Od zaměstnanců Techopedia, 27. října 2016
Take away : Host Eric Kavanagh diskutuje o bezpečnosti databáze s Robinem Bloorem, Dezem Blanchfieldem a Ignacio Rodriguezem IDERA.
Momentálně nejste přihlášeni. Chcete-li zobrazit video, přihlaste se nebo se zaregistrujte.
Eric Kavanagh: Dobrý den, vítám vás opět v Hot Technologies. Jmenuji se Eric Kavanagh; Dnes budu vaším hostitelem pro webové vysílání a je to žhavé téma a nikdy to nebude žhavé téma. Tohle je nyní horké téma, protože, upřímně, ze všech porušení, o kterých slyšíme, a mohu vám zaručit, že to nikdy nezmizí. Dnešní téma, přesný název pořadu, který bych měl říci, tedy zní: „Nová normální: pojednání s realitou nejistého světa.“ To je přesně to, s čím se zabýváme.
Máme tady vašeho hostitele, opravdu, právě tady. Před několika lety, myslím, že bych měl pravděpodobně aktualizovat svou fotografii; to bylo 2010. Čas letí. Zašlete mi e-mail s, pokud chcete učinit nějaké návrhy. Toto je náš standardní „horký“ snímek pro Hot Technologies. Účelem této show je opravdu definovat konkrétní prostor. Takže dnes mluvíme o bezpečnosti, samozřejmě. Bereme na to velmi zajímavý úhel, ve skutečnosti s našimi přáteli z IDERA.
A zdůrazním, že vy jako členové našeho publika hrajete v programu významnou roli. Prosím nebuďte stydliví. Zašlete nám dotaz kdykoli a pokud budeme mít dost času na to, dostaneme se do fronty na otázky a odpovědi. Dnes máme tři lidi online, Dr. Robin Bloor, Dez Blanchfield a Ignacio Rodriguez, který volá z nezveřejněného místa. Takže nejprve Robin, jsi první přednášející. Podám vám klíče. Vzít to pryč.
Dr. Robin Bloor: Dobře, díky za to, Ericu. Zabezpečení databáze - myslím, že bychom mohli říci, že pravděpodobnost, že nejcennější data, která každá společnost skutečně předsedá, je v databázi. Takže existuje celá řada bezpečnostních věcí, o kterých bychom mohli mluvit. Ale myslel jsem si, že budu mluvit o tématu zabezpečení databáze. Nechci z prezentace nic, co by Ignacio dal.
Začněme tedy, že je snadné si představit zabezpečení dat jako statický cíl, ale není to tak. Je to pohyblivý cíl. A to je trochu důležité pochopit v tom smyslu, že IT prostředí většiny lidí, zejména IT prostředí velkých společností, se neustále mění. A protože se neustále mění, útočná plocha, oblasti, kde se někdo může pokoušet, ať už zevnitř nebo zvenčí, aby ohrozil bezpečnost dat, se neustále mění. A když uděláte něco podobného, upgradujete databázi, nemáte ponětí, zda jste právě tím vytvořili nějakou zranitelnost pro sebe. Ale nejste si toho vědomi a nikdy se o tom nemusíte dozvědět, dokud se nestane něco mizerného.
Je zde stručný přehled zabezpečení dat. Za prvé, krádež dat není nic nového a data, která jsou cenná, jsou zaměřena. Obvykle je snadné pro organizaci zjistit, jaká data potřebují k zajištění nejvyšší ochrany. Je zvláštní, že první, nebo to, co bychom mohli tvrdit, že je prvním počítačem, bylo postaveno britskou inteligencí během druhé světové války s jedním cílem, a to ukrást data z německých komunikací.
Krádež dat je tedy součástí IT průmyslu už od počátku. S narozením internetu to bylo mnohem vážnější. Díval jsem se na záznam počtu porušení dat, ke kterému došlo rok co rok. A počet se v roce 2005 prudce zvýšil nad 100 a od té doby se každý rok zhoršuje a zhoršuje.
Větší množství ukradených dat a větší počet hacků dochází. A to jsou hacky, které jsou hlášeny. Dochází k velmi velkému počtu incidentů, kdy společnost nikdy neříká nic, protože není nic, co by ji nutilo něco říkat. Udržuje tak tichý přenos dat. V hackerském podnikání existuje mnoho hráčů: vlády, podniky, hackerské skupiny, jednotlivci.
Jedna věc, kterou si myslím, že je zajímavé zmínit, když jsem šel do Moskvy, si myslím, že to bylo asi před čtyřmi lety, byla to softwarová konference v Moskvě, mluvil jsem s novinářem, který se specializoval na oblast hackování dat. A prohlásil - a jsem si jistý, že má pravdu, ale nevím to jinak, než že je to jediný člověk, který mě o něm kdy zmínil, ale - existuje ruská firma s názvem Ruská obchodní síť, pravděpodobně má ruskou jméno, ale myslím, že to je jeho anglický překlad, který je vlastně najat na hack.
Takže pokud jste velká organizace kdekoli na světě a chcete udělat něco, co poškodí vaši konkurenci, můžete tyto lidi najmout. A pokud si najmete tyto lidi, získáte velmi věrohodnou popření, kdo byl za hackem. Protože pokud se zjistí, kdo je za hackem, bude to znamenat, že je to pravděpodobně někdo v Rusku, kdo to udělal. A nebude to vypadat, jako byste se snažili poškodit konkurenta. A věřím, že ruská obchodní síť byla vládami najata, aby dělala věci, jako je hack do bank, aby se pokusila zjistit, jak se pohybují teroristické peníze. A to se děje s věrohodnou popíratelností vládami, které nikdy nepřiznají, že to vlastně někdy udělali.
Technologie útoku a obrany se vyvíjí. Kdysi dávno jsem chodil do Chaos Clubu. Byl to web v Německu, kde se můžete zaregistrovat a mohli byste sledovat rozhovory různých lidí a vidět, co bylo k dispozici. A udělal jsem to, když jsem se díval na bezpečnostní technologii, přemýšlím kolem roku 2005. A udělal jsem jen proto, abych viděl, co se děje dolů, a věc, která mě ohromila, byl počet virů, kde to byl v zásadě open-source systém. Šel jsem dál a lidé, kteří psali viry nebo rozšířené viry, tam kód nalepili, aby je mohl použít kdokoli. A v té době se mi stalo, že hackeři mohou být velmi, velmi inteligentní, ale existuje spousta hackerů, kteří nejsou nutně inteligentní, ale používají inteligentní nástroje. A některé z těchto nástrojů jsou pozoruhodně chytré.
A poslední bod zde: podniky mají povinnost starat se o svá data, ať už je vlastní nebo ne. A myslím si, že se to stává čím dál tím více realizovaným, než tomu bývalo. A to je stále více a více, řekněme, drahé, aby firma skutečně podstoupila hack. Pokud jde o hackery, mohou být umístěny kdekoli, možná obtížně postavitelné před soud, i když jsou řádně identifikováni. Mnoho z nich je velmi kvalifikovaných. Značné zdroje, mají botnety všude. Nedávný útok DDoS, ke kterému došlo, byl podle všeho způsoben více než miliardou zařízení. Nevím, zda je to pravda, nebo zda je to jen reportér používající kulaté číslo, ale určitě bylo použito velké množství robotických zařízení k útoku na síť DNS. Některé ziskové podniky, existují vládní skupiny, existuje hospodářská válka, kybernetická válka, všechno se tam děje a je nepravděpodobné, myslím, že jsme říkali, že je pravděpodobné, že nikdy neskončí.
Dodržování předpisů a předpisy - ve skutečnosti se děje řada věcí. Víte, že existuje mnoho iniciativ zaměřených na dodržování předpisů, víte, že - farmaceutický sektor nebo bankovní sektor nebo zdravotnictví - mohou mít konkrétní iniciativy, které lidé mohou sledovat, různé druhy osvědčených postupů. Existuje však také mnoho oficiálních předpisů, které vzhledem k tomu, že jsou zákonem, mají sankce za kohokoli, kdo porušuje zákon. Příklady z USA jsou HIPAA, SOX, FISMA, FERPA, GLBA. Existují určité standardy, PCI-DSS je standardem pro karetní společnosti. ISO / IEC 17799 je založena na pokusu získat společný standard. Toto je vlastnictví dat. Vnitrostátní předpisy se v jednotlivých zemích liší, a to i v Evropě, nebo by se dalo říci, zvláště v Evropě, kde je to velmi matoucí. A existuje GDPR, celosvětové nařízení o ochraně údajů, o kterém se v současné době jedná mezi Evropou a Spojenými státy, aby se pokusilo o harmonizaci předpisů, protože existuje tolik, běžně, jak jsou, ve skutečnosti, mezinárodní, a pak jsou cloudové služby, které byste mohli nemyslete si, že vaše data byla mezinárodní, ale jakmile jste se dostali do cloudu, stala se mezinárodní, protože se přesunula z vaší země. Jedná se tedy o soubor nařízení, která jsou jakýmkoli způsobem vyjednávána o ochraně údajů. A většina z toho má co do činění s údaji jednotlivce, což samozřejmě zahrnuje téměř všechna identifikační data.
Věci, na které byste měli myslet: zranitelnost databáze. Existuje seznam slabých míst, které jsou známy a hlášeny prodejci databází, když jsou objeveny a opraveny tak rychle, jak je to možné, takže je to všechno. Existují věci, které s ním souvisí, pokud jde o identifikaci zranitelných údajů. Jeden z velkých a nejúspěšnějších hacků v platebních datech byl proveden ve společnosti zpracovávající platby. To se následně zmocnilo, protože pokud se tak nestalo, muselo jít do likvidace, ale data nebyla ukradena z žádné z provozních databází. Data byla ukradena z testovací databáze. Stalo se tak, že vývojáři právě vzali podmnožinu dat, která byla skutečná, a použili je bez jakékoli ochrany v testovací databázi. Testovací databáze byla hacknuta a bylo z ní odebráno strašně mnoho osobních finančních údajů.
Bezpečnostní politika, zejména ve vztahu k zabezpečení přístupu k databázím, kdo může číst, kdo může psát, kdo může udělit oprávnění, existuje způsob, jak se tomu může někdo vyhnout? Pak to samozřejmě umožňují šifrování z databází. Jsou zde náklady na narušení bezpečnosti. Nevím, zda se jedná o běžnou praxi v organizacích, ale vím, že někteří, jako například, hlavní bezpečnostní důstojníci, se pokoušejí poskytnout vedoucím pracovníkům nějakou představu o tom, jaké jsou náklady na narušení bezpečnosti, dříve než k tomu dojde, než poté. A oni to musí udělat, aby se ujistili, že dostanou správnou částku rozpočtu, aby mohli hájit organizaci.
A pak útočná plocha. Zdá se, že útočná plocha neustále roste. Zdá se, že rok co rok se zdá, že útočná plocha roste. V souhrnu je rozsah dalším bodem, ale zabezpečení dat je obvykle součástí role DBA. Zabezpečení dat je však také činností spolupráce. Pokud potřebujete zabezpečení, musíte mít úplnou představu o ochranných opatřeních organizace jako celku. A v této oblasti musí být podniková politika. Pokud neexistují firemní zásady, skončíte jen s částečnými řešeními. Víte, gumička a plast, druh, pokouší se zastavit bezpečnost.
Když jsem to řekl, myslím, že předám Dezovi, který vám pravděpodobně předá různé válečné příběhy.
Eric Kavanagh: Dej to pryč, Dez.
Dez Blanchfield: Děkuji, Robine. Je vždy těžké jednat. Jdu na to z opačného konce spektra, jen abych, dala nám smysl pro rozsah výzvy, které čelíte, a proč bychom měli dělat víc, než jen sedět a věnovat pozornost této . Výzva, se kterou se nyní setkáváme s rozsahem a množstvím a objemem, rychlostí, se kterou se tyto věci dějí, spočívá v tom, že to, co teď slyším kolem místa s mnoha CXO, nejen s CIO, ale určitě CIO jsou ti, kdo se účastní, kde se dolar zastaví, je to, že považují porušení dat, aby se rychle stali normou. Je to něco, co téměř očekávají. Takže se na to dívají z pohledu: „Dobře, dobře, když se dostaneme do porušování - ne - pokud - když se dostaneme do porušování, co s tím musíme udělat?“ A pak začnou rozhovory, co dělají v tradičních okrajových prostředích a směrovačích, přepínačích, serverech, detekci narušení, inspekci narušení? Co dělají v samotných systémech? Co dělají s daty? A pak se vše vrátí k tomu, co dělali se svými databázemi.
Dovolte mi jen dotknout se několika příkladů některých těchto věcí, které zachytily mnoho fantazií lidí, a pak se podrobně rozdělím, abych je trochu rozbila. Takže jsme ve zprávě slyšeli, že Yahoo - pravděpodobně největší počet, který lidé slyšeli, je asi půl milionu, ale ve skutečnosti se ukazuje, že je to neoficiálně spíš miliarda - slyšel jsem výstřední počet tří miliard, ale to je téměř polovina světové populace, takže si myslím, že je to trochu vysoko. Ale nechal jsem si to ověřit od mnoha lidí v příslušných prostorech, kteří věří, že existuje jen přes miliardu záznamů, které byly porušeny z Yahoo. A to je jen ohromující číslo. Teď někteří hráči vypadají a myslí si, dobře, jsou to jen účty webmailu, žádný velký problém, ale pak přidáte skutečnost, že mnoho z těchto účtů webmailu a podivně vysoké číslo, vyšší, než jsem očekával, jsou skutečně placené účty. To je místo, kde lidé vkládají údaje o své kreditní kartě a platí za odstranění reklam, protože dostávají dost reklam, a tak 4 nebo 5 $ měsíčně jsou ochotni koupit webmail a cloudové úložiště, které nemá reklamy, a já jsem jeden z nich, a mám to u tří různých poskytovatelů, kam připojím svou kreditní kartu.
Takže výzva se dostane trochu více pozornosti, protože to není jen něco, co je tam venku, jako odhozený řádek, který říká: „No jo, Yahoo ztratil, řekněme, mezi 500 miliony a 1 000 miliony účtů, “ dělá to milion milionů zní velmi velké a webmail účty, ale údaje o kreditní kartě, křestní jméno, příjmení, e-mailová adresa, datum narození, kreditní karta, číslo PIN, cokoli chcete, hesla, a pak se stává mnohem děsivější koncept. A zase mi lidé říkají: „Ano, ale je to jen webová služba, je to jen webmail, žádný velký problém.“ A pak říkám: „Ano, dobře, že účet Yahoo mohl být také použit v peněžních službách Yahoo na nákup a prodávat akcie. “Pak to bude zajímavější. A když do toho začnete vrtat, uvědomíte si, že je to vlastně víc než jen maminky a tatínky doma, a teenageři, kteří používají účty pro zasílání zpráv, to je vlastně něco, co lidé dělají s obchodními transakcemi.
To je jeden konec spektra. Druhým koncem spektra je, že velmi malý všeobecný lékař, poskytovatel zdravotních služeb v Austrálii, ukradl asi 1 000 záznamů. Byl to vnitřní úkol, někdo odešel, byli jen zvědaví, vyšli ze dveří, v tomto případě to byla 3, 5palcová disketa. Bylo to před chvílí - ale můžete říct éru médií - ale byly na staré technologii. Ukázalo se však, že důvod, proč si vzali data, byl jen zvědavý na to, kdo tam byl. Protože v tomto malém městě, které bylo naším národním hlavním městem, byli politici, měli dost lidí. Zajímalo se o to, kdo tam byl a kde byl jejich život, a všechny takové informace. Takže s velmi malým porušením dat, které bylo provedeno interně, bylo značně velké množství politiků v australské vládě v údajích mimo veřejnost.
Musíme zvážit dva různé konce spektra. Nyní je realita pouhá škála těchto věcí je prostě docela ohromující a mám skluz, na který se chystáme velmi rychle skočit. Existuje několik webů, které obsahují všechny druhy dat, ale tento konkrétní je od bezpečnostního specialisty, který měl web, kam můžete jít a vyhledat vaši e-mailovou adresu nebo vaše jméno, a ukáže vám každý incident dat za posledních 15 let poruší, že se mu podařilo dostat se do rukou, a pak načíst do databáze a ověřit, a to vám řekne, zda jste byli pwned, jak je termín. Když se ale začnete dívat na některá z těchto čísel a tento snímek obrazovky nebyl aktualizován svou nejnovější verzí, která obsahuje pár, například Yahoo. Ale přemýšlejte o typech služeb zde. Máme Myspace, máme LinkedIn, Adobe. Adobe je zajímavý, protože lidé vypadají a myslí si, co vlastně Adobe znamená? Většina z nás, kteří stahují Adobe Reader nějaké formy, mnoho z nás koupilo produkty Adobe kreditní kartou, což je 152 milionů lidí.
Nyní, k Robinovu poznámce, to jsou velmi velká čísla, je snadné je ohromit. Co se stane, když máte porušeno 359 milionů účtů? No, je tu pár věcí. Robin zdůraznil skutečnost, že tato data jsou vždy v nějaké formě databáze. To je kritická zpráva. Téměř nikdo na této planetě, o kterém vím, který provozuje systém jakékoli formy, jej neukládá do databáze. Zajímavé však je, že v této databázi jsou tři různé typy dat. Existují věci související se zabezpečením, jako jsou uživatelská jména a hesla, která jsou obvykle šifrována, ale vždy existuje spousta příkladů, kde nejsou. O jejich profilu a údajích, které vytvářeli, existují skutečné informace o zákaznících, ať už se jedná o zdravotní stav nebo o e-mail nebo okamžitou zprávu. A pak existuje skutečná integrovaná logika, takže by to mohly být uložené procedury, mohla by to být celá řada pravidel, pokud + toto + pak + to. A to je vždy jen text ASCII uvíznutý v databázi, jen velmi málo lidí tam sedí a přemýšlí: „No, tohle jsou obchodní pravidla, takto se naše data pohybují a kontrolují, měli bychom to šifrovat, když je v klidu a když je v pohyb to možná dešifrujeme a uchováme v paměti, “ale v ideálním případě by to mělo být pravděpodobně také.
Ale vrací se k tomuto klíčovému bodu, že všechna tato data jsou v databázi nějaké formy a častěji než ne se zaměřuje, jen historicky, na směrovače a přepínače a servery a dokonce i úložiště, a ne vždy na databázi na zadní konec. Protože si myslíme, že máme pokrytí okraje sítě a je to, jako by to byl typický starý druh, žijící v zámku a dali jste kolem něj příkop a doufáte, že se zlí lidé nebudou umět plavat. Ale pak najednou špatní chlapi zjistili, jak vyrobit rozšířené žebříky a hodit je přes příkop, vylézt přes příkop a vyšplhat na zdi. A najednou je váš příkop téměř k ničemu.
Takže jsme nyní ve scénáři, kdy jsou organizace v režimu dohánění ve sprintu. Podle mého názoru doslova prolínají ve všech systémech, a určitě moje zkušenost, že to nejsou vždy jen tyto webové jednorožce, jak na ně často odkazujeme, častěji než ne, jsou porušovány tradiční podnikové organizace. A nemusíte mít spoustu fantazie, abyste zjistili, kdo jsou. Existují webové stránky, jako je web s názvem pastebin.net, a pokud jdete na pastebin.net a zadáte pouze seznam e-mailů nebo seznam hesel, skončí se stovkami tisíc záznamů denně, které se přidávají tam, kde lidé uvádějí příklady datových sad mimo jiné až tisíc záznamů o křestním jménu, příjmení, údajích o kreditní kartě, uživatelském jméně, hesle, dešifrovaných heslech. Tam, kde lidé mohou chytit tento seznam, jít a ověřit je tři nebo čtyři z nich a rozhodnout se, ano, chci si ten seznam koupit a obvykle existuje nějaká forma mechanismu, která poskytuje nějaký druh anonymní brány osobě prodávající data.
Nyní je zajímavé, že jakmile si přidružený podnikatel uvědomí, že to dokážou, nebere to tolik představivosti, aby si uvědomil, že pokud utratíte 1 000 USD za nákup jednoho z těchto seznamů, co je první věc, kterou s tím uděláte? Nechcete jít a pokusit se sledovat účty, vložíte jejich kopii zpět na pastbin.net a prodáváte dvě kopie za 1 000 $ a vyděláte 1 000 $. A to jsou děti, které to dělají. Po celém světě jsou některé extrémně velké profesní organizace, které to živí. Existují dokonce i státy, které útočí na jiné státy. Víte, hodně se mluví o Americe útočící na Čínu, o Číně útočící na Ameriku, není to tak jednoduché, ale určitě existují vládní organizace, které porušují systémy, které jsou vždy poháněny databázemi. Nejde jen o malé organizace, ale také o země versus země. To nás přivádí zpět k otázce, kde jsou uložená data? Je v databázi. Jaké ovládací prvky a mechanismy jsou tam? Nebo vždy nejsou šifrována, a pokud jsou šifrována, nejsou to vždy všechna data, možná je to jen heslo, které je soleno a šifrováno.
A kolem toho máme řadu problémů s tím, co je v těchto datech a jak poskytujeme přístup k datům a dodržování SOX. Takže pokud přemýšlíte o správě majetku nebo bankovnictví, máte organizace, které se obávají výzev pověření; máte organizace, které se obávají dodržování předpisů v podnikovém prostoru; máte vládní požadavky a regulační požadavky; máte nyní scénáře, kde máme on-premise databáze; máme databáze v datových centrech třetích stran; máme databáze sedící v cloudovém prostředí, takže jeho cloudová prostředí nejsou vždy v zemi. A tak se to stává větší a větší výzvou, a to nejen z hlediska čistého zabezpečení, ale také, jak se setkáváme se všemi různými úrovněmi dodržování předpisů? Nejen normy HIPAA a ISO, ale doslova tucty a desítky a desítky z nich na státní úrovni, na národní úrovni a na celosvětové úrovni, které překračují hranice. Pokud obchodujete s Austrálií, nemůžete přesunout vládní data. Žádná australská soukromá data nemohou opustit národ. Pokud jste v Německu, je to ještě přísnější. A vím, že se Amerika k tomu velmi rychle pohybuje z různých důvodů.
Ale vrací mě to zpět k celé té výzvě, jak víte, co se děje v databázi, jak to monitorujete, jak říkáte, kdo dělá to, co v databázi, kdo má zobrazení různých tabulek a řádků, sloupců a polí, kdy ji čtou, jak často ji čtou a kdo ji sleduje? A myslím, že to mě přivádí k poslednímu bodu, než jsem dnes předal našemu hostovi, který nám pomůže mluvit o tom, jak tento problém vyřešíme. Chci ale nechat nás s touto myšlenkou a to znamená, že se hodně zaměřujeme na náklady na podnikání a náklady na organizaci. A nebudeme se tímto bodem zabývat podrobně dnes, ale chci to jen nechat v našich myslích na přemýšlení a to je, že existuje odhad zhruba mezi 135 a 585 USD na jeden záznam, který se po narušení vyčistí. Investice do zabezpečení kolem směrovačů, přepínačů a serverů je tedy dobrá a dobrá a brány firewall, ale kolik jste investovali do zabezpečení databáze?
Je to však falešná ekonomika, a když se nedávno došlo k porušení Yahoo a mám ji na dobrou autoritu, je to zhruba miliarda účtů, ne 500 milionů. Když Verizon koupil organizaci za něco jako 4, 3 miliardy, jakmile došlo k porušení, požádali o zpět miliardu dolarů nebo slevu. Nyní, když uděláte matematiku a říkáte, že došlo k porušení zhruba miliardové rekordy, miliardová sleva, odhad $ 135 až 535 $ na vyčištění záznamu se nyní stává $ 1. Což je opět fraškovité. Vyčištění miliardy záznamů není stát 1 $. Na 1 $ za záznam vyčistit miliardu záznamů za porušení této velikosti. Za tento druh nákladů si ani nemůžete dát tiskovou zprávu. A tak se vždy zaměřujeme na vnitřní výzvy.
Ale myslím si, že je to jedna z věcí, a to nás vede k tomu, abychom to brali velmi vážně na úrovni databáze, a proto je to pro nás velmi důležité téma, o kterém mluvíme, a to je to, že nikdy nemluvíme o člověku mýtné. Co je to lidské mýtné, které za to víme? A já si vezmu jeden příklad, než se rychle zabalím. LinkedIn: v roce 2012 byl systém LinkedIn hacknut. Bylo tam několik vektorů a já do toho nepůjdu. A byly ukradeny stovky milionů účtů. Lidé říkají asi 160-lichý milion, ale ve skutečnosti je to mnohem větší počet, může to být až asi 240 milionů. Toto porušení však nebylo oznámeno teprve začátkem tohoto roku. Čtyři roky jsou tam stovky milionů záznamů lidí. Nyní byli někteří lidé platící za služby kreditními kartami a jiní lidé s bezplatnými účty. Je to zajímavé pro LinkedIn, protože nejenže získali přístup k detailům vašeho účtu, pokud jste byli porušeni, ale získali také přístup ke všem vašim profilovým informacím. Takže, s kým jste byli spojeni a všechna spojení, která jste měli, a typy pracovních míst, které měli a typy dovedností, které měli a jak dlouho pracovali ve společnostech a všechny tyto informace a jejich kontaktní údaje.
Zamyslete se tedy nad výzvou, kterou máme při zajišťování dat v těchto databázích a při zajišťování a správě samotných databázových systémů a toku dopadu, kde je lidská daň z těchto dat čtyři roky venku. A pravděpodobnost, že se někdo může objevit na dovolené někde v jihovýchodní Asii a že tam mají svá data čtyři roky. A někdo možná koupil auto nebo získal půjčku na bydlení nebo si koupil deset telefonů v průběhu roku na kreditních kartách, kde vytvořili falešný identifikátor k těmto datům, která tam byla čtyři roky - protože i údaje z LinkedIn vám poskytly dostatek informací vytvořte bankovní účet a falešné ID - a dostanete se do letadla, jdete na dovolenou, přistáváte a jste uvrženi do vězení. A proč jsi uvržen do vězení? No, protože jste ukradli vaše ID. Někdo vytvořil falešný ID a jednal jako vy a stovky tisíc dolarů a dělali to čtyři roky a vy jste o tom ani nevěděli. Protože je tam venku, stalo se to.
Takže si myslím, že nás to přivádí k této základní výzvě, jak víme, co se děje v našich databázích, jak ji sledujeme, jak ji sledujeme? A těším se, až uslyším, jak naši přátelé v IDERA přišli s řešením, jak to vyřešit. A s tím předám.
Eric Kavanagh: Dobře, Ignacio, podlaha je na vás.
Ignacio Rodriguez: Dobře. Vítejte všichni. Jmenuji se Ignacio Rodriguez, lépe známý jako Iggy. Jsem s IDERA a produktovým manažerem bezpečnostních produktů. Opravdu dobrá témata, která jsme právě probrali, a opravdu se musíme starat o porušení dat. Musíme mít zpřísněné bezpečnostní politiky, musíme identifikovat zranitelnosti a posoudit úroveň zabezpečení, řídit oprávnění uživatele, kontrolovat zabezpečení serveru a dodržovat audity. Auditoval jsem ve své minulé historii, většinou na straně Oracle. Něco jsem udělal na SQL Serveru a dělal jsem je s nástroji nebo, v zásadě, domácími skripty, což bylo skvělé, ale musíte vytvořit úložiště a ujistit se, že úložiště je bezpečné, a neustále musím udržovat skripty se změnami od auditorů., co máš.
Takže v nástrojích, kdybych věděl, že tam IDERA byla a měla nějaký nástroj, tak jsem to více než pravděpodobné koupil. Ale stejně budeme hovořit o Secure. Je to jeden z našich produktů v naší produktové řadě zabezpečení a v zásadě to dělá, že se díváme na bezpečnostní politiky a mapujeme je do regulačních pokynů. Můžete zobrazit úplnou historii nastavení serveru SQL a také můžete v podstatě provést základní nastavení těchto nastavení a porovnat je s budoucími změnami. Jste schopni vytvořit snímek, který je základem vašeho nastavení, a pak můžete sledovat, zda se některá z těchto věcí změnila, a také být upozorněni, pokud se změní.
Jednou z věcí, které děláme dobře, je předcházet bezpečnostním rizikům a jejich porušování. Karta zprávy o bezpečnosti vám poskytuje pohled na nejvyšší bezpečnostní chyby na serverech a poté je také každá bezpečnostní kontrola kategorizována jako vysoká, střední nebo nízká. Nyní je možné tyto kategorie nebo bezpečnostní kontroly změnit. Řekněme, že pokud máte nějaké ovládací prvky a používáte některou ze šablon, které máme, a vy se rozhodnete, naše ovládací prvky skutečně naznačují nebo chtějí, aby tato zranitelnost nebyla opravdu vysoká, ale střední, nebo naopak. Můžete mít některé, které jsou označeny jako střední, ale ve vaší organizaci jsou ovládací prvky, které chcete označit, nebo je považují za vysoké, všechna tato nastavení jsou konfigurovatelná uživatelem.
Dalším kritickým problémem, na který se musíme podívat, je identifikace zranitelných míst. Pochopení toho, kdo má přístup k tomu, a identifikovat všechna efektivní práva uživatele ve všech objektech serveru SQL. S tímto nástrojem se budeme moci projít a podívat se na práva napříč všemi objekty serveru SQL a brzy tu uvidíme snímek obrazovky. Rovněž hlásíme a analyzujeme oprávnění uživatelů, skupin a rolí. Jednou z dalších funkcí je poskytování podrobných zpráv o bezpečnostních rizicích. Máme připravené zprávy a obsahuje flexibilní parametry, které vám umožňují vytvářet typy zpráv a zobrazovat data, která požadují auditoři, bezpečnostní úředníci a manažeři.
Jak jsem již zmínil, můžeme také porovnat změny zabezpečení, rizika a konfigurace v průběhu času. A ty jsou se snímky. A tyto snímky lze konfigurovat, pokud chcete, jak je chcete - měsíční, čtvrtletní, roční - které lze naplánovat v nástroji. A opět můžete provést srovnání, abyste viděli, co se změnilo a co je na tom hezké, pokud jste porušili, mohli byste vytvořit snímek poté, co byl opraven, provést srovnání a viděli byste, že existuje vysoká úroveň riziko spojené s předchozím snímkem a poté hlášení, ve skutečnosti uvidíte v dalším snímku poté, co bylo opraveno, že to již není problém. Je to dobrý nástroj pro audit, který byste mohli dát auditorovi, zprávu, kterou byste mohli dát auditorům, a říci: „Podívej, měli jsme toto riziko, zmírnili jsme to a nyní to už není riziko.“ A znovu, já uvedené se snímky, můžete varovat, když se změní konfigurace, a pokud se konfigurace změní a zjistí se, že představují nové riziko, budete o tom také informováni.
Se serverem SQL Server Architecture dostáváme otázky se zabezpečením a já chci provést opravu snímku zde, kde je uvedeno „Collection Service“. Nemáme žádné služby, mělo to být „Management and Collection Server. „Máme konzoli a poté náš server pro správu a sběr a máme zachycení bez agentů, které půjde do databází, které byly zaregistrovány, a shromažďuje data prostřednictvím úloh. A máme úložiště SQL Server a spolupracujeme se službou SQL Server Reporting Services, abychom naplánovali zprávy a vytvořili také vlastní sestavy. Nyní na kartě Security Report Card je to první obrazovka, která se zobrazí při spuštění SQL Secure. Snadno uvidíte, které kritické položky jste zjistili. A opět máme výšky, média a minima. A pak máme také zásady, které jsou ve hře s konkrétními bezpečnostními kontrolami. Máme šablonu HIPAA; máme šablony IDERA Security Level 1, 2 a 3; máme pokyny pro PCI. To jsou všechny šablony, které můžete použít, a znovu si můžete vytvořit vlastní šablonu, založenou také na vašich vlastních ovládacích prvcích. A opět jsou modifikovatelné. Můžete si vytvořit svůj vlastní. Jako základní čáru lze použít kteroukoli ze stávajících šablon, poté je můžete upravit podle potřeby.
Jednou z příjemných věcí je zjistit, kdo má povolení. A s touto obrazovkou zde uvidíme, jaké jsou přihlašovací údaje SQL Server v podniku, a budete si moci zobrazit všechna přiřazená a účinná práva a oprávnění v databázi serveru na úrovni objektů. Děláme to tady. Budete moci znovu vybrat databáze nebo servery a pak si budete moci vytáhnout sestavu oprávnění serveru SQL. Takže vidět, kdo má jaký přístup k čemu. Další příjemnou funkcí je, že budete moci porovnat nastavení zabezpečení. Řekněme, že jste měli standardní nastavení, které bylo třeba nastavit ve vašem podniku. Pak budete moci porovnat všechny své servery a zjistit, jaká nastavení byla nastavena na ostatních serverech ve vašem podniku.
Opět platí, že šablony zásad, to jsou některé šablony, které máme. V podstatě znovu použijete jeden z nich, vytvořte si svůj vlastní. Můžete si vytvořit vlastní politiku, jak je vidět zde. Použijte jednu ze šablon a můžete je podle potřeby upravovat. Jsme také schopni zobrazit efektivní práva serveru SQL. Tím se ověří a prokáže, že oprávnění jsou správně nastavena pro uživatele a role. Opět můžete jít ven a podívat se a vidět a ověřit, že oprávnění je správně nastaveno pro uživatele a role. Poté s přístupovými právy k objektům SQL Server můžete procházet a analyzovat strom objektů SQL Server dolů od úrovně serverů dolů k rolím a koncovým bodům na úrovni objektu. A na úrovni objektu můžete okamžitě zobrazit přiřazená a účinná zděděná oprávnění a vlastnosti související se zabezpečením. Takto získáte dobrý přehled o přístupech, které máte k vašim databázovým objektům a kdo k nim má přístup.
Máme opět své zprávy, které máme. Jsou to předpřipravené přehledy, máme několik, z nichž si můžete vybrat, abyste mohli vytvářet své přehledy. A mnoho z nich lze přizpůsobit, nebo můžete mít své zákaznické přehledy a používat je ve spojení se zpravodajskými službami a odtud si můžete vytvářet své vlastní přehledy. Nyní, Snapshot Comparisons, je to docela skvělá funkce, myslím, že tam, kam můžete jít tam a můžete provést srovnání vašich snímků, které jste vzali, a podívat se, jestli tam byly nějaké rozdíly v počtu. Jsou přidány nějaké objekty, došlo-li ke změně oprávnění, cokoli, co bychom mohli vidět, jaké změny byly provedeny mezi různými snímky. Někteří lidé se na ně budou dívat na měsíční úrovni - udělají měsíční snímek a poté každý měsíc provedou srovnání, aby zjistili, zda se něco nezměnilo. A pokud nebylo nic, co by mělo být změněno, cokoli, co šlo na schůzky ke kontrole změn, a vidíte, že některá oprávnění byla změněna, můžete se vrátit a podívat se, co se stalo. Toto je docela pěkná funkce, kde můžete opět provést srovnání všeho, co je auditováno v rámci snímku.
Pak vaše hodnocení srovnání. To je další pěkná funkce, kterou máme tam, kam můžete jít, podívat se na hodnocení a poté je porovnat a všimnout si, že srovnání mělo účet SA, který nebyl v tomto nedávném snímku, který jsem udělal, deaktivován - je to je nyní opraven. To je docela pěkná věc, kde můžete ukázat, že, dobře, měli jsme nějaké riziko, byli identifikováni nástrojem, a nyní jsme tato rizika zmírnili. A opět je to dobrá zpráva, která ukazuje auditorům, že tato rizika byla ve skutečnosti zmírněna a je o ně postaráno.
Stručně řečeno, zabezpečení databáze je rozhodující, a myslím si, že mnohokrát se díváme na porušení, která přicházejí z externích zdrojů, a někdy opravdu nevěnujeme příliš mnoho pozornosti interním porušením a to jsou některé z věcí, které je třeba dávat pozor. A Secure vám tam pomůže, abyste se ujistili, že neexistují žádná privilegia, která nemusí být přiřazena, víte, ujistěte se, že všechny tyto zabezpečení jsou správně nastaveny na účty. Ujistěte se, že vaše účty SA mají hesla. Kontroluje také, zda jsou vaše šifrovací klíče exportovány? Jen několik různých věcí, které kontrolujeme, a upozorníme vás na skutečnost, zda došlo k problému a na jaké úrovni. Potřebujeme nástroj, mnoho odborníků potřebuje nástroje pro správu a sledování oprávnění k přístupu k databázi a ve skutečnosti se zaměřujeme na poskytování rozsáhlé schopnosti řídit oprávnění k databázi a sledovat přístupové aktivity a zmírňovat riziko narušení.
Nyní je další součástí našich bezpečnostních produktů to, že existuje WebEx, který byl pokryt, a součástí prezentace, o které jsme hovořili dříve, byla data. Víte, kdo přistupuje k čemu, co máte, a to je náš nástroj pro správu shody SQL. A na tomto nástroji je zaznamenaný WebEx, který vám ve skutečnosti umožní sledovat, kdo přistupuje ke kterým tabulkám, ke kterým sloupcům, můžete identifikovat tabulky, které mají citlivé sloupce, pokud jde o datum narození, informace o pacientech, tyto typy tabulek a skutečně zjistit, kdo má k těmto informacím přístup a zda k nim má přístup.
Eric Kavanagh: Dobře, tak pojďme se ponořit do otázek, myslím, tady. Možná, Dez, nejdřív ti to hodím, a Robin, zazvon co nejlíp.
Dez Blanchfield: Jo, byl jsem svědění, abych položil otázku z druhého a třetího snímku. Jaký je typický případ použití tohoto nástroje? Kdo jsou nejběžnější typy uživatelů, které vidíte, kteří to přijímají a uvádějí do hry? A na zadní straně, typický, druh, použití případového modelu, jak to jde? Jak se provádí?
Ignacio Rodriguez: Dobře, typický případ použití, který máme, jsou DBA, kterým byla přidělena odpovědnost za řízení přístupu k databázi, kteří se ujistili, že všechna oprávnění jsou nastavena tak, jak potřebují, a poté sledují jejich standardy. na místě. Víte, tyto určité uživatelské účty mohou mít přístup pouze k těmto konkrétním tabulkám atd. A to, co s tím dělají, je zajistit, aby tyto standardy byly stanoveny a tyto standardy se časem nezměnily. A to je jedna z velkých věcí, kterou lidé používají, je sledovat a identifikovat, zda došlo ke změnám, o kterých není známo.
Dez Blanchfield: Protože jsou to děsivé, že? Je to, že můžete mít, řekněme, strategický dokument, máte politiky, které to podporují, pod ním máte shodu a správu a dodržujete zásady, dodržujete správu a dostane zelenou a potom najednou o měsíc později někdo zavádí změnu a z nějakého důvodu neprochází stejnou revizní komisí pro změnu nebo procesem změny, nebo cokoli by to mohlo být, nebo se projekt právě posunul dál a nikdo to neví.
Máte nějaké příklady, které můžete sdílet - a já vím, samozřejmě, není to vždy něco, co sdílíte, protože klienti se o to trochu starají, takže nemusíme nutně pojmenovávat jména - ale dejte nám příklad, kde vy Možná to viděli vlastně, víte, organizace to zavedla, aniž by si to uvědomila, a prostě něco našli a uvědomili si: „Páni, stálo to za to desetkrát, prostě jsme našli něco, co jsme si neuvědomili.“ nějaký příklad, kde to lidé implementovali a poté zjistili, že měli větší problém nebo skutečný problém, který si neuvědomili, že to měli, a pak vás okamžitě přidají na seznam vánočních přání?
Ignacio Rodriguez: No, myslím, že největší věc, kterou jsme viděli nebo ohlásili, je to, co jsem právě zmínil, pokud jde o přístup, který někdo měl. Existují vývojáři a když implementovali nástroj, neuvědomili si, že by X těchto vývojářů mělo tolik přístupu do databáze a mělo přístup k určitým objektům. A další věcí jsou účty pouze pro čtení. Byly nějaké účty jen pro čtení, které měly, přišli zjistit, že tyto účty pouze pro čtení jsou vlastně, měly vložit data a také smazat oprávnění. Tam jsme viděli určité výhody pro uživatele. Velká věc, kterou jsme slyšeli, že lidé mají rádi, je opět schopen sledovat změny a ujistit se, že se jim nic nedotkne.
Dez Blanchfield: Jak zdůraznil Robin, máte scénáře, které lidé často nemyslí, že? Když se těšíme, my, tak trochu přemýšlejte, víte, pokud děláme všechno v souladu s pravidly, a já najdu, a jsem si jistý, že to také vidíte - řekněte mi, pokud s tím nesouhlasíte - organizace se zaměřují tak těžce na vývoji strategie a politiky a dodržování předpisů a správy a KPI a podávání zpráv, že se na to často dostanou tak, že o odlehlých nepomýšlejí. A Robin měl opravdu skvělý příklad, který před ním ukradnu - promiňte Robina - ale příkladem je jindy, kdy je živá kopie databáze, snímek a vložen do vývojového testu, že? Děláme dev, děláme testy, děláme UAT, děláme systémovou integraci, všechno takové věci a pak teď děláme spoustu testů shody. UAT, SIT má ve skutečnosti často komponentu compliance, kde se jen ujistíme, že je vše zdravé a bezpečné, ale ne každý to udělá. Tento příklad, který Robin s kopií živé kopie databáze dal do testu s vývojovým prostředím, aby zjistil, zda stále funguje s živými daty. Jen velmi málo společností si sedne a přemýšlí: „Stává se to vůbec, nebo je to možné?“ Vždycky jsou upoutáni na produkci. Jak vypadá implementační cesta? Mluvíme o dnech, týdnech, měsících? Jak vypadá pravidelné nasazení pro organizaci průměrné velikosti?
Ignacio Rodriguez: Dny. Není to ani dny, myslím, je to jen pár dní. Právě jsme přidali funkci, kde jsme schopni zaregistrovat mnoho, mnoho serverů. Namísto toho, abyste museli v nástroji chodit, a říci, že jste měli 150 serverů, museli jste tam jít jednotlivě a zaregistrovat servery - nyní to nemusíte dělat. Vytvoříte soubor CSV a my jej automaticky odstraníme a nebudeme jej tam kvůli bezpečnostním problémům uchovávat. Ale to je další věc, kterou musíme zvážit, je to, že tam budete mít soubor CSV s uživatelským jménem / heslem.
Děláme to automaticky, odstraňujeme to znovu, ale máte možnost. Pokud tam chcete jít jednotlivě a zaregistrovat je a nechcete podstupovat toto riziko, můžete to udělat. Pokud však chcete použít soubor CSV, umístěte jej na bezpečné místo, nasměrujte aplikaci na toto umístění, tento soubor CSV spustí a po dokončení je automaticky nastaven tak, aby tento soubor odstranil. A půjde to a ujistěte se, že je soubor odstraněn. Nejdelší pól v písku, který jsme měli, pokud jde o implementaci, byla registrace skutečných serverů.
Dez Blanchfield: Dobře. Nyní jste mluvili o zprávách. Můžete nám dát trochu více podrobností a nahlédnout do toho, co přichází předem, pokud jde o reportování kolem, myslím, že objevová složka se dívá na to, co je tam a podává zprávu o tom, současný stav národa, co přichází předem - postavené a předpečené, pokud jde o zprávy o současném stavu dodržování předpisů a bezpečnosti, a jak snadno je lze rozšířit? Jak na nich stavíme?
Ignacio Rodriguez: Dobře. Některé zprávy, které máme, máme zprávy, které se zabývají více servery, kontrolami přihlášení, filtry sběru dat, historií činnosti a poté zprávami o hodnocení rizik. A také jakékoli podezřelé účty Windows. Je jich tu mnoho, mnoho. Podívejte se na podezřelé přihlašování SQL, přihlášení na server a mapování uživatelů, uživatelská oprávnění, všechna uživatelská oprávnění, role serveru, role databází, určité množství chyb zabezpečení nebo zprávy o ověřování ve smíšeném režimu, databáze hostujících povolení, zranitelnost OS pomocí XPS, rozšířené postupy, a poté zranitelné pevné role. To jsou některé zprávy, které máme.
Dez Blanchfield: A ty jsi zmínil, že jsou dostatečně významné a mnoho z nich, což je logická věc. Jak snadné pro mě je přizpůsobit? Pokud spustím sestavu a dostanu tento skvělý velký graf, ale chci si vzít nějaké kousky, o které nejsem, že mě opravdu zajímá, a přidat několik dalších funkcí, je tu spisovatel zpráv, existuje nějaký druh rozhraní a nástroj pro konfiguraci a přizpůsobení nebo dokonce sestavení další zprávy od nuly?
Ignacio Rodriguez: Poté bychom uživatele nasměrovali, aby k tomu použili Microsoft SQL Report Services, a máme mnoho zákazníků, kteří si některé zprávy skutečně vezmou, přizpůsobí a naplánují je, kdykoli chtějí. Někteří z nich chtějí tyto zprávy vidět každý měsíc nebo každý týden a vezmou si informace, které máme, přesunout je do Reporting Services a odtud to udělat. S naším nástrojem není integrován program pro vytváření sestav, ale využíváme služby Reporting Services.
Dez Blanchfield: Myslím, že to je jedna z největších výzev s těmito nástroji. Můžete se tam dostat a najít věci, ale pak musíte být schopni vytáhnout to, nahlásit to lidem, kteří nemusí být nutně DBA a systémovými inženýry. Podle mých zkušeností se objevuje zajímavá role, a to je, víte, rizikoví funkcionáři vždy byli v organizacích a že se převážně pohybovali kolem a zcela jiná škála rizik, jaké jsme nedávno viděli, zatímco nyní s údaji porušování se stává nejen věcí, ale skutečnou vlnou tsunami, CRO se změnil z bytí, víte, na lidské zdroje a dodržování předpisů a na ochranu zdraví a bezpečnosti při práci, na počítačové riziko. Víte, porušení, hackování, bezpečnost - mnohem více technické. A je to zajímavé, protože existuje spousta CRO, které pocházejí z rodokmenu MBA a ne z technického rodokmenu, takže si musí obejít hlavu, druh, co to znamená pro přechod mezi kybernetickým rizikem přecházejícím do CRO, atd. Ale velká věc, kterou chtějí, jsou pouze zprávy o zviditelnění.
Můžete nám říci něco o umístění, pokud jde o dodržování předpisů? Je zřejmé, že jednou z velkých silných stránek je to, že vidíte, co se děje, můžete to sledovat, můžete se učit, můžete o tom podat zprávu, můžete na ni reagovat, můžete dokonce některé věci vyloučit. Hlavním úkolem je dodržování předpisů v oblasti správy. Existují klíčové části tohoto, které záměrně navazují na stávající požadavky na dodržování předpisů nebo na dodržování předpisů v odvětví, jako je PCI, nebo na něco podobného v současné době, nebo jde o něco, co sestupuje z plánu? Zapadá to do rámce podobných standardů COBIT, ITIL a ISO? Pokud tento nástroj nasadíme, poskytne nám řadu kontrol a vyvážení, které se hodí do těchto rámců, nebo jak jej do těchto rámců zabudujeme? Kde je pozice s takovými věcmi na mysli?
Ignacio Rodriguez: Ano, máme šablony, které dodáváme s nástrojem. A znovu se dostáváme k bodu, kdy přehodnocujeme naše šablony a přidáme se a brzy přijde další. FISMA, FINRA, některé další šablony, které máme, a obvykle tyto šablony kontrolujeme a podíváme se, co se změnilo, co musíme přidat? A my se vlastně chceme dostat do bodu, kdy, jak víte, se bezpečnostní požadavky trochu změnily, takže se podíváme na způsob, jak to za chodu rozšířit. Na to se v budoucnu díváme.
Ale právě teď se díváme na možná tvorbu šablon a možnost získat šablony z webu; můžete si je stáhnout. A takto to zvládneme - zacházíme s nimi pomocí šablon a v budoucnu zde hledáme způsoby, jak to snadno a rychle rozšířit. Protože když jsem chodil na audit, víš, věci se mění. Auditor přijde jeden měsíc a příští měsíc chtějí vidět něco jiného. Pak je to jedna z výzev nástrojů, je schopna provést tyto změny a dostat to, co potřebujete, a to je druh, kam se chceme dostat.
Dez Blanchfield: Myslím, že výzva auditora se pravidelně mění s ohledem na skutečnost, že svět se pohybuje rychleji. A jednou za čas, požadavek z hlediska auditu, podle mých zkušeností, by byl jen čistě komerční shoda, a pak se to stalo technickou shodu a nyní je to provozní shoda. A jsou tu všechny tyto ostatní, víte, každý den se někdo objeví a oni vás nejen neměří na něčem, jako jsou operace ISO 9006 a 9002, dívají se na všechny druhy věcí. A teď vidím, že řada 38 000 se v ISO stává také velkou věcí. Představuji si, že to bude čím dál náročnější. Chystám se předat Robinovi, protože šířím pásma.
Mnohokrát vám to děkuji, a rozhodně budu trávit více času poznáváním, protože jsem si vlastně neuvědomil, že to vlastně bylo do hloubky. Takže děkuji, Ignacio, teď jdu Robinovi. Skvělá prezentace, děkuji. Robine, k tobě.
Dr. Robin Bloor: Dobře Iggy, zavolám ti Iggy, pokud je to v pořádku. Co mě znepokojuje a myslím si, že ve světle některých věcí, které Dez ve své prezentaci řekl, se děje strašně mnoho, že musíte říci, že lidé se o data opravdu nestarají. Víte, zejména když jde o to, že vidíte pouze část ledovce a že se tu pravděpodobně nikdo nedělá. Zajímá mě váš pohled na to, kolik zákazníků, které znáte, nebo potenciálních zákazníků, o kterých víte, má úroveň ochrany, kterou jste, druh, nabízí nejen to, ale také vaše technologie přístupu k datům? Chci říct, kdo tam je dobře vybaven, aby se vypořádal s hrozbou, je otázka?
Ignacio Rodriguez: Kdo je řádně vybaven? Myslím, že spousta zákazníků, které jsme opravdu neřešili žádným druhem auditu, víte. Nějaké měli, ale ta velká věc se snaží udržet krok s tím a snaží se to udržet a zajistit. Velký problém, který jsme viděli, je - a dokonce i já, když jsem dělal shodu, je - kdybyste spustili své skripty, udělali byste to jednou za čtvrtletí, když by do něj přišli auditoři a našli jste problém. No, hádejte co, to už je příliš pozdě, audity jsou tam, auditoři jsou tam, chtějí svou zprávu, nahlásí to. A pak buď dostaneme známku, nebo nám bylo řečeno, hej, musíme tyto problémy napravit, a to je místo, kde by to mělo přijít. Bylo by to spíše proaktivní typ věci, kde můžete najít své riziko a zmírnit riziko a to je co naši zákazníci hledají. Způsob, jak být trochu proaktivní, na rozdíl od reaktivnosti, když přijdou auditoři a zjistí, že některé přístupy nejsou tam, kde musí být, jiní lidé mají administrativní oprávnění a neměli by je mít, tyto typy věcí. A to je místo, kde jsme viděli spoustu zpětných vazeb, od kterých se lidem tento nástroj líbí a používají je.
Dr. Robin Bloor: Dobrá, další otázka, kterou mám, je v jistém smyslu také zřejmá otázka, ale jsem jen zvědavý. Kolik lidí k vám skutečně přichází v důsledku hacknutí? Tam, kde víte, podnikáte, ne proto, že se podívali na své prostředí a zjistili, že je třeba je zajistit mnohem organizovanějším způsobem, ale ve skutečnosti jste tam prostě proto, že už trpěli některými bolest.
Ignacio Rodriguez: Ve své době tady na IDERA jsem žádnou neviděl. Abych byl upřímný k tobě, většina interakcí, které jsem měl se zákazníky, se kterými jsem se účastnila, se spíše těší a snaží se zahájit audit a začala zkoumat privilegia atd. Jak jsem řekl, já sám jsem nezažil ve svém čase, že tu máme někoho, kdo přijde po porušení, o kterém vím.
Dr. Robin Bloor: Oh, to je zajímavé. Myslela jsem si, že by jich bylo alespoň pár. Ve skutečnosti se na to dívám, ale také k tomu přidávám všechny složitosti, které ve skutečnosti zajišťují bezpečnost dat v celém podniku všemi způsoby a v každé vaší činnosti. Nabízíte poradenství přímo na pomoc lidem? Myslím, že je jasné, že si můžete koupit nástroje, ale podle mých zkušeností lidé často kupují sofistikované nástroje a používají je velmi špatně. Nabízíte konkrétní poradenství - co dělat, kdo trénovat a podobně?
Ignacio Rodriguez: Existují některé služby, které by, pokud jde o podpůrné služby, mohly některé z nich umožnit. Ale pokud jde o poradenství, neposkytujeme žádné poradenské služby, ale školení, víte, jak používat nástroje a podobné věci, z nichž některé by byly řešeny s úrovní podpory. Ale samo o sobě nemáme oddělení služeb, které jde ven a dělá to.
Dr. Robin Bloor: Dobře. Co se týče databáze, kterou pokrýváte, prezentace zde zmiňuje pouze Microsoft SQL Server - děláte také Oracle?
Ignacio Rodriguez: Nejprve se chystáme expandovat do oblasti Oracle pomocí Compliance Manager. Začneme s tím projektem, takže se budeme zabývat rozšířením tohoto do Oracle.
Dr. Robin Bloor: A pravděpodobně půjdete jinam?
Ignacio Rodriguez: Jo, to je něco, na co se musíme podívat v cestovních mapách a zjistit, jaké jsou věci, ale to je něco z toho, co zvažujeme, je to, na jaké další databázové platformy musíme také zaútočit.
Dr. Robin Bloor: Také jsem se zajímal o rozdělení, nemám o tom žádný předem představený obraz, ale co se týče rozmístění, kolik z toho se ve skutečnosti nasazuje v cloudu, nebo je to téměř vše na předpokladu ?
Ignacio Rodriguez: Vše v provozu. Také se chystáme rozšířit Secure na krytí Azure, jo.
Dr. Robin Bloor: To byla otázka Azure, ještě tam nejste, ale jdete tam, dává to hodně smysl.
Ignacio Rodriguez: Jo, jdeme tam velmi brzy.
Dr. Robin Bloor: Jo, dobře, chápu od Microsoftu to, že v Azure je s Microsoft SQL Serverem strašně mnoho akcí. Stává se, pokud se vám líbí, klíčovou součástí toho, co nabízejí. Další otázka, o kterou se zajímám - není to technická, je to spíše otázka, jak se zapojit - kdo je kupující za to? Jste osloveni IT oddělením nebo jste osloveni organizacemi občanské společnosti, nebo jde o jinou skupinu lidí? Když se uvažuje o něčem takovém, je to součást pohledu na celou řadu věcí pro zajištění životního prostředí? Jaká je situace tam?
Ignacio Rodriguez: Je to směs. Máme organizace občanské společnosti, mnohokrát prodejní tým osloví a bude hovořit s DBA. A poté byly znovu uzavřeny smlouvy o DBA se zavedením jakési politiky auditu procesu. Poté odtud vyhodnotí nástroje a podá zprávu o řetězci a rozhodne, o jakou část chcete koupit. Ale je to smíšená taška, kdo nás bude kontaktovat.
Dr. Robin Bloor: Dobře. Myslím, že se teď vrátím Ericovi, protože jsme tak nějak udělali hodinu, ale možná se objeví nějaké otázky publika. Ericu?
Eric Kavanagh: Ano, jistě, tady jsme spálili spoustu dobrého obsahu. Tady je jedna opravdu dobrá otázka, kterou ti dám od jednoho z účastníků. Mluví o blockchainu ao tom, o čem mluvíte, a ptá se, existuje nějaký způsob, jak přenést část databáze SQL pouze pro čtení na něco podobného tomu, co blockchain nabízí? Je to trochu těžké.
Ignacio Rodriguez: Jo, budu k tobě upřímný, na to nemám odpověď.
Eric Kavanagh: Zahodím to Robinovi. Nevím, jestli jste slyšeli tuto otázku, Robine, ale on se jen ptá, existuje způsob, jak přenést část databáze SQL pouze pro čtení na něco podobného tomu, co nabízí blockchain? Co si o tom myslíš?
Dr. Robin Bloor: Je to jako, pokud se chystáte migrovat databázi, budete také migrovat provoz databáze. Do toho je zapojena celá složitost. Ale neudělal byste to z jiného důvodu, než aby byla data nedotknutelná. Protože blockchain bude mít pomalejší přístup, takže víte, jestli rychlost je vaše věc - a je to skoro vždy - - pak byste to nedělali. Ale pokud jste chtěli poskytnout nějaký druh šifrovaného přístupu k části kódu některým lidem, kteří dělají něco takového, mohli byste to udělat, ale musíte mít velmi dobrý důvod. Je mnohem pravděpodobnější, že to necháte tam, kde je, a zajistili ho tam, kde je.
Dez Blanchfield: Jo, souhlasím s tím, jestli můžu rychle vážit. Myslím, že výzva blockchainu, dokonce i blockchainu, který je veřejně tam, je používán na bitcoinech - je pro nás obtížné rozšířit ho za čtyři transakce za minutu plně distribuovaným způsobem. Ne tolik kvůli výzvě pro výpočet, ačkoli je to tam, celé uzly jen zjišťují, že je těžké držet krok s objemy databáze pohybujícími se dozadu a vpřed a množstvím kopírovaných dat, protože je to teď koncerty, nejen megs.
Ale také si myslím, že klíčovou výzvou je, že musíte změnit architekturu aplikace, protože v databázi jde především o to, aby vše bylo přeneseno do centrálního umístění, a máte takový typ typu klient-server. Blockchain je inverzní; jde o distribuované kopie. Je to spíš jako BitTorrent v mnoha ohledech, a to znamená, že spousta kopií je na stejných datech. A víte, stejně jako Cassandra a databáze v paměti, kde je distribuujete a spousta serverů vám může poskytnout kopie stejných dat z distribuovaného indexu. Myslím, že dvě klíčové části, jak jste řekl, Robine, jsou: jedna, pokud ji chcete zabezpečit a ujistit se, že ji nelze odcizit nebo hacknout, je to skvělé, ale ještě to není nutně transakční platforma a my Zažili jsme to s bitcoinovým projektem. Teoreticky to však vyřešili jiní. Ale také, architektonicky mnoho aplikací tam prostě neumí dotazovat a číst z blockchainu.
Je zde ještě hodně práce. Ale myslím si, že klíčovým bodem této otázky je, pokud mohu, důvod přemístit ji do blockchainu, myslím, že otázka, která je položena, je, můžete vzít data z databáze a vložit je do nějaké formy, která je více zabezpečeno? Odpověď zní: můžete ji nechat v databázi a jednoduše ji zašifrovat. Nyní existuje spousta technologií. Pouze šifrujte data v klidu nebo v pohybu. Neexistuje žádný důvod, proč nemůžete mít šifrovaná data v paměti a v databázi na disku, což je mnohem jednodušší výzva, protože nemáte jedinou architektonickou změnu. Neustále většina databázových platforem, je to vlastně jen funkce, která je povolena.
Eric Kavanagh: Jo, máme ještě jednu poslední otázku, kterou ti dám, Iggy. Je to docela dobré. Jaký druh daně z pohledu SLA a plánování kapacit je používán vaším systémem? Jinými slovy, jakákoli další latence nebo propustnost režie, pokud v produkčním databázovém systému chce někdo použít technologii IDERA?
Ignacio Rodriguez: Opravdu nevidíme moc dopadu. Znovu je to produkt bez agentů a vše záleží na, jak jsem již zmínil, na momentkách. Zabezpečení je založeno na snímcích. Tam to půjde a ve skutečnosti vytvoří práci, která tam bude na základě zvolených intervalů. Buď to chcete udělat znovu, týdně, denně, měsíčně. Tam to půjde a provede tu úlohu a poté shromáždí data z instancí. V tomto okamžiku se pak zatížení vrátí zpět ke správě a sbírkovým službám, jakmile začnete provádět srovnávání a to vše, zatížení databáze nehraje roli v tom. Veškerá tato zátěž je nyní na serveru pro správu a shromažďování, pokud jde o porovnávání a veškerá hlášení a vše ostatní. Jediný okamžik, kdy zasáhnete databázi, je vždy, když dělá skutečné snímky. A my jsme vlastně žádné zprávy o tom, že je skutečně škodlivé pro produkční prostředí.
Eric Kavanagh: Jo, to je opravdu dobrý bod, který tam uvedete. V zásadě stačí nastavit kolik snímků pořídíte, jaký je tento časový interval a v závislosti na tom, co se může stát, ale je to velmi inteligentní architektura. To je dobré, chlape. No, vy jste venku na frontách a snažíte se nás ochránit před všemi hackery, o kterých jsme mluvili v prvních 25 minutách show. A jsou tam, lidi, nedělejte chybu.
Poslouchejte, pošleme odkaz na toto webové vysílání, archivy, na naše stránky insideanalysis.com. Věci najdete na SlideShare, najdete je na YouTube. A lidi, dobré věci. Díky za váš čas, Iggy, mimochodem, mám rád vaši přezdívku. Díky tomu se s vámi rozloučíme, lidi. Děkuji mnohokrát za váš čas a pozornost. Příště vás budeme dohonit. Ahoj.
