Zobrať: Hostiteľ Eric Kavanagh diskutuje o bezpečnosti a povoleniach s Dr. Robinom Bloorom a IDERAs Vicky Harp.
Momentálne nie ste prihlásení. Ak chcete vidieť video, prihláste sa alebo sa zaregistrujte.
Eric Kavanagh: OK, dámy a páni, opäť sa pozdravte. Je to streda, jej štyri východné a vo svete podnikových technológií, čo pre Hot Technologies znamená opäť čas! Ano, naozaj. Prezentované skupinou Bloor, samozrejme, poháňané našimi priateľmi v Techopedia. Téma pre dnešok je skutočne cool: „Lepšie sa opýtať na povolenie: Osvedčené postupy v oblasti ochrany súkromia a bezpečnosti.“ To je pravda, je to druh náročnej témy, o ktorej veľa ľudí hovorí, ale je to dosť vážne, a je to naozaj vážnejšie každý deň, úprimne povedané. Pre mnohé organizácie je to v mnohých ohľadoch závažným problémom. Chceli sme sa o tom porozprávať a hovoriť o tom, čo môžete urobiť, aby ste svoju organizáciu ochránili pred škodlivými postavami, ktoré sa v týchto dňoch zdajú byť všade.
Dnešný moderátor teda volá Vicky Harp z IDERA. Môžete vidieť softvér IDERA na LinkedIn - Mám rád novú funkčnosť na LinkedIn. Aj keď viem, že ťahajú niektoré struny určitým spôsobom, nedovoľujú vám prístup k ľuďom, snažia sa vás prinútiť kúpiť tieto prémiové členstvá. Tam máš, máme vlastného Robina Bloora, ktorý sa dnes volá v San Diegu. A skutočne ako moderátor / analytik.
O čom to teda hovoríme? Porušenia údajov. Tieto informácie som vzal z IdentityForce.com, ktorý je už vypísaný na preteky. Boli samozrejme v máji tohto roku a je tu len niekoľko porušení údajov, Yahoo! bol veľký a počuli sme samozrejme o tom, že americká vláda bola hacknutá. Práve sme nechali hacknúť francúzske voľby.
Deje sa to všade, jej pokračovanie a nezastavenie, takže je to realita, jej nová realita, ako sa hovorí. Naozaj musíme myslieť na spôsoby, ako presadiť bezpečnosť našich systémov a našich údajov. A je to prebiehajúci proces, takže je práve načase premýšľať o všetkých rôznych otázkach, ktoré prichádzajú do hry. Toto je iba čiastočný zoznam, ale to vám dáva určitý pohľad na to, aká neistá je situácia v súčasnosti v podnikových systémoch. A pred touto prehliadkou sme v našom predsavzatí žartovali o ransomware, ktorý zasiahol niekoho, koho poznám, čo je veľmi nepríjemný zážitok, keď niekto prevezme váš iPhone a požaduje od vás peniaze, aby ste získali späť prístup k telefónu. Ale stáva sa to, stáva sa to počítačom, stáva sa to systémom, videl som len druhý deň, ako sa to stalo miliardárom so svojimi jachtami. Predstavte si, že jedného dňa pôjdete na svoju jachtu, pokúšate sa zapôsobiť na všetkých svojich priateľov a nemôžete ju zapnúť, pretože nejaký zlodej ukradol prístup k ovládacím prvkom, k ovládaciemu panelu. Práve som povedal, že jedného dňa v rozhovore s niekým mám vždy manuálne prepísanie. Páči sa mi, že nie som veľký fanúšik všetkých pripojených automobilov - dokonca aj autá môžu byť hacknuté. Čokoľvek, čo je pripojené k internetu alebo pripojené k sieti, ktorú je možné preniknúť, môže byť hacknuté, čokoľvek.
Takže tu je len pár bodov, ktoré treba zvážiť, pokiaľ ide o vymedzenie toho, aká vážna je situácia. Webové systémy sú dnes všade všade a neustále sa množia. Koľko ľudí nakupuje veci online? V súčasnosti je práve cez strechu, preto je Amazon v týchto dňoch tak silnou silou. Je to preto, že toľko ľudí nakupuje veci online.
Takže si pamätáte vtedy, pred 15 rokmi, ľudia boli dosť nervózni, keď vložili svoju kreditnú kartu do webového formulára, aby dostali svoje informácie, a vtedy bol argument: „No, ak svoju kreditnú kartu odovzdáte čašníkovi na reštaurácia, potom to je to isté. “Takže naša odpoveď je áno, je to to isté, existujú všetky tieto kontrolné body alebo prístupové body, to isté, iná strana tej istej mince, kam môžu byť ľudia vložení do ohrozenia, kde niekto môže vziať vaše peniaze, alebo niekto vás môže ukradnúť.
Potom IoT samozrejme rozširuje hrozbu - milujem to slovo - rádovo. Myslím tým, že na to - so všetkými týmito novými zariadeniami všade, ak niekto môže preniknúť do systému, ktorý ich ovláda, môže obrátiť všetky tie roboty proti vám a spôsobiť veľa a veľa problémov, takže to je veľmi vážny problém. Dnes máme globálnu ekonomiku, ktorá ešte viac rozširuje hrozbu a navyše máte ľudí v iných krajinách, ktorí majú prístup na web rovnako ako vy a ja, a ak neviete, ako hovoriť rusky alebo ľubovoľný počet ďalších jazykov, budete ťažko vedieť, čo sa deje, keď sa dostanú do vášho systému. Takže máme pokroky v sieťovaní a virtualizácii, to je dobré.
Mám však na pravej strane tohto obrázku meč a dôvod, prečo ho mám, je ten, že každý meč preťáva obe strany. Ako sa hovorí, je to dvojsečný meč a je to staré klišé, ale to znamená, že meč, ktorý mám, vám môže ublížiť alebo mi môže ublížiť. Môže sa to na mňa vrátiť buď odrazom alebo niekým, kto to vezme. Je to vlastne jedna z Aesopových bájok - často dávame našim nepriateľom nástroje našej vlastnej deštrukcie. Je to skutočne presvedčivý príbeh a má to spoločné s niekým, kto použil luk a šípy a zostrelil vtáka a vták videl, ako sa šípka blížila, že perie od jedného z jeho vtáčích priateľov bolo na okraji šípky, na zadnej strane šípky, ktorá ho viedla, a on si pomyslel: „Ó, človeče, tu je moje vlastné perie, moja vlastná rodina ma použije na to, aby ma zobrala.“ To sa stáva stále, počuješ štatistiky o tom, že v dome máte zbraň, zlodej môže zbraň vziať. To všetko je pravda. Takže, keď som to vyhodil ako analógiu, ktorú treba vziať do úvahy, všetky tieto rôzne výdobytky majú pozitívne a negatívne stránky.
A keď už hovoríme o kontajneroch pre tých z vás, ktorí skutočne sledujú špičku podnikovej výpočtovej techniky, kontajnery sú najnovšou vecou, najnovším spôsobom poskytovania funkčnosti, je to skutočne manželstvo virtualizácie v architektúre orientovanej na služby, prinajmenšom pre mikroprocesie a ich služby. veľmi zaujímavé veci. Svoje bezpečnostné protokoly, aplikačné protokoly a údaje a ďalšie údaje si určite môžete zahladiť pomocou kontajnerov, čo vám poskytne čas na vopred, ale skôr alebo neskôr si to nájdu zločinci a potom bude ešte ťažšie zabrániť tomu, aby mohli využívať výhody vašich systémov. Preto existuje globálna pracovná sila, ktorá komplikuje sieť a bezpečnosť a odkiaľ sa ľudia prihlasujú.
Weve dostal vojny prehliadača, ktoré pokračujú v tempe, a vyžadujú si neustálu prácu na aktualizácii a udržiavaní prehľadu vecí. Stále sledujeme staré prehliadače Microsoft Explorer, ako boli v nich hacknuté a dostupné. Takže, v dnešnej dobe je na hackerstve viac peňazí, je to celé odvetvie, to je niečo, čo ma môj partner, Dr. Bloor, naučil pred osem rokmi - premýšľal som, prečo to tak vidíme, a on pripomenul. ja, je to celé odvetvie zapojené do hackingu. A v tomto zmysle je rozprávanie, ktoré je jedným z mojich najobľúbenejších slov o bezpečnosti, veľmi nečestné, pretože rozprávanie vám ukáže všetky tieto videá a akékoľvek spravodajstvo, niektoré hackerstvá, ukážu nejakého chlapa v kapucni a sedí v jeho suteréne v tmavom osvetlenej miestnosti to vôbec nie je. To vôbec nepredstavuje realitu. Jeho osamelí hackeri, je ich veľmi málo, sú tam vonku, spôsobujú nejaké problémy - nespôsobia veľké problémy, ale dokážu zarobiť veľa peňazí. Čo sa stane, keď hackeri vstúpia a preniknú do vášho systému a potom tento prístup predajú niekomu inému, kto sa otočí a predá ho niekomu inému a potom niekde dole, niekto zneužije tento hack a využije vás. A existuje nespočet spôsobov, ako využiť ukradnuté údaje.
Dokonca som sa divil sebe, ako sme tento koncept okúzľovali. Tento pojem vidíte všade, „hackovanie rastu“ je dobré. Rast hackovanie, viete, hackovanie môže byť dobrá vec, ak sa snažíte pracovať pre dobrých ľudí tak, aby ste mohli hovoriť a preniknúť do systému, ako keby sme sa stále dopočuli o Severnej Kórei a ich vypustení rakiet, ktorá by mohla byť napadnutá - to je dobré , Hacking je však často zlá vec. Takže teraz to okúzľovali, takmer ako Robin Hood, keď sme okúzľovali Robina Hooda. A potom je tu bezhotovostná spoločnosť, niečo, čo sa úprimne týka denných svetiel odo mňa. Všetko, čo si myslím, že zakaždým, keď začujem, je: „Nie, nerobte to! Prosím, nechcem! “Nechcem, aby všetky naše peniaze zmizli. Toto sú len niektoré problémy, ktoré je potrebné zvážiť a znova, je to hra pre mačky a myši; nikdy sa nezastaví, vždy budú potrebné bezpečnostné protokoly a pokrokové bezpečnostné protokoly. A na sledovanie vašich systémov, aby ste vedeli a cítili, kto je tam vonku, s tým, že to môže byť dokonca vnútorná práca. Takže, je to pokračujúci problém, bude to nejaký nepretržitý problém - nemýľte sa s tým.
A s tým im to odovzdám Dr. Bloorovi, ktorý sa s nami môže podeliť o niektoré myšlienky týkajúce sa zabezpečenia databáz. Robin, zober to.
Robin Bloor: Dobre, jeden zo zaujímavých hackov, myslím, že k tomu došlo asi pred piatimi rokmi, ale v podstate to bola hackerská spoločnosť, ktorá spracovávala karty. A odcudzilo sa veľa detailov kariet. Ale zaujímavá vec bola pre mňa skutočnosť, že to bola testovacia databáza, do ktorej sa skutočne dostali, a pravdepodobne to bolo tak, že mali veľké problémy dostať sa do skutočnej, skutočnej databázy spracovateľských kariet. Ale viete, ako to je s vývojármi, jednoducho urobia rez databázy a tam ju strčia. Na zastavenie by bolo treba oveľa väčšiu ostražitosť. Ale je tu veľa zaujímavých hackerských príbehov, ktoré sa vyrábajú v jednej oblasti, je to veľmi zaujímavý predmet.
Takže ja vlastne tak či onak opakujem niektoré veci, ktoré Eric povedal, ale jeho ľahké myslieť na bezpečnosť údajov ako statický cieľ; je to jednoduchšie len preto, že je ľahšie analyzovať statické situácie a potom premýšľať o nasadení obrany, o ochrane, ale nie je. Jeho pohyblivý cieľ a to je jedna z vecí, ktoré druh vymedzuje celý bezpečnostný priestor. Je to tak, že sa vyvíja všetka technológia, rovnako sa vyvíja aj technológia zbabelcov. Stručný prehľad: Krádež údajov nie je ničím novým, v skutočnosti je špionáž údajov krádežou údajov a myslím si, že to prebieha už tisíce rokov.
Najväčším lúpežným údajom bolo, že Briti porušili nemecké kódexy a Američania porušili japonské kódexy. V obidvoch prípadoch vojnu značne skrátili. A kradli len užitočné a cenné údaje, samozrejme, že to bolo veľmi múdre, ale viete, čo sa práve teraz deje, je veľa múdrych. Kybernetická krádež sa narodila s internetom a vybuchla okolo roku 2005. Išiel som a pozrel som sa na všetky štatistiky, a keď si začal vážne vážiť a nejakým spôsobom, pozoruhodne vysoký počet, počnúc rokom 2005. Je to od tej doby horšie potom. Zapája sa veľa hráčov, vlády, podniky, hackerské skupiny a jednotlivci.
Išiel som do Moskvy - to muselo byť asi päť rokov - a skutočne som strávil veľa času s chlapom zo Spojeného kráľovstva, ktorý skúma celý hackerský priestor. A povedal, že - a netuším, či je to pravda, mám za to len svoje slovo, ale znie to veľmi pravdepodobne - že v Rusku existuje niečo, čo sa nazýva Obchodná sieť, čo je skupina hackerov, ktorí sú všetci, vy viem, vyšli z ruín KGB. A predávajú sa, nie len, myslím, že som si istý, že ich používa ruská vláda, ale predávajú sa každému, a hovorilo sa, alebo sa hovorilo, že sa hovorilo, že rôzne zahraničné vlády používajú obchodnú sieť na vierohodné odmietnutie , Títo chlapci mali siete miliónov kompromitovaných počítačov, z ktorých mohli zaútočiť. A mali všetky nástroje, ktoré si viete predstaviť.
Technológia útoku a obrany sa vyvinula. A podniky majú povinnosť starať sa o svoje údaje, či už ich vlastnia alebo nie. A to sa stáva oveľa jasnejším, pokiaľ ide o rôzne právne predpisy, ktoré sú už v platnosti alebo vstúpia do platnosti. A niekto sa pravdepodobne nejakým spôsobom zlepší, niekto musí znášať náklady na hackovanie takým spôsobom, že je motivovaný uzavrieť túto možnosť. Myslím si, že je to jedna z vecí, ktorá je nevyhnutná. Pokiaľ ide o hackerov, môžu byť umiestnené kdekoľvek. Najmä vo vašej organizácii - strašne veľa dômyselných hackov, o ktorých som počul, že ich niekto zapojil do otvárania dverí. Viete, ten človek, ako je situácia v bankových lupičoch, takmer vždy hovoril, že v dobrých bankových lúpežiach je zasvätený. Avšak zasvätený potrebuje iba poskytnúť informácie, takže je ťažké ich získať, vedieť, kto to bol, a tak ďalej a tak ďalej.
Môže byť ťažké postaviť ich pred súd, pretože ak vás niekto napadol skupinou ľudí v Moldavsku, aj keď viete, že to bola táto skupina, ako sa okolo nich chystá nejaká legálna udalosť? Jeho druh, z jednej jurisdikcie do druhej, spravodlivý, neexistuje veľmi dobrý súbor medzinárodných dohôd na potlačenie hackerov. Zdieľajú technológie a informácie; veľa z toho je open source. Ak si chcete vytvoriť svoj vlastný vírus, je tam veľa vírusových súprav - úplne otvorený zdroj. A majú značné zdroje, existuje množstvo, ktoré majú botnety vo viac ako milióne kompromitovaných zariadení v dátových centrách a na PC a tak ďalej. Niektoré z nich sú ziskové podniky, ktoré chodia už dlhý čas, a potom, ako som už spomenul, ide o vládne skupiny.Je nepravdepodobné, ako povedal Eric, jeho nepravdepodobný tento jav sa vždy skončí.
Takže, toto je zaujímavý hack, o ktorom som si myslel, že to Id spomína, pretože to bol celkom nedávny hack; stalo sa to minulý rok. V zmluve o DAO sa vyskytla zraniteľnosť spojená s kryptoínovou mincou Etherium. A bolo prediskutované na fóre a do jedného dňa bola zmluva DAO nabouraná, pričom túto zraniteľnosť presne použila. 50 miliónov dolárov v éteri bolo sifónovaných, čo spôsobilo okamžitú krízu v projekte DAO a jeho uzavretie. A éterium vlastne bojovalo, aby sa pokúsilo zabrániť hackerovi v prístupe k peniazom, a tak trochu obmedzili jeho prijatie. Verilo sa však, že nie je známe, že hacker pred útokom skutočne skrátil cenu éteru, pretože vedel, že cena éteru sa zrúti, a tak získal zisk iným spôsobom.
A to je ďalšia, ak sa vám páči, stratagém, ktorý môžu hackeri použiť. Ak môžu poškodiť vašu akčnú cenu a vedia, že to urobia, potom je to len potrebné, aby skrátili cenu akcie a urobili hack, takže je to taký druh, títo chlapci sú inteligentní. A cena je priame odcudzenie peňazí, narušenie a výkupné, vrátane investícií, kde narušíte a skrátite zásoby, sabotáž, krádež identity, všetky druhy podvodov len z dôvodu reklamy. A je to tendencia byť politickým, alebo samozrejme, špionážnym spôsobom informácií, a dokonca existujú aj ľudia, ktorí si zarobia na živobytie z chyby, ktorú môžete získať pokusom o hackovanie spoločnosti Google, Apple, dokonca aj Pentagonu, skutočne poskytuje odmenu za chybu. A vy len hackujete; ak je úspešný, stačí ísť a uplatniť svoju cenu a nedôjde k žiadnemu poškodeniu, takže je to pekné, viete.
Mohol by som tiež spomenúť súlad a reguláciu. Popri odvetvových iniciatívach existuje aj množstvo úradných predpisov: právne predpisy USA sú HIPAA, SOX, FISMA, FERPA a GLBA. Existujú normy; PCI-DSS sa stal pomerne všeobecným štandardom. A potom je tu ISO 17799 o vlastníctve údajov. Národné predpisy sa v jednotlivých krajinách líšia, dokonca aj v Európe. A v súčasnosti GDPR - globálne údaje, čo to znamená? Globálne nariadenie o ochrane údajov si myslím, že to znamená - to však nadobudne účinnosť budúci rok. A zaujímavé na tom je, že platí po celom svete. Ak máte 5 000 alebo viac zákazníkov, o ktorých ste dostali osobné informácie a žijú v Európe, potom vás Európa skutočne vezme do úlohy bez ohľadu na to, či má vaša spoločnosť skutočne sídlo alebo kde pôsobí. A pokuty, maximálna pokuta sú štyri percentá ročného príjmu, čo je len obrovské, takže keď to nadobudne účinnosť, bude to zaujímavý zvrat na svete.
Veci, na ktoré by ste mali myslieť, no, chyby zabezpečenia DBMS, väčšina cenných údajov v skutočnosti sedí v databázach. Je to cenné, pretože spoločnosť Weve venovala dosť veľa času tomu, aby bola k dispozícii a aby bola dobre zorganizovaná, a preto je zraniteľnejšie, ak skutočne nepoužívate správne cenné papiere DBMS. Samozrejme, ak plánujete podobné veci, musíte zistiť, ktoré zraniteľné údaje sú v rámci organizácie, pričom treba pamätať na to, že údaje môžu byť zraniteľné z rôznych dôvodov. Môžu to byť údaje o zákazníkoch, ale mohli by to byť aj interné dokumenty, ktoré by boli užitočné pre špionážne účely atď. Bezpečnostná politika, najmä v súvislosti s bezpečnosťou prístupu - ktorá bola podľa môjho názoru v posledných časoch veľmi slabá, sa v nových veciach s otvoreným zdrojovým kódom - šifrovanie začína viac používať, pretože je dosť silné.
Náklady na porušenie bezpečnosti, väčšina ľudí nevedela, ale ak sa skutočne pozriete na to, čo sa stalo s organizáciami, ktoré utrpeli narušenie bezpečnosti, ukázalo sa, že náklady na narušenie bezpečnosti sú často oveľa vyššie, než si myslíte. A potom ďalšia vec, na ktorú treba myslieť, je útočná plocha, pretože akýkoľvek softvér kdekoľvek, ktorý beží spolu s vašimi organizáciami, predstavuje útočnú plochu. Urobte to aj so všetkými zariadeniami, rovnako ako s údajmi bez ohľadu na to, ako sú uložené. Jeho útočná plocha rastie s internetom vecí, útočná plocha sa pravdepodobne zdvojnásobí.
A konečne, DBA a bezpečnosť údajov. Bezpečnosť údajov je zvyčajne súčasťou úlohy DBA. Ale aj jeho spolupráca. A musí podliehať podnikovej politike, inak to pravdepodobne nebude implementované dobre. Po tom, čo som povedal, si myslím, že môžem prejsť loptu.
Eric Kavanagh: Dobre, dovoľte mi dať kľúče Vickymu. A môžete zdieľať obrazovku alebo sa presunúť na tieto snímky, záleží len na vás, odneste ich.
Vicky Harp: Nie, začnem s týmito snímkami, ďakujem veľmi pekne. Áno, chcel som sa len rýchlo venovať a predstaviť sa. Im Vicky Harp. Som manažér, produktový manažment pre produkty SQL v softvéri IDERA a pre tých z vás, ktorí s nami nemusia byť oboznámení, má IDERA niekoľko produktových radov, ale tu hovorím za veci SQL Server. A tak vykonávame monitorovanie výkonu, dodržiavanie zabezpečenia, zálohovanie, nástroje na správu - a ich len ich zoznam. A samozrejme o tom, o čom dnes hovorím, je bezpečnosť a súlad.
Prevažnú časť toho, o čom dnes chcem hovoriť, nie sú nevyhnutne naše výrobky, aj keď to chcem uviesť neskôr. Chcel som sa s vami porozprávať viac o bezpečnosti databáz, o niektorých hrozbách vo svete bezpečnosti databáz, o niektorých veciach, na ktoré treba myslieť, a o niektorých úvodných nápadoch, na čo sa musíte zamerať, aby ste si zabezpečili svoj SQL Ako bolo uvedené, serverové databázy a tiež uistite sa, že sú v súlade s regulačným rámcom, na ktorý sa môžete vzťahovať. Existuje veľa rôznych nariadení; idú na rôzne priemyselné odvetvia, rôzne miesta na celom svete a to sú veci, na ktoré treba myslieť.
Chcel by som sa teda venovať chvíľke a hovoriť o stave porušenia údajov - a neopakovať príliš veľa z toho, o čom sa tu už hovorilo - nedávno som preskúmal túto štúdiu bezpečnostného výskumu spoločnosti Intel a aj cez ňu - myslím, že Približne 1500 organizácií, s ktorými hovorili - mali v priemere šesť porušení bezpečnosti, pokiaľ ide o porušenia údajov, a 68 percent z nich vyžadovalo zverejnenie v určitom zmysle, takže ovplyvnili cenu akcií alebo museli vykonať nejaký úver monitorovanie ich zákazníkov alebo zamestnancov atď.
Ďalšími zaujímavými štatistikami sú interní aktéri, ktorí boli zodpovední za 43% z nich. Mnoho ľudí si preto myslí veľa o hackeroch a týchto druhoch temných kvázi vládnych organizácií alebo organizovanom zločine atď., Ale vo veľkej miere prípadov interní aktéri stále priamo konajú proti svojim zamestnávateľom. A to je niekedy ťažšie chrániť pred, pretože ľudia môžu mať legitímne dôvody na prístup k týmto údajom. Približne polovica z toho, 43 percent, bola v istom zmysle náhodná. Napríklad v prípade, keď niekto vzal údaje domov, a potom stratil prehľad o týchto údajoch, čo ma vedie k tomuto tretiemu bodu, ktorý spočíva v tom, že do fyzických médií sa stále vzťahovalo 40% prípadov porušenia. Takže to sú kľúče USB, to znamená prenosné počítače, to sú skutočné médiá, ktoré boli vypálené na fyzické disky a vytiahnuté z budovy.
Ak uvažujete o tom, máte vývojára, ktorý má na svojom notebooku kópiu svojej produkčnej databázy? Potom idú do lietadla a vystúpia z lietadla, dostanú zapísanú batožinu a ich notebook je ukradnutý. Teraz ste porušili údaje. Nemusíte si nevyhnutne myslieť, že to je dôvod, prečo bol tento laptop prevzatý, nemusí sa nikdy objaviť vo voľnej prírode. Ale to je stále niečo, čo sa považuje za porušenie, bude si to vyžadovať zverejnenie, pretože všetky stratené údaje budú mať všetky následky, a to len kvôli strate týchto fyzických médií.
A ďalšia zaujímavá vec je, že veľa ľudí uvažuje o úverových údajoch a informáciách o kreditných kartách ako o najcennejších, ale to už nie je pravda. Tieto údaje sú cenné, čísla kreditných kariet sú užitočné, ale úprimne povedané, tieto čísla sa menia veľmi rýchlo, zatiaľ čo osobné údaje ľudí sa veľmi rýchlo nemenia. Niečo, čo najnovšie správy, relatívne najnovšie, VTech, výrobca hračiek, mal tieto hračky určené pre deti. A ľudia by mali mená svojich detí, mali by mať informácie o tom, kde deti žijú, mali mená svojich rodičov, mali fotografie detí. Nič z toho nebolo šifrované, pretože sa to nepovažovalo za dôležité. Avšak ich heslá boli zašifrované. Keď sa porušenie nevyhnutne stalo, hovoríte: „Dobre, takže mám zoznam detských mien, mien ich rodičov, kde žijú - všetky tieto informácie sú tam vonku a vy si myslíte, že heslo bolo najcennejšou súčasťou z toho? “Nebolo to; ľudia nemôžu zmeniť tieto aspekty o svojich osobných údajoch, adrese, atď. A preto sú informácie skutočne veľmi cenné a je potrebné ich chrániť.
Chcel som teda hovoriť o niektorých veciach, ktoré sa práve odohrávajú, a prispieť tak k tomu, že v súčasnosti dochádza k porušovaniu údajov. Jednou z veľkých hotspotov je práve sociálne inžinierstvo. Ľudia to tak nazývajú phishing, predstieranie identity atď., Keď ľudia získavajú prístup k údajom, často prostredníctvom interných aktérov, a to len tým, že ich presvedčia, že k nim majú mať prístup. Zrovna tak sme mali tento červ Google Docs, ktorý sa obchádzal. A čo by sa stalo - a skutočne som dostal jeho kópiu, hoci našťastie som na ňu neklikol - ste dostali od kolegu a povedali: „Je tu odkaz na Google Doc; musíte kliknúť na toto, aby ste videli, čo som s vami zdieľal. “No, v organizácii, ktorá používa Dokumenty Google, to je veľmi bežné, takže dostávate desiatky týchto žiadostí denne. Ak ste naň klikli, požiadalo by vás o povolenie na prístup k tomuto dokumentu a možno by ste povedali: „Hej, vyzerá to trochu čudne, ale viete, vyzerá to rovnako legitímne, takže choďte do toho a kliknite naň, “A akonáhle ste tak urobili, dávali ste tejto tretej strane prístup ku všetkým svojim dokumentom Google, a tak ste vytvorili tento odkaz, aby tento externý aktér mal prístup ku všetkým vašim dokumentom na Disku Google. To sa červilo všade. Zasiahlo stovky tisíc ľudí za niekoľko hodín. A to bol v podstate útok phishingu, ktorý musel Google sám vypnúť, pretože bol veľmi dobre vykonaný. Ľudia za to padli.
Spomínam tu porušenie HR SnapChat. Bola to jednoduchá záležitosť niekoho, kto sa vydával za generálneho riaditeľa do oddelenia ľudských zdrojov a povedal: „Potrebujem, aby ste mi túto tabuľku poskytli.“ A oni im uverili a vložili tabuľku so 700 rôznymi kompenzáciami zamestnancov. informácií, ich domovských adries atď., ktoré boli poskytnuté tejto druhej strane, v skutočnosti to nebol generálny riaditeľ. Teraz boli údaje mimo a všetci ich zamestnanci boli súkromní a súkromní informácie tam a boli k dispozícii na využitie. Takže sociálne inžinierstvo je niečo, o čom hovorím vo svete databáz, pretože je to niečo, proti čomu sa môžete snažiť ubrániť prostredníctvom vzdelávania, ale musíte si len pamätať na to, že všade, kde máte osobu interagujúcu s vašou technológiou, Ak sa spoliehate na svoj dobrý úsudok, aby ste zabránili výpadku, pýtate sa mnohých.
Ľudia robia chyby, ľudia klikajú na veci, ktoré by nemali mať, ľudia padajú za chytrostí. A môžete sa veľmi ťažko snažiť chrániť ich pred tým, ale nie je dosť silný, musíte sa snažiť obmedziť schopnosť ľudí náhodne rozdávať tieto informácie vo vašich databázových systémoch. Ďalšou vecou, ktorú som chcel spomenúť, že samozrejme veľa hovorili, je ransomware, botnety, vírusy - všetky tieto rôzne automatizované spôsoby. A preto si myslím, že o ransomware je dôležité pochopiť, že to skutočne mení model zisku pre útočníkov. V prípade, že hovoríte o priestupku, musia v určitom zmysle extrahovať údaje a mať ich pre seba a využiť ich. A ak sú vaše dáta nejasné, ak sú šifrované, ak sú špecifické pre dané odvetvie, pravdepodobne preň nemajú žiadnu hodnotu.
Až do tohto bodu mohli mať ľudia pocit, že to bola ochrana pre nich: „Nepotrebujem sa chrániť pred narušením údajov, pretože ak sa dostanú do môjho systému, všetko, čo budú mať, je fotografické štúdio. , Mám zoznam toho, kto príde v aké dni na budúci rok. Koho to zaujíma? “Ukázalo sa, že odpoveďou je, že vám záleží; tieto informácie si ukladáte, sú to vaše obchodné informácie. Preto útočník pomocou ransomwaru povie: „No, nikto iný mi za to nebude dať peniaze, ale budete.“ Využívajú skutočnosť, že ani nemusia údaje získať, ani nemusia Ak majú nejaké porušenie, musia proti vám jednoducho používať bezpečnostné nástroje. Dostanú sa do vašej databázy, zašifrujú jej obsah a potom hovoria: „Dobre, máme heslo a vy nám budete musieť zaplatiť 5 000 dolárov, aby ste dostali toto heslo, inak tieto údaje už jednoducho nemáte. "
A ľudia platia; zistia, že to musia urobiť. MongoDB mal pred niekoľkými mesiacmi taký obrovský problém, myslím, že to bolo v januári, keď ransomware zasiahlo, myslím, viac ako milión databáz MongoDB, ktoré majú na internete na základe niektorých predvolených nastavení. A čo je ešte horšie, je to, že ľudia platili, a tak do nej vstúpili ďalšie organizácie a znovu zašifrovali alebo tvrdili, že to boli tí, ktorí ich pôvodne šifrovali, takže keď ste zaplatili svoje peniaze, v tomto prípade si myslím, že boli ľudia požadujú niečo ako 500 dolárov a povedali: „Dobre, zaplatím viac ako zaplatím výskumnému pracovníkovi, aby sem prišiel, aby mi pomohol zistiť, čo sa stalo. Len zaplatím 500 dolárov. “A nedostali ani zaplatiť tomu správnemu hercovi, aby sa zhromaždili s desiatimi rôznymi organizáciami, ktoré im hovoria:„ Weve dostal heslo, “alebo„ Weve dostal spôsob, ako odomknúť svoje výkupné údaje. „A musíte zaplatiť všetky, aby ste to mohli uviesť do činnosti.
Išlo tiež o prípady, keď autori ransomwaru mali chyby, myslím tým, že nehovorili o tom, že ide o dokonale nadpriemernú situáciu, takže ani raz zaútočili, aj keď už ste zaplatili, neexistuje žiadna záruka, že ste dostali všetky svoje dát, niektoré z nich sú tiež komplikované zbraňovými nástrojmi InfoSec. Takže tieňové sprostredkovatelia sú skupinou, ktorá vytekala z nástrojov, ktoré boli od NSA. Boli to nástroje, ktoré navrhol vládny subjekt na účely špionáže a ktoré skutočne pôsobili proti iným vládnym subjektom. Niektoré z nich boli skutočne vysokoprofilovými nultými útokmi, ktoré v podstate spôsobujú, že známe bezpečnostné protokoly zanikajú. Napríklad v jednom z posledných výpisov Shadow Brokers bola hlavná zraniteľnosť v protokole SMB.
A tak tieto nástroje, ktoré tu vyjdú, môžu za pár hodín skutočne zmeniť hru, pokiaľ ide o vašu útočnú plochu. Takže vždy, keď o tom premýšľam, je to niečo, čo na organizačnej úrovni, bezpečnosť InfoSec je jeho vlastnou funkciou, treba to brať vážne. Kedykoľvek hovorili o databázach, môžem to trochu zobrať, nemusíte mať nevyhnutne ako správca databázy úplné vedomosti o tom, čo sa deje s Shadow Brokers tento týždeň, ale musíte si byť vedomí, že všetky z nich sa posúvajú , prebiehajú veci, a preto miera, v ktorej udržujete svoju vlastnú doménu pevne a bezpečne, vám skutočne pomôže, ak sa veci pod vami roztrhnú.
Chcel som sa teda chvíľu venovať, než som sa začal venovať špecificky otázkam o serveri SQL Server, aby som mal trochu otvorenú diskusiu s našimi panelistami o niektorých aspektoch týkajúcich sa bezpečnosti databázy. Takže som sa dostal k tomuto bodu, niektoré z vecí, ktoré sme spomenuli, som chcel hovoriť o injekcii SQL ako o vektore. Ide teda o SQL injekciu, samozrejme o spôsob, akým ľudia vkladajú príkazy do databázového systému, a to tak, že nesprávne vstupujú.
Eric Kavanagh: Áno, skutočne som sa stretol s chlapom - myslím, že to bolo na základni letectva Andrews - asi pred piatimi rokmi, konzultantom, s ktorým som s ním hovoril na chodbe a my sme sa len delili o zdieľanie vojnových príbehov - žiadna zamýšľaná slovná hračka - a on spomenul, že ho priviezol niekto, aby sa poradil s pomerne vysokopostaveným členom armády, a ten sa ho opýtal: „Dobre, ako vieme, že ste dobrí v tom, čo robíte?“ a toto a to. A keď s nimi hovoril, používal na svojom počítači, pretože sa dostal do siete, pomocou SQL injekcie sa dostal do registra pre túto základňu a pre týchto ľudí. A našiel osoby, s ktorými hovorí, a práve mu ho ukázal na stroji! A ten chlap bol ako: „Ako si to urobil?“ Povedal: „No, použil som SQL injekciu.“
Takže to bolo len pred piatimi rokmi a bolo to na základni leteckých síl, však? Takže myslím, že pokiaľ ide o podvod, táto vec je stále veľmi reálna a mohla by sa použiť so skutočne hroznými účinkami. Chcem tým povedať, že by som rád vedel o akýchkoľvek vojnových príbehoch, ktoré má Robin na túto tému, ale všetky tieto techniky sú stále platné. V mnohých prípadoch sa stále používajú a je to otázka vzdelávania sa, však?
Robin Bloor: Áno, áno. Áno, je možné brániť sa proti SQL injekcii vykonaním práce. Je ľahké pochopiť, prečo, keď bol nápad vynájdený a prvýkrát sa množil, je ľahké pochopiť, prečo bol taký zatraceně úspešný, pretože ste ho mohli jednoducho vložiť do vstupného poľa na webovej stránke a prinútiť ho, aby vám za vás vrátil údaje, alebo získať odstrániť údaje z databázy alebo čokoľvek - stačí na to vložiť kód SQL. Ale to, čo ma zaujímalo, je to, že viete, mali by ste urobiť trochu analýzy všetkých údajov, ktoré boli vložené, ale je celkom možné zistiť, že sa to niekto pokúša. A je to naozaj, myslím si, že je to naozaj preto, že ľudia s tým stále prichádzajú, myslím, že je to naozaj čudné, že proti tomu nebol ľahký spôsob. Vieš, že každý mohol ľahko použiť, myslím, pokiaľ viem, tak tam nebol, Vicky?
Vicky Harp: V skutočnosti sú niektoré riešenia rukojemníkov, ako napríklad SQL Azure, niektoré veľmi dobré metódy detekcie, ktoré sú založené na strojovom učení. To je pravdepodobne to, čo sa chystá v budúcnosti vidieť, je to, čo sa snaží prísť s jednotnou veľkosťou. Myslím, že odpoveď znie, že nie je vhodná pre všetky veľkosti, ale máme stroje, ktoré sa dokážu naučiť, aká je vaša veľkosť, a ubezpečte sa, že sa k nej hodíte, však? A tak, že ak máte falošne pozitívne, je to preto, že ste skutočne robili niečo neobvyklé, nie preto, že ste museli prejsť a starostlivo identifikovať všetko, čo vaša aplikácia môže niekedy urobiť.
Myslím si, že jedným z dôvodov, prečo je to skutočne také plodné, je to, že ľudia sa stále spoliehajú na aplikácie tretích strán a že aplikácie od poskytovateľov internetových služieb a tie sa postupom času rozmazávajú.Takže hovoríte o organizácii, ktorá kúpila inžiniersku aplikáciu, ktorá bola napísaná v roku 2001. A havent ju aktualizoval, pretože odvtedy nedošlo k žiadnym väčším funkčným zmenám a pôvodný autor toho druhu bol taký, že nebol inžinierom , neboli odborníkom na bezpečnosť databáz, v aplikácii nerobili veci správnym spôsobom a skončili ako vektor. Chápem, že - myslím, že to bolo porušenie cieľových údajov, skutočne veľké -, že útokový vektor bol prostredníctvom jedného z ich dodávateľov klimatizácií, však? Takže problém s týmito tretími stranami môže byť, ak vlastníte svoj vlastný vývojový obchod, môžete mať niektoré z týchto pravidiel zavedené, pričom ich robíte všeobecne kedykoľvek. Ako organizácia môžete mať spustené stovky alebo tisíce aplikácií so všetkými rôznymi profilmi. Myslím, že to je miesto, kde sa strojové učenie chystá prísť a začať nám veľa pomáhať.
Môj vojnový príbeh bol vzdelávací život. Musím vidieť útok SQL injekcie a niečo, čo sa mi nikdy nestalo, je to, že používa obyčajný čitateľný SQL. Robím tieto veci nazývané zahmlené P SQL prázdninové karty; Páči sa mi to, urobíte to tak, aby SQL vyzeralo čo najviac mätúce. Je tu zmätená súťaž o kód C ++, ktorá prebieha už desaťročia, a jej podobná myšlienka. Takže to, čo ste vlastne dostali, bola SQL injekcia, ktorá bola v poli otvoreného reťazca, zavrela reťazec, vložila bodkočiarku a potom vložila príkaz exec, ktorý mal potom sériu čísel a potom v podstate používalo príkaz casting na obsadenie týchto čísel do binárneho formátu a následné ich odovzdanie na hodnoty znakov a následné vykonanie. Nie je to preto, že by ste videli niečo, čo hovorí: „Odstrániť spustenie z výrobnej tabuľky,“ v skutočnosti bolo napustené do číselných polí, vďaka ktorým bolo oveľa ťažšie vidieť. A aj keď ste to videli, aby ste zistili, čo sa deje, trvalo niekoľko skutočných snímok SQL, aby sme vedeli zistiť, čo sa deje, do ktorého času sa už práca samozrejme vykonala.
Robin Bloor: A jedna z vecí, ktorá je len javom v celom hackerskom svete, je to, že ak niekto nájde slabinu a stane sa, že je súčasťou softvéru, ktorý sa všeobecne predáva, viete, jedným z prvých problémov je heslo databázy že ste dostali pri inštalácii databázy, veľa databáz bolo v skutočnosti iba predvolené. A veľa DBA to nikdy nikdy nezmenilo, a preto sa vám podarilo dostať sa do siete; toto heslo by ste si mohli skúsiť vyskúšať a ak by to fungovalo, tak by ste práve vyhrali v lotérii. Zaujímavé je, že všetky tieto informácie sú veľmi efektívne a efektívne distribuované medzi hackerskými komunitami na webových stránkach darknet. A vedia. Takže môžu do značnej miery robiť to, čo sa tam deje, nájsť pár príkladov a jednoducho na to automaticky vyhodiť nejaký hackerský útok a sú tam. A to je, myslím si, že veľa ľudí, ktorí sú aspoň na periférii zo všetkého toho všetkého nerozumieme, ako rýchlo hackerská sieť reaguje na zraniteľnosť.
Vicky Harp: Áno, to vlastne prináša ďalšiu vec, ktorú by som chcel spomenúť skôr, ako sa budem venovať, čo je táto predstava o náplni poverenia, čo je niečo, čo sa objavovalo veľa, to znamená, že akonáhle boli vaše poverenia ukradnuté pre niekoho kdekoľvek a kedykoľvek na webe sa tieto poverenia pokúsia znova použiť plošne. Ak teda používate duplicitné heslá, povedzme, že ak to vaši používatelia dokonca povedia, niekto by mohol získať prístup prostredníctvom toho, čo sa javí ako úplne platná sada poverení. Povedzme teda, že som použil svoje rovnaké heslo v Amazone av mojej banke, ako aj na fóre a že softvér fóra bol napadnutý hackerom, majú moje používateľské meno a moje heslo. Potom môžu v Amazone používať rovnaké meno používateľa alebo ho môžu používať v banke. Pokiaľ ide o banku, išlo o úplne platné prihlásenie. Teraz môžete prostredníctvom úplne autorizovaného prístupu podniknúť nepríjemné kroky.
Takže tento druh sa vracia opäť k tomu, čo som hovoril o vnútorných porušeniach a vnútorných zvyklostiach. Ak máte vo svojej organizácii ľudí, ktorí používajú interné heslo s rovnakým heslom, aké používajú pre externý prístup, máte možnosť, že niekto príde, a vydá sa za vás pri porušení na inom mieste, o ktorom ani neviete. A tieto údaje sa šíria veľmi rýchlo. Existujú zoznamy, ktoré si myslím, že posledné zaťaženie, ktoré „som bol zastavený“ Troyom Huntom, povedal, že má pol miliardu kreditov, čo je - ak vezmete do úvahy počet ľudí na planéte - to je skutočne veľké množstvo poverení, ktoré boli sprístupnené na plnenie poverovacích údajov.
Takže budem o krok ďalej a hovoriť o bezpečnosti servera SQL Server. Teraz chcem povedať, že sa nebudem snažiť poskytnúť vám všetko, čo potrebujete vedieť, aby ste zabezpečili svoj server SQL v priebehu nasledujúcich 20 minút; zdá sa, že je to vysoký poriadok. Takže, ak chcete začať, chcem povedať, že existujú skupiny online a zdroje online, ktoré môžete, samozrejme, Google, existujú knihy, dokumenty spoločnosti Microsoft o osvedčených postupoch, virtuálna kapitola zabezpečenia pre profesionálnych spolupracovníkov na serveri SQL Server, oni sú na security.pass.org a verím, že majú mesačné webcasty a nahrávky webcastov, aby prešli skutočnou hĺbkou toho, ako urobiť SQL Server security. Ale to sú niektoré z vecí, ktoré s vami hovorím ako odborníci na údaje, ako odborníci v oblasti IT, ako spoločnosti DBA, chcem, aby ste vedeli, čo potrebujete vedieť o zabezpečení servera SQL.
Prvým je fyzické zabezpečenie. Ako som už povedal, kradnutie fyzických médií je stále veľmi bežné. A scenár, ktorý som dal spolu s počítačom dev, s kópiou vašej databázy na počítači s počítačom, ktorý sa ukradne - to je veľmi bežný vektor, to je vektor, ktorý musíte poznať a snažiť sa proti nemu konať. Platí to aj pre zabezpečenie zálohovania, takže vždy, keď zálohujete svoje dáta, musíte ich zálohovať šifrované, musíte ich zálohovať na bezpečné miesto. Mnohokrát boli tieto údaje, ktoré boli v databáze skutočne chránené, hneď ako sa začnú dostať na periférne miesta, na devné stroje, na testovacie stroje, trochu menej opatrne sme venovali patchovaniu, trochu menej pozor na ľudí, ktorí k nim majú prístup. Ďalšiu vec, ktorú viete, máte nezašifrované zálohy databázy uložené na verejnom zdieľaní vo vašej organizácii, ktoré je možné využívať od mnohých rôznych ľudí. Takže, premýšľajte o fyzickej bezpečnosti a rovnako jednoduché ako môže niekto ísť hore a len vložiť kľúč USB na váš server? Nemali by ste to dovoliť.
Ďalšou položkou, o ktorej by som chcel premýšľať, je zabezpečenie platforiem, teda moderný operačný systém, najaktuálnejšie patche. Je veľmi únavné počuť ľudí, ktorí hovoria o pobyte na starších verziách systému Windows, starších verziách servera SQL Server, pričom si myslia, že jedinou cenou v hre sú náklady na aktualizáciu licencií, čo nie je pravda. Sme s bezpečnosťou, je to prúd, ktorý neustále stúpa z kopca a ako čas pokračuje, nájde sa ďalšie využitie. Microsoft v tomto prípade, a ďalšie skupiny, ako to môže byť, budú aktualizovať staršie systémy do tej miery, a nakoniec budú vypadnúť z podpory a už nebudú aktualizovať, pretože to je len nekonečný proces údržby.
Preto musíte byť na podporovanom OS a musíte byť na svojich opravách aktuálny a mali by ste ich nájsť nedávno, napríklad v prípade služby Shadow Brokers. V niektorých prípadoch môže mať spoločnosť Microsoft pred uskutočnením závažných porušení zabezpečenia pred ich vytvorením prehľad. pred zverejnením, takže sa nenechajte vytrhnúť z prevádzky. Id radšej neberie prestoje, Id radšej počká a prečíta každú z nich a rozhodne. Možno nebudete vedieť, aká je jej hodnota až po niekoľkých týždňoch po zistení príčiny tejto náplasti. Takže zostaňte nad tým.
Mali by ste mať nakonfigurovaný firewall. V prípade porušenia protokolu SNB bolo šokujúce, koľko ľudí používalo staršie verzie servera SQL Server s bránou firewall úplne otvorenou pre internet, takže sa ktokoľvek mohol na serveroch dostať a robiť, čo chceli. Mali by ste používať bránu firewall. Skutočnosť, že musíte občas nakonfigurovať pravidlá alebo urobiť konkrétne výnimky pre spôsob, akým podnikáte, je v poriadku. Musíte ovládať povrchovú plochu vo svojich databázových systémoch - inštalujete služby alebo webové servery, ako je IIS, na ten istý počítač? Zdieľate rovnaké miesto na disku, zdieľate rovnaké miesto v pamäti ako vaše databázy a vaše súkromné údaje? Snažte sa to neurobiť, skúste to izolovať, udržujte plochu menšiu, aby ste sa nemuseli obávať toho, či je všetko v hornej časti databázy bezpečné. Môžete ich fyzicky oddeliť, platformu, oddeliť ich, dať si trochu oddychovej miestnosti.
Nemali by ste mať všadeprítomných super správcov, ktorí by mali prístup k všetkým vašim údajom. Účty administrátora OS nemusia nevyhnutne potrebovať prístup k vašej databáze alebo k základným údajom v databáze prostredníctvom šifrovania, o ktorom sa o chvíľu hovorí. A prístup k databázovým súborom musíte tiež obmedziť. Je to hlúpe, keby ste povedali, že niekto nemôže získať prístup k týmto databázam prostredníctvom databázy; SQL Server sám o sebe zvyknutý im umožní prístup, ale ak potom môžu ísť okolo, aby kópiu skutočného súboru MDF, presuňte ho jednoducho tak, pripojiť ho k ich vlastnému SQL Server, ste naozaj nedosiahli veľmi veľa.
Šifrovanie, takže šifrovanie je ten slávny obojsmerný meč. Existuje veľa rôznych úrovní šifrovania, ktoré môžete robiť na úrovni OS a súčasný spôsob, ako robiť veci pre SQL a Windows, je s BitLocker a na úrovni databázy jeho nazývaný TDE alebo transparentné šifrovanie údajov. Toto sú dva spôsoby, ako udržať vaše dáta v kľude v šifrovanom stave. Ak chcete, aby vaše dáta boli šifrované komplexnejšie, môžete to urobiť šifrované - je nám to ľúto, ale o krok vpred. Môžete vykonávať šifrované pripojenia tak, aby vždy, keď sú v prevádzke, stále šifrované, takže ak niekto počúva alebo má uprostred útoku nejaký človek, máte cez tieto káble určitú ochranu. Vaše zálohy musia byť šifrované, ako som už povedal, môžu byť prístupné pre ostatných a potom, ak chcete, aby boli šifrované v pamäti a počas používania, mali by sme získať šifrovanie stĺpcov a potom SQL 2016 má tento pojem „vždy šifrované“ kde je to skutočne šifrované na disku, v pamäti, na kábli, až po aplikáciu, ktorá skutočne využíva dáta.
Teraz nie je všetko toto šifrovanie bezplatné: Je tu réžia procesora, niekedy je to šifrovanie stĺpca a vždy šifrovaný prípad, čo má vplyv na výkonnosť, pokiaľ ide o vašu schopnosť vyhľadávať údaje. Avšak toto šifrovanie, ak je správne zostavené, znamená to, že ak by niekto mal získať prístup k vašim údajom, poškodenie sa výrazne zníži, pretože sa im podarilo získať a potom s tým nemôže nič urobiť. Týmto spôsobom však ransomware funguje aj to, že niekto vstúpi a zapne tieto položky so svojím vlastným certifikátom alebo vlastným heslom a vy k nemu nemáte prístup. Preto je dôležité, aby ste sa ubezpečili, že to robíte, a máte k tomu prístup, ale nedáte to, je otvorený pre ostatných a útočníkov.
A potom bezpečnostné zásady - nebudem sa venovať tejto otázke, ale uistite sa, že nemáte všetkých používateľov bežiacich na serveri SQL Server ako superadministrátora. Vaši vývojári to môžu chcieť, rôzni používatelia to môžu chcieť - sú frustrovaní tým, že musia požiadať o prístup k jednotlivým položkám - ale musíte sa o to usilovne usilovať, aj keď to môže byť komplikovanejšie, poskytnúť prístup k objektom a databázam a schémy, ktoré sú platné pre prebiehajúcu prácu, a je to špeciálny prípad, možno to znamená špeciálne prihlásenie, pre priemerného používateľa prípadu to nevyhnutne neznamená zvýšenie práv.
A potom sa tu venuje pozornosť dodržiavaniu regulačných predpisov, ktoré do toho zapadajú a v niektorých prípadoch by sa vlastne mohlo ísť nejakým spôsobom - tak existuje HIPAA, SOX, PCI - všetky tieto rôzne úvahy. A keď prechádzate auditom, očakáva sa, že preukážete, že podnikáte kroky, aby ste boli v súlade s týmto. A tak je toho veľa, čo by ste mali sledovať. Povedal by som, že ako zoznam úloh DBA sa snažíte zaistiť bezpečnú konfiguráciu fyzického šifrovania. Snažíte sa zabezpečiť, aby bol prístup k týmto údajom auditovaný na účely súladu s predpismi. , uistite sa, že vaše citlivé stĺpce, či viete, aké sú, kde sú, ktoré by ste mali šifrovať a sledovať prístup k nim. A uistite sa, že konfigurácie sú v súlade s regulačnými pokynmi, ktorým podliehate. A toto musíte neustále aktualizovať, pretože sa veci menia.
Je to veľa toho, čo by sa malo robiť, a tak keby som to nechal práve tam, povedal by som, že to urobím. Ale na to existuje veľa rôznych nástrojov, a tak, ak môžem v posledných niekoľkých minútach, chcel som vám ukázať niektoré nástroje, ktoré máme v IDERA na tento účel. A tie dva, o ktorých som dnes chcel hovoriť, sú SQL Secure a SQL Compliance Manager. SQL Secure je náš nástroj, ktorý pomáha identifikovať druhy slabých miest konfigurácie. Vaše bezpečnostné zásady, vaše používateľské oprávnenia, konfigurácie vašej oblasti. A má šablóny, ktoré vám pomôžu dodržiavať rôzne regulačné rámce. To samo osebe, tento posledný riadok, by mohol byť dôvodom pre to, aby to ľudia zvážili. Pretože prečítanie týchto rôznych nariadení a identifikácia toho, čo to znamená, PCI a následná preprava až k môjmu SQL serveru v mojom obchode, to je veľa práce. To je niečo, za čo by ste mohli zaplatiť veľa poradenských peňazí; Šli sme a robili sme toto poradenstvo, pretože sme spolupracovali s rôznymi audítorskými spoločnosťami atď., aby sme prišli s tým, čo sú tieto šablóny - niečo, čo by pravdepodobne prešlo auditom, ak sú zavedené. Potom môžete tieto šablóny použiť a zobraziť ich vo svojom prostredí.
Máme tiež ďalší druh sesterského nástroja vo forme správcu súladu so štandardom SQL. Tu je SQL Secure o nastaveniach konfigurácie. SQL Compliance Manager je o tom, čo sa stalo, kto, kedy. Takže jeho audit, takže vám umožní sledovať aktivitu, ktorá sa objavuje, a umožní vám zistiť a sledovať, kto má prístup k veciam. Bol niekto, prototypovým príkladom, ako je celebrita, skontrolovaná vo vašej nemocnici, chodil niekto a hľadal informácie, len zo zvedavosti? Mali na to dôvod? Môžete sa pozrieť na históriu auditov a zistiť, čo sa deje, kto k týmto záznamom pristupoval. A môžete zistiť, že to má nástroje, ktoré vám pomôžu identifikovať citlivé stĺpce, takže nemusíte nutne čítať a robiť to všetko sami.
Takže, ak môžem, budem pokračovať a ukážem vám niektoré z týchto nástrojov tu v posledných niekoľkých minútach - a nepovažujte to prosím za hĺbkové demo. Som produktový manažér, nie predajný technik, preto vám ukážem niektoré z vecí, ktoré považujem za relevantné pre túto diskusiu. Toto je náš produkt SQL Secure. A ako vidíte tu, mám nejakú túto kartu na vysokej úrovni. Myslím, že som to včera spustil. A ukazuje mi niektoré veci, ktoré nie sú nastavené správne a niektoré veci, ktoré sú nastavené správne. Takže môžete vidieť celkom viac ako 100 rôznych kontrol, ktoré tu boli vykonané. A vidím, že moje záložné šifrovanie na zálohách, ktoré som robil, nepoužíval som záložné šifrovanie. Môj účet SA, výslovne nazvaný „účet SA“, nie je deaktivovaný ani premenovaný. Rola verejného servera má povolenie, takže toto sú všetko veci, na ktoré by som sa pravdepodobne chcel pozrieť.
Mám tu nastavenú politiku, takže ak by som chcel vytvoriť novú politiku, ktorá by sa vzťahovala na moje servery, mal som všetky tieto vstavané politiky. Takže, používam existujúcu šablónu politiky a vidíte, že mám CIS, HIPAA, PCI, SR a pokračujem, a v skutočnosti práve prebiehame ďalšie pridávanie ďalších politík na základe toho, čo ľudia v tejto oblasti potrebujú. Môžete tiež vytvoriť novú politiku, takže ak viete, čo audítor hľadá, môžete si ho vytvoriť sami. A potom, keď to urobíte, môžete si vybrať zo všetkých týchto rôznych nastavení, ktoré to, čo musíte nastaviť, v niektorých prípadoch máte nejaké - nechaj ma vrátiť sa a nájsť jedno z predpripravených. Toto je vhodné, môžem si vybrať, povedzme, HIPAA - už som dostal HIPAA, môj zlý - PCI, a potom, ako sa tu kliknem, v skutočnosti vidím externý krížový odkaz na časť nariadenia, ktorá je súvisiace s. Takže vám to neskôr pomôže, keď sa snažíte zistiť, prečo to nastavujem? Prečo sa to snažím pozrieť? S ktorou časťou sa to týka?
Má to tiež pekný nástroj, pretože vám umožňuje vstupovať a prehliadať vašich používateľov, takže jednou z ošemetných vecí pri skúmaní vašich používateľských rolí je to, že v skutočnosti sa na to pozriem. Takže, ak ukážem svoje oprávnenie, umožňuje vidieť, umožňuje vybrať používateľa tu. Zobraziť povolenia. Vidím pridelené povolenia pre tento server, ale potom môžem kliknúť sem a vypočítať efektívne povolenia a dá mi úplný zoznam založený na, takže v tomto prípade je to administrátor, takže to nie je také vzrušujúce, ale mohol by som prejsť a vybrať rôznych používateľov a zistiť, aké sú ich účinné povolenia na základe všetkých rôznych skupín, do ktorých môžu patriť. Ak sa to niekedy pokúsite urobiť sami, môže to byť vlastne trochu nepríjemné, zistiť, OK, tento používateľ je členom týchto skupín, a preto má prístup k týmto veciam prostredníctvom skupín atď.
Tak, ako tento produkt funguje, je to snímanie snímok, takže to skutočne nie je príliš zložitý proces pravidelného snímania snímky servera a potom tieto snímky uchováva v priebehu času, aby ste ich mohli porovnávať pre zmeny. Nejde teda o nepretržité monitorovanie v tradičnom zmysle slova ako o nástroj na monitorovanie výkonnosti; toto je niečo, čo ste mohli nastaviť na spustenie raz za noc, raz za týždeň - hoci často si myslíte, že je platné - takže potom, keď robíte analýzu a robíte trochu viac, skutočne pracujete iba v rámci nášho nástroja. Nebudete sa príliš pripájať k serveru, takže je to celkom pekný malý nástroj na prácu v súlade s týmito typmi statických nastavení.
Ďalším nástrojom, ktorý vám chcem ukázať, je náš nástroj Compliance Manager. Compliance Manager bude monitorovať kontinuálnejším spôsobom. A bude to vidieť, kto robí to, čo na vašom serveri, a umožní vám sa na to pozrieť. To, čo som tu urobil, za posledných pár hodín, som sa vlastne pokúsil spôsobiť nejaké malé problémy. Takže tu mám, či je to problém, alebo nie, možno o ňom viem, niekto skutočne vytvoril prihlasovacie údaje a pridal ho do role servera. Takže, ak pôjdem dovnútra a pozriem sa na to, vidím - myslím, že tam nemôžem kliknúť pravým tlačidlom myši, vidím čo sa deje.Toto je môj dashboard a vidím, že som dnes mal o niekoľko neúspešných prihlásení trochu skôr. Mal som veľa bezpečnostných aktivít, činnosti DBL.
Dovoľte mi teda prejsť na svoje audítorské udalosti a pozrieť sa. Tu mám svoje kontrolné udalosti zoskupené podľa kategórie a cieľového objektu, takže ak sa pozriem na toto zabezpečenie z predchádzajúceho obdobia, vidím DemoNewUser, došlo k tomuto prihláseniu na vytvorenie servera. A vidím, že prihlasovacia spoločnosť SA vytvorila tento účet DemoNewUser tu, o 14:42. A potom vidím, že na druhú stranu, pridajte prihlásenie na server, tento DemoNewUser bol pridaný do skupiny administrátorov servera, boli pridané do skupiny nastavení admin, boli pridané do skupiny sysadmin. Stalo sa tak niečo, o čom by som chcel vedieť. Tiež som ho nastavil tak, aby sa sledovali citlivé stĺpce v mojich tabuľkách, aby som videl, kto k nemu pristupuje.
Takže tu mám pár vybraných, ktoré sa vyskytli na stole mojej osoby, z dielne Adventure Works. A môžem sa pozrieť a uvidíme, že užívateľ SA v tabuľke Adventure Works urobil desať najlepších hviezd od osoby dot osoby. Takže možno v mojej organizácii nechcem, aby ľudia robili výber hviezd od osoby dot osoby, alebo Im očakávam, že tak urobia len niektorí používatelia, a tak to tu uvidím. Takže to, čo potrebujete v súvislosti s auditom, môžeme nastaviť na základe rámca a je to trochu viac intenzívny nástroj. Používa SQL Trace alebo SQLX udalosti, v závislosti od verzie. A je to niečo, čo musíte mať na svojom serveri nejakú svetlú výšku, ale je to jedna z tých vecí, niečo ako poistenie, čo je pekné, ak by sme nemuseli mať poistenie vozidla - to by bola cena, ktorú by sme nemali musíte vziať - ale ak máte server, na ktorom je potrebné sledovať, kto čo robí, možno budete musieť mať trochu extra priestor a podobný nástroj, ako to urobiť. Či už používate náš nástroj, alebo ho sami prenášate, v konečnom dôsledku budete zodpovední za to, že budete mať tieto informácie na účely súladu s predpismi.
Ako som už povedal, nejde o podrobnú ukážku, iba o stručné a malé zhrnutie. Chcel som vám tiež ukázať rýchly, malý bezplatný nástroj vo forme tohto SQL Column Search, čo je niečo, čo môžete použiť na identifikáciu toho, ktoré stĺpce vo vašom prostredí sa javia ako citlivé informácie. Máme teda niekoľko konfigurácií vyhľadávania, kde hľadajú rôzne názvy stĺpcov, ktoré bežne obsahujú citlivé údaje, a potom som získal celý tento zoznam identifikovaných stĺpcov. Mám ich 120, a potom som ich exportoval sem, aby som ich mohol využiť na to, aby som im povedal, nechá sa pozrieť a uistím sa, že sledujem prístup k prostrednému menu, jednej osobe dot osoby alebo sadzbe dane z obratu atď.
Viem, že sa na konci našej doby dostávam rovno. A to je všetko, čo som vám musel ukázať, takže máte nejaké otázky?
Eric Kavanagh: Mám pre vás pár dobrých. Dovoľte mi to posunúť sem hore. Jeden z účastníkov pýtal naozaj dobrú otázku. Jeden z nich sa pýta na daň z výkonu, takže viem, že sa líši od riešenia k riešeniu, ale máte všeobecnú predstavu o tom, čo je daň z výkonu pri používaní bezpečnostných nástrojov IDERA?
Vicky Harp: Takže na serveri SQL Secure, ako som už povedal, je jeho veľmi nízka, iba si vezme nejaké občasné snímky. A aj keď ste bežali veľmi často, jej získanie statických informácií o nastaveniach, a tak veľmi nízke, takmer zanedbateľné. Pokiaľ ide o Compliance Manager, je to -
Eric Kavanagh: Ako jedno percento?
Vicky Harp: Keby som mal uviesť percentuálne číslo, áno, bolo by to jedno percento alebo nižšie. Jeho základné informácie o poradí použitia SSMS a prechode na kartu zabezpečenia a rozširovanie vecí. Pokiaľ ide o dodržiavanie predpisov, je to oveľa vyššie - to je dôvod, prečo som povedal, že potrebuje trochu väčšieho priestoru - je to trochu nad rámec toho, čo máte z hľadiska monitorovania výkonnosti. Teraz už nechcem odradiť ľudí od toho, trik s monitorovaním dodržiavania predpisov, a ak je jeho auditom uistiť sa, že auditujete len to, na čo sa chystáte podniknúť kroky. Akonáhle teda odfiltrujete a poviete: „Hej, chcem vedieť, kedy ľudia majú prístup k týmto konkrétnym tabuľkám, a chcem vedieť, kedykoľvek ľudia majú prístup, podniknúť tieto konkrétne kroky,“ potom bude vychádzať z toho, ako často sú tieto veci a koľko údajov generujete. Ak poviete: „Chcem úplnú databázu SQL každého výberu, ktorá sa kedy stane v ktorejkoľvek z týchto tabuliek,“ bude to pravdepodobne gigabajty a gigabajty údajov, ktoré je potrebné analyzovať uloženým serverom SQL Server, presunuté do nášho produktu atď. ,
Ak to podržíte na úrovni, bude to tiež viac informácií, ako by ste sa pravdepodobne mohli zaoberať. Ak by ste to mohli zobrať na menšiu množinu, aby ste dostali pár stoviek udalostí za deň, je to samozrejme oveľa nižšie. Takže, vskutku, v niektorých ohľadoch, neba limit. Ak zapnete všetky nastavenia pre všetky kontroly pre všetko, potom áno, bude to 50% výkon hit. Ale ak to zmeníte na miernejší, považovaný za úroveň, možno by som očné bulvy o 10 percent? Je to skutočne jedna z tých vecí, ktorá bude veľmi závisieť od vašej pracovnej záťaže.
Eric Kavanagh: Áno, správne. Existuje ďalšia otázka týkajúca sa hardvéru. A potom sa tu do hry dostávajú predajcovia hardvéru a skutočne spolupracujú s dodávateľmi softvéru a odpovedal som prostredníctvom okna Otázky a odpovede. Viem o jednom konkrétnom prípade, keď spoločnosť Cloudera spolupracovala s spoločnosťou Intel, kde do nich spoločnosť Intel investovala obrovské investície, a súčasťou počtu bolo to, že spoločnosť Cloudera získala skorý prístup k návrhu čipov, a tak bola schopná upiecť bezpečnosť na úroveň čipov architektúra, čo je celkom pôsobivé. Ale napriek tomu je to niečo, čo sa tam dostane, a stále ho môžu využívať obe strany. Poznáte nejaké trendy alebo tendencie výrobcov hardvéru spolupracovať s dodávateľmi softvéru na protokole zabezpečenia?
Vicky Harp: Áno, vlastne verím, že spoločnosť Microsoft spolupracovala, aby získala nejaké, napríklad, pamäťové miesto pre niektoré šifrovacie práce, sa vlastne deje na samostatných čipoch na základných doskách, ktoré sú oddelené od vašej hlavnej pamäte, takže niektoré z týchto vecí je fyzicky oddelené. A verím, že to bolo vlastne niečo, čo prišlo od spoločnosti Microsoft, pokiaľ ide o predajcov, ktorí povedali: „Môžeme prísť na spôsob, ako to urobiť, v podstate jeho nenapadnuteľnú pamäť, nemôžem cez pretečenie vyrovnávacej pamäte dostať do tejto pamäte. , pretože v určitom zmysle to ani nie je, takže viem, že sa niečo také deje. ““
Eric Kavanagh: Jo.
Vicky Harp: Pravdepodobne to budú skutočne veľkí predajcovia.
Eric Kavanagh: Jo. Som zvedavý na to pozerať, a možno Robin, ak máš krátku sekundu, budeš zvedavý na to, aby si poznal svoje skúsenosti v priebehu rokov, pretože opäť, pokiaľ ide o hardvér, z hľadiska skutočnej materiálovej vedy, ktorá ide do toho, čo dávaš Spoločne zo strany dodávateľa by tieto informácie mohli ísť na obe strany a teoreticky by sme ísť na obe strany pomerne rýchlo, takže existuje nejaký spôsob, ako hardvér používať opatrnejšie, z hľadiska dizajnu, aby sa posilnila bezpečnosť? Co si myslis? Robin, si nemý?
Robin Bloor: Hej hej. Je mi to ľúto, som tu; Len uvažujem nad otázkou. Aby som bol úprimný, nemal som názor, je to oblasť, na ktorú som sa nemal pozerať do značnej hĺbky, takže som taký, viete, vymyslím si názor, ale ja to naozaj neviem. V podstate dávam prednosť tomu, aby boli veci v softvéri bezpečné, v podstate je to len spôsob, akým hrám.
Eric Kavanagh: Jo. Ľudia, spálili sme hodinu a zmenili sa tu. Ďakujem Vicky Harpovej za jej čas a pozornosť - za všetok svoj čas a pozornosť; vážime si, že ste sa ukázali na tieto veci. Je to veľká vec; nebude to čoskoro zmiznúť. Je to hra pre mačky a myši, ktorá bude ďalej pokračovať a bude ďalej. A tak sme boli vďační, že niektoré spoločnosti sú tam, zamerané na zabezpečenie bezpečnosti, ale ako sa Vicky vo svojej prezentácii dokonca zmieňovala a trochu o nej hovorila, na konci dňa jej ľudia v organizáciách, ktorí o nich musia veľmi starostlivo premýšľať, phishingové útoky, tento druh sociálneho inžinierstva a držte sa svojich prenosných počítačov - nenechávajte ich v kaviarni! Zmeňte svoje heslo, urobte základy a dostanete tam 80 percent cesty.
Takže, s tým, ľudia, sa ťa chceli rozlúčiť, ešte raz vám ďakujem za váš čas a pozornosť. Nabudúce vás dohonte, dávajte pozor. Zbohom.
Vicky Harp: Ahoj, ďakujem.