Od zaměstnanců Techopedia, 10. května 2017
S sebou: Host Eric Kavanagh diskutuje o bezpečnosti a povoleních s Dr. Robinem Bloorem a Vicky Harp IDERA.
Momentálně nejste přihlášeni. Chcete-li zobrazit video, přihlaste se nebo se zaregistrujte.
Eric Kavanagh: OK, dámy a pánové, ahoj a vítáme vás znovu. Je to středa, jsou to čtyři východní a ve světě podnikových technologií to znamená, že je čas znovu pro Hot Technologies! Ano vskutku. Prezentováno Bloor Group samozřejmě, poháněné našimi přáteli na Techopedia. Téma pro dnešek je opravdu skvělé: „Lepší se zeptat na povolení: Osvědčené postupy v oblasti ochrany osobních údajů a zabezpečení.“ Správně, je to druh tvrdého tématu, o tom hodně lidí mluví, ale je to docela vážné a je to vážně každý den vážně. Pro mnoho organizací je to v mnoha ohledech závažný problém. Budeme o tom mluvit a budeme hovořit o tom, co můžete udělat pro ochranu vaší organizace před nebezpečnými postavami, které se dnes zdají být všude.
Dnešním moderátorem je Vicky Harp, který volá z IDERA. Můžete vidět software IDERA na LinkedIn - mám rád nové funkce na LinkedIn. I když mohu říct, že tahají za některé řetězce určitým způsobem, nedovolují vám přístup k lidem, snaží se vás přimět, abyste si koupili ty prémiové členství. Tady máš, máme vlastního Robina Bloora, který se připojuje - dnes je v oblasti San Diega. A opravdu jako moderátor / analytik.
O čem tedy mluvíme? Porušení dat. Právě jsem vzal tyto informace z IdentityForce.com, je to už pryč na závody. Jsme samozřejmě v květnu tohoto roku a existuje jen spousta narušení dat. Samozřejmě, existují Yahoo! byl velký a slyšeli jsme samozřejmě o tom, že americká vláda je hackována. Právě jsme nechali hacknout francouzské volby.
Děje se to všude, pokračuje a nezastaví se, takže je to realita, je to nová realita, jak se říká. Opravdu potřebujeme přemýšlet o způsobech, jak vynutit bezpečnost našich systémů a našich dat. A je to nepřetržitý proces, takže je na čase přemýšlet o všech různých otázkách, které přicházejí do hry. Toto je pouze částečný seznam, ale to vám dává nějaký pohled na to, jak nejistá situace je dnes v podnikových systémech. A před touto šou jsme v našem předváděcím žartu mluvili o ransomwaru, který zasáhl někoho, koho znám, což je velmi nepříjemný zážitek, když někdo převezme váš iPhone a požaduje peníze, abyste získali zpět přístup k telefonu. Ale stává se to, stává se to počítačům, stává se to systémům, viděl jsem jen druhý den, to se děje miliardářům s jejich jachty. Představte si, že jednoho dne jdete na jachtu, snažíte se zapůsobit na všechny své přátele a nemůžete to ani zapnout, protože nějaký zloděj ukradl přístup k ovládacím prvkům, ovládacímu panelu. Jen jsem řekl, že jednoho dne v rozhovoru s někým, vždy mít ruční přepsání. Stejně jako nejsem velkým fanouškem všech připojených aut - dokonce i auta mohou být hacknuta. Cokoli, co je připojeno k internetu nebo připojeno k síti, kterou lze proniknout, může být hacknuto.
Tady je tedy několik věcí, které je třeba zvážit, pokud jde o rámování kontextu závažnosti situace. Webové systémy jsou dnes všude, stále se rozšiřují. Kolik lidí nakupuje věci online? Dnes je to jen přes střechu, proto je Amazon v těchto dnech tak silnou silou. Je to proto, že tolik lidí nakupuje věci online.
Takže si pamatujete tehdy, před 15 lety, lidé byli docela nervózní, když vložili svou kreditní kartu do webového formuláře, aby získali své informace, a tehdy byl argument: „No, pokud svou kreditní kartu předáte číšníkovi na restaurace, pak to je to samé. “Takže naše odpověď zní ano, je to totéž, existují všechny tyto kontrolní body nebo přístupové body, stejná věc, jiná strana téže mince, kam mohou být lidé položeni do ohrožení, kde někdo může vzít vaše peníze, nebo někdo může ukrást vám.
Poté IoT samozřejmě rozšiřuje hrozebnou scénu - miluji to slovo - o řádovou velikost. Myslím na to - přemýšlejte o tom - se všemi těmito novými zařízeními všude, pokud někdo může proniknout do systému, který je ovládá, může obrátit všechny ty roboty proti vám a způsobit spoustu a spoustu problémů, takže je to velmi vážný problém. V dnešní době máme globální ekonomiku, která ještě více rozšiřuje hrozbu a navíc máte lidi v jiných zemích, kteří mají přístup na web stejným způsobem jako vy a já, a pokud nevíte, jak mluvit rusky, nebo jakýkoli počet jiných jazyků, budete mít těžko pochopit, co se děje, když proniknou do vašeho systému. Takže máme pokroky v síťování a virtualizaci, to je dobré.
Ale mám na pravé straně tohoto obrázku tu meč a důvod, proč ho mám, je, protože každý meč prořízne obě cesty. Jak se říká, je to dvojsečný meč a je to staré klišé, ale to znamená, že meč, který mám, vám může ublížit nebo mi může ublížit. Může se na mě vracet buď odrazem, nebo tím, že to někdo vezme. Je to vlastně jedna z Aesopových bajek - často dáváme našim nepřátelům nástroje naší vlastní destrukce. Je to opravdu docela přesvědčivý příběh a má co do činění s někým, kdo použil luk a šípy a sestřelil ptáka a pták viděl, jak se šíp zvedal, že peří od jednoho z jeho slepičích přátel bylo na okraji šípu, na zadní straně šipky, aby to vedl, a on si pomyslel: „Ach, člověče, tady to je, moje vlastní peří, moje vlastní rodina bude zvyklá mě vzít dolů.“ To se stává pořád, slyšíš statistiky o tom, že v domě máte zbraň, může zloděj vzít zbraň. To vše je pravda. Takže to hodím tam jako analogii, kterou je třeba vzít v úvahu, všechny tyto různé vývoje mají pozitivní a negativní stránky.
A když už mluvíme o kontejnerech pro ty z vás, kteří skutečně sledují špičku podnikové výpočetní techniky, kontejnery jsou nejnovější věc, nejnovější způsob, jak zajistit funkčnost, je to opravdu manželství virtualizace v architektuře orientované na služby, alespoň pro mikroslužby a je to velmi zajímavé věci. Určitě můžete zmatit své bezpečnostní protokoly a aplikační protokoly a vaše data atd. Pomocí kontejnerů, a to vám poskytne zálohu na určitou dobu, ale dříve či později si to špatní chlapi vymyslí, a pak bude ještě těžší zabránit jim ve využívání vašich systémů. Existuje tedy globální pracovní síla, která komplikuje síť a zabezpečení a odkud se lidé přihlašují.
Máme války prohlížečů, které pokračují v tempu, a vyžadují neustálou práci, aby se aktualizovaly a zůstávaly na vrcholu věcí. Stále sledujeme staré prohlížeče Microsoft Explorer, jak byly v nich hacknuty a dostupné. Takže v dnešní době je na hackování více peněz, je tu celé odvětví, to je něco, co mě můj partner, Dr. Bloor, naučil před osmi lety - přemýšlel jsem o tom, proč toho tolik vidíme, a připomněl mu mě, je to celé odvětví zapojené do hackování. A v tomto smyslu je vyprávění, které je jedním z mých nejoblíbenějších slov o bezpečnosti, opravdu nečestné, protože příběh vám ukáže všechna tato videa a jakýkoli druh zpravodajství nějaký hacker, který ukáže nějakého chlapa v mikině, sedící v jeho suterénu v temně osvětlené místnosti tomu tak vůbec není. To vůbec nepředstavuje realitu. Jsou to osamělí hackeři, existuje jen velmi málo osamělých hackerů, jsou tam venku, způsobují nějaké potíže - nezpůsobí velké potíže, ale mohou vydělat spoustu peněz. Co se tedy stane, přijdou hackeři a proniknou do vašeho systému a poté tento přístup prodají někomu jinému, kdo se otočí a prodá někomu jinému, a pak někde dolů, někdo zneužije toho hacke a využije vás. A existuje nespočet způsobů, jak využít ukradených dat.
Dokonce jsem se divil sám sobě o tom, jak tento koncept okouzlujeme. Tento pojem vidíte všude, „hackování růstu“, jako by to byla dobrá věc. Růst hackerství, víte, hackerství může být dobrá věc, pokud se snažíte pracovat pro dobré lidi tak, abyste mohli mluvit a proniknout do systému, jako bychom stále slyšeli o Severní Koreji a jejich odpálení rakety, případně byli hackováni - to je dobré. Hackování je však často špatná věc. Takže teď to kouzlí, téměř jako Robin Hood, když jsme kouzlovali Robin Hooda. A pak je tu bezhotovostní společnost, něco, co se upřímně týká denních světel ode mě. Všechno, co si myslím, že pokaždé, když uslyším, je: „Ne, prosím, nedělej to! Prosím, ne! “Nechci, aby všechny naše peníze zmizely. To jsou jen některé problémy, které je třeba zvážit, a znovu, je to hra s kočkou a myší; nikdy se nezastaví, vždy budou potřeba bezpečnostní protokoly a pokrokové bezpečnostní protokoly. A pro sledování vašich systémů, aby věděli a cítili, kdo je tam venku, s tím, že pochopení to může být dokonce vnitřní práce. Takže je to trvalý problém, bude to nějaký trvalý problém - nedělejte s tím chybu.
A s tím to předám doktoru Bloorovi, který se s námi může podělit o nějaké myšlenky ohledně zabezpečení databází. Robine, vezmi to pryč.
Robin Bloor: Dobře, jeden ze zajímavých hacků, myslím, že k tomu došlo asi před pěti lety, ale v podstatě to byla hackerská společnost, která zpracovávala karty. A bylo ukradeno velké množství podrobností o kartě. Zajímavé na tom však bylo, že to byla testovací databáze, do které se vlastně dostali, a pravděpodobně to bylo, že měli velké potíže se dostat do skutečné skutečné databáze zpracovávajících karet. Ale víte, jak je to s vývojáři, prostě si střihnou databázi a strčou ji tam. Aby to bylo zastaveno, muselo by to být mnohem více ostražité. Ale je tu spousta zajímavých hackerských příběhů, dělá to v jedné oblasti, je to velmi zajímavý předmět.
Takže vlastně tak či onak opakuji některé věci, které Eric řekl, ale je snadné si představit zabezpečení dat jako statický cíl; je to snazší jen proto, že je snazší analyzovat statické situace a pak přemýšlet o tom, jak do nich vložit obranu, tam je obrana, ale není. Je to pohyblivý cíl a to je jedna z věcí, která druh definuje celý bezpečnostní prostor. Je to jen tak, že se vyvíjí veškerá technologie, vyvíjí se i technologie padouchů. Stručný přehled: Krádež dat není nic nového, ve skutečnosti je špionáž dat krádeží dat a myslím, že to probíhá tisíce let.
Největší loupež údajů v těchto termínech bylo, že Britové porušili německé kódy a Američané porušující japonské kódy, a do značné míry v obou případech značně zkrátili válku. A kradli užitečná a hodnotná data, samozřejmě to bylo velmi chytré, ale víte, co se právě teď děje, je v mnoha ohledech velmi chytré. Kybernetická krádež se narodila s internetem a explodovala kolem roku 2005. Šel jsem a podíval jsem se na všechny statistiky a když jste začínali být opravdu vážní a nějakým způsobem, pozoruhodně vysoká čísla začínající přibližně v roce 2005. Je to prostě horší, protože pak. Zapojeno je mnoho hráčů, vlády, podniky, hackerské skupiny a jednotlivci.
Šel jsem do Moskvy - to muselo být asi pět let - a vlastně jsem trávil spoustu času s chlapem z Velké Británie, který zkoumal celý hackerský prostor. A řekl, že - a já netuším, jestli je to pravda, mám za to jen jeho slovo, ale zní to velmi pravděpodobné - že v Rusku existuje něco, co se nazývá obchodní síť, což je skupina hackerů, kteří jsou všichni, víte, vyšli z ruin KGB. A oni se prodávají sami, ne jen, myslím, že jsem si jistý, že je používá ruská vláda, ale prodávají se každému, a říkalo se, nebo říkal, že se říkalo, že různé zahraniční vlády používají obchodní síť pro věrohodná deniability. Tito chlapi měli sítě milionů kompromitovaných počítačů, na které mohli zaútočit. A měli všechny nástroje, které si dokážete představit.
Technologie útoku a obrany se tedy vyvinula. A podniky mají povinnost starat se o svá data, ať už je vlastní nebo ne. A to začíná být mnohem jasnější, pokud jde o různé právní předpisy, které jsou již v platnosti nebo vstoupí v platnost. A pravděpodobně se zlepší, někdo tak či onak, někdo musí nést náklady na hackování takovým způsobem, že je motivován uzavřít tuto možnost. Myslím, že je to jedna z věcí, která je nutná. Takže pokud jde o hackery, mohou být umístěny kdekoli. Obzvláště ve vaší organizaci - hrozná spousta geniálních hacků, které jsem slyšel o zapojení někoho, kdo otevírá dveře. Víte, osoba, je to jako situace v loupeži bank, téměř vždy říkali, že v dobrých loupežích je tu zasvěcenec. Avšak zasvěcující potřebuje pouze poskytnout informace, takže je obtížné je získat, vědět, kdo to bylo, a tak dále a tak dále.
A může být obtížné je postavit před soud, protože pokud vás někdo napadl skupinou lidí v Moldavsku, i když víte, že to byla tato skupina, jak se kolem nich stane nějaká právní událost? Je to druh, z jedné jurisdikce do druhé, je to jen, není tu velmi dobrá sada mezinárodních opatření, která by hackery zabloudila. Sdílejí technologie a informace; hodně z toho je open source. Pokud si chcete vytvořit vlastní virus, je tam spousta virových sad - zcela otevřený zdroj. A mají značné zdroje, existuje řada, která měla botnety ve více než milionu kompromitovaných zařízení v datových centrech a na PC atd. Některé z nich jsou ziskové podniky, které již dlouhou dobu fungují, a pak, jak jsem se zmínil, existují vládní skupiny. Je nepravděpodobné, jak Eric řekl, je nepravděpodobné, že se tento jev někdy skončí.
Tohle je zajímavý hack, o kterém jsem si myslel, že to zmíním, protože to byl docela nedávný hack; stalo se to minulý rok. Ve smlouvě DAO došlo ke zranitelnosti spojené s kryptografickou mincí Etherium. A to bylo projednáno na fóru a během jednoho dne byla smlouva DAO nabourána a tuto zranitelnost přesně použila. 50 milionů dolarů v etheru bylo sifonováno, což způsobilo okamžitou krizi v projektu DAO a jeho uzavření. A Etherium vlastně bojovalo, aby se pokusilo zabránit hackerovi v přístupu k penězům, a tak trochu omezili jeho přijetí. Předpokládalo se však, že hacker ve skutečnosti před svým útokem zkrátil cenu etheru, protože věděl, že cena etheru by se zhroutila, a tak získal zisk jiným způsobem.
A to je další, pokud se vám líbí, stratagem, který mohou hackeři použít. Pokud mohou poškodit vaši cenu akcie, a oni vědí, že to udělají, pak je jen nutné, aby zkrátili cenu akcie a udělali hack, takže je to tak trochu, tito kluci jsou chytří, víte. A cena je přímá krádež peněz, narušení a výkupné, včetně investic, kde narušíte a zkrátíte zásoby, sabotáž, krádež identity, všechny podvody, jen kvůli reklamě. A má sklon být politickým, nebo samozřejmě, informačním špehováním, a dokonce existují lidé, kteří si vydělají na živobytí z bugových odměn, které můžete získat pokusem o hackování Google, Apple, Facebooku - dokonce i Pentagonu, vlastně dává bugové odměny. A vy jen hacknete; Pokud je to úspěšné, stačí jít a uplatnit svou cenu a nedojde k žádnému poškození, takže je to hezká věc, víte.
Mohl bych také zmínit dodržování předpisů a nařízení. Kromě sektorových iniciativ existuje spousta oficiálních předpisů: HIPAA, SOX, FISMA, FERPA a GLBA jsou americké právní předpisy. Existují standardy; PCI-DSS se stal poměrně obecným standardem. A pak existuje ISO 17799 o vlastnictví dat. Národní předpisy se v jednotlivých zemích liší, dokonce i v Evropě. A v současné době GDPR - globální data, co to znamená? Globální nařízení o ochraně údajů, myslím, že to znamená - ale to vstoupí v platnost příští rok, řekl. A zajímavé na tom je, že platí po celém světě. Pokud máte 5 000 nebo více zákazníků, o kterých máte osobní údaje a žijí v Evropě, pak vás Evropa skutečně vezme k úkolu, bez ohledu na to, zda má vaše společnost skutečně sídlo nebo kde působí. A pokuty, maximální pokuta jsou čtyři procenta ročního příjmu, což je jen obrovské, takže to bude zajímavý zvrat na světě, až to vstoupí v platnost.
Věci k zamyšlení, dobře, zranitelnosti DBMS, většina cenných dat skutečně sedí v databázích. Je to cenné, protože jsme dali strašně mnoho času na to, abychom ji zpřístupnili a dobře zorganizovali, a díky tomu je zranitelnější, pokud ve skutečnosti nepoužijete správné cenné papíry DBMS. Je zřejmé, že pokud se chystáte plánovat takové věci, musíte zjistit, jaká zranitelná data jsou v celé organizaci, a to s ohledem na to, že data mohou být zranitelná z různých důvodů. Mohou to být údaje o zákaznících, ale stejně tak to mohou být interní dokumenty, které by byly cenné pro špionážní účely atd. Bezpečnostní politika, zejména ve vztahu k zabezpečení přístupu - která byla v nedávné době podle mého názoru velmi slabá, v nových věcech s otevřeným zdrojovým kódem - se šifrování začíná více používat, protože je to docela pevné.
Náklady na narušení bezpečnosti, většina lidí nevěděla, ale pokud se skutečně podíváte na to, co se stalo s organizacemi, které utrpěly narušení bezpečnosti, ukázalo se, že náklady na narušení bezpečnosti jsou často mnohem vyšší, než si myslíte, že by to bylo . A pak další věc, o které je třeba přemýšlet, je útočná plocha, protože jakýkoli kus softwaru kdekoli, běžící s vašimi organizacemi, představuje útočný povrch. Udělejte také jakékoli zařízení, stejně jako data, bez ohledu na to, jak jsou uložena. Je to všechno, útočná plocha roste s internetem věcí, útočná plocha se pravděpodobně zdvojnásobí.
A konečně, DBA a zabezpečení dat. Zabezpečení dat je obvykle součástí role DBA. Ale je to také spolupráce. A musí podléhat podnikové politice, jinak to pravděpodobně nebude implementováno dobře. Poté, co jsem to řekl, si myslím, že můžu projít míčem.
Eric Kavanagh: Dobře, dovolte mi dát klíče Vickymu. A můžete sdílet obrazovku nebo se přesunout na tyto snímky, je to na vás, vezměte ji.
Vicky Harp: Ne, začnu s těmito snímky, moc vám děkuji. Takže, jo, jen jsem se chtěl na chvilku věnovat a představit se. Jsem Vicky Harp. Jsem manažer, produktový management pro produkty SQL v softwaru IDERA a pro ty z vás, kteří s námi nemusejí být obeznámeni, má IDERA řadu produktových řad, ale já tady mluvím za věci SQL Server. A tak provádíme sledování výkonu, dodržování bezpečnostních požadavků, zálohování, nástroje pro správu - a je to jen jejich výpis. A samozřejmě o tom, o čem dnes mluvím, je bezpečnost a dodržování předpisů.
Převážná část toho, o čem dnes chci mluvit, nemusí být nutně naše výrobky, i když to chci ukázat později. Chtěl jsem s vámi mluvit více o bezpečnosti databází, o některých hrozbách ve světě bezpečnosti databází, o některých věcech, o kterých by se mělo přemýšlet, ao některých úvodních nápadech, na co je třeba se dívat, abyste si zajistili SQL Serverové databáze a také se ujistěte, že jsou v souladu s regulačním rámcem, na který se můžete vztahovat, jak bylo uvedeno. Existuje mnoho různých předpisů; jdou na různých průmyslových odvětvích, na různých místech po celém světě, a to jsou věci, na které je třeba myslet.
Chci se tedy chvíli věnovat a hovořit o stavu narušení dat - a neopakovat příliš mnoho z toho, co již bylo zde projednáno - nedávno jsem zkoumal tuto studii výzkumu bezpečnosti společnosti Intel a napříč jejich - myslím, že 1500 organizací, s nimiž mluvili - měli průměrně šest narušení bezpečnosti, pokud jde o narušení ztráty dat, a 68 procent z nich vyžadovalo zveřejnění v jistém smyslu, takže ovlivnily cenu akcií nebo museli udělat nějaký kredit sledování jejich zákazníků nebo zaměstnanců atd.
Další zajímavou statistikou je, že interní aktéři byli zodpovědní za 43 procent z nich. Mnoho lidí si tedy hodně myslí o hackerech a těchto stinných kvazivládních organizacích nebo organizovaném zločinu atd., Ale v poměrně velké části případů interní aktéři stále přímo jednají proti svým zaměstnavatelům. A to je někdy těžší chránit před, protože lidé mohou mít legitimní důvody pro přístup k těmto datům. Asi polovina z toho, 43 procent, byla v nějakém smyslu náhodná ztráta. Tak například v případě, kdy si někdo vzal data domů, a pak ztratil přehled o těchto datech, což mě vede k tomuto třetímu bodu, což znamená, že do fyzických médií se stále podílelo 40 procent porušení. Takže, to jsou klíče USB, to jsou notebooky lidí, to je skutečné médium, které bylo vypáleno na fyzické disky a vyjmuto z budovy.
Pokud uvažujete o tom, máte vývojáře, který má na svém notebooku kopii své produkční databáze? Pak jdou do letadla a vystoupí z letadla, dostanou odbavená zavazadla a jejich notebook je odcizen. Nyní jste porušili data. Nemusíte nutně myslet, že to je důvod, proč byl tento notebook vzat, nemusí se někdy objevit ve volné přírodě. Ale to je stále něco, co se považuje za porušení, bude vyžadovat zveřejnění, budete mít všechny následky následků ztráty těchto dat, jen kvůli ztrátě tohoto fyzického média.
A další zajímavou věcí je, že mnoho lidí přemýšlí o kreditních údajích a informacích o kreditní kartě jako o nejcennějších, ale to už ve skutečnosti tak není. Tato data jsou cenná, čísla kreditních karet jsou užitečná, ale upřímně řečeno, tato čísla se mění velmi rychle, zatímco osobní údaje lidí se příliš rychle nemění. Něco, co poslední novinky, relativně nedávné, VTech, výrobce hraček, měl tyto hračky, které byly určeny pro děti. A lidé by měli, měli by jména svých dětí, měli by informace o tom, kde děti žijí, měli jména svých rodičů, měli fotografie dětí. Nic z toho nebylo šifrováno, protože to nebylo považováno za důležité. Jejich hesla však byla zašifrována. Když se porušení nevyhnutelně stalo, říkáte: „Dobře, takže mám seznam dětských jmen, jmen jejich rodičů, kde žijí - všechny tyto informace jsou tam, a vy si myslíte, že heslo to byla ta nejcennější část? “Nebylo to; lidé nemohou změnit tyto aspekty svých osobních údajů, adresy atd. A tak, že informace jsou ve skutečnosti velmi cenné a je třeba je chránit.
Chtěl jsem tedy mluvit o některých věcech, které se dějí, a přispět tak k tomu, že se právě teď děje porušení dat. Jedním z velkých hotspotů je právě sociální inženýrství. Takže lidé to nazývají phishing, existuje zosobnění atd., Kde lidé získávají přístup k datům, často prostřednictvím interních aktérů, tím, že je jen přesvědčují, že k nim mají mít přístup. Ještě jednoho dne jsme tedy měli tento červ Google Docs, který se obcházel. A co by se stalo - a já jsem vlastně obdržel jeho kopii, i když naštěstí jsem na ni neklikl - dostali jste e-mail od kolegy a řekli: „Tady je odkaz na Dokument Google; musíte kliknout na toto, abyste viděli, co jsem s vámi sdílel. “No, v organizaci, která používá Dokumenty Google, to je velmi běžné, dostanete desítky těchto požadavků denně. Pokud jste na něj klikli, požádalo by vás o povolení přístupu k tomuto dokumentu a možná byste řekli: „Hej, vypadá to trochu divně, ale víte, vypadá to také legitimně, takže jdu do toho a klikněte na něj, “a jakmile jste to udělali, udělili jste této třetí straně přístup ke všem svým dokumentům Google, a tak vytvořili tento odkaz, aby tento externí aktér měl přístup ke všem vašim dokumentům na Disku Google. To se červilo všude. Zasáhlo stovky tisíc lidí během několika hodin. A to byl v zásadě phishingový útok, který Google sám musel skončit, protože byl velmi dobře proveden. Lidé pro ni padli.
Zmíním se o porušení HR SnapChat. Jednalo se jen o jednoduchou záležitost, kdy někdo zaslal e-mail, vydával se za generálního ředitele, poslal e-mail na oddělení lidských zdrojů a řekl: „Potřebuji, abys mi poslal tuto tabulku.“ A oni jim věřili a dali tabulku se 700 různými zaměstnanci „informace o náhradách, jejich domovské adresy atd. je zasílaly e-mailem této druhé straně, ve skutečnosti to nebyl generální ředitel. Nyní byla data pryč a všechny osobní údaje jejich zaměstnanců byly tam a byly k dispozici k využití. Takže sociální inženýrství je něco, o čem se ve světě databází zmíním, protože se proti tomu můžete pokusit bránit prostřednictvím vzdělávání, ale musíte si také pamatovat, že kdekoli máte osobu, která interaguje s vaší technologií, a Pokud se spoléháte na jejich dobrý úsudek, abyste zabránili výpadku, žádáte mnoho z nich.
Lidé dělají chyby, lidé klikají na věci, které by neměli mít, lidé padají na chytrá lest. A můžete je velmi těžko ochránit před tím, ale není to dost silné, musíte se pokusit omezit schopnost lidí náhodně rozdávat tyto informace ve vašich databázových systémech. Druhou věcí, kterou jsem chtěl zmínit, že samozřejmě mluvíme o hodně, je ransomware, botnety, viry - všechny tyto různé automatizované způsoby. A proto si myslím, že o ransomwaru je důležité pochopit, že to opravdu mění model zisku pro útočníky. V případě, že mluvíte o narušení, musí v určitém smyslu extrahovat data a mít je pro sebe a využít je. A pokud jsou vaše data nejasná, pokud jsou šifrovaná, je-li to specifické pro dané odvětví, možná pro ně nemají žádnou hodnotu.
Až do této chvíle se lidé mohli cítit, jako by to byla ochrana pro ně, „Nemusím se chránit před narušením dat, protože pokud se dostanou do mého systému, vše, co budou mít je, že jsem fotografické studio, mám seznam, kdo přijde v jaké dny na příští rok. Koho to zajímá? “Ukazuje se, že na tom vám záleží; ukládáte tyto informace, jsou to vaše obchodní informace. Takže pomocí ransomwaru útočník řekne: „No, nikdo mi za to nebude dávat peníze, ale vy.“ Využívají proto fakt, že data nemusí ani dostat, ale ne. Nemusíte mít ani přestávku, potřebují proti vám pouze použít bezpečnostní nástroje. Dostanou se do vaší databáze, zašifrují její obsah a pak řeknou: „Dobře, máme heslo a vy nám budete muset zaplatit 5 000 $, abyste získali toto heslo, jinak prostě nemáte tato data už ne. “
A lidé to platí; zjistí, že to musí udělat. MongoDB měl před několika měsíci obrovský problém, myslím, že to bylo v lednu, kdy ransomware zasáhl, myslím, přes milion miliónů MongoDB databází, které mají na internetu na základě některých výchozích nastavení. A co je ještě horší, je to, že lidé platili, a tak do toho vstoupily další organizace a znovu zašifrovaly nebo prohlásily, že to byly ty, kdo je původně šifrovaly, takže když jste zaplatili své peníze, a myslím, že v tom případě byli ptali se na něco jako 500 dolarů, lidé by řekli: „Dobře, platil bych víc než to, abych zaplatil výzkumníkovi, aby se sem dostal, aby mi pomohl zjistit, co se stalo. Já jen zaplatím 500 $. “A ani to neplatili správnému herci, takže se nashromáždili s deseti různými organizacemi, které jim řekly:„ Máme heslo, “nebo„ Máme dostal jsem pro vás způsob, jak odemknout svá vykoupená data. “A budete muset zaplatit všechny za to, abyste je mohli uvést do provozu.
Existují také případy, kdy autoři ransomwaru měli chyby, nemluvíme o tom, že se jedná o dokonale nadpřirozenou situaci, takže i když je to napadeno, i když jste jednou zaplatili, neexistuje záruka, že jste Pokud se vám podaří získat zpět všechna vaše data, některé z nich jsou také komplikovány zbraňovými nástroji InfoSec. Takže Shadow Brokers je skupina, která uniká z nástrojů, které byly od NSA. Byly to nástroje navržené vládním subjektem pro účely špionáže a skutečně proti jiným vládním subjektům. Některé z nich byly skutečně vysokými profily nultých útoků, které v podstatě způsobí, že známé bezpečnostní protokoly prostě padnou stranou. A tak například v jednom z posledních skládek Shadow Brokers došlo k významné chybě v protokolu SMB.
A tak tyto nástroje, které sem přijdou, mohou během několika hodin opravdu změnit hru, pokud jde o vaši útočnou plochu. Takže kdykoli o tom přemýšlím, je to něco, co je na organizační úrovni zabezpečení InfoSec vlastní funkcí, kterou je třeba brát vážně. Kdykoli mluvíme o databázích, můžu to trochu stáhnout, nemusíte mít nutně jako administrátor databáze úplné pochopení toho, co se děje s Shadow Brokers tento týden, ale musíte si uvědomit, že vše z toho se mění, jsou věci, které se dějí, a tak, do jaké míry udržujete svou vlastní doménu pevně a bezpečně, vám to opravdu pomůže v případě, že se věci pod vámi roztrhnou.
Chtěl jsem se tedy chvilku věnovat, než jsem začal hovořit konkrétně o serveru SQL Server, abych měl trochu otevřenou diskusi s našimi účastníky o některých ohledech týkajících se zabezpečení databáze. Takže jsem se dostal k tomuto bodu, některé z věcí, které jsme nezmínili, jsem chtěl mluvit o SQL injekci jako vektoru. Jedná se tedy o vstřikování SQL, což je samozřejmě způsob, jakým lidé vkládají příkazy do databázového systému, a to formou malformování vstupů.
Eric Kavanagh: Ano, vlastně jsem potkal chlapa - myslím, že to bylo na základně Andrews Air Force - asi před pěti lety, konzultantem, který jsem s ním mluvil na chodbě, a my jsme jen tak trochu sdíleli válečné příběhy - žádná hříčka nebyla určena - a zmínil se o tom, že ho někdo přivedl, aby konzultoval s poměrně vysokým členem armády, a ten se ho zeptal: „No, jak víme, že jsi dobrý v tom, co děláš?“ A toto a to . A když mluvil s nimi, které používal ve svém počítači, dostal se do sítě, pomocí injekce SQL se dostal do e-mailového registru pro tuto základnu a pro ty lidi. A našel e-mail osoby, se kterou mluví, a právě mu ukázal svůj e-mail na svém počítači! A ten chlap byl jako: „Jak jsi to udělal?“ Řekl: „No, použil jsem injekci SQL.“
Takže, to je právě před pěti lety a bylo to na základně letectva, že? Takže myslím, co se týče kontextu, je tato věc stále velmi reálná a mohla by být použita se skutečně děsivými účinky. Myslím, že bych byl zvědavý o všech válečných příbězích, které má Robin na toto téma, ale všechny tyto techniky jsou stále platné. V mnoha případech se stále používají, a je to otázka vzdělávání sebe, že?
Robin Bloor: No, ano. Ano, je možné se bránit proti SQL injekci tím, že dělá práci. Je snadné pochopit, proč, když byl nápad vynalezen a poprvé rozšířen, je snadné pochopit, proč byl tak zatraceně úspěšný, protože jste ho mohli jednoduše vložit do vstupního pole na webové stránce a nechat si jej vrátit data za vás, nebo získat Chcete-li odstranit data v databázi, nebo cokoli - stačí to vložit kód SQL. Ale je to věc, která mě zajímala, je to, že víte, že byste museli udělat trochu rozebrat, každý kus dat, který byl vložen, ale je docela možné si všimnout, že se někdo snaží udělat. A je to opravdu, myslím, že je to opravdu, protože lidé s tím stále utíkají, myslím, že je to opravdu divné, že proti tomu nebyl snadný způsob. Víte, že každý mohl snadno použít, myslím, pokud vím, tam nebyl, Vicky, že?
Vicky Harp: No, vlastně některá řešení rukojmí, jako je SQL Azure, myslím, že mají nějaké docela dobré metody detekce, které jsou založeny na strojovém učení. To je pravděpodobně to, co uvidíme v budoucnosti, je něco, co se snaží přijít s jedinou velikostí, která se hodí všem. Myslím, že odpověď zněla, že se nejedná o jednu velikost, ale máme stroje, které se mohou naučit, jaká je vaše velikost, a ujistit se, že se k tomu hodíte, že? A pokud máte falešně pozitivní, je to proto, že děláte něco neobvyklého, není to proto, že jste museli projít a pečlivě identifikovat vše, co vaše aplikace může kdy udělat.
Myslím, že jedním z důvodů, proč je to opravdu tak plodné, je to, že lidé se stále spoléhají na aplikace třetích stran a aplikace od poskytovatelů internetových služeb a ty jsou v průběhu času rozmazávány. Takže mluvíte o organizaci, která koupila strojírenskou aplikaci, která byla napsána v roce 2001. A neaktualizovali ji, protože od té doby nedošlo k žádným zásadním funkčním změnám, a její původní autor byl tak nějak, nebyli inženýři, nebyli odborníky na zabezpečení databází, nedělali věci správným způsobem v aplikaci a skončili jako vektor. Chápu, že - myslím, že to bylo porušení cílových dat, opravdu velké -, že útokový vektor byl přes jednoho z jejich dodavatelů klimatizace, že? Takže problém s těmito třetími stranami, můžete, pokud vlastníte svůj vlastní vývojářský obchod, možná budete mít některá z těchto pravidel zavedená, dělající to obecně kdykoli. Jako organizace můžete mít spuštěny stovky až tisíce aplikací se všemi různými profily. Myslím, že právě tady se chystá strojové učení a začne nám hodně pomáhat.
Můj válečný příběh byl vzdělávací život. Viděl jsem SQL injekční útok a něco, co se mi nikdy nestalo, je to, že používá prostý čitelný SQL. Dělám tyto věci zvané zmatené P SQL prázdninové karty; Rád to dělám, aby tento SQL vypadal co možná matoucí. Je tu zmatená soutěž o kód C ++, která se odehrává po celá desetiletí, a je to docela stejný nápad. Takže, co jste vlastně dostali, byla injekce SQL, která byla v poli otevřeného řetězce, zavřela řetězec, vložila středník a poté vložila příkaz exec, který měl pak řadu čísel a poté v podstatě použila příkaz casting pro obsazení těchto čísel na binární a poté přetypování těchto čísel na hodnoty postav a následné provedení. Není to tak, že byste viděli něco, co říká: „Smazat spuštění z tabulky výroby“, bylo to vlastně nacpané do číselných polí, což ztěžovalo vidění. A i když jste to viděli, abyste zjistili, co se děje, trvalo několik reálných výstřelů SQL, abychom mohli přijít na to, co se děje, do jaké doby byla práce samozřejmě již hotová.
Robin Bloor: A jedna z věcí, která je jen fenoménem v celém hackerském světě, je to, že pokud někdo najde slabost a stane se v softwaru, který se obecně prodává, víte, jedním z prvních problémů je heslo databáze, které jste dostali při instalaci databáze, mnoho databází bylo ve skutečnosti jen výchozí. A mnoho DBA to prostě nikdy nezměnilo, a proto se vám podařilo dostat se do sítě; mohli byste si jen zkusit toto heslo, a pokud to fungovalo, dobře, právě jste vyhráli loterii. Zajímavé je, že všechny tyto informace jsou velmi efektivně a efektivně šířeny mezi hackerskými komunitami na webových stránkách darknet. A oni to vědí. Takže dokážou udělat spoustu informací o tom, co je tam venku, najít několik případů a prostě na něj automaticky hodit nějaké hackerské vykořisťování, a jsou tam. Myslím, že mnoho lidí, kteří jsou alespoň na na periferii toho všeho nechápejte, jak rychle hackerská síť reaguje na zranitelnost.
Vicky Harp: Jo, to vlastně přináší další věc, kterou jsem chtěl zmínit předtím, než se vydám dál, což je tato představa o povětrnostním vycpávce, což je něco, co se hodně objevuje, to znamená, že jakmile jsou vaše přihlašovací údaje ukradeny někomu jinému kdekoli, na jakémkoli místě se tyto přihlašovací údaje pokusí znovu použít napříč deskami. Pokud tedy používáte duplicitní hesla, řekněme, že pokud to vaši uživatelé dokonce říkají, řekněme to tak, že někdo může získat přístup prostřednictvím toho, co se jeví jako zcela platná sada pověření. Řekněme tedy, že jsem použil stejné heslo v Amazonu a v mé bance, a také na fóru a že software fóra byl hacknut, takže mají své uživatelské jméno a moje heslo. A pak mohou použít stejné uživatelské jméno v Amazonu nebo je použít v bance. A pokud jde o banku, šlo o zcela platné přihlašovací údaje. Nyní můžete prostřednictvím zcela oprávněného přístupu provádět nekalé akce.
Takže tento druh se vrací zpět k tomu, co jsem říkal o vnitřních porušeních a vnitřních zvyklostech. Pokud máte ve vaší organizaci lidi, kteří pro interní přístup používají stejné heslo, jaké používají pro externí přístup, máte možnost, že někdo přijde a vydává se za vás při narušení na nějakém jiném webu, který si nepřejete o tom ani nevím. A tato data jsou šířena velmi rychle. Existují seznamy, myslím, že poslední zátěž, kterou „jsem byl zastaven“ Troyem Huntem, řekl, že měl půl miliardu kreditů, což je - pokud vezmete v úvahu počet lidí na planetě - to je opravdu velké množství pověření, které byly zpřístupněny pro plnění pověření.
Takže jdu o krok hlouběji a mluvím o zabezpečení serveru SQL. Nyní chci říci, že se nebudu snažit poskytnout vám vše, co potřebujete vědět, abyste zabezpečili svůj server SQL během následujících 20 minut; to se zdá trochu vysoké objednávky. Takže, abych dokonce začal, chci říci, že existují skupiny online a zdroje online, které můžete určitě Google, existují knihy, existují dokumenty o Microsoftu, existují bezpečnostní virtuální kapitoly pro profesionální spolupracovníky na serveru SQL, oni jsou na security.pass.org a věřím, že mají měsíční webcasty a nahrávky webcastů, aby nějakým způsobem překonali skutečnou hloubku, jak udělat SQL Server security. Ale to jsou některé z věcí, o kterých mluvím jako odborníci na data, IT profesionálové, jako DBA, chci, abyste věděli, co potřebujete vědět o zabezpečení serveru SQL.
První z nich je tedy fyzické zabezpečení. Jak jsem již řekl, kradení fyzických médií je stále velmi běžné. A scénář, který jsem dal s dev strojem, s kopií vaší databáze na dev stroji, který se ukradl - to je extrémně běžný vektor, to je vektor, který musíte znát a pokusit se proti němu jednat. Platí to také pro zabezpečení zálohování, takže kdykoli zálohujete data, musíte je zálohovat šifrovaně, musíte zálohovat na bezpečném místě. Mnohokrát tato data, která byla opravdu chráněna v databázi, jakmile se začnou dostat ven na periferní místa, na dev stroje, na testovací stroje, dostáváme se o opravu méně opatrně, trochu méně pozor na lidi, kteří k tomu mají přístup. Další věc, kterou víte, máte nezašifrované zálohy databáze uložené na veřejné sdílené položce ve vaší organizaci, které jsou k dispozici pro využití od mnoha různých lidí. Takže, přemýšlejte o fyzické bezpečnosti a stejně tak jednoduché, jak může někdo jít nahoru a jen dát USB klíč na váš server? To byste neměli dovolit.
Dalším bodem, o kterém chci přemýšlet, je zabezpečení platformy, tedy aktuální operační systém, aktuální opravy. Je velmi únavné slyšet lidi mluvit o pobytu na starších verzích Windows, starších verzích serveru SQL, domnívajíc se, že jedinou cenou ve hře jsou náklady na upgrade licencí, což není pravda. Jsme s bezpečností, je to proud, který neustále klesá z kopce, a jak čas běží, najde se další využití. Microsoft v tomto případě, a další skupiny, jak to může být, budou aktualizovat starší systémy do bodu, a nakonec budou vypadnout z podpory a nebudou je již aktualizovat, protože je to jen nekonečný proces údržba.
A tak musíte být na podporovaném operačním systému a na svých opravách musíte být aktuální a my jsme nedávno zjistili, že se jedná o Shadow Brokers. V některých případech může mít společnost Microsoft před nimi možnost nahlédnout do závažných narušení bezpečnosti. před zveřejněním, takže se nenechte zkrotit. Raději bych si prostoje nebral, raději bych počkal a přečetl každou z nich a rozhodl se. Možná nebudete vědět, jaká je jeho hodnota, až po několika týdnech po zjištění, proč k této opravě došlo. Takže zůstaňte nad tím.
Měli byste mít nakonfigurovaný firewall. Šokovalo to, jak mnoho lidí spouští starší verze SQL Serveru s firewallem zcela otevřeným pro internet, takže se mohl kdokoli připojit a dělat se svými servery cokoli chtěl. Měli byste používat bránu firewall. Skutečnost, že občas musíte nakonfigurovat pravidla nebo učinit konkrétní výjimky pro způsob, jakým podnikáte, je dobrá cena, kterou zaplatíte. Musíte ovládat povrchovou plochu v databázových systémech - instalujete společně služby nebo webové servery jako IIS na stejný stroj? Sdílíte stejný diskový prostor, sdílíte stejný paměťový prostor jako vaše databáze a vaše soukromá data? Zkuste to neudělat, zkuste to izolovat, udržujte menší plochu povrchu, abyste se nemuseli tolik starat o to, aby bylo vše v bezpečí v horní části databáze. Můžete je fyzicky oddělit, platformu, oddělit je, dát si trochu dechové místnosti.
Neměli byste mít super administrátory pobíhající všude, aby měli přístup ke všem svým datům. Účty správce OS nemusí mít nutně přístup k vaší databázi nebo k podkladovým datům v databázi pomocí šifrování, o kterém budeme mluvit za minutu. A přístup k databázovým souborům musíte také omezit. Bylo by trochu hloupé, kdybyste říkal, že někdo nemůže přistupovat k těmto databázím prostřednictvím databáze; SQL Server sám jim nedovolí přístup k němu, ale pokud pak mohou jít kolem, vzít kopii skutečného MDF souboru, přesunout jej jednoduše tak, připojit ho k jejich vlastnímu SQL Serveru, opravdu jste to nedokončili hodně.
Šifrování, takže šifrování je ten slavný obousměrný meč. Existuje mnoho různých úrovní šifrování, které můžete dělat na úrovni OS a současný způsob, jak dělat věci pro SQL a Windows, je s BitLocker a na úrovni databáze se nazývá TDE nebo transparentní šifrování dat. To jsou oba způsoby, jak udržet vaše data v klidu v klidu. Pokud chcete, aby vaše data byla šifrována komplexněji, můžete to udělat šifrované - promiňte, jsem o krok napřed. Můžete provádět šifrovaná připojení, takže kdykoli je v provozu, stále je šifrována, takže pokud někdo poslouchá nebo má uprostřed útoku nějaký člověk, máte prostřednictvím těchto dat určitou ochranu těchto dat. Vaše zálohy musí být šifrovány, jak jsem řekl, mohou být přístupné ostatním, a pak, pokud chcete, aby bylo šifrováno v paměti a během používání, máme šifrování sloupců a pak SQL 2016 má tento pojem „vždy zašifrované “, kde je skutečně šifrováno na disku, v paměti, na drátu, až k aplikaci, která data skutečně používá.
Nyní není vše toto šifrování bezplatné: Je zde režijní náklady na CPU, někdy existuje šifrování sloupců a vždy šifrovaný případ, což má vliv na výkonnost, pokud jde o vaši schopnost provádět vyhledávání na těchto datech. Toto šifrování, pokud je správně sestaveno, znamená to, že pokud by někdo měl získat přístup k vašim datům, poškození se značně sníží, protože se jim podařilo získat a pak s tím nemohou nic dělat. Nicméně, to je také způsob, jakým funguje ransomware, je to, že někdo vstoupí a zapne tyto položky, s vlastním certifikátem nebo svým vlastním heslem a vy k němu nemáte přístup. Proto je důležité se ujistit, že to děláte, a máte k tomu přístup, ale nedáte to otevřeným ostatním a útočníkům.
A pak bezpečnostní zásady - nebudu se tímto bodem zabývat, ale ujistěte se, že na serveru SQL Server není spuštěn každý uživatel jako superadministrátor. Vaši vývojáři to mohou chtít, různí uživatelé to mohou chtít - jsou frustrovaní tím, že musí požádat o přístup k jednotlivým položkám - ale musíte být o to pečliví, ačkoli to může být složitější, poskytnout přístup k objektům a databáze a schémata platná pro probíhající práci a existuje zvláštní případ, možná to znamená zvláštní přihlášení, pro průměrného uživatele případu to nutně neznamená zvýšení práv.
A pak existují úvahy týkající se dodržování předpisů, které do toho zapadají, a některé případy by se ve skutečnosti mohly nějakým způsobem rozejít - takže existuje HIPAA, SOX, PCI - existují všechny tyto různé úvahy. A když projdete auditem, bude se od vás očekávat, že prokážete, že podnikáte kroky k tomu, abyste v souladu s tím. A tak je toho hodně co sledovat, řekl bych jako seznam úkolů DBA. Snažíte se zajistit konfiguraci fyzického šifrování zabezpečení, snažíte se zajistit, aby byl přístup k těmto datům auditován za účelem zajištění souladu se ujistěte, že vaše citlivé sloupce, že víte, co jsou, kde jsou, ke kterým byste měli šifrovat a sledovat přístup. A ujistěte se, že konfigurace jsou v souladu s regulačními pokyny, kterým podléháte. A to musíte neustále aktualizovat, protože se věci mění.
Takže je toho hodně, a kdybych to tak nechal, tak bych řekl, že to udělám. Ale existuje pro to spousta různých nástrojů, a tak, pokud mohu v posledních několika minutách, chtěl jsem vám ukázat některé nástroje, které máme v IDERA k tomu. A ty dva, o kterých jsem dnes chtěl mluvit, jsou SQL Secure a SQL Compliance Manager. SQL Secure je náš nástroj, který pomáhá identifikovat druhy zranitelných míst v konfiguraci. Vaše zásady zabezpečení, vaše uživatelská oprávnění, konfigurace vaší plochy. A má šablony, které vám pomohou dodržovat různé regulační rámce. To samo o sobě, ten poslední řádek, může být důvodem, proč to lidé zvažují. Vzhledem k tomu, že si přečteme tyto různé předpisy a zjistíme, co to znamená, PCI, a pak to vezmu celou cestu dolů k mému serveru SQL v mém obchodě, to je hodně práce. To je něco, za co byste mohli zaplatit spoustu peněz za konzultace; šli jsme a udělali jsme konzultace, spolupracovali jsme s různými auditorskými společnostmi atd., abychom přišli s tím, co tyto šablony jsou - něco, co pravděpodobně povede audit, pokud jsou zavedeny. A pak můžete tyto šablony použít a vidět je ve svém prostředí.
Máme také další, druh sesterského nástroje ve formě Správce shody SQL, a to je místo, kde je SQL Secure o nastavení konfigurace. SQL Compliance Manager je o tom, co se stalo, kdo, kdy. Je to auditování, takže vám umožňuje sledovat aktivitu v okamžiku, kdy k ní dochází, a umožní vám zjistit a sledovat, kdo přistupuje k věcem. Byl někdo, prototypovým příkladem, který byl celebritou zkontrolovanou ve vaší nemocnici, chodil někdo a hledal jejich informace, jen ze zvědavosti? Měli k tomu důvod? Můžete se podívat na historii auditu a zjistit, co se děje, kdo k těmto záznamům přistupoval. A můžete identifikovat, že to má nástroje, které vám pomohou identifikovat citlivé sloupce, takže nemusíte nutně číst a dělat to všechno sami.
Pokud tedy mohu, budu pokračovat a ukážu vám některé z těchto nástrojů zde v posledních několika minutách - a prosím, nepovažujte to za důkladné demo. Jsem produktový manažer, ne technik prodeje, takže vám ukážu některé věci, které považuji za důležité pro tuto diskusi. Toto je náš produkt SQL Secure. A jak vidíte zde, mám tuhle kartu na vysoké úrovni. Myslím, že jsem to včera provozoval. A ukazuje mi některé věci, které nejsou správně nastaveny, a některé věci, které jsou nastaveny správně. Takže vidíte, že tu máme celkem více než 100 různých kontrol. A vidím, že moje záložní šifrování na zálohách, které jsem dělal, nepoužíval jsem záložní šifrování. Můj účet SA, výslovně nazvaný „účet SA“, není deaktivován ani přejmenován. Role veřejného serveru má svolení, takže to jsou všechno věci, na které bych se mohl chtít podívat.
Mám zde nastavenou zásadu, takže pokud bych chtěl nastavit novou zásadu, která by se vztahovala na mé servery, máme všechny tyto vestavěné zásady. Použiji tedy existující šablonu zásad a uvidíte, že mám CIS, HIPAA, PCI, SR a pokračuji, a ve skutečnosti právě probíháme další přidávání dalších politik na základě toho, co lidé v terénu potřebují. . Můžete také vytvořit novou politiku, takže pokud víte, co váš auditor hledá, můžete si ji vytvořit sami. A pak, když to uděláte, můžete si vybrat ze všech těchto různých nastavení, která to, co musíte nastavit, v některých případech máte nějaké - nechte mě vrátit se a najít jedno z předem připravených. To je výhodné, mohu si vybrat, řekněme, HIPAA - už jsem dostal HIPAA, můj špatný - PCI, a poté, když kliknu sem, vidím externí křížový odkaz na sekci s tím souvisí. Takže vám to později pomůže, když se snažíte zjistit, proč to nastavuji? Proč se na to pokouším podívat? S jakou částí to souvisí?
To má také pěkný nástroj v tom, že vám umožňuje vstoupit a procházet vaše uživatele, takže jednou z ošemetných věcí při zkoumání vašich uživatelských rolí je to, že se ve skutečnosti podívám sem. Takže, pokud ukážu oprávnění pro své, uvidíme se, pojďme vybrat uživatele zde. Zobrazit oprávnění. Vidím přidělená oprávnění pro tento server, ale pak mohu kliknout sem a vypočítat efektivní oprávnění a dá mi úplný seznam založený na, takže v tomto případě je to administrátor, takže to není tak vzrušující, ale Mohl bych projít a vybrat různé uživatele a zjistit, jaká jsou jejich účinná oprávnění, na základě všech různých skupin, do kterých mohou patřit. Pokud se o to někdy pokusíte sami, může to být vlastně trochu hádka, přijít na to, že tento uživatel je členem těchto skupin, a proto má přístup k těmto věcem prostřednictvím skupin atd.
Tak, jak tento produkt funguje, je to pořizování snímků, takže to opravdu není příliš obtížný proces pořizování snímků serveru pravidelně a pak tyto snímky udržuje v průběhu času, abyste je mohli porovnat pro změny. Nejedná se tedy o nepřetržité monitorování v tradičním smyslu jako nástroj pro sledování výkonu; to je něco, co jste mohli nastavit tak, aby běžel jednou za noc, jednou týdně - jakkoli si však často myslíte, že je platné - takže pak, kdykoli provádíte analýzu a děláte trochu víc, skutečně jste prostě pracujeme v rámci našeho nástroje. K serveru se příliš nepřipojujete, takže je to docela pěkný malý nástroj, se kterým můžete pracovat, abyste dosáhli souladu s tímto druhem statického nastavení.
Dalším nástrojem, který vám chci ukázat, je náš nástroj Compliance Manager. Compliance Manager bude monitorovat kontinuálnějším způsobem. A uvidíme, kdo dělá to, co na vašem serveru, a umožní vám se na to podívat. Takže, co jsem tady udělal, za posledních pár hodin jsem se vlastně pokusil vytvořit nějaké malé problémy. Tady mám, ať už je to problém, nebo ne, možná o tom vím, někdo skutečně vytvořil přihlašovací údaje a přidal je do role serveru. Takže, pokud se do toho pustím a podívám se na to, vidím - myslím, že tam nemůžu kliknout pravým tlačítkem, vidím, co se děje. Tohle je moje dashboard a já vidím, že jsem dnes měl o několik neúspěšných přihlašovacích údajů trochu dříve. Měl jsem spoustu bezpečnostních aktivit, DBL aktivity.
Dovolte mi tedy přejít na své auditní události a podívat se. Zde mám své auditní události seskupené podle kategorie a cílového objektu, takže pokud se podívám na toto zabezpečení z předchozího, vidím DemoNewUser, došlo k tomuto přihlášení k vytvoření serveru. A vidím, že přihlašovací SA vytvořil tento účet DemoNewUser, zde, ve 14:42. A pak vidím, že zase přidejte přihlášení k serveru, tento DemoNewUser byl přidán do skupiny administrátorů serveru, byli přidáni do setup admin group, byly přidány do skupiny sysadmin. To je něco, o čem bych chtěl vědět, že se stalo. Také jsem ji nastavil tak, aby byly sledovány citlivé sloupce v mých tabulkách, takže vidím, kdo k nim přistupoval.
Tady mám několik vybraných, které se vyskytly na stole mé osoby, z Adventure Works. A mohu se podívat a vidět, že uživatel SA v tabulce Adventure Works udělal vybranou desítku hvězd od osoby dot osoby. Takže možná v mé organizaci nechci, aby lidé vybrali hvězdy od osoby dot osoby, nebo očekávám, že to udělají jen určití uživatelé, a tak to uvidím zde. Takže, co potřebujete, pokud jde o audit, můžeme to nastavit na základě rámce a je to trochu intenzivnější nástroj. Používá SQL Trace nebo SQLX události, v závislosti na verzi. A je to něco, co budete muset mít na svém serveru nějaký prostor, ale je to jedna z těch věcí, něco jako pojištění, což je hezké, kdybychom nemuseli mít pojištění automobilu - bylo by to náklady, které bychom nemuseli brát - ale pokud máte server, na kterém musíte sledovat, kdo co dělá, možná budete muset mít trochu větší prostor a nástroj jako je tento. Ať už používáte náš nástroj, nebo jej sami převádíte, v konečném důsledku budete odpovědní za to, že budete mít tyto informace pro účely dodržování předpisů.
Takže, jak jsem řekl, nejedná se o důkladné demo, jen o stručné, malé shrnutí. Také jsem vám chtěl ukázat rychlý, malý bezplatný nástroj ve formě tohoto SQL Column Search, což je něco, co můžete použít k identifikaci toho, které sloupce ve vašem prostředí se zdají být citlivými informacemi. Máme tedy řadu konfigurací vyhledávání, ve kterých hledá různá jména sloupců, které obvykle obsahují citlivá data, a pak mám celý seznam těchto identifikovaných. Mám jich 120 a pak jsem je exportoval sem, abych je mohl využít k tomu, abych řekl, pojďme se podívat a ujistěte se, že sleduji přístup ke střednímu jménu, jedné osobě, dot osobě nebo dani z obratu sazba atd.
Vím, že jsme na konci naší doby. A to je vše, co jsem vám vlastně musel ukázat, takže pro mě máte nějaké dotazy?
Eric Kavanagh: Mám pro vás pár dobrých. Nech mě to posouvat sem. Jeden z účastníků se ptal opravdu dobré otázky. Jeden z nich se ptá na daň z výkonu, takže vím, že se liší od řešení k řešení, ale máte nějakou obecnou představu o tom, co je daň z výkonu pro použití bezpečnostních nástrojů IDERA?
Vicky Harp: Takže, v SQL Secure, jak jsem řekl, je to velmi nízko, prostě to vezme nějaké příležitostné snímky. A i když jste běželi docela často, získává statické informace o nastavení, a proto je velmi nízká, téměř zanedbatelná. Pokud jde o Compliance Manager, je to -
Eric Kavanagh: Jako jedno procento?
Vicky Harp: Kdybych měl dát procentní číslo, ano, bylo by to jedno procento nebo nižší. Jedná se o základní informace o pořadí používání SSMS a přechodu na kartu zabezpečení a rozšíření věcí. Co se týče dodržování předpisů, je to mnohem vyšší - proto jsem řekl, že potřebuje trochu místa - je to trochu nad rámec toho, co máte, pokud jde o sledování výkonu. Teď už nechci lidi vystrašit, trik s monitorováním dodržování předpisů, a pokud je to auditování, ujistěte se, že auditujete pouze to, na čem budete jednat. Jakmile tedy odfiltrujete a řeknete: „Ahoj, chci vědět, kdy lidé přistupují k těmto konkrétním tabulkám, a chci vědět, kdykoli lidé přistupují, podniknout tyto konkrétní kroky, “ pak to bude založeno na tom, jak často jsou tyto věci a kolik dat generujete. Pokud řeknete: „Chci úplný text SQL každého výběru, který se kdykoli stane v některé z těchto tabulek, “ budou to pravděpodobně gigabajty a gigabajty dat, která musí být analyzována uloženým serverem SQL Server, přesunuty do našeho produktu, atd.
Pokud to podržíte na - bude to také více informací, než byste se pravděpodobně mohli vypořádat. Pokud to dokážete zredukovat na menší sadu, takže denně dostáváte několik set událostí, pak je to samozřejmě mnohem nižší. Opravdu, v některých ohledech, nebe je limit. Pokud zapnete všechna nastavení pro všechny monitorování pro všechno, pak ano, bude to 50% výkon hit. Ale pokud se chystáte proměnit na trochu umírněnější, považovanou úroveň, možná bych oční bulvář 10 procent? Je to opravdu jedna z těch věcí, že to bude velmi závislé na vaší pracovní zátěži.
Eric Kavanagh: Jo, správně. Je tu další otázka ohledně hardwaru. A pak se do hry dostávají prodejci hardwaru a opravdu spolupracují s dodavateli softwaru a já odpověděl přes okno Otázky a odpovědi. Vím o jednom konkrétním případě, že Cloudera spolupracuje s Intelem, kde Intel do nich investoval obrovské investice, a součástí počtu bylo to, že Cloudera získá včasný přístup k designu čipů, a tak bude moci upéct bezpečnost na úroveň čipů architektura, což je docela působivé. Ale je to něco, co se tam dostane, a stále jej lze využít na obou stranách. Znáte nějaké trendy nebo tendence dodavatelů hardwaru spolupracovat s dodavateli softwaru na protokolu zabezpečení?
Vicky Harp: Ano, vlastně se domnívám, že Microsoft spolupracoval, aby měl nějaké, jako například, paměťový prostor pro některé šifrovací práce, ve skutečnosti se děje na samostatných čipech na základních deskách, které jsou oddělené od vaší hlavní paměti, takže některé z toho je hmotně odděleno. A věřím, že to bylo vlastně něco, co přišlo od Microsoftu, když jsme šli k prodejcům, aby řekli: „Můžeme přijít na způsob, jak to udělat, v podstatě je to neadresovatelná paměť, nemůžu přes přetečení vyrovnávací paměti dostat do tato vzpomínka, protože v určitém smyslu to ani není, takže vím, že se něco z toho děje. “
Eric Kavanagh: Jo.
Vicky Harp: Pravděpodobně to budou opravdu velcí prodejci.
Eric Kavanagh: Jo. Jsem zvědavý, jestli na to budu dávat pozor, a možná, Robine, pokud máte krátkou sekundu, byl bych zvědavý, že znáte vaše zkušenosti v průběhu let, protože znovu, pokud jde o hardware, z hlediska skutečné materiální vědy, která jde do toho, co dáváte dohromady ze strany dodavatele, by tyto informace mohly jít na obě strany, a teoreticky jdeme na obě strany poměrně rychle, takže existuje nějaký způsob, jak používat hardware opatrněji, z hlediska designu k posílení bezpečnosti? Co myslíš? Robine, jsi na němý?
Robin Bloor: Jo, jo. Omlouvám se, jsem tady; Jen přemýšlím o otázce. Abych byl upřímný, nemám názor, je to oblast, na kterou jsem se nedíval do značné hloubky, takže jsem tak trochu, víte, dokážu vymyslet názor, ale ve skutečnosti to nevím. Upřednostňuji věci, které mají být v softwaru bezpečné, v podstatě je to jen způsob, jakým hraji.
Eric Kavanagh: Jo. Lidi, jsme spálili hodinu a změnili se tady. Velké díky Vicky Harpové za její čas a pozornost - za veškerý svůj čas a pozornost; vážíme si toho, že se u těchto věcí objevujete. Je to velký problém; brzy to nezmizí. Je to hra s kočkou a myší, která bude dál chodit a chodit a odcházet. A tak jsme vděční za to, že některé společnosti jsou tam, zaměřené na zajištění bezpečnosti, ale jak Vicky dokonce zmiňovala a trochu mluvila ve své prezentaci, na konci dne, je to lidé v organizacích, kteří potřebují myslet velmi opatrně o těchto phishingových útokech, o tomto druhu sociálního inženýrství a držte se svých notebooků - nenechávejte to v kavárně! Změňte si heslo, udělejte základy a dostanete tam 80 procent cesty.
Takže, s tím, lidi, se chystáme rozloučit, ještě jednou děkuji za váš čas a pozornost. Příště vás dohoníme, dávejte pozor. Ahoj.
Vicky Harp: Ahoj, děkuji.
