От персонала на Техопедия, 10 май 2017 г.
Отнемане: Домакинът Ерик Кавана обсъжда сигурността и разрешенията с д-р Робин Блур и Вики Харп от IDERA.
В момента не сте влезли. Моля, влезте или се регистрирайте, за да видите видеото.
Ерик Кавана: Добре, дами и господа, здравей и добре дошли отново. Това е сряда, това е четири източни и в света на корпоративните технологии, което означава, че отново е време за горещи технологии! Да, именно. Представена от групата Bloor, разбира се, захранвана от нашите приятели от Techopedia. Темата за днес е наистина готина: „По-добре да поискате разрешение: Най-добри практики за поверителност и сигурност.“ Точно така, това е нещо много тежка тема, много хора говорят по нея, но е доста сериозна и наистина става все по-сериозен с всеки изминал ден, съвсем откровено. Това е сериозен проблем в много отношения за много организации. Ще поговорим за това и ще говорим за това, което можете да направите, за да защитите вашата организация от злобните герои, които изглежда са навсякъде тези дни.
Затова днешният водещ е Вики Харп, който се обажда от IDERA. Можете да видите софтуера IDERA в LinkedIn - обичам новата функционалност на LinkedIn. Въпреки че мога да кажа, че те издърпват някои низове по определени начини, не ви позволяват да имате достъп до хора, опитвайки се да ви накарат да купите тези първокласни членства. Ето, ние имаме нашата собствена Robin Bloor, която набира номера - днес той всъщност е в района на Сан Диего. И вашият наистина като ваш модератор / анализатор.
И така, за какво говорим? Нарушения на данните. Току-що взех тази информация от IdentityForce.com, тя вече е към състезанията. Ние сме през май тази година и има само един брой нарушения на данните, има някои наистина огромни, разбира се от Yahoo! беше голям и чухме за разбира се, че правителството на САЩ е хакнато. Просто бяхме хакнали френските избори.
Това се случва навсякъде, продължава и няма да спира, така че е реалност, това е новата реалност, както се казва. Наистина трябва да мислим за начините за налагане на сигурността на нашите системи и на нашите данни. И това е продължаващ процес, така че е точно навреме да помислите за всички различни проблеми, които влизат в игра. Това е само частичен списък, но това ви дава известна гледна точка колко несигурна е ситуацията в наши дни с корпоративните системи. И преди това шоу, в нашата лента за предварително показване говорихме за ransomware, който удари някой, когото познавам, което е много неприятно изживяване, когато някой вземе вашия iPhone и поиска пари за вас, за да получите обратно достъп до телефона си. Но това се случва, случва се с компютрите, случва се със системи, видях точно онзи ден, това се случва с милиардери с техните яхти. Представете си, че един ден ще отидете на яхтата си, опитвайки се да впечатлите всичките си приятели и дори не можете да я включите, защото някой крадец е откраднал достъп до контролите, контролния панел. Току-що казах онзи ден в интервю пред някого, винаги ръчното отменяне. Като, не съм голям фен на всички свързани автомобили - дори колите могат да бъдат хакнати. Всичко, което е свързано с интернет или свързано с мрежа, през която може да се проникне, може да бъде хаквано, каквото и да е.
И така, ето само няколко елемента, които трябва да разгледате по отношение на рамката на контекста на това колко сериозна е ситуацията. Уеб базирани системи са навсякъде тези дни, те продължават да се разпространяват. Колко хора купуват неща онлайн? Това е просто през покрива в наши дни, затова Amazon е толкова мощна сила в наши дни. Това е така, защото толкова много хора купуват неща онлайн.
Така че, спомняте си, преди 15 години хората бяха доста изнервени от поставянето на кредитната си карта в уеб форма, за да получат информацията си, и тогава аргументът беше: „Е, ако предадете кредитната си карта на сервитьор на ресторант, тогава това е едно и също нещо. ”Така че, отговорът ни е да, това е едно и също нещо, има всички тези контролни точки или точки за достъп, едно и също нещо, различна страна на една и съща монета, където хората могат да бъдат поставени изпада в опасност, където някой може да ви вземе парите или някой може да открадне от вас.
Тогава IoT разбира се разширява пейзажа на заплахите - обичам тази дума - с порядък. Искам да кажа, помислете за това - с всички тези нови устройства навсякъде, ако някой може да хакне в система, която ги контролира, може да обърне всички тези ботове срещу вас и да причини много и много проблеми, така че това е много сериозен проблем. Днес имаме глобална икономика, която разширява още повече заплахите и още повече, вие имате хора в други страни, които могат да имат достъп до мрежата по същия начин, както вие и аз, и ако не знаете как да говорите руски или който и да е брой други езици, ще ви е трудно да разберете какво се случва, когато те влизат във вашата система. Така че имаме напредък в работата в мрежите и виртуализацията, добре, че това е добре.
Но имам отдясно на тази снимка тук, меч и причината да го имам е, защото всеки меч реже и в двете посоки. Както се казва, това е меч с двойни остриета и е старо клише, но това означава, че мечът, който имам, може да ви навреди или може да ми навреди. Може да се върне върху мен, или като отскочи назад, или от някой, който го вземе. Това всъщност е една от басните на Езоп - ние често даваме на враговете си инструментите на собственото си унищожение. Това е наистина доста завладяващ сюжет и има връзка с някой, който използва лък и стрела и свали птица и птицата видя, когато стрелата се приближаваше, че перото от един от неговите приятели с птици беше на ръба на стрелата, на гърба на стрелката, за да я насочи, и той си помисли: „О, човече, ето, моите пера, моето семейство ще бъдат използвани да ме свалят.“ Това се случва през цялото време, чувате статистика за това, че имате пистолет в къщата, крадецът може да вземе пистолета. Е, всичко това е вярно. И така, изхвърлям това като аналогия, само за да се има предвид, всички тези различни развития имат положителни и отрицателни страни.
И като говорим за контейнери за онези от вас, които наистина следват най-новата граница на корпоративните изчисления, контейнерите са най-новото нещо, най-новият начин за предоставяне на функционалност, това наистина е бракът на виртуализацията в ориентираната към услуги архитектура, поне за микросервизите и това е много интересни неща. Със сигурност можете да объркате протоколите си за сигурност и протоколите на вашите приложения и вашите данни и така нататък, като използвате контейнери, и това ви дава аванс за период от време, но рано или късно лошите ще разберат това и тогава ще бъде още по-трудно да им попречите да се възползват от вашите системи. Така че, там е това, има глобална работна сила, която усложнява мрежата и сигурността и откъдето хората влизат.
Имаме войни за браузъри, които продължават непрекъснато и изискват постоянна работа, за да се актуализират и да бъдат в течение на нещата. Непрекъснато чуваме за старите браузъри на Microsoft Explorer, как са били хакнати и налични там. И така, трябва да се спечелят повече пари от хакерството в наши дни, има цяла индустрия. Това е нещо, на което моят партньор д-р Блуър ме научи преди осем години - чудех се защо виждаме толкова много от него и той припомни мен, това е цяла индустрия, участваща в хакване. И в този смисъл разказът, който е една от най-малко любимите ми думи за сигурността, наистина е много непочтен, защото разказът ви показва във всички тези видеоклипове и всякакъв вид новинарски отразявания, някои хакерски те показват някой човек в качулка, седнал в мазето му в тъмно осветена стая, това изобщо не е така. Това изобщо не е представително за реалността. Това са самотни хакери, има много малко самотни хакери, те са там, създават някои проблеми - няма да причинят големите проблеми, но могат да направят много пари. Така че това, което се случва е, че хакерите влизат и проникват във вашата система и след това продават този достъп на някой друг, който се обръща и продава на някой друг, а след това някъде по линията, някой експлоатира този хак и се възползва от вас. И има безброй начини да се възползвате от откраднатите данни.
Дори се удивлявах на себе си за това, как обаяхме тази концепция. Виждате този термин навсякъде, „хакване на растежа“, като че е добро нещо. Хак за растеж, знаете ли, хакването може да бъде добро нещо, ако се опитвате да работите за добрите момчета, така да се каже, и да хакнете в система, като ние продължаваме да чуваме за Северна Корея и техните изстрелвания на ракети, потенциално да бъдат хакнати - това е добре. Но хакването често е лошо нещо. Така че сега го озаряваме, почти като Робин Худ, когато обаяхме Робин Худ. И тогава е безкасовото общество, нещо, което откровено се отнася до дневните светлини от мен. Всичко, което мисля всеки път, когато чуя това, е: „Не, моля те, не го прави! Моля, не! ”Не искам всичките ни пари да изчезнат. И така, това са само някои въпроси, които трябва да се разгледат, и отново, това е игра на котки и мишки; това никога няма да спре, винаги ще има нужда от протоколи за сигурност и от подобряване на протоколите за сигурност. И за наблюдение на вашите системи за дори да знаете и усетите кой е там, с разбирането, че това може дори да е вътрешна работа. Така че, това е продължаващ проблем, той ще бъде продължаващ въпрос от доста време - не се заблуждавайте по този въпрос.
И с това ще го предам на д-р Блур, който може да сподели с нас някои мисли за осигуряването на бази данни. Робин, отнеси го.
Робин Блур: Добре, един от интересните хакове, мисля, че се случи преди около пет години, но в общи линии това беше хакерска компания за обработка на карти. И голям брой данни за картата бяха откраднати. Но интересното за него за мен беше фактът, че те всъщност са влезли в базата данни за тестове и вероятно е имало големи трудности да влязат в действителната, истинска база данни за обработка на карти. Но знаете как е с разработчиците, те просто изрязват база данни и я вкарват там. Трябваше да има далеч повече бдителност, за да спре това. Но има много интересни хакерски истории, това прави в една област, прави много интересна тема.
Така че всъщност по един или друг начин ще повторя някои неща, които Ерик каза, но е лесно да се мисли за сигурността на данните като за статична цел; по-лесно е само защото е по-лесно да анализираш статични ситуации и след това да мислиш как да вкараш защити, защити там, но не е така. Това е движеща се цел и това е едно от нещата, които определят цялото пространство за сигурност. Просто по начина, по който се развиват всички технологии, се развива и технологията на лошите. И така, кратък преглед: Кражбата на данни не е нищо ново, всъщност шпионажът на данни е кражба на данни и това продължава хиляди години.
Най-големият преглед на данни в тези термини е, че британците нарушават германските кодове, а американците нарушават японските кодове и почти в двата случая те съкращават войната значително. И те просто крадеха полезни и ценни данни, беше много умно разбира се, но знаете, това, което се случва в момента, е много умно в много отношения. Киберкражбата се роди с интернет и се взриви около 2005 г. Отидох и разгледах всички статистически данни и когато започнахте да получавате наистина сериозни и по някакъв или друг начин забележително високи цифри, започващи от около 2005 г. Просто се влошава след тогава. Участват много играчи, правителства, участват фирми, хакерски групи и лица.
Отидох в Москва - това сигурно беше около пет години - и всъщност прекарах много време с човек от Обединеното кралство, който изследва цялото хакерско пространство. И той каза това - и нямам идея дали това е вярно, имам само думата му за това, но звучи много вероятно - че в Русия има нещо, наречено Бизнес мрежа, която е група хакери, които са всички знаете ли, те излязоха от руините на КГБ. И те продават себе си, не само, искам да кажа, сигурен съм, че руското правителство ги използва, но те се продават на когото и да било, и се носеше слух, или той каза, че се носи слух, че различни чуждестранни правителства използват бизнес мрежата за правдоподобно опровержение. Тези момчета имаха мрежи от милиони компрометирани компютри, от които можеха да атакуват. И имаха всички инструменти, които можете да си представите.
И така, технологията за атака и отбрана се разви. И предприятията имат задължение да се грижат за своите данни, независимо дали ги притежават или не. И това започва да става много по-ясно по отношение на различните регулации, които всъщност вече са в сила или влизат в сила. И вероятно ще се подобри, някой по един или друг начин, някой трябва да поеме разходите за хакване по такъв начин, че да бъдат стимулирани да закрият възможността. Това е едно от нещата, които предполагам, че е необходимо. Така че за хакерите, те могат да бъдат разположени навсякъде. Особено в рамките на вашата организация - страшно много от гениалните хакове, за които съм чувал, че са замесили някой да отвори вратата. Знаеш ли, човекът, това е като ситуацията с банкови грабежи, почти винаги са казвали, че при добри банкови грабежи има вътрешна информация. Но вътрешният човек трябва само да дава информация, така че е трудно да ги получи, да знае кой е бил и т.н., и така нататък.
И може да е трудно да ги привлечете под съд, защото ако сте били хакнати от група хора в Молдова, дори да знаете, че е била тази група, как ще направите някакво правно събитие да се случи около тях? Това е нещо, от една юрисдикция в друга, просто е, няма много добър набор от международни договорености, които да ограничат хакерите. Те споделят технологии и информация; много от него е с отворен код. Ако искате да създадете свой собствен вирус, има много комплекти от вируси - напълно отворен код. И те разполагат със значителен ресурс, имаше брой, които са имали ботнети в повече от милион компрометирани устройства в центрове за данни и на персонални компютри и т.н. Някои от тях са печеливш бизнес, който върви отдавна, а след това има правителствени групи, както споменах. Както е казал Ерик, е малко вероятно това явление да приключи някога.
И така, това е интересен хак, който просто мислех да го спомена, защото беше доста скорошен хак; това се случи миналата година. Имаше уязвимост в договора на DAO, свързана с криптовалутата Etherium. И това беше обсъдено на форум и в рамките на един ден договорът на DAO беше хакнат, използвайки точно тази уязвимост. 50 милиона долара в етер бяха отнесени, което предизвика незабавна криза в проекта DAO и го закри. И Etherium всъщност се бори да се опита да предотврати достъпа до парите до хакера и те намалиха поемането му. Но също така се смяташе - неизвестно със сигурност - че хакерът действително е скъсил цената на етера преди атаката си, знаейки, че цената на етера ще се срине и по този начин е реализирал печалба по друг начин.
И това е друга, ако желаете, стратегия, която хакерите могат да използват. Ако те могат да повредят вашата цена на акциите и те знаят, че ще направят това, тогава е необходимо само те да намалят цената на акциите и да направят хак, така че е някак си, тези момчета са умни, знаете ли. А цената е откровена кражба на пари, прекъсване и откуп, включително инвестиции, при които нарушавате и съкращавате запасите, саботаж, кражба на самоличност, всякакви измами, само с цел реклама. И това е тенденция да бъде политическо или очевидно шпиониране на информация и дори има хора, които изкарват прехраната си от бананите на бъгове, които можете да получите, като се опитате да хакнете Google, Apple, Facebook - дори и Пентагона, всъщност дава много грешки. И вие просто хакнете; ако е успешен, тогава просто отидете и заявите наградата си и няма да се нанесете щети, така че това е хубаво нещо.
Бих могъл да спомена и спазването и регулирането. Освен секторните инициативи, има множество официални разпоредби: HIPAA, SOX, FISMA, FERPA и GLBA са цялото законодателство на САЩ. Има стандарти; PCI-DSS се превърна в доста общ стандарт. И тогава има ISO 17799 за собствеността на данни. Националните разпоредби се различават в отделните страни, дори в Европа. И в момента GDPR - глобалните данни, какво представлява това? Глобален регламент за защита на данните, мисля, че стои - но това влиза в сила през следващата година, казаха. И интересното в него е, че се прилага в целия свят. Ако имате 5000 или повече клиенти, на които имате лична информация и те живеят в Европа, тогава Европа всъщност ще ви отведе до задачите, без значение дали вашата корпорация всъщност е със седалище или къде работи. И санкциите, максималната санкция е четири процента от годишните приходи, което е просто огромно, така че това ще бъде интересен обрат на света, когато това влезе в сила.
Нещата, за които трябва да се помисли, добре, уязвимостите в СУБД, повечето ценни данни всъщност се намират в базите данни. Това е ценно, защото вложихме страшно много време, за да го направим достъпно и да го организираме добре и това го прави по-уязвим, ако всъщност не приложите правилните ценни книжа за DBMS. Очевидно е, че ако планирате подобни неща, трябва да определите какви уязвими данни има в цялата организация, като имате предвид, че данните могат да бъдат уязвими по различни причини. Това могат да бъдат клиентски данни, но еднакво могат да бъдат и вътрешни документи, които биха били полезни за шпионажните цели и т.н. Политиката за сигурност, особено във връзка със сигурността на достъпа - която в последно време е много слаба, в новите неща с отворен код - криптирането започва да се използва все повече, защото е доста солидна.
Разходите за нарушаване на сигурността повечето хора не знаеха, но ако всъщност погледнете какво се случи с организации, които са претърпели нарушения на сигурността, се оказва, че цената на нарушение на сигурността често е много по-висока, отколкото смятате, че би била, И тогава другото, за което трябва да се замислите, е атаката на повърхността, тъй като всеки софтуер, където и да е, работещ с вашите организации, представлява атака. Така направете някое от устройствата, както и данните, независимо как се съхраняват. Всичко е, атакуващата повърхност нараства с интернет на нещата, атакуващата повърхност вероятно ще се удвои.
И накрая, DBA и сигурност на данните. Сигурността на данните обикновено е част от ролята на DBA. Но и това е съвместно. И тя трябва да бъде подчинена на корпоративната политика, в противен случай вероятно няма да бъде приложена добре. Като каза това, мисля, че мога да предам топката.
Ерик Кавана: Добре, нека да дам ключовете на Вики. И можете да споделяте екрана си или да се премествате на тези слайдове, зависи от вас, отнемете го.
Вики Харп: Не, ще започна с тези слайдове, много ви благодаря. Така че, да, просто исках да направя кратък момент и да се представя. Аз съм Вики Харп. Аз съм мениджър, управление на продукти за SQL продукти в софтуера IDERA и за тези от вас, които може би не са запознати с нас, IDERA има редица продуктови линии, но тук говоря за нещата от SQL Server. И така, ние извършваме мониторинг на ефективността, спазване на сигурността, архивиране, инструменти за администриране - и това е просто вид списък с тях. И разбира се, това, за което днес говоря, е сигурността и спазването.
По-голямата част от това, за което искам да говоря днес, не е непременно нашите продукти, въпреки че имам намерение да покажа някои примери за това по-късно. Исках да поговоря с вас повече за сигурността на базата данни, някои заплахи в света на сигурността на базата данни в момента, някои неща, за които да помислите, както и някои от встъпителните идеи за това, което трябва да гледате, за да защитите вашия SQL Сървърни бази данни, както и да се уверите, че те съответстват на регулаторната рамка, която може да бъде обект на вас, както беше споменато. Има много различни разпоредби; те отиват в различни индустрии, различни места по света и това са неща, за които трябва да се мисли.
Така че, аз искам да отделя момент и да поговоря за състоянието на нарушенията на данните - и да не повтарям прекалено много от това, което вече беше обсъдено тук - преглеждах това проучване на Intel за сигурност наскоро и през тяхното - мисля 1500 или около организации, с които са разговаряли - те са имали средно шест нарушения на сигурността по отношение на нарушенията на загубата на данни, а 68 процента от тях са изисквали разкриване в някакъв смисъл, така че те са повлияли на цената на акциите или е трябвало да направят кредит мониторинг за своите клиенти или техните служители и т.н.
Друга интересна друга статистика е, че вътрешните участници, които са били отговорни за 43 процента от тях. Така че, много хора мислят много за хакери и този вид сенчести квазиправителствени организации или организирана престъпност и т.н., но вътрешните участници все още директно предприемат действия срещу своите работодатели в доста голям процент от случаите. А те понякога са по-трудни за защита, тъй като хората могат да имат основателни причини да имат достъп до тези данни. Около половината от това, 43 процента е случайна загуба в някакъв смисъл. Така например, в случай, че някой отнесе данни вкъщи и след това загуби следите на тези данни, което ме води до тази трета точка, която е, че все още са били засегнати 40% от нарушенията във физическите медии. Това са USB ключове, това са лаптопите на хората, това е действителната медия, която беше изгорена на физически дискове и извадена от сградата.
Ако се замислите, имате ли разработчик, който има разработено копие на вашата производствена база данни на лаптопа си? След това отиват да се качат на самолет и те слизат от самолета, а те вземат чекирания багаж и лаптопът им е откраднат. Вече имате нарушение на данните. Може да не мислите непременно, че ето защо този лаптоп е взет, той може никога да не се появи в природата. Но това все още е нещо, което се счита за нарушение, това ще изисква разкриване, ще имате всички последици от загубата на тези данни, само заради загубата на този физически носител.
И другото интересно е, че много хора се замислят за данните за кредитите и данните за кредитните карти като най-ценните, но това всъщност вече не е така. Тези данни са ценни, номерата на кредитните карти са полезни, но честно казано, тези номера се променят много бързо, докато личните данни на хората не се променят много бързо. Нещо, което в последните новини, сравнително скоро, VTech, производител на играчки, имаше тези играчки, които бяха предназначени за деца. И хората биха имали имената на децата си, те биха имали информация къде живеят децата, имената на родителите им, те са имали снимки на децата. Нищо от това не е шифровано, защото не се смяташе за важно. Но паролите им бяха шифровани. Е, когато нарушението неизбежно се случи, вие казвате: „Добре, така че имам списък с имената на децата, имената на техните родители, къде живеят - цялата тази информация е там, и вие мислите, че паролата беше най-ценната част от това? “Не беше; хората не могат да променят тези аспекти относно личните си данни, адреса си и т.н. И така информацията всъщност е много ценна и трябва да бъде защитена.
И така, исках да поговорим за някои от нещата, които се случват, за да допринеса за начина, по който нарушенията на данните се случват в момента. Едно от големите горещи точки, пространства в момента е социалното инженерство. Така че хората го наричат фишинг, има представяне и т.н., където хората получават достъп до данни, често чрез вътрешни участници, просто ги убеждават, че трябва да имат достъп до него. И така, точно онзи ден имахме този червей Google Docs, който обикаляше. И какво ще се случи - и всъщност получих копие от него, макар че за щастие не щракнах върху него - получавахте имейл от колега, казвайки: „Ето връзка в Google Doc; трябва да кликнете върху това, за да видите това, което току-що споделих с вас. “Е, в организация, която използва Google Документи, това е много конвенционално, ще получавате десетки тези искания на ден. Ако щракнете върху него, ще ви поиска разрешение за достъп до този документ и може би ще кажете: „Хей, и това изглежда малко странно, но знаете ли, че изглежда и законно, така че ще продължа напред и кликнете върху него “и веднага щом го направихте, вие предоставяте на тази трета страна достъп до всичките си документи в Google и така създавате тази връзка за този външен участник, за да има достъп до всички ваши документи в Google Drive. Това се развихри навсякъде. Той удари стотици хиляди хора за няколко часа. И това беше по същество фишинг атака, която самият Google в крайна сметка се наложи да затвори, защото беше много добре изпълнен. Хората паднаха за това.
Тук споменавам нарушението на HR на SnapChat. Това беше просто един въпрос на някой да изпрати имейл, като се представи, че е главен изпълнителен директор, изпратил имейл до отдела по човешките ресурси, казвайки: „Имам нужда от мен да ми изпратите тази електронна таблица.“ И те им повярваха, и те сложиха електронна таблица със 700 различни служители „информация за обезщетението, техните домашни адреси и др., ги изпращахме по електронен път на тази друга страна, всъщност не беше на изпълнителния директор. Сега данните бяха излезли и личната, частната информация на всички служители е била там и е била достъпна за експлоатация. И така, социалният инженеринг е нещо, което го споменавам в света на базите данни, защото това е нещо, срещу което можете да се опитате да защитите чрез образование, но трябва също така просто да запомните, че навсякъде, където имате човек, взаимодействащ с вашата технология, и ако разчитате на тяхната добра преценка за предотвратяване на прекъсване, питате много от тях.
Хората правят грешки, хората кликват върху неща, които не би трябвало, хората си падат по умни заблуди. И можете да се опитате много да ги защитите срещу това, но това не е достатъчно силно, трябва да се опитате да ограничите възможността хората да предават случайно тази информация във вашите системи от бази данни. Другото, което исках да отбележа, че очевидно говорим за много, са откупи, ботнети, вируси - всички тези различни автоматизирани начини. И така, това, което мисля, че е важно да се разбере за извличането на софтуер, наистина ли променя модела на печалба за нападателите. В случай, че говорите за нарушение, те трябва в някакъв смисъл да извлекат данни и да ги имат за себе си и да се възползват от тях. И ако вашите данни са неясни, ако са криптирани, ако са специфични за индустрията, може би те нямат никаква стойност за това.
До този момент хората може би са се чувствали така, че това е защита за тях: „Не е нужно да се защитавам от нарушаване на данните, защото ако те ще влязат в моята система, всичко, което ще имат е, аз съм фотографско студио, имам списък кой ще идва през какви дни през следващата година. Кой се интересува от това? ”Е, оказва се, че отговорът ви е грижа за това; съхранявате тази информация, това е критична за бизнеса ви информация. Така че, използвайки ransomware, нападател ще каже: „Е, никой друг няма да ми даде пари за това, но вие ще го направите.“ И така, те се възползват от факта, че дори не трябва да изваждат данните, те не го правят. дори не трябва да има нарушение, те просто трябва да използват защитни инструменти обидно срещу вас. Те влизат във вашата база данни, криптират съдържанието й и след това те казват: „Добре, ние имаме паролата и вие ще трябва да ни платите 5000 долара, за да получим тази парола, иначе просто нямате тези данни вече. “
И хората наистина плащат; се оказва, че трябва да правят това. MongoDB имаше някакъв огромен проблем преди няколко месеца, предполагам, че беше през януари, където, според мен, откупуващ софтуер удари над милион бази данни MongoDB, които те имат публично до интернет, въз основа на някои настройки по подразбиране. И това, което още повече влоши, е, че хората плащаха и така други организации щяха да влязат и да ги шифроват или да твърдят, че са били тези, които първоначално са го шифровали, така че когато сте платили парите си и мисля, че в този случай те са били питайки за нещо като $ 500, хората биха казали: „Добре, бих платил повече от това, за да платя на изследовател, за да вляза тук, за да ми помогне да разбера какво се е объркало. Просто ще платя 500 долара. "И те дори не го платиха на подходящия актьор, така че ще бъдат натрупани с десет различни организации, които им казват:" Имаме паролата "или" Имаме имаш начин да отключиш откупните си данни. ”И ще трябва да платите всички, за да е възможно да го накарате да работи.
Имало е и случаи, при които авторите на откъм софтуер са имали грешки, искам да кажа, не говорим за това, че е перфектно извънбордова ситуация, така че дори след като бъдете нападнати, дори след като сте платили, няма гаранция, че сте ще получите всичките си данни обратно, част от това се усложнява и от въоръжените инструменти InfoSec. Така че Shadow Brokers е група, която изтече инструменти, които бяха от НСА. Те бяха инструменти, създадени от правителствените структури за целите на шпионажа и действително работещи срещу други държавни образувания. Някои от тях бяха наистина високопоставени атаки с нулев ден, които всъщност правят известните протоколи за сигурност просто отпадат. И така имаше голяма уязвимост в протокола SMB, например, в един от последните сметища на Shadow Brokers.
И така тези инструменти, които се появяват тук, могат за няколко часа наистина да променят играта върху вас по отношение на вашата атака. Така че, когато мисля за това, това е нещо, което на организационно ниво сигурността InfoSec е негова собствена функция, трябва да се вземе сериозно. Всеки път, когато говорим за бази данни, мога да го намаля малко, не е задължително да имате като администратор на база данни пълно разбиране за случващото се с Shadow Brokers тази седмица, но трябва да сте наясно, че всички от тях се изместват, там се случват нещата и така степента, в която държите на собствения си домейн здраво и сигурно, наистина ще ви помогне в случай, че нещата ви изтръгнат изпод вас.
И така, исках да отделя момент, преди да продължа да говоря за SQL Server конкретно, за да проведа малко отворена дискусия с нашите панели по някои съображения със сигурността на базата данни. И така, стигнах до този момент, някои от нещата, които не споменахме, исках да говоря за SQL инжектирането като вектор. И така, това е SQL инжектиране, очевидно това е начинът, по който хората вмъкват команди в система от бази данни, чрез неправилно деформиране на входовете.
Ерик Кавана: Да, всъщност срещнах един човек - мисля, че беше във военновъздушната база на Андрюс - преди около пет години, консултант, че разговарях с него в коридора и просто споделяхме войни истории - нямаше намерение - и той спомена, че е бил доведен от някой да се консултира с доста висок ранг от военните и човекът го попитал: „Е, как да разберем, че си добър в това, което правиш?“ И това и онова, И докато разговаряше с тях, които използваше на компютъра си, той влезе в мрежата, той използва SQL инжекция, за да влезе в имейл регистъра за тази база и за тези хора. И намери имейла на човека, с който той разговаря, и той просто му показа имейла си на машината си! И човекът беше: „Как го направи?“ Той каза: „Е, използвах SQL инжекция.“
Така че, точно преди пет години, и то в базата на ВВС, нали? Искам да кажа, че по отношение на контекста това нещо все още е много реално и би могло да се използва с наистина ужасяващи ефекти. Искам да кажа, ще ми е любопитно да знам какви ли не истории от войната, които Робин има по темата, но всички тези техники все още са валидни. Те все още се използват в много случаи и въпросът е да се образовате, нали?
Робин Блур: Е, да. Да, възможно е да се защитите от инжектиране на SQL, като вършите работата. Лесно е да се разбере защо, когато идеята е измислена и разпространена за първи път, е лесно да се разбере защо е била толкова проклета успешна, защото можете просто да я залепите в поле за въвеждане на уеб страница и да я накарате да върне данни за вас или да получите тя да изтрие данни в базата данни или нещо друго - просто можете да вмъкнете SQL код, за да направите това. Но това, което ме интересува, е, че знаете, че ще трябва да направите малко разбор на всеки въведен данни, но е напълно възможно да забележите, че някой се опитва да направи това. И наистина е, мисля, че това е наистина, защото хората все още се разминават с това, искам да кажа, че е наистина много странно, че не е имало лесен начин за борба с това. Знаеш ли, че всеки може лесно да го използва, искам да кажа, доколкото знам, не е имало, Вики, нали?
Вики Харп: Е, всъщност някои от решенията за заложници, като SQL Azure, мисля, че имат някои доста добри методи за откриване, които се базират на машинно обучение. Това вероятно е това, което ще видим в бъдеще, е нещо, което се опитва да измисли един размер, който отговаря на всички. Мисля, че отговорът е, че не е един размер, който отговаря на всички, но ние имаме машини, които могат да научат какъв е вашият размер и да се уверите, че го подхождате, нали? И така, че ако имате фалшив позитив, това е, защото всъщност правите нещо необичайно, не е защото трябва да преминете и старателно да идентифицирате всичко, което някога може да направи приложението ви.
Мисля, че една от причините, че наистина все още е толкова плодотворна е, че хората все още разчитат на приложения на трети страни, а приложенията от ISV и тези се размазват с течение на времето. Така че, вие говорите за организация, която е закупила инженерно приложение, което е написано през 2001 г. И те не са го актуализирали, тъй като оттогава не е имало големи функционални промени и първоначалният автор на това е вид, те не са били инженер, не са били експерт по сигурността на базата данни, не са правили нещата по подходящ начин в приложението и те са вектори. Моето разбиране е, че - мисля, че това беше нарушението на целевите данни, наистина голямото - векторът за атака е бил чрез един от техните доставчици на климатик, нали? Така че, проблемът с тези трети страни, можете, ако притежавате собствен магазин за разработка, може би имате някои от тези правила на място, като го правите по общ начин, винаги, когато. Като организация може да имате стартирани стотици или дори хиляди приложения с всички различни профили. Мисля, че там ще дойде машинното обучение и ще започне да ни помага много.
Военната ми история беше образователен живот. Трябва да видя SQL инжекционна атака и нещо, което никога не ми е хрумнало е, че използвайте просто четим SQL. Правя тези неща, наречени замъглени P SQL карти за почивка; Обичам да правя, вие правите този SQL да изглежда възможно най-объркващ. Има затъмнен конкурс за C ++ код, който продължава от десетилетия, и това е една и съща идея. И така, това, което всъщност получихте, беше инжектирането на SQL, което беше в отворено низово поле, затвори низа, постави в запетая и след това въведе командата exec, която тогава имаше поредица от числа и тогава основно използваше команда за кастинг, за да прехвърли тези числа в двоични и след това да ги прехвърли в знаци и след това да ги изпълни. Така че, не е като да видите нещо, което казваше: „Изтриване на стартиране от производствената таблица“, всъщност беше натъпкано в числови полета, което го направи много по-трудно. И дори след като го видяхте, за да идентифицирате случващото се, бяха необходими някои истински SQL снимки, за да можете да разберете какво се случва, до което време, разбира се, работата вече беше свършена.
Робин Блур: И едно от нещата, които са просто явление в целия хакерски свят, е, че ако някой намери слабост и се случи в част от софтуера, който обикновено се продава, знаете, един от ранните проблеми е паролата на базата данни, която ви бе дадена при инсталирането на база данни, много бази данни всъщност бяха просто по подразбиране. И много DBA просто никога не са го променили и следователно можете да успеете да влезете в мрежата след това; можете просто да опитате тази парола и ако тя работи, е, просто спечелихте от лотарията. И интересното е, че цялата тази информация е много ефикасно и ефективно разпространена сред хакерските общности на уебсайтовете на darknet. И те знаят. Така че, те могат да направят преглед на онова, което е там, да намерят няколко инстанции и просто автоматично да хвърлят хакерски експлоатация в него и те са вътре. И това е, мисля, че много хора, които са поне на периферията на всичко това, всъщност не разбирам колко бързо хакерската мрежа реагира на уязвимостта.
Вики Харп: Да, това всъщност разкрива още нещо, което исках да спомена, преди да продължа, което е това понятие за пълнеж с доверие, което е нещо, което се появява много, което е, че след като вашите идентификационни данни са били откраднати за някого навсякъде, на всеки сайт, тези идентификационни данни ще бъдат опитани да бъдат използвани повторно. Така че, ако използвате дублиращи се пароли, да речем, ако вашите потребители са дори, нека да го кажем по този начин, някой може да бъде в състояние да получи достъп чрез това, което изглежда е напълно валиден набор от идентификационни данни. Нека да кажем, че съм използвал същата си парола в Amazon и в моята банка, а също и във форум и този форум на софтуера е бил хакнат, добре, че те имат моето потребителско име и паролата ми. След това те могат да използват същото потребителско име в Amazon или да го използват в банката. А що се отнася до банката, това беше напълно валидно вход. Сега можете да предприемете злобни действия чрез напълно разрешения достъп.
Така че, този вид се връща отново към това, което казах за вътрешните нарушения и вътрешната употреба. Ако имате хора от вашата организация, които използват същата си парола за вътрешен достъп, която правят за външен достъп, имате възможността някой да влезе и да ви представи чрез нарушение в някой друг сайт, който правите Дори не знам за. И тези данни се разпространяват много бързо. Има списъци на, мисля, че най-скорошното натоварване на „бях ликуван” от Троя Хънт, той каза, че има половин милиард масив, което е - ако вземете предвид броя на хората на планетата - това е наистина голям брой идентификационни данни, които са предоставени за пълнене с идентификационни данни.
И така, ще стъпя малко по-дълбоко и ще говоря за сигурността на SQL Server. Сега искам да кажа, че няма да се опитвам да ви дам всичко, което трябва да знаете, за да защитите вашия SQL Server в следващите 20 минути; това изглежда е малко високо. Така че, за да започнем, искам да кажа, че има групи онлайн и ресурси онлайн, които със сигурност можете да Google, има книги, има документи за най-добри практики в Microsoft, има виртуална глава за сигурност за професионалните сътрудници в SQL Server, те са на security.pass.org и вярвам, че имат ежемесечни уеб предавания и записи на уебкастове, за да надминат реалната, задълбочена как да правят сигурността на SQL Server. Но това са някои от нещата, за които аз, като ви говоря като специалисти по данни, като ИТ специалисти, като DBA, искам да знаете, че трябва да знаете за сигурността на SQL Server.
Така че първата е физическата сигурност. Така, както казах по-рано, кражбата на физически носители все още е изключително често срещана. И така сценарият, който дадох с dev машината, с копие на вашата база данни на dev машината, която се краде - това е изключително често срещан вектор, това е вектор, който трябва да знаете и да се опитате да предприемете действия срещу. Това важи и за сигурността на архивирането, така че всеки път, когато архивирате данните си, трябва да ги архивирате криптирани, трябва да архивирате на сигурно място. Много пъти тези данни, които наистина са били защитени в базата данни, веднага щом започне да излиза на периферни места, на машини за разработка, на тестови машини, получаваме малко по-малко внимания относно кръпките, получаваме малко по-малко внимавайте за хората, които имат достъп до него. Следващото нещо, което знаете, имате незашифровани резервни копия на база данни, съхранявани на публичен дял в организацията ви, достъпни за експлоатация от много различни хора. Така че, помислете за физическата сигурност и също толкова просто, може ли някой да върви нагоре и просто да постави USB ключ във вашия сървър? Не бива да допускате това.
Следващ елемент, за който искам да помислите, е сигурността на платформата, така че актуална ОС, актуални корекции. Много е уморително да чуваме хората да говорят за оставане на по-стари версии на Windows, по-стари версии на SQL Server, мислейки, че единственият разход в играта е цената на надстройката за лицензиране, което не е така. Ние сме със сигурността, това е поток, който продължава да се спуска надолу по хълма и с течение на времето се откриват още подвизи. В този случай Microsoft и други групи, според случая, ще актуализират до по-старите системи и в крайна сметка те ще изпаднат в подкрепа и няма да ги актуализират вече, защото това е просто непрекъснат процес на поддръжка.
И така, трябва да сте на поддържана операционна система и трябва да сте в течение на вашите пачове, а ние открихме напоследък, както при Shadow Brokers, в някои случаи Microsoft може да има представа за предстоящи големи нарушения на сигурността преди тях. като се оповестява публично преди разкриването, така че не си позволявайте да изтръгнете всичко. Предпочитам да не прекъсвам, по-скоро ще изчакам и прочета всеки един от тях и решавам. Може да не знаете каква е стойността му до няколко седмици след като разберете защо е възникнал този пластир. Така че, останете на върха на това.
Трябва да имате конфигурирана защитна стена. Шокиращо беше при нарушаването на SNB колко хора работеха с по-стари версии на SQL Server, като защитната стена е напълно отворена за интернет, така че всеки може да влезе и да прави каквото си поиска със сървърите си. Трябва да използвате защитна стена. Фактът, че понякога се налага да конфигурирате правилата или да правите конкретни изключения за начина, по който правите бизнеса си, е ОК цена, която трябва да платите. Трябва да контролирате повърхността в системите на базата данни - съвместно ли инсталирате услуги или уеб сървъри като IIS на една и съща машина? Споделяне на същото дисково пространство, споделяне на същото пространство на паметта като вашите бази данни и вашите лични данни? Опитайте се да не правите това, опитайте се да го изолирате, запазете повърхността по-малка, така че да не се налага да се притеснявате толкова, че да се уверите, че всичко това е сигурно отгоре на базата данни. Можете физически да отделите тези, да платформирате, да ги разделите, да си дадете малко място за дишане.
Не бива да имате супер администратори, които да обикалят навсякъде и да имат достъп до всичките си данни. Възможно е администраторските акаунти на ОС да не трябва непременно да имат достъп до вашата база данни или до основните данни в базата данни чрез криптиране, за което ще поговорим след минута. И достъпът до файловете на базата данни, трябва да ограничите и това. Това е някак глупаво, ако искате да кажете, добре, някой не може да получи достъп до тези бази данни чрез базата данни; Самият SQL Server няма да им позволи да получат достъп до него, но ако след това могат да обикалят, вземете копие на действителния MDF файл, преместете го просто така, прикачете го към собствения си SQL Server, всъщност не сте постигнали много.
Шифроване, така че криптирането е онзи известен двупосочен меч. Има много различни нива на криптиране, които можете да направите на ниво OS, а съвременният начин за правене на неща за SQL и Windows е с BitLocker, а на ниво база данни се нарича TDE или прозрачно криптиране на данни. И така, това са и двата начина да запазите данните си криптирани в покой. Ако искате да запазите шифрованите си данни по-всеобхватно, можете да направите криптирани - съжалявам, аз някак съм стъпил напред. Можете да направите криптирани връзки, така че винаги, когато е транзитно, той все още е криптиран, така че ако някой слуша или има мъж в средата на атака, имате някаква защита на тези данни по проводника. Вашите резервни копия трябва да бъдат криптирани, както казах, те могат да бъдат достъпни за други и тогава, ако искате той да бъде криптиран в паметта и по време на употреба, ние имаме криптиране на колони и тогава, SQL 2016 има това понятие „винаги шифровано “, където всъщност е кодирано на диск, в паметта, на жицата, чак до приложението, което всъщност използва данните.
Сега цялото това криптиране не е безплатно: има CPU режийни разходи, понякога има кодиране на колони и винаги криптиран случай, има последици за производителността по отношение на способността ви да търсите тези данни. Това криптиране обаче, ако е правилно комбинирано, означава, че ако някой е получил достъп до вашите данни, щетите значително намаляват, защото са успели да го получат и след това не са в състояние да направят нищо с него. Това обаче е и начинът, по който работи софтуерът за откупуване, е, че някой влиза и включва тези елементи със собствен сертификат или собствена парола и нямате достъп до него. Така че, затова е важно да се уверите, че правите това, и имате достъп до него, но не го давате, отворен за другите и нападателите да правят.
И тогава, принципи за сигурност - няма да търся този въпрос, но се уверете, че нямате всеки потребител, работещ в SQL Server като супер администратор. Вашите разработчици могат да го искат, различни потребители могат да го искат - те са разочаровани от това, че трябва да поискат достъп до отделни елементи - но трябва да бъдете внимателни за това и въпреки че може да е по-сложно, да дадете достъп до обектите и базите данни и схемите, които са валидни за текуща работа и има специален случай, може би това означава специално вход, не означава непременно повишаване на правата за обикновения потребител на случая.
И след това, има съображения за спазване на регулаторните норми, които се вписват в това и някои случаи всъщност могат да се променят по свой начин - така че има HIPAA, SOX, PCI - има всички тези различни съображения. И когато преминете одит, ще се очаква да покажете, че предприемате действия, за да останете в съответствие с това. И така, това е много за следене, бих казал като списък със задачи на DBA, вие се опитвате да осигурите конфигурацията на физическото криптиране на сигурността, вие се опитвате да сте сигурни, че достъпът до тези данни се проверява за целите на спазването ви, като се уверите, че вашите чувствителни колони, че знаете какви са те, къде се намират, кои трябва да криптирате и гледате достъп до. И се уверете, че конфигурациите са в съответствие с регулаторните указания, на които се подчинявате. И трябва да поддържате всичко това актуално, тъй като нещата се променят.
Така че, това е много за правене и така, ако трябваше да го оставя само там, бих казал, че отивам да направя това. Но има много различни инструменти за това и така, ако може в последните минути, исках да ви покажа някои от инструментите, с които разполагаме в IDERA за това. И двете, за които исках да говоря днес, са SQL Secure и SQL Compliance Manager. SQL Secure е нашият инструмент за подпомагане на идентифицирането на вид уязвимости в конфигурацията. Вашите политики за сигурност, вашите потребителски разрешения, конфигурации на вашата повърхност. И има шаблони, които да ви помогнат да спазвате различни регулаторни рамки. Това само по себе си, този последен ред, може да е причината хората да го смятат. Тъй като четенето на тези различни разпоредби и идентифицирането на това какво означава това, PCI и след това отвеждането до SQL Server в моя магазин, това е много работа. Това е нещо, за което бихте могли да платите много консултантски пари; отидохме и направихме това консултиране, работихме с различните одиторски компании и т.н., за да измислим какви са тези шаблони - нещо, което е вероятно да премине одит, ако има такива. И тогава можете да използвате тези шаблони и да ги видите във вашата среда.
Имаме и друг, вид сестрински инструмент под формата на SQL Compliance Manager и тук SQL Secure е свързан с настройките на конфигурацията. SQL Compliance Manager е да видим какво е направено от кого, кога. Така че, това е одит, така че ви позволява да наблюдавате активността, докато се случва и ви позволява да откривате и проследявате кой има достъп до нещата. Някой, прототипичният пример като знаменитост провери ли се в болницата ви, някой отиде и потърси информацията им, просто от любопитство? Имали ли са причина да го направят? Можете да разгледате историята на одита и да видите какво става, кой има достъп до тези записи. И можете да идентифицирате това има инструменти, които да ви помогнат да идентифицирате чувствителни колони, така че не е задължително да четете и да правите всичко това сами.
Така че, ако мога, ще продължа да ви показвам някои от тези инструменти тук в последните няколко минути - и моля, не го считайте за задълбочена демонстрация. Аз съм продуктов мениджър, а не инженер по продажбите, така че ще ви покажа някои от нещата, които смятам, че са от значение за тази дискусия. И така, това е нашият SQL Secure продукт. И както можете да видите тук, имам вид на тази отчетна карта на високо ниво. Аз проведох това, мисля, вчера. И ми показва някои от нещата, които не са настроени правилно и някои от нещата, които са настроени правилно. Така че можете да видите, че има доста от над 100 различни проверки, които сме правили тук. И виждам, че моето резервно криптиране на архивите, които съм правил, не съм използвал резервно криптиране. Моят акаунт в SA, изрично наречен „СА акаунт“, не е деактивиран или преименуван. Ролята на публичния сървър има разрешение, така че това са всички неща, които бих искал да разгледам при промяна.
Тук имам настроени правила, така че ако исках да настроя нова политика, да се прилагам към сървърите ми, имаме всички тези вградени политики. Така че, ще използвам съществуващ шаблон на политика и можете да видите, че имам CIS, HIPAA, PCI, SR и продължавам, и ние всъщност сме в процес на непрекъснато добавяне на допълнителни политики въз основа на нещата, от които хората се нуждаят на място, Можете също така да създадете нова политика, така че ако знаете какво търси вашият одитор, можете да го създадете сами. И тогава, когато го направите, можете да избирате сред всички тези различни настройки, които това, което трябва да зададете, в някои случаи имате някои - нека се върна и да намеря една от предварително построените. Това е удобно, мога да избера, да речем, HIPAA - вече имам HIPAA, моето лошо - PCI и тогава, като щракнете тук, всъщност мога да видя външната препратка към раздела на регламент, с който това е свързано. Така че това ще ви помогне по-късно, когато се опитвате да разберете защо задавам това? Защо се опитвам да разгледам това? С кой раздел е свързан?
Това също има приятен инструмент, тъй като ви позволява да влизате и да разглеждате своите потребители, така че едно от трудните неща за изследване на вашите потребителски роли е, че всъщност аз ще разгледам тук. Така че, ако покажа разрешения за моите, нека да видим, нека изберем потребител тук. Показване на разрешения. Мога да видя зададените разрешения за този сървър, но след това мога да кликнете тук долу и да изчисля ефективните разрешения и той ще ми даде пълния списък въз основа, така че в този случай това е администратор, така че не е толкова вълнуващо, но Бих могъл да мина през и да избера различните потребители и да видя какви са техните ефективни разрешения въз основа на всички различни групи, към които могат да принадлежат. Ако някога се опитате да направите това самостоятелно, това всъщност може да е малко затруднения, за да разберете, ОК, този потребител е член на тези групи и следователно има достъп до тези неща чрез групи и т.н.
Така, начинът, по който работи този продукт, взема ли се снимки, така че наистина не е много труден процес на редовно правене на моментни снимки на сървъра и след това той запазва тези снимки във времето, за да можете да сравнявате за промени. Така че това не е непрекъснат мониторинг в традиционния смисъл като инструмент за мониторинг на ефективността; това е нещо, което може би сте настроили да се изпълнява веднъж на вечер, веднъж седмично - колкото и често да мислите, че е валидно - така че тогава, когато правите анализа и правите малко повече, всъщност просто работи в рамките на нашия инструмент. Вие не се свързвате обратно към вашия сървър толкова много, така че това е доста приятен малък инструмент за работа, за да се съобразите с тези видове статични настройки.
Другият инструмент, който искам да ви покажа, е нашият инструмент за управление на съответствие. Мениджърът за съответствие ще следи по-непрекъснато. И ще видите кой какво прави на вашия сървър и ще ви позволи да го погледнете. И така, това, което направих тук, в последните няколко часа или така, всъщност се опитах да създам малко проблеми. И така, тук имам дали е проблем или не, може би знам за него, някой всъщност е създал вход и го е добавил към роля на сървър. Така че, ако вляза и разгледам това, мога да видя - предполагам, че не мога да щракнете с десния бутон там, мога да видя какво става. Това е моето табло и виждам, че имах няколко неуспешни влизания малко по-рано днес. Имах куп дейности по сигурността, DBL дейност.
Така че, нека да отида на моите одиторски събития и да разгледам. Тук имам своите събития за одит, групирани по категория и целеви обект, така че ако погледнем тази защита от по-рано, мога да видя DemoNewUser, това влизане в сървъра за създаване. И виждам, че SA за вход създаде този акаунт на DemoNewUser, тук, в 14:42 ч. И тогава, виждам, че от своя страна, добавете вход към сървъра, този DemoNewUser беше добавен към групата на администратора на сървъра, те бяха добавени към настройка администратор група, те бяха добавени към групата sysadmin. И така, това бих искал да знам, че се е случило. Също така съм го настроил така, че чувствителните колони в таблиците ми да се проследяват, така че да видя кой има достъп до него.
И така, тук имам няколко избрани, които са се появили на масата ми с хора, от Adventure Works. И мога да погледна и да видя, че потребителят SA в таблицата на Adventure Works направи избран топ десет звезди от човек точка човек. Така че може би в моята организация не искам хората да избират звезди от човек точка човек, или очаквам да го правят само определени потребители и затова ще видя това тук. И така - това, което ви е необходимо по отношение на вашия одит, можем да настроим това въз основа на рамката и това е малко по-интензивен инструмент. Използва се SQL Trace или SQLX събития, в зависимост от версията. И това е нещо, което ще трябва да имате място за глава на вашия сървър, за да се настаните, но това е едно от онези неща, като например застраховка, което е хубаво, ако не трябваше да имаме автомобилна застраховка - би било разходи, които не би трябвало да поемем - но ако имате сървър, където трябва да следите кой какво прави, може да се наложи да имате малко допълнително място за глава и инструмент като този, за да направите това. Независимо дали използвате нашия инструмент или го търкаляте сами, в крайна сметка ще носите отговорност за това да разполагате с тази информация за спазване на регулаторните норми.
Както казах, не задълбочена демонстрация, а само бързо, малко обобщение. Също така исках да ви покажа бърз и малък безплатен инструмент под формата на това търсене в колони SQL, което е нещо, което можете да използвате, за да идентифицирате кои колони във вашата среда изглеждат като чувствителна информация. И така, ние имаме редица конфигурации за търсене, където се търсят различните имена на колони, които обикновено съдържат чувствителни данни, и тогава имам целия този списък от тях, които са идентифицирани. Имам 120 от тях и после ги изнесох тук, за да мога да се възползвам от тях, за да кажа, хайде да погледнем и да се уверим, че проследявам достъпа до фамилното име, един човек точка или данък върху продажбите курс и т.н.
Знам, че се намираме точно в края на нашето време тук. И това е всичко, което всъщност трябваше да ви покажа, така че някакви въпроси за мен?
Ерик Кавана: Имам няколко добри за теб. Нека превъртя това тук. Един от присъстващите задаваше наистина добър въпрос. Едно от тях е питането за данъка върху ефективността, така че знам, че той варира от решение до решение, но имате ли някаква обща представа за това какво представлява данъкът за ефективност за използване на IDERA инструменти за сигурност?
Vicky Harp: Значи, за SQL Secure, както казах, той е много нисък, просто ще прави няколко случайни снимки. И дори ако сте работили доста често, тя получава статична информация за настройките и затова е много ниска, почти нищожна. По отношение на мениджъра за съответствие е:
Ерик Кавана: Като един процент?
Вики Харп: Ако трябваше да дам процентно число, да, щеше да е един процент или по-малко. Това е основна информация за реда на използване на SSMS и влизане в раздела за сигурност и разширяване на нещата. От гледна точка на спазването на изискванията, той е много по-висок - затова казах, че се нуждае от малко място за глава - това е нещо като далеч над това, което имате по отношение на мониторинга на производителността. Сега не искам да плаша хората далеч от това, трикът с мониторинга на спазването и ако одитът е да се уверите, че одитирате само това, което ще предприемете. И така, след като филтрирате надолу, за да кажете: „Ей, искам да знам кога хората имат достъп до тези конкретни таблици и искам да знам, когато хората имат достъп, предприемайте тези конкретни действия“, тогава ще се основава на това колко често са тези неща случва се и колко данни генерирате. Ако кажете: „Искам пълния текст на SQL от всяка селекция, която някога се случва на която и да е от тези таблици“, това просто ще е вероятно гигабайти и гигабайти данни, които трябва да бъдат анализирани от съхраняваните SQL Server, преместени в нашия продукт, и т.н.
Ако го задържите до - това също ще бъде повече информация, отколкото вероятно бихте могли да се справите. Ако можете да го свалите до по-малък набор, така че да получавате няколкостотин събития на ден, тогава това очевидно е много по-ниско. Така че, наистина по някакъв начин небето е границата. Ако включите всички настройки за всички наблюдения за всичко, тогава да, това ще бъде 50-процентов хит на производителността. Но ако ще го превърнете в някакво по-умерено, обмислено ниво, може би ще съм с очна ябълка 10 процента? Наистина, това е едно от онези неща, от които ще зависи много от натовареността ви.
Ерик Кавана: Да, така е. Има още един въпрос относно хардуера. И тогава, доставчиците на хардуер влизат в играта и наистина си сътрудничат с доставчиците на софтуер и аз отговорих през прозореца за въпроси и отговори. Знам за един конкретен случай, че Cloudera работи с Intel, където Intel направи огромна инвестиция в тях и част от смятането беше, че Cloudera ще получи ранен достъп до дизайна на чипове и по този начин ще може да използва сигурността в чиповото ниво на архитектура, която е доста впечатляваща. Но въпреки това е нещо, което ще излезе навън и все още може да бъде експлоатирано от двете страни. Знаете ли за някакви тенденции или някакви тенденции на производителите на хардуер да си сътрудничат с доставчиците на софтуер по протокола за сигурност?
Вики Харп: Да, всъщност, аз вярвам, че Microsoft е сътрудничила, за да има част от, например, пространството в паметта за някои от работата по криптиране, всъщност се случва на отделни чипове на дънни платки, които са отделни от основната ви памет, така че някои от тези неща се отделя физически. И аз вярвам, че това всъщност беше нещо, което идваше от Microsoft по отношение на излизането на доставчиците, за да кажат: „Можем ли да измислим начин да направим това, в общи линии това е неподходяща памет, не мога чрез буферния прелив да стигна до този спомен, защото в някакъв смисъл дори го няма, така че знам, че нещо от това се случва. "
Ерик Кавана: Да.
Вики Харп: Това очевидно ще са наистина големите търговци, най-вероятно.
Ерик Кавана: Да. Любопитно ми е да гледам за това и може би Робин, ако имате бърза секунда, ще ми е любопитно да знам вашия опит през годините, защото отново, по отношение на хардуера, по отношение на реалната материална наука, която върви в това, което събирате от страна на доставчика, тази информация може да отиде и от двете страни, а теоретично ние отиваме на двете страни доста бързо, така че има ли някакъв начин да използвате хардуера по-внимателно, от гледна точка на дизайна, за да засилите сигурността? Какво мислиш? Робин, ти си на звук?
Робин Блур: Да, да. Съжалявам, тук съм; Просто обмислям въпроса. Честно казано, нямам мнение, това е област, която не съм разгледал в значителна дълбочина, така че съм вид, знаете ли, мога да измисля мнение, но всъщност не знам. Предпочитам нещата да са сигурни в софтуера, това е просто начинът, по който играя.
Ерик Кавана: Да. Е, хора, изгорихме един час и се променихме тук. Голяма благодарност на Vicky Harp за нейното време и внимание - за цялото ви време и внимание; оценяваме, че се показвате за тези неща. Това е голяма работа; няма да изчезне скоро. Това е игра с котка и мишка, която ще продължи да върви и върви. И така сме благодарни, че някои компании са там, фокусирани върху осигуряването на сигурност, но тъй като Вики дори намекваше и говори за малко в своето представяне, в края на деня, хората от организации трябва да мислят много внимателно за тези фишинг атаки, такъв вид социално инженерство, и задръжте лаптопите си - не го оставяйте в кафенето! Сменете паролата си, направете основите и ще стигнете до 80 процента от пътя до там.
Така че, хора, ще се сбогуваме, още веднъж ви благодаря за отделеното време и внимание. Ще ви догоним следващия път, внимавайте. Чао чао.
Вики Харп: Чао, благодаря.