Osoblje Techopedia, 27. listopada 2016
Odlazak: Domaćin Eric Kavanagh razgovara o sigurnosti baze podataka s Robin Bloor, Dez Blanchfield i IDERA-inim Ignaciom Rodriguezom.
Trenutno niste prijavljeni. Prijavite se ili prijavite da biste pogledali videozapis.
Eric Kavanagh: Pozdrav i dobrodošli, još jednom, tvrtki Hot Technologies. Moje ime je Eric Kavanagh; Bit ću vam domaćin za webcast danas, a to je vruća tema i nikad neće biti vruća tema. To je sada vruća tema zbog, iskreno, svih prekršaja o kojima čujemo i mogu vam garantirati da nikad neće nestati. Dakle, današnja tema, točan naslov emisije koju bih trebao reći, je: "Nova normala: suočavanje sa stvarnošću nesigurnog svijeta." To je upravo ono čime se bavimo.
Tamo imamo vašeg domaćina, istinski vašeg. Imajte na umu, prije nekoliko godina, vjerojatno bih trebao ažurirati svoju fotografiju; to je bilo 2010. Vrijeme leti. Pošaljite mi e-poštu s ako želite dati neke prijedloge. Ovo je naš standardni "vrući" dijapozitiv za Hot Technologies. Cjelokupna svrha ove emisije zaista je definirati određeni prostor. Danas očigledno govorimo o sigurnosti. Zapravo, poduzimamo vrlo zanimljiv kut s prijateljima iz IDERA.
I istaknut ću da vi kao članovi naše publike igrate značajnu ulogu u programu. Molim te, ne stidi se. Pošaljite nam pitanje u bilo kojem trenutku i postavićemo ga redom za pitanja i odgovore ako imamo dovoljno vremena za to. Danas imamo tri osobe na mreži, dr. Robin Bloor, Dez Blanchfield i Ignacio Rodriguez, koji se javljaju s neotkrivene lokacije. Dakle, prije svega, Robin, ti si prva voditeljica. Predat ću vam ključeve. Odnesi to.
Dr. Robin Bloor: U redu, hvala na tome, Eric. Osiguravanje baze podataka - pretpostavljam da bismo mogli reći da je vjerojatnost da su najvrijedniji podaci kojima svaka kompanija predsjeda u bazi podataka. Dakle, postoji čitav niz sigurnosnih stvari o kojima bismo mogli razgovarati. Ali ono što sam mislio učiniti je razgovor o temi osiguranja baze podataka. Ne želim ništa oduzeti prezentaciji koju će Ignacio održati.
Pa za početak, lako je sigurnost podataka smatrati statičnim ciljem, ali nije. To je pokretna meta. To je važno važno shvatiti u smislu da se IT okruženje većine ljudi, posebno IT okruženje velikih kompanija, stalno mijenja. Budući da se stalno mijenjaju, površina napada, područja u kojima netko može pokušati, na neki ili drugi način, iznutra ili izvana, ugroziti sigurnost podataka, stalno se mijenjaju. A kad napravite nešto slično, nadograđujete bazu podataka, nemate pojma da li ste upravo time stvorili neku vrstu ranjivosti za sebe. Ali toga niste svjesni i možda nikada nećete saznati dok se nešto gadno ne dogodi.
Kratak je pregled sigurnosti podataka. Prije svega, krađa podataka nije ništa novo i ciljani su podaci. Normalno je lako za organizaciju utvrditi što su podaci koji su im potrebni da bi se zaštitila. Zanimljiva je činjenica da je prvo, ili za što bismo mogli tvrditi da je prvo računalo, sagrađena britanska obavještajna tijela tijekom Drugog svjetskog rata s jednom svrhom, a to je krađa podataka iz njemačke komunikacije.
Dakle, krađa podataka prilično je dio IT industrije od kada je započela. Rođenjem interneta postalo je mnogo ozbiljnije. Gledao sam u dnevnik broja kršenja podataka koji su se događali iz godine u godinu. A broj se smanjivao iznad 100 do 2005. godine i od tada je svake godine sve gori i gori.
Ukrade se veće količine podataka i dogodi se veći broj hakova. A to su hakovi o kojima se izvještava. Došlo je do velikog broja incidenata u kojima tvrtka nikad ništa ne kaže, jer ne postoji ništa što bi je prisililo da išta kaže. Stoga tiho kršenje podataka. U hakerskom poslu ima mnogo igrača: vlade, tvrtke, hakerske grupe, pojedinci.
Jedno što mislim da je zanimljivo spomenuti, kad sam otišao u Moskvu, mislim da je to bilo prije otprilike četiri godine, bila je to softverska konferencija u Moskvi, razgovarao sam s novinarom koji se specijalizirao za područje hakiranja podataka. I tvrdio je - i siguran sam da je u pravu, ali ja to ne znam osim onog što mi je to ikad spomenuo, ali - postoji ruski posao pod nazivom Ruska poslovna mreža, vjerojatno ima ruski ime, ali mislim da je to engleski prijevod toga, zapravo unajmljen za hakiranje.
Dakle, ako ste velika organizacija bilo gdje u svijetu i želite učiniti nešto što bi škodilo vašoj konkurenciji, možete zaposliti te ljude. A ako zaposlite ove ljude, dobit ćete vrlo uvjerljivu poricanje o tome tko je bio iza haka. Jer ako se uopće otkrije tko stoji iza haka, to će značiti da je to vjerojatno netko u Rusiji to i učinio. I neće izgledati kao da pokušavate oštetiti konkurenta. I vjerujem da su ruske poslovne mreže zapravo angažirale vlade kako bi napravile stvari poput probijanja u banke kako bi pokušale otkriti kako se teroristički novac kreće. A to je učinjeno s uvjerljivom poricanjem vlada koje nikada neće priznati da su to ikada i učinile.
Razvija se tehnologija napada i obrane. Davno sam odlazio u klub kaosa. Bilo je to web mjesto u Njemačkoj na kojem ste se mogli registrirati i mogli ste samo pratiti razgovore raznih ljudi i vidjeti što je na raspolaganju. I to sam učinio kad sam gledao sigurnosnu tehnologiju, mislim oko 2005. I to sam učinio samo da vidim što se tada dešavalo i ono što me je zadivilo je broj virusa, gdje je to zapravo bio open-source sustav Nastavljao sam s radom, a ljudi koji su pisali viruse ili poboljšane viruse samo su lijepili kod da ih bilo tko koristi. I tada mi se dogodilo da hakeri mogu biti vrlo, vrlo pametni, ali postoji jako puno hakera koji uopće nisu nužno pametni, ali koriste pametne alate. A neki su od tih alata nevjerojatno pametni.
I konačna točka: tvrtke su dužne brinuti se o svojim podacima, bilo da ih posjeduju ili ne. I mislim da se to sve više ostvaruje nego što je to nekada bilo. A sve je više, recimo, skupo što se posao zapravo podvrgava haku. Što se hakera tiče, oni se mogu nalaziti bilo gdje, možda ih je teško privesti pravdi, čak i ako su ispravno identificirani. Mnogi od njih su vrlo vješti. Značajni resursi, oni svuda imaju botnete. Vjerovalo se da je nedavni napad DDoS-a došao s preko milijardu uređaja. Ne znam je li to istina ili je to samo novinar koji koristi okrugli broj, ali svakako je velik broj robot uređaja upotrijebljen za napad na DNS mrežu. Neke profitabilne tvrtke, vladine grupe, tamo je ekonomsko ratovanje, postoji cyber ratovanje, vani se sve događa, a malo je vjerojatno, mislim da smo rekli u predgovoru, malo je vjerojatno da će to ikad završiti.
Usklađenost i propisi - postoje brojne stvari koje se zapravo događaju. Znate, postoji puno inicijativa za usklađivanje koje se temelje na sektoru, znate - farmaceutski sektor ili bankarski ili zdravstveni sektor - mogu imati posebne inicijative koje ljudi mogu slijediti, razne vrste najbolje prakse. Ali postoje i mnogi službeni propisi koji, s obzirom na to da su zakon, imaju kazne priložene za svakoga tko krši zakon. Primjeri za SAD su HIPAA, SOX, FISMA, FERPA, GLBA. Postoje neki standardi, PCI-DSS je standard za tvrtke koje se bave karticama. ISO / IEC 17799 temelji se na pokušaju dobivanja zajedničkog standarda. Ovo je vlasništvo nad podacima. Nacionalni propisi razlikuju se od zemlje do zemlje, čak i u Europi, ili bi možda trebali reći, posebno u Europi u kojoj je to vrlo zbunjujuće. A tu je i GDPR, globalna uredba o zaštiti podataka o kojoj se trenutno pregovara između Europe i Sjedinjenih Država kako bi se pokušalo uskladiti u propisima jer ih je toliko, obično koliko ih je, zapravo, međunarodnih, a tu su i oblačne usluge koje biste mogli nemojte misliti da su vaši podaci međunarodni, ali otišli su u međunarodni položaj čim ste ušli u oblak, jer su se iselili iz vaše zemlje. Dakle, to je skup propisa koji se, na ovaj ili onaj način, pregovara o zaštiti podataka. A većina toga ima veze s podacima pojedinca, što naravno uključuje poprilično sve podatke o identitetu.
O čemu treba razmišljati: ranjivosti baze podataka. Postoji popis ranjivosti koje dobavljači baze podataka znaju i prijavljuju kada ih otkriju i zakrpe što je brže moguće, tako da postoji sve to. Postoje stvari koje se s njim odnose u pogledu identificiranja ranjivih podataka. Jedan od najvećih i najuspješnijih hakiranja podataka o plaćanju izvršen je tvrtki za obradu plaćanja. To je kasnije preuzelo, jer je moralo ići u likvidaciju ako nije, ali podaci nisu ukradeni ni iz jedne operativne baze podataka. Podaci su ukradeni iz testne baze podataka. Upravo se dogodilo da su programeri upravo uzeli podskup podataka koji su stvarni podaci i iskoristili ih, bez ikakve zaštite, u testnoj bazi podataka. Probna baza podataka bila je hakirana i iz nje je uzeto strašno puno osobnih financijskih podataka.
Sigurnosna politika, posebno u vezi s pristupom sigurnosti što se tiče baza podataka, tko može čitati, tko može pisati, tko može dati dopuštenja, postoji li način da bilo tko zaobiđe bilo što od toga? Onda, naravno, enkripcije iz baza podataka to omogućuju. Tu su troškovi kršenja sigurnosti. Ne znam je li to uobičajena praksa u organizacijama, ali znam da neki, poput glavnih šefova osiguranja, pokušavaju rukovoditeljima pružiti neku ideju o tome koliki su troškovi narušavanja sigurnosti prije nego što se to dogodi, a ne nakon njega. I oni to, nekako, trebaju učiniti da bi osigurali pravi iznos proračuna kako bi mogli obraniti organizaciju.
A onda napadna površina. Čini se da napadačka površina neprestano raste. Iz godine u godinu napadna površina samo izgleda kako raste. Dakle, ukratko, raspon je još jedna točka, ali sigurnost podataka je obično dio DBA-ove uloge. Ali sigurnost podataka je također suradnička aktivnost. Morate imati, ako radite sigurnost, morate imati potpunu predstavu o sigurnosnim zaštitama za organizaciju u cjelini. I na tome treba postojati korporativna politika. Ako nema korporativnih politika, jednostavno završite s postupnim rješenjima. Znate, gumena traka i plastika pokušavaju zaustaviti sigurnosno događanje.
Dakle, rekavši to, mislim da predajem Dezu koji će vam vjerojatno prenijeti razne ratne priče.
Eric Kavanagh: Odvedi to, Dez.
Dez Blanchfield: Hvala, Robin. Uvijek je to teško poduzeti. Doći ću na to sa suprotnog kraja spektra samo da bih, pretpostavljam, dao dojam razmjera izazova s kojim se susrećete i zašto bismo trebali učiniti više nego samo sjediti i obratiti pažnju na to, Izazov s kojim se suočavamo sada s razmjerom, količinom i volumenom, brzinom kojom se te stvari događaju je taj što sada čujem oko sebe s puno CXO-a, ne samo CIO-a, ali svakako CIO-ovi su ti koji prisustvuju tamo gdje dolar prestaje, smatra da kršenje podataka brzo postaje norma. To je nešto za što se gotovo očekuje da će se dogoditi. Dakle, oni to gledaju sa stanovišta: "Dobro, pa, kad se prekršimo - ne ako - kad se prekršimo, što trebamo učiniti u vezi s tim?" I tada razgovori počinju okolo, što rade u tradicionalnim rubnim okruženjima i usmjerivačima, sklopkama, poslužiteljima, otkrivanju provale, inspekciji upada? Što rade u samim sustavima? Što rade s podacima? A onda se sve vraća na ono što su učinili sa svojim bazama podataka.
Dopustite mi da se dotaknem samo nekoliko primjera nekih ovih stvari koje su plijenile veliku maštu ljudi, a zatim ih malo razuvjerile. Tako smo u vijestima čuli da je Yahoo - vjerojatno najveći broj koji su ljudi čuli oko pola milijuna, ali zapravo se ispostavilo da je to neslužbeno više poput milijarde - čuo sam neobičan broj od tri milijarde, ali to je gotovo pola svjetske populacije, tako da mislim da je to malo više. Ali potvrdio sam to od više ljudi iz relevantnih prostora koji vjeruju da je s Yahooa probijeno nešto više od milijardu zapisa. A ovo je samo zapanjujući broj. Sada neki igrači izgledaju i razmišljaju, dobro, to su samo računi za web poštu, nema velikog značaja, ali dodajte i činjenicu da je puno tih računa za web poštu i zanimljivo visok broj veći nego što sam predviđao. Tu ljudi ubacuju podatke o kreditnoj kartici i plaćaju uklanjanje oglasa, jer se zasipaju oglasima, pa su tako 4 ili 5 USD mjesečno spremni kupiti web poštu i uslugu pohrane u oblaku koji nemaju oglase, i ja sam jedan od takvih, i to imam kod tri različita pružatelja usluga na kojima priključim svoju kreditnu karticu.
Onda izazov privlači malo više pozornosti, jer to nije samo nešto što je vani kao jedan odmetnik: "Pa dobro, Yahoo je izgubio, recimo, između 500 milijuna i 1.000 milijuna računa", 1.000 milijuna to čini zvuče vrlo veliki računi i računi za web poštu, ali podaci o kreditnoj kartici, ime, prezime, adresa e-pošte, datum rođenja, kreditna kartica, PIN broj, sve što želite, lozinke i tada to postaje puno zastrašujući koncept. I opet mi ljudi kažu: "Da, ali to je samo web usluga, to je samo web pošta, nije velika stvar." A onda kažem, "Da, dobro, taj Yahoo račun je također korišten u Yahoo novčanim uslugama za kupnju i prodajte dionice. "Tada postaje zanimljivije. I kad počnete razmišljati o tome shvaćate da je, u redu, ovo zapravo više od majke i tate kod kuće, a tinejdžeri, s računima za razmjenu poruka, to je zapravo nešto gdje ljudi rade poslovne transakcije.
Dakle, to je jedan kraj spektra. Drugi kraj spektra je da je vrlo mali, opće prakse, pružatelj zdravstvenih usluga u Australiji ukrao oko 1.000 zapisa. Je li to bio interni posao, netko je otišao, samo su bili znatiželjni, izašli su kroz vrata, u ovom slučaju to je bila disketa veličine 3, 5 inča. Bilo je to malo prije - ali možete reći doba doba - ali oni su bili na staroj tehnologiji. No, ispostavilo se da je razlog zbog kojeg su uzimali podatke bio samo znatiželjan tko je tamo. Jer su u ovom malom gradu, koji je bio naš glavni grad, imali puno ljudi koji su bili političari. A zanimalo ih je tko je tamo i gdje su njihovi životi i sve te vrste informacija. Dakle, s vrlo malim prekršajem podataka, koji je učinjen interno, u javnosti je navodno izašao značajan broj političara u pojedinostima australijske vlade.
Moramo uzeti u obzir dva različita kraja spektra. Sada je stvarnost čista razmjera ovih stvari prilično nevjerojatna i imam klizač na koji ćemo ovdje vrlo brzo i vrlo brzo skočiti. Postoji nekoliko web stranica na kojima se navode sve vrste podataka, ali ova je specifična od stručnjaka za sigurnost koji je imao web mjesto na kojem možete otići i tražiti svoju adresu e-pošte ili svoje ime i prikazat će vam svaki incident podataka prekršili u zadnjih 15 godina da je uspio ući u ruke, a zatim se učitajte u bazu podataka i potvrdite, a on će vam reći jeste li vas pravili, kako je pojam. Ali kada počnete gledati neke od tih brojeva, a ovaj ekran nije ažuriran njegovom najnovijom verzijom, koja uključuje par, kao što je Yahoo. Ali samo razmislite o vrstama usluga ovdje. Imamo Myspace, imamo LinkedIn, Adobe. Adobe je zanimljiv jer ljudi izgledaju i razmišljaju, pa, što znači Adobe? Većina nas koji su preuzeli Adobe Reader nekog oblika, puno nas je kupilo Adobe proizvode kreditnom karticom, to je 152 milijuna ljudi.
Ako su Robin-ove točke ranije to su vrlo velike brojke, lako ih je svladati. Što se događa kada imate 359 milijuna računa koji su prekršeni? Pa, ima par stvari. Robin je istaknuo činjenicu da su ti podaci uvijek u nekoj formi baze podataka. To je ovdje kritična poruka. Gotovo da nitko na ovoj planeti, koliko sam svjestan, koji ima sustav bilo kojeg oblika, ne pohranjuje u bazu podataka. Ali ono što je zanimljivo je da u toj bazi podataka postoje tri različite vrste podataka. Postoje stvari vezane uz sigurnost, kao što su korisnička imena i lozinke, koje su obično šifrirane, ali uvijek je puno primjera gdje nisu. Postoje stvarni podaci o kupcima oko njihovog profila i podaci koje su stvorili bilo da se radi o zdravstvenom kartonu ili o e-pošti ili trenutnoj poruci. A tu je i stvarna ugrađena logika, pa bi se to mogle pohraniti u procedure, mogla bi biti čitava gomila pravila, ako je + ovo + onda + to. I neizbježno je to samo ASCII tekst zaglavljen u bazi podataka, vrlo malo ljudi sjedi tamo i razmišljaju: "Pa, ovo su poslovna pravila. Ovako se naši podaci pomiču i kontroliraju, potencijalno bi ih trebali šifrirati kada su u mirovanju i kada su u gibanje možda ga dešifriramo i čuvamo ga u sjećanju ", ali idealno bi vjerojatno trebalo biti i to.
No vraća se ovom ključnom trenutku da su svi ti podaci u određenoj bazi podataka i češće nego ne, fokus je, povijesno gledano, na usmjerivačima i prekidačima, poslužiteljima, pa čak i za pohranu, i ne uvijek u bazi podataka na stražnji kraj. Jer mislimo da imamo pokrivenu ivicu mreže i to je, kao, obično, tipično stara vrsta, živi u dvorcu i stavljaš jarak oko nje i nadamo se da negativci neće biti u stanju plivati. Ali onda su odjednom loši dečki smislili kako napraviti produžene ljestve i bacati ih preko jarka, penjati se preko jarka i penjati se po zidovima. I odjednom je vaš jarak prilično beskoristan.
Dakle, sada smo u scenariju kada su organizacije u sprinterskom načinu rada. Prema mom mišljenju oni doslovce prolaze po svim sustavima, a sigurno je i moje iskustvo, s tim što nisu uvijek samo ovi mrežni jednorodi, kako ih često nazivamo, češće nego što se tradicionalne poslovne organizacije krše. I ne morate imati mnogo mašte da biste otkrili tko su. Postoje web mjesta poput one koja se zove pastebin.net i ako prijeđete na pastebin.net i samo upišete popis e-pošte ili popis lozinki, na kraju ćete imati stotine tisuća unosa koji se dodaju na dan kad ljudi navode primjere skupa podataka do tisuću zapisa imena, prezimena, podatke o kreditnoj kartici, korisničko ime, lozinku, dešifrirane lozinke, usput. Tamo gdje ljudi mogu uzeti taj popis, otići i provjeriti ih tri ili četiri i odlučiti da, da, želim da kupim taj popis i obično postoji neki oblik mehanizma koji pruža neku vrstu anonimnog pristupnika osobi koja prodaje podatke.
Ono što je zanimljivo jest da nakon što povezan poduzetnik shvati da oni to mogu, nije vam potrebno toliko mašte da biste shvatili da ako potrošite 1.000 američkih dolara da kupite jedan od tih popisa, što je prva stvar koju učinite s tim? Ne pokušavate i pratiti račune, kopiju toga vratite na pastbin.net i prodajete dvije kopije po 1000 dolara svaki i ostvarite dobit od 1000 dolara. A to su djeca koja to rade. Postoje neke izuzetno velike profesionalne organizacije širom svijeta koje se time zaradjuju za život. Postoje čak i države-države koje napadaju druge države. Znate, puno se govori o tome da Amerika napada Kinu, Kina napada Ameriku, to i nije baš tako jednostavno, ali definitivno postoje vladine organizacije koje krše sustave koji su neizbježno vođeni bazama podataka. To nije samo slučaj malih organizacija, već i države nasuprot zemljama. Vraća li nas to pitanje o tome gdje su podaci pohranjeni? To je u bazi podataka. Koje su kontrole i mehanizmi unutra? Ili oni uvijek nisu šifrirani, a ako su šifrirani, nisu uvijek svi podaci, možda je samo lozinka slana i šifrirana.
A oko toga imamo niz izazova sa onim što je u tim podacima i kako pružamo pristup podacima i usklađenost s SOX-om. Ako mislite o upravljanju bogatstvom ili bankarstvu, imate organizacije koje se brinu oko izazova sa vjerodajnicama; imate organizacije koje se brinu o poštivanju korporativnog prostora; imate vladine usklađenosti i regulatorne zahtjeve; sad imate scenarije gdje imamo bazične baze podataka; imamo baze podataka u podatkovnim centrima treće strane; imamo baze podataka koji sjede u oblačnom okruženju, tako da njegovo oblačno okruženje uvijek nije uvijek u zemlji. I tako ovo postaje sve veći i veći izazov, ne samo sa čistog sigurnosnog stajališta "nemojmo se hakirati", već i kako ispuniti sve različite razine usklađenosti? Ne samo HIPAA i ISO standardi, već ih doslovno postoje desetine i deseci na državnoj, nacionalnoj i globalnoj razini koji prelaze granice. Ako poslujete s Australijom, ne možete premjestiti vladine podatke. Australski privatni podaci ne mogu napustiti državu. Ako ste u Njemačkoj to je još strože. A znam i da se Amerika vrlo brzo kreće s tim iz niza razloga.
Ali vraća me opet taj cijeli izazov: kako znate što se događa u vašoj bazi podataka, kako to pratite, kako možete reći tko radi što u bazi podataka, tko ima prikaze raznih tablica i redaka, stupaca i polja, kada ga čitaju, koliko često ga čitaju i tko ga prati? I mislim da me to dovodi do konačnog stava prije nego što danas predam našem gostu koji će nam pomoći da razgovaramo o tome kako rješavamo ovaj problem. Ali želim da nas ostavi s ovom jednom misli, a to je da je velika pažnja stavljena na troškove poslovanja i troškove organizacije. I nećemo danas detaljno obrađivati ovu točku, već samo želim to ostaviti u mislima i razmisliti o tome da postoji procjena otprilike između 135 USD i 585 USD po zapisu kako bismo očistili nakon kršenja. Dakle, ulaganje u vašu sigurnost oko usmjerivača i sklopki i poslužitelja je sve dobro i dobro i vatrozidovi, ali koliko ste uložili u sigurnost svoje baze podataka?
Ali to je lažna ekonomija i kada se nedavno dogodio kršenje Yahooa, a ja to imam na dobroj vlasti, to je otprilike milijarda računa, a ne 500 milijuna. Kad je Verizon kupio organizaciju za nešto poput 4, 3 milijarde, čim se kršenje dogodilo, zatražili su milijardu dolara nazad ili popust. Sada ako se bavite matematikom i kažete da je otrpljeno otprilike milijardu zapisa, popust od milijardu dolara, procjena od 135 do 535 dolara za čišćenje dosadašnjih 1 dolara postaje. Što je, opet, fark. Ne treba koštati 1 USD za čišćenje milijarde zapisa. Za 1 dolar po zapisu za čišćenje milijarde zapisa zbog kršenja te veličine. Ne možete čak staviti priopćenje za takvu cijenu. I zato se uvijek fokusiramo na unutarnje izazove.
Ali jedna od stvari, mislim, i nama je potrebno da ovo ozbiljno shvatimo na razini baze podataka, zbog čega je ovo vrlo, vrlo važna tema za koju moramo razgovarati, a to je da nikad ne pričamo o ljudskoj cestarina. Koja je ljudska cestarina zbog koje to imamo? Uzet ću jedan primjer prije nego što se brzo zamotam. LinkedIn: 2012. godine hakiran je sustav LinkedIn. Bilo je broj vektora i neću ulaziti u to. I stotine milijuna računa su ukradene. Ljudi kažu da ima oko 160 neparnih milijuna, ali to je zapravo mnogo veći broj, mogao bi biti čak oko 240 milijuna. Ali taj prekršaj najavljen je tek ranije ove godine. To je četiri godine da su stotine milijuna zapisa ljudi tamo. Sada su neki ljudi plaćali usluge kreditnim karticama, a neki s besplatnim računima. No LinkedIn je zanimljiv jer nisu samo dobili pristup podacima vašeg računa ako ste bili prekršeni, već su dobili i pristup svim podacima vašeg profila. Dakle, s kime ste bili povezani i sve veze koje ste imali, te vrste poslova koje su imali i vrste vještina koje su imali i koliko dugo su radili u tvrtkama i sve takve informacije i njihovi podaci za kontakt.
Stoga razmislite o izazovu koji imamo pred osiguravanjem podataka u tim bazama, osiguravanjem i upravljanjem samim sustavima baza podataka, te protokom utjecaja, kad je ljudski iznos tih podataka vani četiri godine. I vjerojatnost da će se netko pojaviti za odmor negdje u jugoistočnoj Aziji i tamo imaju svoje podatke već četiri godine. A možda je netko kupio automobil ili uzeo kredit za kuću ili kupio deset telefona tijekom godine na kreditnim karticama, gdje su stvorili lažni ID na tim podacima koji su bili tamo četiri godine - jer čak su i podaci LinkedIna dali dovoljno informacija da stvorite bankovni račun i lažnu iskaznicu - i ukrcate se u avion, idete na odmor, sletite i bacate u zatvor. I zašto si bačen u zatvor? Pa, zato što su vam ukrali osobnu iskaznicu. Netko je stvorio lažnu iskaznicu i ponašao se poput vas i stotine tisuća dolara, i radili su to četiri godine, a da niste ni znali za to. Jer je vani, jednostavno se dogodilo.
Stoga mislim da nas to dovodi do ovog osnovnog izazova: kako znati što se događa u našim bazama podataka, kako to pratiti, kako to pratimo? Radujem se što ću moći čuti kako su naši prijatelji iz IDERA-e smislili rješenje s kojim će se pozabaviti. I s tim ću vam predati.
Eric Kavanagh: U redu, Ignacio, kat je tvoj.
Ignacio Rodriguez: U redu. Pa, dobrodošli svi. Moje ime je Ignacio Rodriguez, poznatiji kao Iggy. S IDERA-om sam i voditelj proizvoda za sigurnosne proizvode. Stvarno dobre teme koje smo upravo pokrenuli i stvarno se moramo brinuti zbog kršenja podataka. Moramo imati ojačane sigurnosne politike, moramo identificirati ranjivosti i procijeniti razine sigurnosti, kontrolirati korisnička dopuštenja, kontrolirati sigurnost poslužitelja i poštivati revizije. Radio sam reviziju u svojoj prošloj povijesti, uglavnom na strani Oraclea. Neke sam radila na SQL Serveru i radila sam ih s alatima ili, u osnovi, domaćim skriptama, što je bilo izvrsno, ali morate stvoriti spremište i osigurati da je spremište sigurno, stalno morajući održavati skripte s promjenama od revizora, što imaš.
Dakle, u alatima, kad bih znao da je IDERA vani i imao alat, vjerojatno bih je kupio. Ali bilo kako bilo, razgovarat ćemo o Sigurnom. To je jedan od naših proizvoda u našoj liniji sigurnosnih proizvoda, a ono što u osnovi čini jest gledanje sigurnosnih politika i njihovo mapiranje u regulatorne smjernice. Možete pregledati cjelokupnu povijest postavki SQL Servera, a možete u osnovi napraviti i osnovnu vrijednost tih postavki i zatim usporediti s budućim promjenama. Možete stvoriti snimku koja je osnovna postavka vaših postavki, a zatim ćete moći pratiti je li bilo koja od tih stvari promijenjena, a također ćete dobiti upozorenje ako su promijenjene.
Jedna od stvari koju činimo dobro je spriječiti sigurnosni rizik i kršenja. Sigurnosna kartica izvještaja pruža vam pregled sigurnosnih ranjivosti na poslužiteljima, a zatim je svaka provjera sigurnosti kategorizirana kao visoki, srednji ili niski rizik. Sada, na tim kategorijama ili sigurnosnim provjerama, sve se to može izmijeniti. Recimo da ako imate neke kontrole i koristite li neki od predložaka koji imamo, a vi odlučite, dobro, naše kontrole stvarno ukazuju ili žele da ta ranjivost doista nije velika, već medij, ili obrnuto. Možda imate neke označene kao srednje, ali u vašoj organizaciji kontrole koje želite označiti ili ih smatrate visokima, sve te postavke može prilagoditi korisnik.
Još jedan kritičan problem koji moramo razmotriti je prepoznavanje ranjivosti. Razumijevanje tko ima pristup onome i identificirati korisnikova efektivna prava na sve objekte SQL Server. Pomoću alata moći ćemo proći i pogledati prava na sve objekte SQL Servera i ovdje ćemo uskoro vidjeti snimku zaslona. Također izvješćujemo i analiziramo dopuštenja za korisnike, grupe i uloge. Jedna od drugih značajki je pružanje detaljnih izvještaja o sigurnosnom riziku. Imamo izvješća bez okvira i sadrži fleksibilne parametre za vas kako biste stvorili vrste izvještaja i prikazali podatke koje zahtijevaju revizori, zaštitari i upravitelji.
Kao što sam spomenula, možemo usporediti i promjene sigurnosti, rizika i konfiguracije tijekom vremena. A oni su sa snimkama. A ti se snimci mogu konfigurirati u onoliko koliko ih želite - mjesečno, tromjesečno, godišnje - što se može zakazati unutar alata. I opet, možete napraviti usporedbe da biste vidjeli što se promijenilo i što je lijepo u tome ako ste imali kršenje pravila, mogli biste stvoriti snimak nakon što je ispravljen, napraviti usporedbu i vidjet ćete da je postojala visoka razina rizik povezan s prethodnim snimkom, a zatim prijavite, zapravo vidite u sljedećem snimku nakon što je ispravljen da to više nije problem. To je dobar alat za reviziju koji biste mogli dati revizoru, izvještaj koji ste mogli dati revizorima i reći: „Gledajte, imali smo taj rizik, ublažili smo ga i sada to više nije rizik.“ I, opet, ja koji se spominju uz snimke na koje možete upozoriti kada se promijeni konfiguracija i ako se konfiguracija promijeni i otkriju, što predstavlja novi rizik, bit ćete obaviješteni i o tome.
Postavljamo neka pitanja o našoj SQL Server arhitekturi sa Secureom i želim ispraviti slajd ovdje gdje piše "Usluga prikupljanja." Mi nemamo nikakve usluge, trebao je biti "Upravljanje i zbirka poslužitelja. "Imamo svoju konzolu, a zatim naš Server za upravljanje i prikupljanje podataka i imamo snimanje bez agenta koji će izaći na baze podataka koje su registrirane i prikupiti podatke putem radnih mjesta. A mi imamo SQL Server repozitorij i radimo zajedno sa SQL Server Reporting Services kako bismo zakazali izvješća i kreirali prilagođena izvješća. Sada na sigurnosnoj kartici izvještaja ovo je prvi zaslon koji ćete vidjeti kada se pokrene SQL Secure. Lako ćete vidjeti koje ste kritične stavke otkrili. I opet, imamo uspone, medije i padove. A onda imamo i politike koje su u skladu s određenim sigurnosnim provjerama. Imamo predložak HIPAA; imamo predloge IDERA razine sigurnosti 1, 2 i 3; imamo PCI smjernice. Sve su to predloške koje možete koristiti i, opet, možete stvoriti vlastiti predložak, temeljen i na vašim vlastitim kontrolama. I, opet, mogu se mijenjati. Možete stvoriti vlastiti. Bilo koja od postojećih predložaka može se koristiti kao početna crta, a zatim ih možete modificirati kako želite.
Jedna od lijepih stvari je vidjeti tko ima dopuštenja. S ovim zaslonom ovdje ćemo moći vidjeti koje su prijave na SQL Server u poduzeću, a vi ćete moći vidjeti sva dodijeljena i efektivna prava i dozvole u bazi podataka na poslužitelju na razini objekta. To radimo ovdje. Ponovno ćete moći odabrati baze podataka ili poslužitelje, a zatim ćete moći podići izvještaj o dozvolama SQL Servera. Tako možete vidjeti tko ima čemu pristup. Još jedna lijepa značajka je to što ćete moći uspoređivati sigurnosne postavke. Recimo da ste imali standardne postavke koje ste morali postaviti u vašem poduzeću. Tada ćete moći usporediti sve svoje poslužitelje i vidjeti koje su postavke postavljene na ostalim poslužiteljima u vašem poduzeću.
Opet, predloške politika, to su neki od predložaka koje imamo. U osnovi, opet se koristiš jednim od njih, kreiraš svoje. Možete izraditi vlastitu politiku, kao što se vidi ovdje. Koristite jednu od predložaka i po potrebi ih možete izmijeniti. Također možemo vidjeti efektivna prava SQL Servera. Time će se provjeriti i dokazati da su dozvole ispravno postavljene za korisnike i uloge. Opet možete otići tamo i pogledati, vidjeti i provjeriti jesu li dopuštenja pravilno postavljena za korisnike i uloge. Zatim s pravima pristupa objektu SQL Server možete pregledavati i analizirati stablo objekata SQL Server prema dolje od razine poslužitelja do uloga i krajnjih točaka na razini objekta. I odmah možete vidjeti dodijeljena i učinkovita naslijeđena dopuštenja i svojstva koja se odnose na sigurnost na razini objekta. Ovo vam daje dobar prikaz pristupa objektima vaše baze podataka i onima koji imaju pristup tim.
Ponovo imamo svoja izvješća koja imamo. Oni su izvješća u konzervi, imamo ih nekoliko koje možete odabrati da biste napravili svoje izvještavanje. Mnogo toga se može prilagoditi ili možete imati svoja korisnička izvješća i koristiti to zajedno sa službama izvješćivanja i moći od tamo kreirati vlastita prilagođena izvješća. Sada, Usporedbe snimka, ovo je prilično cool značajka, mislim da tamo gdje možete izaći i možete usporediti svoje snimke i pogledati da li postoje razlike u broju. Dodaju li se neki objekti, jesu li dozvole koje su se promijenile, bilo što što bismo mogli vidjeti koje su promjene napravljene između različitih snimaka. Neki će ih gledati na mjesečnoj razini - napravit će mjesečni snimak, a zatim će svaki mjesec napraviti usporedbu da vide je li se nešto promijenilo. A ako nije bilo ništa što je trebalo promijeniti, bilo što što je otišlo na sastanke o kontroli promjena, a vidite da su neka dopuštenja promijenjena, možete se vratiti da pogledate što se dogodilo. Ovo je prilično lijepa značajka u kojoj možete opet usporediti sve što se vrši u okviru snimke.
Tada vaša usporedba procjene. To je još jedna lijepa osobina koju imamo tamo gdje možete otići i pogledati procjene, a zatim ih usporediti i primijetiti da je ovdje usporedba imala SA račun koji nije onemogućen u ovom nedavnom snimku koji sam učinio - to sada je ispravljena. To je prilično lijepa stvar u kojoj možete pokazati da smo, u redu, imali određeni rizik, oni su bili identificirani pomoću alata, a sada smo te rizike ublažili. I, opet, ovo je dobro izvješće koje je revizorima pokazalo da su ti rizici ublaženi i da su zbrinuti.
Ukratko, sigurnost baze podataka presudna je, i mislim da puno puta gledamo kršenja koja dolaze iz vanjskih izvora, a ponekad zapravo ne obraćamo previše pozornosti na unutarnja kršenja i to su neke od stvari koje treba paziti. A Secure će vam tamo pomoći da osigurate da ne postoje privilegije kojima nije potrebno dodijeliti, znate, provjerite jesu li sve te sigurnosti ispravno postavljene na račune. Provjerite imaju li vaše lozinke na SA računima. Također provjerava, jesu li vaši ključevi za šifriranje izvezeni? Samo nekoliko različitih stvari koje provjeravamo i upozorit ćemo vas da li je postojao problem i na kojoj je razini. Potreban nam je alat, puno stručnjaka treba alate za upravljanje i nadziranje dozvola za pristup bazi podataka, a mi zapravo gledamo pružanje opsežne sposobnosti za kontrolu dozvola baze podataka i praćenja aktivnosti pristupa i ublažavanje rizika od kršenja.
Sada je još jedan dio naših sigurnosnih proizvoda to što je webEx pokriven i dio prezentacije o kojoj smo razgovarali ranije su podaci. Znate tko pristupa čemu, što imate i to je naš SQL Compliance Manager alat. A na tom alatu postoji snimljeni WebEx koji će vam zapravo omogućiti da nadzirate kome pristupaju tablice, koji stupovi, možete prepoznati tablice koje imaju osjetljive stupce, što se tiče datuma rođenja, podataka o pacijentu, te vrste tablica i zapravo vidjeti tko ima pristup tim informacijama i ako se tome pristupa.
Eric Kavanagh: U redu, pa uđimo u pitanja, valjda, ovdje. Možda, Dez, prebacit ću ti to prvo, a Robin, javi se koliko možeš.
Dez Blanchfield: Da, srušio sam se postaviti pitanje sa drugog i trećeg dijapozitiva. Koji je tipični slučaj upotrebe za ovaj alat? Tko su najčešći tipovi korisnika koji vide da to prihvaćaju i stavljaju u igru? A na poleđini tog, tipičnog, vrsta korištenog modela slučaja, kako se to događa? Kako se provodi?
Ignacio Rodriguez: U redu, tipični slučaj upotrebe koji imamo imamo DBA-e kojima je dodijeljena odgovornost kontrole pristupa bazi podataka, koji osiguravaju da su sva dopuštenja postavljena onako kako trebaju biti, a zatim prate, i njihove standarde na mjestu. Znate, tim određenim korisničkim računima može se pristupiti samo tim određenim tablicama, itd. A ono što oni rade je osiguravanje da su ti standardi postavljeni i da se ti standardi nisu mijenjali kroz vrijeme. A to je jedna od velikih stvari za koju ljudi koriste to da prate i utvrde jesu li uvedene neke promjene za koje nisu poznate.
Dez Blanchfield: Budući da su one zastrašujuće, zar ne? Je li to možda, recimo, strateški dokument, imate politike koje su poduprte tome, ispod toga imate usaglašenost i upravljanje, a vi slijedite politike, pridržavate se upravljanja i to dobiva zeleno svjetlo i onda odjednom, mjesec dana kasnije, netko uvede promjenu i iz nekog razloga to ne prođe kroz isti odbor za izmjenu ili postupak promjene, ili kakav god to bio, ili se projekt tek nastavio i nitko ne zna.
Imate li primjere koje možete dijeliti - a znam da, očito, nije uvijek nešto što dijelite, jer se klijenti pomalo brinu zbog toga, pa ne moramo nužno imenovati imena - ali dajte nam primjer gdje možda je to zapravo i vidio, znate, organizacija je to postavila na mjesto bez da je shvatila, i oni su samo nešto pronašli i shvatili: "Jao, vrijedilo je deset puta, samo smo našli nešto što nismo shvatili." bilo koji primjer gdje su ljudi to primijenili i otkrili da imaju veći problem ili pravi problem koji nisu shvatili da imaju i onda se odmah dodaje na popis božićnih čestitki?
Ignacio Rodriguez: Pa mislim da je najveća stvar koju smo vidjeli ili prijavili ono što sam upravo spomenuo, što se tiče pristupa koji je netko imao. Tu su programeri i kad su implementirali alat, stvarno nisu shvatili da je X količina tih programera imala toliko pristupa u bazu podataka i pristup određenim objektima. I još jedna stvar, računi samo za čitanje. Doznali su da postoje računi samo za čitanje, saznajte da su zapravo ovi računi samo za čitanje, imali su i podatke i brisanje privilegija. Tu smo vidjeli neku korist za korisnike. Velika je stvar, opet, čuli smo da ljudi vole, da je u stanju pratiti promjene i paziti da ih ništa ne zaslijepi.
Dez Blanchfield: Pa kako je Robin istaknuo, imate scenarije nad kojima ljudi često ne razmišljaju, zar ne? Kad se radujemo, nekako mislimo, znate, ako radimo sve u skladu s pravilima, a ja pronađem i siguran sam da i vi to vidite - recite mi ako se ne slažete s tim - organizacije se tako fokusiraju snažno razvijaju strategiju i politiku te usklađenost i upravljanje te KPI-jeve i izvještavanje da se često toliko usredotoče na to da ne razmišljaju o odmetnicima. I Robin je imao stvarno sjajan primjer kojeg ću ukrasti od njega - oprosti Robin - ali primjer je drugi put kad se uživo kopija baze podataka, snimak i stavlja u test razvoja, zar ne? Radimo dev, radimo testove, radimo UAT, radimo integraciju sustava, sve takve stvari i tada radimo gomilu testova usklađenosti. Često dev test, UAT, SIT zapravo ima komponentu usklađenosti gdje se samo mi osiguravamo da je sve zdravo i sigurno, ali to ne rade svi. Ovaj primjer koji je Robin dao sa kopijom žive kopije baze podataka stavljen je u test s razvojnim okruženjem da provjeri radi li još uvijek s podacima uživo. Vrlo malo tvrtki sjedi i razmišlja: "Je li se to uopće događa ili je to moguće?" Uvijek su fokusirane na proizvodne stvari. Kako izgleda putovanje implementacije? Govorimo li o danima, tjednima, mjesecima? Kako izgleda uobičajena implementacija za organizaciju prosječne veličine?
Ignacio Rodriguez: Dani. Nije čak ni dan, mislim, to je samo nekoliko dana. Upravo smo dodali značajku gdje možemo registrirati mnogo, puno poslužitelja. Umjesto da uđete tamo u alat i kažete da imate 150 poslužitelja, morali ste pojedinačno ući unutra i registrirati poslužitelje - sada to ne morate činiti. Postoji CSV datoteka koju stvorite i automatski je uklanjamo i ne zadržavamo je zbog sigurnosnih razloga. Ali to je druga stvar koju moramo uzeti u obzir, a to je da ćete imati CSV datoteku vani s korisničkim imenom / lozinkom.
Ono što radimo jest da automatski uradimo, je li to ponovo da izbrišemo, ali to je opcija koju imate. Ako želite pojedinačno ući tamo i registrirati ih, a ne želite preuzeti rizik, to možete učiniti. Ali ako želite koristiti CSV datoteku, stavite je na sigurno mjesto, usmjerite aplikaciju na tu lokaciju, ona će pokrenuti tu CSV datoteku i automatski se postavlja da izbriše datoteku nakon što to učini. I ići će i provjeriti je li datoteka uklonjena. Najduži stup u pijesku koji smo imali po pitanju implementacije bila je registracija stvarnih poslužitelja.
Dez Blanchfield: Dobro. Sad ste razgovarali o izvješćima. Možete li nam dati malo više detalja i uvida u ono što dolazi unaprijed u vezi s izvještavanjem oko, pretpostavljam, komponente otkrića gledanja onoga što je unutra i izvještavanja o tome, trenutnog stanja nacije, onoga što dolazi unaprijed, izgrađeno i unaprijed pripremljeno za izvješća o trenutnom stanju poštivanja i sigurnosti, a potom koliko su lako proširiva? Kako ćemo graditi na tim?
Ignacio Rodriguez: Dobro. U nekim izvješćima koja imamo, imamo izvješća koja se bave cross-serverom, provjerama prijave, filtrima za prikupljanje podataka, poviješću aktivnosti, a zatim izvješćima o procjeni rizika. I također bilo koji Windows sumnjivi račun. Ovdje je mnogo, puno. Pogledajte sumnjive SQL prijave, prijave na poslužitelj i mapiranje korisnika, korisnička dopuštenja, sva korisnička dopuštenja, uloge poslužitelja, uloge baze podataka, izvjesnu količinu ranjivosti koju imamo ili izvješća za provjeru autentičnosti u mješovitom načinu, baze podataka sa omogućenim gostima, ranjivost OS-a putem XPS-a, proširene procedure, a zatim i ranjive fiksne uloge. To su neka od izvještaja koja imamo.
Dez Blanchfield: Spomenuli ste da su oni dovoljno značajni i da ih ima niz, što je logična stvar. Koliko je lako prilagoditi ga? Ako pokrenem izvještaj i dobijem ovako sjajan grafikon, ali želim izvaditi neke dijelove koji me baš i ne zanimaju i dodati još par značajki, postoji li pisac izvještaja, postoji li neko sučelje i alat za konfiguriranje i prilagođavanje ili čak potencijalno sastavljanje drugog izvještaja ispočetka?
Ignacio Rodriguez: Tada bismo korisnike usmjerili na korištenje usluga Microsoft SQL Report Report, a imamo mnogo kupaca koji će zapravo uzeti neka od izvještaja, prilagoditi ih i zakazati kad god to požele. Neki od ovih ljudi žele vidjeti ta izvješća mjesečno ili tjedno, a oni će preuzeti podatke koje imamo, premjestiti ih u usluge izvještavanja, a zatim to učiniti odatle. Nismo integrirali sastavljača izvještaja s našim alatom, ali koristimo usluge Reporting Services.
Dez Blanchfield: Mislim da je to jedan od najvećih izazova s ovim alatima. Možete ući tamo i pronaći stvari, ali tada ga morate moći izvaditi i prijaviti ljudima koji nisu nužno DBA i inženjeri sustava. Postoji moja zanimljiva uloga u mom iskustvu, a to je da znate da su službenici za rizik uvijek bili u organizacijama i da su oni uglavnom bili prisutni i potpuno drugačiji raspon rizika koji smo vidjeli nedavno, dok sada s podacima ako kršenje ne postane samo stvar, već stvarni tsunami, CRO je prešao iz, znate, HR i usklađenosti te zaštite zdravlja i zaštite na radu sada u kibernetski rizik. Znate, kršenje, hakiranje, sigurnost - puno više tehničkog. A to je zanimljivo jer ima puno CRO-ova koji potječu iz MBA rodoslovnog, a ne tehničkog pedigrea, tako da se oni moraju zaviriti u neku ruku, što to znači za prijelaz između cyber rizika prelaska na CRO i tako dalje. Ali velika stvar koju žele je samo izvještavanje o vidljivosti.
Možete li nam reći što se tiče pozicioniranja u pogledu poštivanja propisa? Očito je da je jedna od glavnih prednosti toga što možete vidjeti što se događa, možete to pratiti, možete učiti, možete izvještavati o tome, možete reagirati, čak možete pretpostaviti neke stvari. Opći izazov je usklađenost s upravljanjem. Postoje li ključni dijelovi ovoga koji se namjerno povezuju sa postojećim zahtjevima usklađenosti ili saglasnosti u industriji, poput PCI-ja, ili nešto takvo trenutno ili se radi o nečem što se spušta s mape puta? Da li se, nekako, uklapa u okvir sličnih COBIT, ITIL i ISO standardima? Ako smo upotrijebili ovaj alat, pruža li nam niz provjera i ravnoteža koji se uklapaju u te okvire ili kako ga ugraditi u te okvire? Gdje je položaj s takvim stvarima na umu?
Ignacio Rodriguez: Da, imamo predloge koje isporučujemo s alatom. I opet dolazimo do točke kada preispitujemo svoje predloške, dodajemo i uskoro će biti još toga. FISMA, FINRA, neki od dodatnih predložaka koje imamo i obično pregledavamo predloške i gledamo da vidimo što se promijenilo, što trebamo dodati? I zapravo želimo doći do točke gdje su se, znate, sigurnosni zahtjevi dosta promijenili, pa smo u potrazi za načinom kako to povećati u tren oka. To je nešto što gledamo u budućnosti.
Ali upravo sada gledamo možda stvaranje predložaka i njihovo dobivanje s web stranice; možete ih preuzeti. I tako postupamo - rješavamo ih putem predložaka, a mi u budućnosti tražimo načine da se to brzo i brzo proširi. Jer kad sam radio reviziju, stvari se mijenjaju. Revizor će doći mjesec dana, a sljedeći mjesec žele vidjeti nešto drugačije. Tada je to jedan od izazova s alatima, biti u mogućnosti izvršiti te promjene i dobiti ono što vam treba, a to je, na neki način, tamo gdje želimo doći.
Dez Blanchfield: Pretpostavljam da se izazov revizora redovito mijenja s obzirom na činjenicu da se svijet brže kreće. Nekada da je zahtjev s gledišta revizije, po mom iskustvu, bio samo komercijalna sukladnost, a onda je to postala tehnička usklađenost, a sada operativna usklađenost. A ima i svih ovih ostalih, znate, svaki dan se netko pojavi i ne mjeri vas samo na nečemu poput operacija ISO 9006 i 9002, i gleda sve vrste stvari. I vidim da sada 38.000 serije postaju velika stvar i u ISO-u. Zamišljam da će to postati sve izazovnije. Uskoro ću predati Robinu jer sam probio širinu pojasa.
Puno vam hvala na tome, i definitivno ću provesti više vremena upoznavajući to jer zapravo nisam shvatio da je to zapravo prilično duboko. Dakle, hvala, Ignacio, sada ću predati Robina. Odlična prezentacija, hvala. Robin, preko tebe.
Dr. Robin Bloor: U redu, Iggy, nazvat ću te Iggy, ako je to u redu. Ono što me zbunjuje i mislim da, u svjetlu nekih stvari koje je Dez rekao u svojoj prezentaciji, vani se događa puno toga što morate reći da ljudi stvarno ne paze na podatke. Znate, pogotovo kada se svodi na činjenicu da vidite samo dio ledenog brijega i vjerojatno se mnogo toga događa oko toga da nitko ne izvještava. Zanima me vaša perspektiva koliko kupaca kojih ste svjesni ili potencijalnih kupaca kojih ste upoznati imaju razinu zaštite koju, nekako, nudite, a ne samo s ovim, ali i vašu tehnologiju pristupa podacima? Mislim, ko je tamo dobro opremljen za rješavanje prijetnji, pitanje je?
Ignacio Rodriguez: Tko je pravilno opremljen? Mislim, puno kupaca koje zaista nismo odgovorili na bilo kakvu reviziju, znate. Imali su ih, ali velika je stvar pokušavati držati korak s njim i pokušavati ga održavati i osigurati. Veliki problem koji smo vidjeli je - pa čak i ja kada sam to činio, - ako biste pokrenuli svoje skripte, to biste radili jednom u tromjesečju kada bi revizori ušli i otkrili problem. Pa, pogodite što, to je već prekasno, revizija je tamo, revizori su tamo, žele svoj izvještaj, oni to označavaju. I onda ili dobijemo ocjenu ili su nam rekli, hej, trebamo riješiti ta pitanja i to je stvar u kojoj bi to došlo. Bilo bi više stvar proaktivnog tipa gdje možete pronaći svoj rizik i umanjiti rizik. što naši kupci traže. Način da bude pomalo proaktivan, za razliku od reaktivnog djelovanja kad revizori uđu i pronađu neke pristupe nisu tamo gdje trebaju biti, drugi ljudi imaju administrativne privilegije i ne bi ih trebali imati, takve vrste stvari. I ondje smo vidjeli mnogo povratnih informacija, da je ljudima draži alat i za koji ga koriste.
Dr. Robin Bloor: U redu, imam još jedno pitanje koje je, u određenom smislu, i očigledno pitanje, ali samo sam znatiželjan. Koliko ljudi zapravo dođe k vama usred haka? Gdje, znate, poslujete, ne zato što su gledali njihovo okruženje i zaključili da ih treba osigurati na mnogo organiziraniji način, nego zapravo tamo ste jednostavno zato što su već pretrpjeli neke od bol.
Ignacio Rodriguez: U svoje vrijeme ovdje u IDERI nisam ga vidio. Da budem iskren prema vama, većina interakcija s klijentima s kojima sam sudjelovala više se raduje i pokušavam započeti reviziju i započela sa gledanjem privilegija, itd. Kao što rekoh, i ja sam svoje vrijeme ovdje nisam iskusio, da smo imali nekoga ko dolazi poslije kršenja kakvog znam.
Dr. Robin Bloor: Oh, to je zanimljivo. Pomislio bih da ih je barem nekoliko. To zapravo gledam, ali i dodajem sve složenosti koje zapravo čine podatke sigurnim u cijelom poduzeću na svaki način i u svakoj vašoj aktivnosti. Nudite li izravno savjetovanje kako biste pomogli ljudima? Mislim, jasno je da možete kupiti alate, ali po mom iskustvu ljudi često kupuju sofisticirane alate i vrlo loše ih koriste. Nudite li konkretno savjetovanje - što učiniti, tko trenirati i takve stvari?
Ignacio Rodriguez: Postoje neke usluge koje biste, što se tiče pomoćnih službi, omogućile da se neke od toga pojave. Ali što se tiče savjetovanja, ne pružamo nikakve usluge savjetovanja, osim obuke, znate kako koristiti takve alate i slične stvari, neke od njih će se rješavati s razinom podrške. Ali sami po sebi nemamo odjel za usluge koji to radi i to čini.
Dr. Robin Bloor: Dobro. U pogledu baze koju pokrivate, ovdje u prezentaciji spominje se Microsoft SQL Server - radite li i Oracle?
Ignacio Rodriguez: Prvo ćemo se širiti u područje Oracle s upraviteljem usklađenosti. S tim ćemo započeti projekt, pa ćemo gledati kako to proširiti u Oracle.
Dr. Robin Bloor: A jel ćete vjerojatno ići negdje drugdje?
Ignacio Rodriguez: Da, to je nešto što moramo pogledati u putokazima i vidjeti kako stvari stoje, ali to su neke od stvari koje razmatramo, i koje druge platforme baze podataka trebaju da napadnu.
Dr. Robin Bloor: Također me je zanimao rascjep, nemam nikakvu unaprijed zamišljenu sliku o tome, ali u pogledu razmještaja, koliko je toga zapravo raspoređeno u oblaku ili je gotovo sve u pretpostavci ?
Ignacio Rodriguez: Sve u pretpostavci. Gledamo da proširimo i Secure kako bismo pokrili Azure, da.
Dr. Robin Bloor: To je bilo pitanje Azure, još niste tamo, ali idete tamo, to ima puno smisla.
Ignacio Rodriguez: Da, idemo tamo vrlo brzo.
Dr. Robin Bloor: Da, dobro, iz Microsoftovog razumijevanja sam da je puno strahota s Microsoft SQL Serverom u Azureu. Ako želite, postaje ključni dio onoga što nude. Drugo pitanje koje me nekako zanima - nije tehnički, više je poput pitanja kako raditi, tko je kupac za ovo? Da li vam se obraća IT odjel ili vam se obraćaju OCD ili je to različita raznolikost ljudi? Kad se razmišlja o nečemu takvom, je li to dio gledanja čitavog niza stvari za zaštitu okoliša? Kakva je situacija tamo?
Ignacio Rodriguez: To je mješavina. Imamo OCD-e, i to puno puta, prodajni tim će kontaktirati s DBA-ovima. A onda su DBA-i opet ovlašteni dobivanjem nekakvih politika procesa revizije. Potom će procijeniti alate i izvijestiti o lancu i donijeti odluku koji dio žele kupiti. Ali to je miješana vreća tko će nas kontaktirati.
Dr. Robin Bloor: Dobro. Mislim da ću se sada predati Eriku jer smo nekako odradili sat, ali može biti nekih pitanja publike. Eric?
Eric Kavanagh: Da, sigurno, ovdje smo izgarali puno dobrog sadržaja. Evo jednog stvarno dobrog pitanja koje ću vam prenijeti od jednog od prisutnih. Govori o blockchainu i onome o čemu govorite i pita, postoji li mogući način da se dio SQL baze podataka samo za čitanje premjesti na nešto slično onome što nudi blockchain? Neka vrsta je teška.
Ignacio Rodriguez: Da, biti ću iskren s vama, na to nemam odgovor.
Eric Kavanagh: Prebacit ću ga Robinu. Ne znam jeste li čuli to pitanje, Robine, ali on samo pita, postoji li način da se dio SQL baze podataka samo za čitanje prebaci na nešto slično onome što nudi blockchain? Što misliš o tome?
Dr. Robin Bloor: Ako idete na bazu podataka, migrirat ćete i promet baze podataka. U tome je uključen čitav niz složenosti. Ali to ne biste učinili ni iz kojeg drugog razloga osim da podaci učinite nepovredivima. Budući da će blockchain biti sporiji za pristup, tako da, znate, ako je brzina vaša stvar - a to je gotovo uvijek stvar - onda to ne biste činili. Ali ako biste nekima koji rade takvu stvar željeli pružiti šifrirani šifrirani pristup njenom dijelu, mogli biste to učiniti, ali to bi morali imati vrlo dobar razlog. Mnogo je vjerojatnije da ćete ga ostaviti tamo gdje jest i osigurati ga tamo gdje jest.
Dez Blanchfield: Da, slažem se s tim, ako uspijem brzo uskladiti. Mislim da je izazov blockchaina, čak i blockchaina koji je javno vani, korišten na bitcoin-u - teško da ćemo ga širiti preko, nekako, četiri transakcije u minuti na potpuno distribuirani način. Ne toliko zbog računarskog izazova, iako je tamo, puni čvorovi samo smatraju da je teško pratiti količinu baze podataka koja se kreće naprijed-naprijed i količinu podataka koji se kopiraju jer su sad već svirke, a ne samo megs.
No, mislim da je ključni izazov i to što trebate promijeniti arhitekturu aplikacije, jer u bazi podataka uglavnom je dovođenje svega na središnje mjesto, a vi imate model tipa klijent-poslužitelj. Blockchain je obrnut; radi se o distribuiranim primjercima. Na mnogo je načina sličan BitTorrentu, a to je da je puno primjeraka vani istih podataka. I, znate, poput Cassandra i baza podataka u memoriji gdje ih distribuirate, a puno poslužitelja može vam dati kopije istih podataka iz distribuiranog indeksa. Mislim da su dva ključna dijela, kao što ste rekli, Robin, jedan: ako ga želite osigurati i osigurati da ga ne mogu ukrasti ili hakirati, to je sjajno, ali to još uvijek nije nužno transakcijska platforma, a mi to sam doživio s projektom bitcoin. Ali u teoriji su ga drugi riješili. Isto tako, u arhitektonskom smislu mnoge aplikacije vani jednostavno ne znaju kako upitati i čitati s blockchaina.
Tamo se mora puno raditi. Ali mislim da je ključna stvar s tim pitanjem, samo ako mogu, obrazloženje premještanja u blockchain, mislim da je pitanje koje se postavlja može li izvaditi podatke iz baze podataka i staviti ih u neki oblik koji je sigurniji? A odgovor je, možete ga ostaviti u bazi podataka i samo ga šifrirati. Sad postoji puno tehnologija. Samo šifrirajte podatke u mirovanju ili u pokretu. Nema razloga zašto ne možete kriptirane podatke imati u memoriji i bazi podataka na disku, što je daleko jednostavniji izazov jer nemate nijednu arhitektonsku promjenu. Neizbježno većina platformi baza podataka, to je zapravo samo značajka koja se uključuje.
Eric Kavanagh: Da, imamo posljednje pitanje koje ću vam prenijeti, Iggy. Prilično je dobar. Iz perspektive SLA i planiranja kapaciteta, kakav porez možete koristiti vašim sustavom? Drugim riječima, bilo koja dodatna kašnjenja ili prekomjerna propusnost ako u sustav proizvodnih baza podataka netko želi ovdje uključiti IDERA-ino tehnologiju?
Ignacio Rodriguez: Mi stvarno ne vidimo veliki utjecaj. Opet je to proizvod bez agensa i sve ovisi o, kako sam već spomenuo, snimkama. Sigurnost temelji se na snimkama. Izlazit će vani i zapravo stvoriti posao koji će izaći na temelju intervala koje ste odabrali. Ili to želite učiniti, opet, tjedno, dnevno, mjesečno. Izaći će tamo i izvršiti taj posao, a zatim prikupiti podatke iz instanci. Tada se teret vraća u usluge upravljanja i prikupljanja, nakon što započnete usporedbe i slično, opterećenje baze podataka u tome ne igra ulogu. Sve to opterećenje je sada na poslužitelju za upravljanje i prikupljanje podataka, što se tiče usporedbe i svih izvještaja i svega toga. Jedini put kad pogodite bazu podataka uvijek je kad se pravi stvarni snimak. A zapravo nismo ni imali izvješća da je to stvarno štetno za proizvodna okruženja.
Eric Kavanagh: Da, to je zaista dobra stvar koju tamo imaš. U osnovi možete samo postaviti koliko snimaka ikada snimite, koliki je taj vremenski interval i ovisno o tome što se može dogoditi, ali to je vrlo inteligentna arhitektura. To je dobra stvar, čovječe. Pa, vi ste na prvoj liniji, pokušavajući nas zaštititi od svih onih hakera o kojima smo razgovarali u prvih 25 minuta emisije. A oni su vani, narode, ne griješite.
Pa, slušajte, objavit ćemo vezu do ove webcast, arhiva, na našoj web stranici insideanalysis.com. Možete pronaći stvari na SlideShareu, možete ih pronaći na YouTubeu. I ljudi, dobre stvari. Hvala na vašem vremenu, Iggy, usput volim tvoj nadimak. S tim ćemo se pozdraviti, narode. Hvala vam puno na vašem vremenu i pažnji. Slijedićemo vas sljedeći put. Doviđenja.