvari ispadnu ispod vas.
Dakle, htio sam izdvojiti trenutak, prije nego što se posebno obratimo razgovoru o SQL Serveru, kako bih zapravo započeo raspravu s našim panelistima o nekim razmatranjima sigurnosti sigurnosti. Dakle, stigao sam do ovog trenutka, neke stvari koje nismo spomenuli, želio sam razgovarati o SQL injekciji kao vektoru. Dakle, ovo je SQL ubrizgavanje, očito je to način na koji ljudi ubacuju naredbe u sustav baze podataka, pomalo neispravnim ulazima.
Eric Kavanagh: Da, zapravo sam upoznao momka - mislim da je to bilo u zrakoplovnoj bazi Andrews - prije otprilike pet godina, savjetnika, s njim sam razgovarao u hodniku i jednostavno smo dijelili ratne priče - nije namjerno - i spomenuo je da ga je netko doveo da se savjetuje s prilično visokim vojnim pripadnikom, a momak ga je upitao: "Pa, kako da znamo da ste dobri u onome što radite?", I dok je s njima razgovarao na svom računalu, ušao je u mrežu, koristio je SQL injekciju da bi ušao u registar e-pošte za tu bazu i za te ljude. I pronašao je e-poštu osobe s kojom je razgovarao i upravo mu je pokazao svoju e-poštu na svom stroju! Tip je rekao: "Kako si to učinio?" Rekao je: "Pa, koristio sam SQL injekciju."
Dakle, to je bilo prije samo pet godina, a bilo je u zrakoplovnoj bazi, zar ne? Mislim, u kontekstu je ta stvar još uvijek vrlo stvarna i mogla bi se koristiti sa zastrašujućim efektima. Hoću reći, znatiželjno bih znati sve ratne priče koje Robin ima na tu temu, ali sve su ove tehnike i dalje važeće. Oni se i dalje koriste u mnogim slučajevima, a pitanje je obrazovanja sebe, zar ne?
Robin Bloor: Pa, da. Da, moguće je braniti se od ubrizgavanja SQL-a. Lako je razumjeti zašto kada je ideja izmišljena i prvi put proširila, lako je razumjeti zašto je bila tako prokleto uspješna, jer biste je mogli jednostavno zalijepiti u polje za unos na web stranicu i dobiti je da vrati podatke za vas ili je dobijete izbrisati podatke u bazu podataka ili bilo što drugo - za to možete jednostavno umetnuti SQL kôd. Ali stvar koja me je zanimala je da znate da biste morali malo proraditi svaki uneseni podatak, ali sasvim je moguće uočiti da netko to pokušava. I zaista je, mislim da je zaista tako, jer ljudi još uvijek bježe s tim, mislim, samo je stvarno čudno da nije postojao jednostavan način borbe protiv toga. Znaš, da bi ga se svatko mogao lako upotrijebiti, mislim, koliko ja znam, nije to bilo, Vicky, zar ne?
Vicky Harp: Pa, zapravo neka od rješenja za taoce, poput SQL Azure, mislim da imaju prilično dobre metode otkrivanja koje se temelje na strojnom učenju. To je vjerojatno ono što ćemo vidjeti u budućnosti, nešto što pokušava smisliti onu veličinu koja će svima odgovarati. Mislim da je odgovor bio da jedna veličina ne odgovara svima, ali mi imamo strojeve koji mogu naučiti koja je vaša veličina i osigurati da vam odgovara, zar ne? I tako da ako imate lažnu pozitivu, to je zato što zapravo radite nešto neobično, nije to zato što ste morali prolaziti i mukotrpno identificirati sve što bi vaša aplikacija ikad mogla učiniti.
Mislim da je jedan od razloga da je to i dalje toliko plodno to što se ljudi i dalje oslanjaju na aplikacije drugih proizvođača, a aplikacije s ISV-ova i one s vremenom se razmazuju. Dakle, vi govorite o organizaciji koja je kupila inženjering aplikaciju koja je napisana 2001. I nisu je ažurirali jer od tada nije došlo do većih funkcionalnih promjena, a izvorni autor je bio, nisu bili inženjeri, nisu bili stručnjak za sigurnost baza podataka, u aplikaciji nisu radili stvari na pravi način i završili su kao vektor. Moje je razumijevanje da - mislim da je to bilo ciljno kršenje podataka, stvarno veliko - vektor napada bio preko jednog od njihovih dobavljača klima uređaja, zar ne? Dakle, problem s trećom stranom možete, ako imate vlastiti razvojni dućan, možda imati neka od ovih pravila, radeći to općenito kad god. Kao organizacija možete pokrenuti stotine ili čak tisuće aplikacija sa svim različitim profilima. Mislim da će se tamo dogoditi strojno učenje i početi nam puno pomagati.
Moja ratna priča bila je obrazovni život. Moram vidjeti napad SQL ubrizgavanja, a nešto što mi se nikad nije dogodilo je korištenje jednostavnog čitljivog SQL-a. Radim ove stvari zvane zamamljene P SQL prazničke kartice; Volim to učiniti, ovaj SQL izgledate što je moguće zbunjujuće. Postoji zakrivljeni C ++ natječaj za kod koji traje već desetljećima, i to je nekako ista ideja. Dakle, ono što ste zapravo dobili je SQL injekcija koja se nalazila u otvorenom nizu nizova, zatvorila je niz, stavila točku i zarez, a zatim stavila u naredbu exec koja je tada imala niz brojeva i tada se u osnovi koristi naredba lijevanja kako bi te brojeve bacila u binarne, a potom ih izbacila u vrijednosti znakova, a zatim izvršavala. Dakle, nije kao da morate vidjeti nešto što kaže: "Izbriši pokretanje iz proizvodne tablice", bilo je to ugurano u brojčana polja zbog čega je bilo puno teže vidjeti. Čak i kad ste to vidjeli, da biste prepoznali što se događa, trebalo je nekoliko stvarnih SQL snimaka da biste mogli shvatiti što se događa i do tog vremena, naravno, posao je već obavljen.
Robin Bloor: I jedna od stvari koja je samo pojava u čitavom svijetu hakiranja je da ako netko nađe slabost i dogodi se da radi u komadu softvera koji se uglavnom prodaje, znate, jedan od ranih problema je lozinka baze podataka koju ste dobili kada je instalirana baza podataka, mnogo baza podataka zapravo je bilo zadana postavka. A puno DBA-ova jednostavno ga nikada nije promijenilo i stoga ste tada uspjeli ući u mrežu; mogli biste samo isprobati tu lozinku i ako vam uspije, dobro, upravo ste osvojili lutriju. A zanimljivo je da se svi ti podaci vrlo učinkovito i djelotvorno šire među hakerskim zajednicama na web stranicama darkneta. I oni znaju. Dakle, oni mogu poprilično pregledati ono što je vani, pronaći nekoliko primjeraka i automatski automatski baciti neki hakerski eksploataciju na to i oni su unutra. I to je, mislim, puno ljudi koji su barem na periferija svega toga zapravo ne razumije koliko brzo hakerska mreža reagira na ranjivost.
Vicky Harp: Da, to zapravo donosi još jednu stvar koju sam želio spomenuti prije nego što nastavim, a to je pojam vjerodostojnog zatrpavanja, što je nešto što se gomilalo, a to je da će jednom biti ukradene vaše vjerodajnice nekome bilo gdje, na bilo kojem mjestu te se vjerodajnice pokušati ponovo upotrijebiti na cijeloj ploči. Dakle, ako koristite duplicirane lozinke, recimo, ako su vaši korisnici čak, recimo tako, netko bi mogao dobiti pristup putem što se čini kao potpuno valjani skup vjerodajnica. Recimo da sam istu lozinku koristio u Amazonu i u svojoj banci, a također i na forumu i taj forumski softver je bio hakiran, pa, oni imaju moje korisničko ime i moju lozinku. A onda mogu koristiti to isto korisničko ime u Amazonu ili ga upotrebljavaju u banci. A što se tiče banke, bila je to potpuno valjana prijava. Sada možete poduzeti gadne radnje putem potpuno ovlaštenog pristupa.
Dakle, takva se vrsta opet vraća onome što sam govorio o unutarnjim kršenjima i unutarnjoj upotrebi. Ako u vašoj organizaciji postoje ljudi koji koriste istu lozinku za unutarnji pristup kao i za vanjski pristup, imate mogućnost da netko dođe i lažno se iznese s prekršajem na nekoj drugoj web lokaciji koju donirate Ne znam ni za što. A ti se podaci vrlo brzo šire. Postoje popisi, mislim da je najnovije opterećenje "da me je pokrenuo" Troy Hunt, rekao je da ima pola milijarde skupova, što je - ako uzmete u obzir broj ljudi na planeti - to je stvarno veliki broj vjerodajnica koje su stavljene na raspolaganje za vjerodajnice.
Dakle, idem malo dublje i razgovarat ću o sigurnosti SQL Servera. Sada želim reći da vam neću pokušati pružiti sve što trebate znati kako biste osigurali svoj SQL Server u sljedećih 20 minuta; to se čini malo visokim redom. Dakle, da bih započeo, želim reći da postoje internetske grupe i izvori na mreži koje sigurno možete Googleu, postoje knjige, postoje dokumenti najbolje prakse u Microsoftu, postoji sigurnosno virtualno poglavlje za stručne suradnike na SQL Serveru, oni su na security.pass.org i, vjerujem, imaju mjesečne internetske emisije i snimke web-prijenosa da bi nekako nadgledali stvarnu, dubinsku kako to učiniti SQL Server. Ali ovo su neke od stvari o kojima ja, govoreći vama kao podatkovni profesionalci, kao IT stručnjaci, kao DBA, želim da znate koje biste trebali znati o sigurnosti SQL Servera.
Dakle, prvo je fizičko osiguranje. Dakle, kao što sam već rekao, krađa fizičkih medija i dalje je izuzetno česta. I tako, scenarij koji sam dao sa dev strojem, s kopijom vaše baze podataka na vražjem stroju koja se ukrade - to je izuzetno čest vektor, to je vektor koji morate biti svjesni i pokušati poduzeti neke akcije. To vrijedi i za sigurnosnu kopiju, pa kad god izrađujete sigurnosnu kopiju podataka, morate ih sigurnosno kopirati kodirano, morate sigurnosno kopirati na sigurno mjesto. Puno puta su ti podaci bili stvarno zaštićeni u bazi podataka, čim se počnu izlaziti na perifernim lokacijama, na dev strojevima, na ispitnim strojevima, postajemo malo manje pažljivi u vezi s zakrpama, dobivamo malo manje pažljiv prema ljudima koji imaju pristup tome. Sljedeće što znate je da imate nešifrirane sigurnosne kopije baze podataka pohranjene na javnom udjelu u vašoj organizaciji dostupne za eksploataciju puno različitih ljudi. Dakle, razmislite o fizičkoj sigurnosti i jednako tako jednostavno, može li netko hodati i samo staviti USB ključ u vaš poslužitelj? Ne biste to trebali dopustiti.
Sljedeća stavka o kojoj želim razmisliti je sigurnost platforme, tako ažurni OS, ažurne zakrpe. Vrlo je naporno čuti ljude koji govore o ostanku na starijim verzijama Windowsa, starijim verzijama SQL Servera, misleći da je jedini trošak u igri trošak nadogradnje licenciranja, što nije slučaj. Mi smo sa sigurnošću, to je tok koji stalno ide niz brdo i kako vrijeme prolazi, pronalazi se više eksplozija. Microsoft će u ovom slučaju i ostale grupe ovisno o slučaju ažurirati starije sustave do kraja i na kraju će ispasti od podrške i više ih neće ažurirati, jer je to samo neprekinuti proces održavanje.
I tako, morate biti na podržanom OS-u i morate biti u toku s vašim zakrpama, a nedavno smo otkrili, kao i kod Shadow Brokera, u nekim slučajevima Microsoft možda ima uvid u nadolazeće velike sigurnosne kršenja prije njih. da bude objavljeno prije objavljivanja, pa nemojte dozvoliti da vas svi zaobiđu. Radije ne bih izdržao stanke, radije bih pričekao i pročitao svaki od njih i odlučio. Možda ne znate koja je vrijednost sve do nekoliko tjedana nakon što otkrijete zašto se ta zakrpa dogodila. Dakle, ostanite pri vrhu.
Trebali biste konfigurirati svoj vatrozid. Šokantno je bilo u kršenju SNB-a koliko je ljudi izvodilo starije verzije SQL Servera sa vatrozidom potpuno otvorenim za internet, tako da je svatko mogao ući i raditi sve što želi sa svojim poslužiteljima. Trebali biste koristiti vatrozid. Činjenica da povremeno morate konfigurirati pravila ili napraviti određene iznimke za način na koji obavljate svoj posao je OK cijena koju treba platiti. Trebate kontrolirati površinu u svojim sustavima baza podataka - instalirate li istovremeno uređaje ili web poslužitelje poput IIS na isti stroj? Želite li dijeliti isti prostor na disku, dijeliti isti memorijski prostor kao i vaše baze podataka i vaši privatni podaci? Pokušajte to ne činiti, pokušajte ga izolirati, zadržati površinu manju, tako da se ne morate toliko brinuti da biste bili sigurni da je sve to sigurno na vrhu baze podataka. Možete ih fizički odvojiti, platiti, razdvojiti, dati malo prostora za disanje.
Ne biste trebali imati super administratore koji se kreću uokolo i moći biste pristupiti svim svojim podacima. Administratorski računi za OS možda ne moraju imati pristup vašoj bazi podataka ili temeljnim podacima u bazi podataka putem enkripcije, o čemu ćemo razgovarati za minutu. A pristup datotekama baze podataka, to morate i ograničiti. Glupo je kad biste rekli, dobro, netko ne može pristupiti tim bazama putem baze podataka; SQL Server im neće dopustiti pristup, ali ako tada mogu obilaziti, uzmite kopiju stvarne MDF datoteke, premjestite je na jednostavan način, pričvrstite je na vlastiti SQL Server, zapravo niste ostvarili baš mnogo.
Šifriranje, pa šifriranje je onaj poznati dvosmjerni mač. Postoji puno različitih razina enkripcije koje možete učiniti na razini OS-a, a suvremeni način postupanja za SQL i Windows je pomoću BitLockera, a na razini baze podataka to se zove TDE ili prozirna enkripcija podataka. Dakle, ovo su oba načina da svoje podatke ostanemo šifrirani u mirovanju. Ako želite da sačuvate svoje podatke šifriranije, možete to učiniti šifrirano - oprostite, nekako sam istupio naprijed. Možete povezati kriptirane veze tako da je svaki put kad je u tranzitu i dalje šifriran, tako da ako netko sluša ili ima čovjeka usred napada, imate određenu zaštitu tih podataka putem žice. Vaše sigurnosne kopije trebaju biti šifrirane, kao što sam rekao, mogu biti dostupne drugima i tada, ako želite da se kodiraju u memoriji i tijekom upotrebe, imamo šifriranje stupca i tada, SQL 2016 ima pojam „uvijek šifrirano ”gdje je zapravo šifrirano na disku, u memoriji, na žici, pa sve do aplikacije koja zapravo koristi podatke.
E sad, sva ova enkripcija nije besplatna: postoji CPU naprijed, ponekad postoji za šifriranje stupca i uvijek šifrirani slučaj, ima implikacija na performanse s obzirom na vašu sposobnost traženja tih podataka. Međutim, ovo šifriranje, ako je pravilno sastavljeno, onda znači da ako bi netko dobio pristup vašim podacima, šteta se znatno smanjuje, jer su ga uspjeli dobiti i tada nisu u mogućnosti s njim ništa učiniti. Međutim, to je i način na koji funkcionira ransomware, da netko uđe i uključi te predmete, sa vlastitim certifikatom ili vlastitom zaporkom, a vi nemate pristup njoj. Dakle, zato je važno osigurati da to radite i imate pristup tome, ali to ne dajete, otvoren je za druge i napadače.
A onda, sigurnosni principi - neću pretpostavljati odgovornost, ali pobrinite se da nemate svakog korisnika koji radi u SQL Serveru kao super administratora. Vaši programeri će to možda željeti, različiti korisnici mogu to željeti - frustrirani su što moraju tražiti pristup pojedinim stavkama - ali morate biti marljivi oko toga, i iako bi moglo biti složenije, omogućiti pristup objektima i baze podataka i sheme koje vrijede za tekući rad, a tu je i poseban slučaj, možda to znači posebnu prijavu, ne znači nužno i povećanje prava, za prosječnog korisnika slučaja.
A onda, postoje zakonski aspekti usklađenosti s propisima koji se uklapaju u ovaj i neke slučajeve zapravo mogu na neki način nestati - tako da postoje HIPAA, SOX, PCI - tu su sva ova različita razmatranja. A kad prođete reviziju, od vas će se očekivati da pokažete da poduzimate radnje kako biste ostali u skladu s tim. I tako, ovo je puno za praćenje, rekao bih kao DBA popis obaveza, vi pokušavate osigurati sigurnosnu konfiguraciju fizičke enkripcije, pokušavate osigurati da se pristup tim podacima pregledava u svrhu poštivanja, pazeći da vaši osjetljivi stupci znaju što su, gdje se nalaze i koje biste trebali kriptirati i gledati im pristup. Pazite da se konfiguracije podudaraju s regulatornim smjernicama kojima se podliježete. I sve to morate ažurirati jer se stvari mijenjaju.
Dakle, puno se toga radi, pa ako bih ga ostavio samo tamo, rekao bih da idi tako. Ali postoji puno različitih alata za to, i zato, ako smijem u zadnjih nekoliko minuta, htio sam vam pokazati neke od alata koje imamo u IDERA-i za to. A dva o kojima sam danas želio razgovarati su SQL Secure i SQL Compliance Manager. SQL Secure je naš alat za pomoć u prepoznavanju vrste ranjivosti u konfiguraciji. Vaša sigurnosna pravila, korisnička dopuštenja, konfiguracije vaše površine. I ima predloge koji će vam pomoći da se pridržavate različitih regulatornih okvira. To bi samo po sebi, taj posljednji redak, mogao biti razlog da ga ljudi i smatraju. Jer čitanje ovih različitih propisa i prepoznavanje onoga što oni znače, PCI i odvođenje do mog SQL Servera u moj dućan, to je puno posla. To je nešto za što biste mogli platiti mnogo novca za savjetovanje; to smo savjetovali, radili smo s različitim revizorskim kućama itd. da bismo smislili koji su ti predlošci - nešto što će vjerojatno proći reviziju ako postoje. A onda možete koristiti te predloške i vidjeti ih u svom okruženju.
Imamo i drugi, sestrinski alat u obliku SQL Compliance Manager-a, i ovdje se radi o konfiguracijskim postavkama SQL Secure. SQL Compliance Manager planira vidjeti kada je tko radio. Dakle, radi se o reviziji, pa vam omogućava praćenje aktivnosti dok se odvija i omogućuje vam da otkrijete i pratite tko pristupi stvarima. Je li netko, prototipski primjer toga da je slavna osoba pregledao u vašoj bolnici, netko odlazio i tražio njihove podatke, samo iz znatiželje? Jesu li imali razloga za to? Možete pogledati povijest revizije i vidjeti što se događalo tko je pristupio tim zapisima. A to možete prepoznati i pomoću alata koji će vam pomoći da prepoznate osjetljive stupce, tako da nije nužno da ih morate čitati i sami to radite.
Dakle, ako mogu, nastavit ću vam pokazati neke od tih alata ovdje u zadnjih nekoliko minuta - i molim vas nemojte to smatrati detaljnim demonstracijama. Ja sam menadžer proizvoda, a ne inženjer prodaje, pa ću vam pokazati neke stvari za koje smatram da su relevantne za ovu raspravu. Dakle, ovo je naš proizvod SQL Secure. I kao što možete vidjeti ovdje, ja imam vrstu ove izvještajne liste visoke razine. Provjerio sam ovo, mislim, jučer. I pokazuje mi neke stvari koje nisu pravilno postavljene i neke stvari koje su pravilno postavljene. Dakle, možete vidjeti prilično velik broj od preko 100 različitih provjera koje smo ovdje napravili. I vidim da moja sigurnosna enkripcija na sigurnosnim kopijama koje sam radio, ne koristim sigurnosno kopiranje. Moj SA račun, izričito nazvan "SA račun" nije onemogućen ili preimenovan. Uloga javnog poslužitelja ima dozvolu, tako da bi sve ovo što bih možda htio pogledati mijenjalo.
Ovdje sam postavila pravila, tako da ako sam htjela postaviti novo pravilo, primijeniti se na moje poslužitelje, imamo sva ta ugrađena pravila. Koristit ću postojeći predložak pravila i vidjet ćete da imam CIS, HIPAA, PCI, SR i nastavljamo se, i zapravo smo u procesu kontinuiranog dodavanja dodatnih politika, temeljenih na onome što ljudima treba na terenu, Možete stvoriti i novu politiku pa ako znate što vaš revizor traži, možete ga i sami izraditi. A onda, kad to učinite, možete birati među svim tim različitim postavkama, što trebate postaviti, u nekim slučajevima imate i neka - pustite me da se vratim i nađem jednu od već izgrađenih. Ovo je prikladno, mogu odabrati, recimo, HIPAA - već imam HIPAA, moj loš - PCI, i tada, dok kliknem ovdje, zapravo mogu vidjeti vanjsku unakrsnu referencu na odjeljak propis koji je povezan s tim. Dakle, to će vam pomoći kasnije, kada pokušavate shvatiti zašto to postavljam? Zašto to pokušavam pogledati? Na koji je odjeljak ovo povezano?
Ovo također ima lijep alat jer vam omogućuje ulazak i pregledavanje korisnika, tako da je jedna od najluđih stvari u vezi s istraživanjem korisničkih uloga to što ću zapravo ovdje pogledati. Dakle, ako pokažem dopuštenja za svoje, hajde da vidimo, neka odaberemo ovdje korisnika. Prikaži dopuštenja. Mogu vidjeti dodijeljena dopuštenja za ovaj poslužitelj, ali tada mogu kliknuti ovdje i izračunati efektivna dopuštenja, a dat će mi cijeli popis na temelju, tako da je u ovom slučaju to administrator, tako da nije tako uzbudljivo, ali Mogao bih proći i odabrati različite korisnike i vidjeti koja su njihova učinkovita dopuštenja, na temelju svih različitih skupina kojima mogu pripadati. Ako ikad pokušate to učiniti sami, to zapravo može biti gnjavaža, shvatite, u redu. Ovaj korisnik je član ovih grupa i zato tim grupama ima pristup tim itd.
Dakle, način na koji ovaj proizvod funkcionira, jesu li potrebne snimke, tako da stvarno nije vrlo težak proces redovitog snimanja poslužitelja, a te snimke zadržava tijekom vremena kako biste ih mogli usporediti s promjenama. Dakle, ovo nije kontinuirano nadgledanje u tradicionalnom smislu poput alata za praćenje performansi; to je nešto što ste možda postavili da se izvodi jednom na noć, jednom tjedno - koliko god često mislite da je valjano - tako da onda, kad god radite analizu i radite malo više, zapravo samo rad unutar našeg alata. Ne vraćate se toliko natrag na vaš poslužitelj, tako da je ovo prilično lijep alat za rad, da biste bili u skladu s takvim statičkim postavkama.
Drugi alat koji vam želim pokazati je naš alat za upravljanje usklađenošću. Nadzor usklađenosti nadgledat će na kontinuiraniji način. I vidjet će tko radi što na vašem poslužitelju i omogućiti vam da to pogledate. Dakle, ono što sam ovdje radio, u posljednjih nekoliko sati ili tako, zapravo sam pokušao stvoriti neke male probleme. Dakle, evo imam li problem ili ne, možda znam za to, netko je zapravo kreirao prijavu i dodao je u ulogu poslužitelja. Dakle, ako uđem i pogledam to, vidim - pretpostavljam da ne mogu desnom tipkom kliknuti tamo, mogu vidjeti što se događa. Ovo je moja nadzorna ploča i vidim da sam imao nekoliko neuspjelih prijava malo ranije. Imao sam gomilu sigurnosnih aktivnosti, DBL aktivnosti.
Dakle, dopustite mi da prijeđem na svoje revizijske događaje i pogledam. Ovdje imam svoje događaje revizije grupirane po kategorijama i ciljanim objektima, pa ako pogledam tu sigurnost od ranije, mogu vidjeti DemoNewUser, došlo je do ove prijave za posluživanje. I mogu vidjeti da je prijava SA stvorila ovaj DemoNewUser račun, ovdje u 14:42. I onda, vidim da zauzvrat, dodaj prijavu na poslužitelj, ovaj DemoNewUser je dodan u administrativnu grupu poslužitelja, dodani su u instalacijsku administracijsku grupu, dodani su u sysadmin grupu. Dakle, to je nešto što bih želio znati da se dogodilo. Također sam ga postavila tako da se prate osjetljivi stupci u mojim tablicama, tako da mogu vidjeti tko im je pristupio.
Dakle, ovdje imam nekoliko odabranih koji su se dogodili na stolu mojih osoba, iz Adventure Works. A mogu pogledati i vidjeti kako je korisnik SA na tablici Adventure Works uradio desetak najboljih zvijezda od osobe dot-osobe. Pa možda u svojoj organizaciji ne želim da ljudi biraju zvijezde od osobe dot osobe, ili očekujem da će to učiniti samo određeni korisnici, pa ću ovo vidjeti ovdje. Dakle, - ono što vam treba u pogledu vaše revizije, to možemo postaviti na temelju okvira i to je malo više intenzivan alat. Koristi SQL Trace ili SQLX događaje, ovisno o verziji. I to je nešto što će vam trebati osigurati prostor na vašem poslužitelju, ali to je jedna od tih stvari, poput osiguranja, što je lijepo da nismo morali imati osiguranje automobila - bilo bi to trošak koji ne bismo trebali preuzeti - ali ako imate poslužitelj na kojem morate pratiti tko radi što treba, možda ćete morati imati malo dodatnog prostora za glavu i ovog alata za to. Bez obzira da li upotrebljavate naš alat ili ga sami prebacujete, u konačnici ćete biti odgovorni za posjedovanje tih podataka u svrhu poštivanja propisa.
Kao što sam rekao, ne iscrpni demo prikaz, samo brz, mali sažetak. Također sam vam htio pokazati brzi, mali besplatni alat u obliku SQL pretraživanja stupaca, što možete koristiti za prepoznavanje koji stupovi u vašem okruženju izgledaju kao osjetljive informacije. Dakle, imamo brojne konfiguracije pretraživanja gdje se traže različita imena stupaca koji obično sadrže osjetljive podatke, a zatim imam cijeli ovaj popis njih koji su identificirani. Imam ih 120, a zatim sam ih izveo ovdje, pa ih mogu iskoristiti kako bi rekli, idemo potražiti i provjeriti da li pratim pristup srednjem imenu, jednoj osobi do osobe ili porezu na promet stopa itd.
Znam da smo ovdje na kraju našeg vremena. I to je sve što sam vam zapravo trebao pokazati, pa imate li pitanja za mene?
Eric Kavanagh: Imam nekoliko dobrih za tebe. Dopusti mi da ovo prelistam ovdje. Jedan od sudionika postavljao je stvarno dobro pitanje. Jedno od njih je pitanje o porezu na učinkovitost, tako da znam da varira od rješenja do rješenja, ali imate li općenitu ideju o tome što je porez na performanse za korištenje sigurnosnih alata IDERA?
Vicky Harp: Dakle, na SQL Secureu, kao što rekoh, vrlo je nizak, samo će se napraviti neki povremeni snimci. Čak i ako se izvodite prilično često, dobiva statičke podatke o postavkama, pa je vrlo nizak, gotovo zanemariv. Što se tiče upravitelja usklađenosti, to je -
Eric Kavanagh: Kao jedan posto?
Vicky Harp: Da sam trebao dati postotak broja, da, bio bi jedan posto ili manji. Osnovne su informacije o redoslijedu upotrebe SSMS-a, ulasku u sigurnosnu karticu i proširivanju stvari. Što se tiče Compliance-a, on je puno viši - zato sam rekao da mu treba malo prostora za glavu - to je nekako nalik onome što imate u pogledu praćenja performansi. Sada ne želim ljude plašiti daleko od toga, trik je s nadzorom usklađenosti, a ako je revizija osigurati samo reviziju onoga na što ćete poduzeti. Dakle, jednom kad filtrirate dolje i kažete: "Hej, želim znati kad ljudi pristupe određenim tablicama, i želim znati kad god ljudi pristupe poduzimanju tih određenih radnji", onda će se temeljiti na učestalosti ovih stvari događa i koliko podataka generirate. Ako kažete, "Želim cjelokupni SQL tekst svakog odabira koji se ikada dogodi na bilo kojoj od ovih tablica", to će biti vjerojatno da će gigabajti i gigabajti podataka koje treba analizirati pohranjeni SQL Server premješteni na naš proizvod, itd
Ako zadržite to - to će također biti više podataka nego što biste se vjerojatno mogli nositi. Ako biste ga mogli spustiti na manji set, tako da dnevno dobijete nekoliko stotina događaja, onda je to očito mnogo niže. Dakle, doista, na neki način, nebo je granica. Ako za sve nadzor uključite sve postavke, onda da, to će biti 50-postotni učinak. Ali ako ga namjeravate pretvoriti u neku vrstu umjerenije, promišljene razine, možda bih ocrtao 10 posto? Zaista, to je jedna od onih stvari koja će ovisiti o vašem opterećenju.
Eric Kavanagh: Da, točno. Ima još jedno pitanje u vezi s hardverom. A onda, u igru ulaze dobavljači hardvera i stvarno surađuju s dobavljačima softvera, a ja sam odgovorio kroz prozor Q&A. Znam za jedan konkretan slučaj, Cloudera koji radi s Intelom gdje je Intel uložio ogromna ulaganja u njih, a dio računice bio je da će Cloudera dobiti rani pristup dizajnu čipova i na taj način uspjeti osigurati sigurnost u čip razini arhitekture, što je prilično impresivno. Ali to je, ipak, nešto što će se tamo izvući i još uvijek može iskoristiti obje strane. Znate li za neke trendove ili tendencije dobavljača hardvera da surađuju s dobavljačima softvera na sigurnosnom protokolu?
Vicky Harp: Da, zapravo, vjerujem da je Microsoft surađivao kako bi se na primjer, neki dio memorijskog prostora za neki posao šifriranja zapravo događao na zasebnim čipovima na matičnim pločama koji su odvojeni od vaše glavne memorije, tako da neki od toga su stvari fizički odvojene. I vjerujem da je to zapravo nešto što je dolazilo od Microsofta u smislu izlaska s dobavljačima kako bi rekli: "Možemo li smisliti način da to napravimo, u osnovi je to neprilagođena memorija, ne mogu putem prepune međuspremnika doći do ovo sjećanje, jer ga u određenom smislu još uvijek nema, tako da znam da se nešto od toga događa. "
Eric Kavanagh: Da.
Vicky Harp: To će očito biti zaista veliki dobavljači, najvjerojatnije.
Eric Kavanagh: Da. Zanima me što pazim na to, a možda će i Robin, ako imaš kratko sekunde, znatiželjno bih znati vaše iskustvo tijekom godina, jer opet, u smislu hardvera, u smislu stvarne znanosti o materijalima koja ide prema onome što sastavljate od dobavljača, te bi informacije mogle ići na obje strane, a teoretski na obje strane idemo prilično brzo, pa postoji li neki način pažljivijeg korištenja hardvera, od dizajnerske perspektive do jačanja sigurnosti? Što misliš? Robin, jesi li tiho?
Robin Bloor: Da, da. Oprosti, ovdje sam; Samo razmišljam o pitanju. Da budem iskren, nemam mišljenje, to je područje koje nisam sagledao u značajnoj dubini, tako da sam nekakav, znate, ja mogu izmisliti mišljenje, ali zapravo ne znam. Radije bih bio siguran u softveru, to je zapravo način igranja.
Eric Kavanagh: Da. Pa, ljudi, izgarali smo sat vremena i promijenili se ovdje. Veliko hvala Vicky Harp na njenom vremenu i pažnji - za sve vaše vrijeme i pažnju; zahvaljujemo što se pojavljujete za ove stvari. Velika je stvar; neće uskoro otići. To je igra mačaka i miša koja će stalno nastaviti i dalje. I zato smo zahvalni što su neke tvrtke vani, usredotočene na omogućavanje sigurnosti, ali kako je Vicky čak i aludirala i malo pričala u svom izlaganju, na kraju dana ljudi u organizacijama trebaju vrlo pažljivo razmisliti o tim phishing napadima, takvom društvenom inženjeringu, i držite se na svojim prijenosnim računalima - ne ostavljajte to u kafiću! Promijenite lozinku, napravite osnove i doći ćete 80 posto puta tamo.
Dakle, s tim, narode, pozdravit ćemo se, hvala još jednom na vašem vremenu i pažnji. Sljedeći put ćemo vas kontaktirati, pazite. Doviđenja.
Vicky Harp: Žao, hvala.
