Emportar: L’amfitrió Eric Kavanagh discuteix la seguretat i els permisos amb el doctor Robin Bloor i l’IDERAs Vicky Harp.
Actualment no teniu la sessió iniciada. Inicieu la sessió o registreu-vos per veure el vídeo.
Eric Kavanagh: D’acord, senyores, benvinguts i benvinguts de nou. És un dimecres, els seus quatre orientals i al món de la tecnologia empresarial, cosa que significa que torna a ser el seu temps per a Hot Technologies. Sí, efectivament. Presentat pel Grup Bloor per descomptat, impulsat pels nostres amics de Techopedia. El tema d’avui és molt fantàstic: “Millor demanar permís: bones pràctiques per a la privadesa i la seguretat.” És així, és un tema difícil, molta gent en parla, però és bastant seriosa i És realment cada cop més seriós, francament. És un problema greu de moltes maneres per a moltes organitzacions. Vam parlar sobre això i hauríem de parlar del que pots fer per protegir la teva organització dels nefastos personatges que semblen haver estat arreu.
Així doncs, la presentadora actual és Vicky Harp que truca des d'IDERA. Podeu veure el programari IDERA a LinkedIn: m’encanta la nova funcionalitat a LinkedIn. Tot i que puc dir que estan traient algunes cadenes de certes maneres, no deixant-vos accedir a la gent, intentant aconseguir que compres aquestes membres. Allà on aneu, tenim el nostre propi Robin Bloor, que es troba actualment a la zona de San Diego. I el vostre veritablement com a moderador / analista.
Aleshores, de què parlem? Incompliments de dades. Acabo de treure aquesta informació a IdentityForce.com, ja era a les carreres. Per suposat, al maig d'aquest any, hi ha hagut una gran quantitat d'incompliments de dades, hi ha algunes de molt importants, per descomptat, per Yahoo! va ser un gran, i vam saber dir, per descomptat, que el govern dels Estats Units estava piratat. Acabem de piratejar les eleccions franceses.
Això està passant per tot el lloc, el seu continu i el seu no parar, per la qual cosa és una realitat, la seva nova realitat, segons diuen. Cal pensar en formes de fer complir la seguretat dels nostres sistemes i de les nostres dades. I és un procés continu, per la qual cosa és a l’hora de pensar en totes les diferents qüestions que entren en joc. Es tracta només d'una llista parcial, però això us ofereix algunes perspectives sobre la importància de precària que hi ha avui dia amb els sistemes empresarials. I abans d’aquest espectacle, al nostre avantguard pre-show parlàvem de ransomware que ha tocat a algú que conec, que és una experiència molt desagradable, quan algú es fa càrrec de l’iPhone i us demana diners perquè tingueu accés de nou al vostre telèfon. Però passa, passa a ordinadors, passa a sistemes, vaig veure l’altre dia, el que passa als multimilionaris amb els seus iots. Imagineu-vos que anireu al vostre iot un dia, intentant impressionar a tots els vostres amics i que fins i tot no podreu encendre-ho, perquè algun lladre ha robat l’accés als controls, al tauler de control. Acabo de dir que l’altre dia en una entrevista a algú, sempre teniu la substitució manual. Com, no sóc un gran fan de tots els cotxes connectats, fins i tot els cotxes es poden piratejar. Es pot piratejar qualsevol cosa que estigui connectat a Internet o connectat a una xarxa que pugui ser penetrada.
A continuació, es presenten només alguns punts que cal considerar en termes d’enquadrar la situació de la gravetat de la situació. Els sistemes basats en la web es troben arreu en aquests dies, continuen proliferant. Quanta gent compra coses per Internet? Avui només passa pel sostre en aquests dies, és per això que Amazon és una força tan poderosa en aquests dies. És perquè tanta gent compra coses per Internet.
Llavors, recordeu, aleshores, fa 15 anys, la gent estava molt nerviosa per posar la seva targeta de crèdit en un formulari web per obtenir la seva informació, i aleshores, l’argument era: “Bé, si entregueu la targeta de crèdit a un cambrer a un restaurant, aleshores és el mateix. ”Així doncs, la nostra resposta és que sí, és el mateix, hi ha tots aquests punts de control o punts d’accés, el mateix, diferent costat de la mateixa moneda, on es pot posar la gent. en perill, on algú pot treure els vostres diners o algú us pot robar.
Aleshores, IoT, per descomptat, amplia el paisatge amenaçador (m’encanta aquesta paraula) per ordres de magnitud. Vull dir-ho, penseu-hi: amb tots aquests nous dispositius a tot arreu, si algú pot piratejar un sistema que els controla, pot convertir tots aquests botos en contra i causar molts problemes, de manera que és un problema molt greu. Tenim una economia global en aquests dies, que amplia el paisatge amenaçador i, a més, tens persones d'altres països que poden accedir al web de la mateixa manera que tu i jo, i si no saps parlar rus o qualsevol altre idioma, sempre tindreu problemes per entendre què passa quan entren en el vostre sistema. Per tant, tenim avenços en xarxa i virtualització.
Però a la part dreta d’aquest quadre hi tinc aquí una espasa i la raó per la qual la tinc és perquè cada espasa talla les dues maneres. Es tracta d'una espasa de doble tall, com diuen, i és un clixé vell, però significa que l'espasa que tinc pot fer-te mal o pot fer-me mal. Em pot tornar, ja sigui rebotant o algú agafant-ho. És realment una de les Fables Aesops: sovint donem als nostres enemics les eines de la nostra pròpia destrucció. Realment és força convincent el relat argumental i té a veure amb algú que utilitzava un llaç i una fletxa i va disparar un ocell i l'ocell va veure, a mesura que la fletxa sortia, que la ploma d'un dels seus amics aviat estava a la vora de la fletxa, a la part de darrere de la fletxa per guiar-la, i es va pensar a si mateix: "Oh home, aquí, les meves plomes, la meva pròpia família seran utilitzades per enderrocar-me". Això passa tot el temps. estadístiques sobre vostè té una pistola a la casa, el lladre pot agafar la pistola. Bé, tot això és cert. Així, doncs, estic llançant això fora com a analogia només per considerar, tots aquests desenvolupaments diferents tenen bàndols positius i negatius.
I, a dir, els contenidors per a aquells que realment segueixen l’avantguarda de la informàtica empresarial, els contenidors són l’última cosa, la darrera manera d’oferir funcionalitat, és el matrimoni de la virtualització en l’arquitectura orientada al servei, almenys per als microservicis i la seva coses molt interessants. Certament, podeu utilitzar els contenidors de seguretat, els vostres protocols d’aplicació i les vostres dades, etc. mitjançant l’ús de contenidors, i això us proporciona un avanç durant un període de temps, però tard o d’hora, els dolents es donaran compte i, aleshores serà encara més difícil evitar que s’aprofiten dels vostres sistemes. Així, és la mà d’obra global, que complica la seguretat i la xarxa, i des d’on es connecta la gent.
Tenim les guerres dels navegadors que continuen a la bona velocitat i requereixen un treball constant per actualitzar-se i estar al capdavant de les coses. Seguim sentint informació sobre els antics navegadors de Microsoft Explorer, com estaven piratejats i disponibles al seu interior. Així doncs, hi ha més diners per guanyar en els pirates informàtics en aquests dies, hi ha tota una indústria, això és el que el meu company, el doctor Bloor, em va ensenyar fa vuit anys: em vaig preguntar per què ho veiem molt, i va recordar. jo, tota una indústria implicada en la pirateria. I en aquest sentit, la narració, que és una de les meves paraules menys preferides sobre seguretat, és realment molt deshonesta, perquè la narració us mostra en tots aquests vídeos i qualsevol tipus de notícia sobre alguna pirateria que mostren a un noi amb caputxa asseguda. al seu soterrani, en una cambra d'il·luminació fosca, no és el cas. Això no és gens representatiu de la realitat. Els seus hackers solitaris, hi ha molt pocs hackers solitaris, hi són fora, causen problemes, no causen el gran problema, però poden guanyar molts diners. El que passa és que els pirates informàtics entren i penetren en el vostre sistema i, a continuació, venen aquest accés a algú altre, que fa la volta i el ven a algú, i en algun lloc de la línia d'algú, algú explota aquest pirateig i se n'aprofita. I hi ha infinites maneres d’aprofitar les dades robades.
Fins i tot he estat meravellant-me per la forma en què hem estat fascinant aquest concepte. Veieu aquest terme a tot arreu, "hacking de creixement" com una cosa bona. Ja sabeu que la pirateria de creixement pot ser bona cosa, si intenteu treballar per als nois bons, per dir-ho i piratejar-vos en un sistema, com seguim sentint informació sobre Corea del Nord i els llançaments de míssils, possiblement ser pirateria. . Però la pirateria sovint és una cosa dolenta. Així que ara ho glamoraven, gairebé com Robin Hood, quan vam glamuritzar Robin Hood. I, a continuació, hi ha la societat sense diners, una cosa que sincerament em preocupa els dies de llum. Tot el que penso cada cop que sento això és: "No, no ho facis! No vull que tots els nostres diners desapareguin. Així doncs, només són alguns dels problemes que cal considerar, i de nou, el seu joc de gats i ratolins; Mai no s’aturarà, sempre hi haurà la necessitat de protocols de seguretat i d’avançar protocols de seguretat. I per controlar els vostres sistemes, fins i tot per conèixer i detectar allà fora, amb la comprensió que pot ser fins i tot un treball interior. De manera que es tracta d'un problema permanent, que continuarà sent un problema en qüestió durant força temps, no us equivoqueu al respecte.
I amb això, vaig a lliurar-ho al doctor Bloor, que pot compartir amb nosaltres algunes reflexions sobre la seguretat de bases de dades. Robin, treu-ho.
Robin Bloor: D'acord, un dels interessants embuts, crec que es va produir fa uns cinc anys, però bàsicament es tractava d'una empresa de processament de targetes piratada. I es van robar una gran quantitat de dades de la targeta. Però l’interessant, per a mi, va ser el fet que eren les bases de dades de proves que realment van incorporar i, probablement, el cas que tenien moltes dificultats per entrar en la base de dades real i realitzada de targetes de processament. Però ja sabeu com passa amb els desenvolupadors, simplement prenen un tall d'una base de dades, la fan per allà. Hauria d'haver hagut d'haver tingut molta més vigilància per aturar-ho. Però hi ha moltes històries interessants de pirateria, és que en un àmbit és un tema molt interessant.
De manera que vaig a repetir, d’una manera o altra, algunes de les coses que va dir Eric, però és fàcil pensar en la seguretat de les dades com a objectiu estàtic; és més senzill només perquè és més fàcil analitzar situacions estàtiques i després pensar en posar-hi defenses, defenses allà, però no ho és. El seu objectiu en moviment i això és una de les coses que defineixen el conjunt de l'espai de seguretat. La mateixa forma en què evoluciona tota la tecnologia evoluciona, també evoluciona la tecnologia dels dolents. Per tant, una breu visió general: crec que el robatori de dades no és cap novetat, de fet, l’espionatge de dades és un robatori de dades i això passa des de fa milers d’anys, crec.
El més important en aquestes termes fou el britànic que trencava els codis alemanys i els nord-americans que trencaven els codis japonesos i, en ambdós casos, va escurçar la guerra considerablement. I només estaven robant dades útils i valuoses, per descomptat, era molt intel·ligent, però ja sabeu, el que passa ara mateix és molt hàbil en molts aspectes. El robatori cibernètic va néixer amb internet i va esclatar cap al 2005. Vaig anar a mirar totes les estadístiques i quan vas començar a posar-te realment seriós i, d’alguna manera o altra, uns números notablement alts a partir del 2005. Tot just va empitjorar. aleshores. Hi participen molts jugadors, governs, empreses, grups de pirates informàtics i individus.
Vaig anar a Moscou (deu haver estat uns cinc anys) i realment vaig passar molt de temps amb un noi del Regne Unit, tot investigant tot l'espai de pirateria. I va dir que –i no tinc ni idea de si això és cert, només he tingut la seva paraula, però sembla molt probable - que a Rússia hi ha alguna cosa que es diu Business Network, que és un grup de pirates informàtics, tots vostès. sabeu, van sortir de les ruïnes del KGB. I es venen ells mateixos, no només, vull dir, estic segur que el govern rus els utilitza, sinó que es venen a qualsevol, i es rumorejava, o bé, va dir que es rumorejava, que diversos governs estrangers utilitzaven la Xarxa de negocis per a una versemblabilitat negativa. . Aquests nois tenien xarxes de milions d’ordinadors compromesos dels quals podien atacar. I tenien totes les eines que us podeu imaginar.
Així doncs, la tecnologia d’atac i defensa va evolucionar. I les empreses tenen el deure de tenir cura de les seves dades, siguin o no propietàries. I això comença a ser molt més clar pel que fa als diferents reglaments que actualment ja estan en vigor o entren en vigor. Pot ser que alguns milloren, d’una manera o d’una altra, que algú hagi de suportar el cost de la pirateria, de manera que s’incentivi a tancar la possibilitat. És una de les coses que suposo que és necessària. Així doncs, sobre els pirates informàtics, es poden localitzar a qualsevol lloc. Particularment dins de la vostra organització: una gran quantitat dels enginyosos que he sentit a parlar d'algú que va obrir la porta. Ja sabeu, la persona, com la situació del robatori bancari, gairebé sempre solien dir que en els bons robatoris bancaris hi ha un privilegiat. Però l’informat només necessita donar informació, de manera que és difícil aconseguir-los, saber qui era, etcètera.
I pot ser difícil portar-los a la justícia, perquè si un grup de persones a Moldàvia us han pirat, fins i tot si sabeu que era aquest grup, com faríeu algun tipus de fet legal al seu voltant? El seu tipus, d’una jurisdicció a una altra, la seva justa, no hi ha un conjunt molt bo d’acords internacionals per evitar els pirates informàtics. Comparteixen tecnologia i informació; gran part és de codi obert. Si voleu crear el vostre propi virus, hi ha un munt de virus que hi ha, de codi completament obert. I tenen recursos considerables, hi ha hagut botnets en més d’un milió de dispositius compromesos en centres de dades i en ordinadors, etc. Alguns són negocis rendibles que porten molt de temps i, després, heu grups de govern, com he comentat.És poc probable que, com va dir Eric, sigui poc probable que aquest fenomen s’acabi mai.
Es tracta, doncs, d’un interessant hack que només pensava que ho mencionaria, perquè era un hack relativament recent; va passar l'any passat. Hi va haver una vulnerabilitat en el contracte DAO associat a la moneda Crypto Etherium. I es va discutir en un fòrum, i en un dia es va piratejar el contracte DAO, utilitzant precisament aquesta vulnerabilitat. Es van sufocar 50 milions de dòlars en èter, provocant una immediata crisi en el projecte DAO i el va tancar. I Etherium, en realitat, va lluitar per intentar evitar que el pirata informàtic accedís als diners, i això va reduir el seu consum. Però també es va creure –no se sap amb certesa– que el pirata informàtic va escurçar el preu de l’èter abans del seu atac, sabent que el preu de l’èter s’esfondraria, i per tant va aconseguir un benefici d’una altra manera.
I és un altre, si voleu, una estratagema que els hackers poden utilitzar. Si poden perjudicar el preu de les seves accions i saben que ho faran, només cal que redueixin el preu de les accions i facin el pirateig, per la qual cosa és que aquests tipus són intel·ligents? I el preu és el robatori de diners, la interrupció i el rescat, incloses les inversions, on es trenca i es redueix l'acció, el sabotatge, el robatori d'identitat, tot tipus d'estafa, només per publicitat. I acostuma a ser polític, o, òbviament, que espiona informació i, fins i tot, hi ha persones que es guanyen la vida dels insectes que podeu obtenir intentant piratejar Google, Apple, fins i tot el Pentàgon. I simplement pirategeu; Si té èxit, només cal que sol·liciteu el vostre premi i no se'n faci cap desperfecte, per això és una cosa maca.
També pot esmentar el compliment i la regulació. A part d’iniciatives sectorials, hi ha moltes regulacions oficials: HIPAA, SOX, FISMA, FERPA i GLBA, tota la legislació nord-americana. Hi ha estàndards; PCI-DSS s’ha convertit en un estàndard força general. A continuació, hi ha ISO 17799 sobre propietat de dades. La normativa nacional difereix país per país, fins i tot a Europa. I, actualment, el GDPR, el Global Data, en què serveix? Crec que ho és el Reglament Mundial sobre Protecció de Dades, però això va entrar en vigor l'any vinent. I l’interessant és que s’aplica a tot el món. Si teniu 5.000 o més clients sobre els quals teniu informació personal i viuen a Europa, aleshores Europa us portarà a la tasca, sigui quina sigui la vostra empresa que tingui la seu o on opera. I les penalitzacions, la pena màxima és el quatre per cent dels ingressos anuals, que són només enormes, de manera que això suposarà un gir interessant al món quan entri en vigor.
Coses a pensar, bé, les vulnerabilitats del SGBD, la majoria de les dades valuoses són realment assegudes a les bases de dades. És valuós perquè hem dedicat molt temps a posar-lo a la seva disposició i a organitzar-lo bé i això el fa més vulnerable, si realment no apliqueu els títols adequats de DBMS. Evidentment, si teniu previst fer coses com aquesta, heu d’identificar quines dades vulnerables hi ha a tota l’organització, tenint en compte que les dades poden ser vulnerables per diferents motius. Es poden tractar de dades de clients, però també podrien ser documents interns que serien valuosos per a propòsits d'espionatge, etc. La política de seguretat, sobretot en relació a la seguretat d’accés, que en els meus darrers temps ha estat molt feble en les noves novetats de codi obert, el xifrat s’està utilitzant encara més perquè té una forma de roca molt sòlida.
El cost d'una infracció de seguretat, la majoria de la gent no ho sabia, però si es revisa el que va passar amb les organitzacions que han patit incompliments de seguretat, resulta que el cost d'una falta de seguretat sovint és molt més elevat del que creus. I l’altra cosa que cal pensar és la superfície d’atac, perquè qualsevol programari en qualsevol part que s’execute amb les vostres organitzacions presenta una superfície d’atac. De la mateixa manera que qualsevol dels dispositius, també ho fan les dades, no importa com estiguin emmagatzemades. Tot i això, la superfície d’atac està creixent a través d’internet de les coses, probablement la superfície d’atac es duplicarà.
Així doncs, finalment, DBA i seguretat de dades. La seguretat de les dades sol formar part del paper dels DBA. Però la seva col·laboració, també. I necessita estar sotmès a polítiques corporatives, altrament probablement no s’implementarà bé. Dit això, crec que puc passar la pilota.
Eric Kavanagh: Dóna-li les claus de Vicky. I podeu compartir la vostra pantalla o moure-vos a aquestes diapositives, us correspon, la traieu.
Arpa de Vicky: No, començaré amb aquestes diapositives, moltes gràcies. Així que sí, només volia prendre un moment ràpid i presentar-me. Em Vicky Harp. Sóc gestor, gestió de productes per a productes SQL del programari IDERA i, per a aquells que potser no ens coneixeu, IDERA té diverses línies de productes, però estic parlant de les coses de SQL Server. Així doncs, fem supervisió de rendiment, compliment de seguretat, còpia de seguretat, eines d’administració i el seu únic tipus d’enumeració. I, per descomptat, el que estic aquí per parlar és seguretat i compliment.
La major part del que vull parlar avui no són necessàriament els nostres productes, tot i que sí que pretenc mostrar alguns exemples d’això més endavant. Volia parlar-vos més sobre seguretat de bases de dades, algunes de les amenaces en el món de la seguretat de bases de dades ara, algunes coses a pensar i algunes de les idees introductòries sobre què heu de mirar per assegurar el vostre SQL Bases de dades del servidor i també per assegurar-se que compleixen el marc regulatori a què pot estar sotmès, com es va esmentar. Hi ha moltes regulacions diferents; passen per diferents indústries, diferents llocs del món i són coses que cal pensar.
Així doncs, vull tenir una estona i parlar sobre l’estat de les incomplències de les dades –i no repetir massa el que ja s’ha parlat aquí–, vaig examinar recentment aquest estudi d’investigació en seguretat Intel i, a través dels seus, crec. 1500 organitzacions més o menys amb què van parlar: van tenir una mitjana de sis incompliments de seguretat, pel que fa a incompliments de pèrdua de dades, i el 68 per cent de les que havien requerit la divulgació en algun sentit, de manera que van afectar el preu de les accions o van haver de fer algun crèdit. supervisió dels seus clients o empleats, etc.
Algunes altres estadístiques interessants són els actors interns responsables del 43%. Així doncs, molta gent pensa molt en els pirates informàtics i aquest tipus d’organitzacions quasi governamentals ombrívoles o del crim organitzat, etc., però els actors interns continuen actuant directament contra els seus empresaris, en una proporció força elevada dels casos. I de vegades són més difícils de protegir, perquè les persones poden tenir raons legítimes per tenir accés a aquestes dades. Al voltant de la meitat d’això, el 43 per cent va suposar pèrdua accidental en algun sentit. Així, per exemple, en el cas en què algú es va endur les dades a casa i després va perdre el seguiment d’aquestes dades, el que em porta a aquest tercer punt, que és que encara hi havia un 40% dels incompliments en matèries físiques. Així, això és les claus USB, això són ordinadors portàtils, és un material real que es va gravar en discos físics i es va treure de l'edifici.
Si hi penseu, teniu un desenvolupador que tingui una còpia evolutiva de la vostra base de dades de producció al portàtil? Després van a pujar en un avió i baixen de l'avió, reben l'equipatge comprovat i el robador portàtil els roba. Ara heu tingut un incompliment de dades. Potser no necessàriament penseu que per això es va agafar aquest ordinador portàtil, és possible que no aparegui mai en plena naturalesa. Però, tot i així, és una cosa que suposa una violació, que requerirà divulgació, tindràs tots els efectes aigües avall d’haver perdut aquestes dades, només per la pèrdua d’aquests mitjans físics.
I l’altra cosa interessant és que molta gent està pensant en que les dades de crèdit i la informació de la targeta de crèdit siguin les més valuoses, però ja no és així. Aquestes dades són valuoses, els números de targetes de crèdit són útils, però, sincerament, es canvien molt ràpidament, mentre que les dades personals dels pobles no canvien molt ràpidament. Alguna cosa de la notícia recent, relativament recent, VTech, fabricant de joguines tenia aquestes joguines pensades per a nens. I la gent tindria els noms dels fills, tindrien informació sobre on viuen els nens, tenien els seus pares, tenien fotografies dels nens. Res d'això va ser xifrat, perquè no es considerava important. Però les seves contrasenyes estaven xifrades. Doncs bé, quan la infracció inevitablement es va produir, estàveu dient: "D'acord, així que tinc una llista de noms dels fills, els noms dels seus pares, on viuen; tota aquesta informació és allà fora i estàs pensant que la contrasenya era la part més valuosa. d'això? "No va ser; les persones no poden canviar aquests aspectes sobre les seves dades personals, la seva adreça, etc. Per tant, la informació és molt valuosa i cal protegir-la.
Així doncs, volia parlar d'algunes de les coses que estan passant, per contribuir a la manera com s'estan produint incompliments de dades en aquest moment. Un dels grans punts forts, ara mateix, és l’enginyeria social. De manera que la gent l’anomena phishing, la seva suplantació, etc., on la gent té accés a les dades, sovint a través d’actors interns, només per convèncer-los que se suposa que hi haurien d’accés. Així, només l’altre dia, teníem aquest cuc de Google Docs que passava. I què passaria –i en realitat vaig rebre una còpia, tot i que afortunadament no hi vaig fer clic–, rebia un company que deia: “Heus un enllaç de Google Doc; cal fer clic en això per veure el que acabo de compartir amb vosaltres. ”Bé, en una organització que utilitza Google Docs, això és molt convencional, podreu rebre desenes d’aquestes sol·licituds al dia. Si feu clic en ell, us demanaria permís per accedir a aquest document, i potser diríeu: "Hola, sembla una mica estrany, però ja sabeu, també és legítim, així que aneu endavant i feu-hi clic, ”I tan aviat ho vau fer, vau donar a aquest tercer accés a tots els vostres documents de Google, i així, creàreu aquest enllaç perquè aquest actor extern tingués accés a tots els vostres documents a Google Drive. Això va arrasar per tot el lloc. Va colpejar centenars de milers de persones en qüestió d’hores. I aquest va ser fonamentalment un atac de phishing que el mateix Google va acabar havent de tancar, perquè estava molt ben executat. La gent va caure per això.
Esmento aquí la bretxa de recursos humans de SnapChat. Aquesta era només una cosa que algú va dir, que va dir que eren el conseller delegat, dirigint-se al departament de RRHH, i va dir: "Us necessito que aquest full de càlcul". I els van creure, i van posar un full de càlcul amb 700 empleats diferents. la informació, les seves adreces domèstiques, etc., la van editar a aquesta altra part, en realitat no era el conseller delegat. Ara, les dades estaven fora, i tota la informació privada i personal dels seus empleats estava allà fora i estava disponible per a la seva explotació. Per tant, l’enginyeria social és una cosa que ho menciono en el món de les bases de dades, perquè això és una cosa que es pot intentar defensar mitjançant l’educació, però només cal recordar que en qualsevol lloc que tingui una persona que interactuï amb la seva tecnologia i si es basa en el seu bon criteri per evitar una paralització, se’ls demana a molts.
La gent s’equivoca, la gent fa clic en les coses que no haurien de tenir, la gent cau per les ruses intel·ligents. I es pot intentar molt dur per protegir-los, però no és prou fort, cal intentar limitar la possibilitat que les persones donin aquesta informació accidentalment als sistemes de bases de dades. L’altra cosa que volia esmentar que, òbviament, es parlava molt són ransomware, botnets, virus, totes aquestes diferents formes automatitzades. Llavors, el que crec que és important comprendre sobre el ransomware és que realment canvia el model de benefici dels atacants. En el cas que es parli d’un incompliment, en algun sentit, han d’extreure dades i tenir-les per si mateixes i fer-ne ús. I si les vostres dades són obscures, si les seves xifren, si la seva indústria és específica, potser no tenen cap valor.
Fins a aquest moment, la gent podia haver semblat que era una protecció per a ells, "No necessito protegir-me dels incompliments de dades, ja que si van a entrar al meu sistema, només haurien de ser, sóc un estudi de fotografia. , Tinc una llista de quins dies vindran els dies per al proper any. A qui li importa això? ”Bé, resulta que la resposta és que t'importa això; Esteu emmagatzemat aquesta informació, la vostra informació crítica sobre el negoci. Així, si utilitzeu ransomware un atacant dirà: "Bé, ningú no em donarà diners per això, però ho fareu". Així doncs, aprofiten el fet que ni tan sols han de treure les dades, ni tan sols han de tenen incompliments, només necessiten utilitzar eines de seguretat de manera ofensiva contra tu. Entren a la vostra base de dades, xifren el contingut de la mateixa i després diuen: “D’acord, tenim la contrasenya i hauràs de pagar-nos 5.000 dòlars per obtenir aquesta contrasenya, o simplement ja no tens aquestes dades. "
I la gent paga; es troben que han de fer això. Fa uns mesos que MongoDB tenia un gran problema, suposo que va ser al gener, on el ransomware va arribar a la impressió, més d’un milió de bases de dades MongoDB que tenen en públic a Internet, basades en alguns paràmetres predeterminats. I el que va empitjorar encara és que la gent pagués i, per tant, vinguessin altres organitzacions i re-xifressin o afirmessin que eren les que l'havien xifrat originalment, així que quan pagueu els vostres diners, i crec que en aquest cas eren. demanant una cosa així com 500 dòlars, la gent diria: “D’acord, pagaria més que pagar a un investigador per entrar aquí per ajudar-me a esbrinar què va passar. Només pagaré els 500 dòlars. ”I fins i tot no el pagaven a l’actor adequat, de manera que es podrien acumular amb deu organitzacions diferents que els deien:“ Teníem la contrasenya ”o“ Tenim la forma perquè vostè pugui desbloquejar les seves dades rescatades "I hauríeu de pagar tots per tal que possiblement funcionés.
També hi ha hagut casos en què els autors de ransomware tenien errors, és a dir, no parlàvem que es tractés d’una situació perfectament superior a la taula, de manera que fins i tot una vegada que l’haguessin atacat, fins i tot un cop pagat, no hi ha cap garantia de que obtindràs tots els teus. Dades, algunes de les coses també són complicades per les eines InfoSec armades. De manera que els Shadow Brokers són un grup que ha estat filtrant eines que eren de la NSA. Eren eines dissenyades per les entitats governamentals per a l’espionatge i funcionaven efectivament contra altres entitats governamentals. Alguns d'aquests han estat atacs reals de zero dies de gran nivell, que bàsicament fan que els protocols de seguretat coneguts només es deixin de banda. I, per exemple, hi va haver una vulnerabilitat important en el protocol SMB, per exemple, en un dels recents abocadors de Shadow Brokers.
Així doncs, aquestes eines que surten aquí poden, en qüestió d'un parell d'hores, canviar realment el joc a la vostra superfície d'atac. Així, sempre que penso en això, és cert que a nivell organitzatiu, la seguretat d’InfoSec és la seva pròpia funció, s’ha de prendre seriosament. Sempre que parlava de bases de dades, puc eliminar-ho una mica, no necessàriament heu de tenir com a administrador de bases de dades una comprensió completa del que passa amb els Shak Brokers aquesta setmana, però heu de ser conscients que tots aquests canvien. , hi ha coses en marxa i, per tant, fins a quin punt mantingueu el vostre domini estret i segur, us ajudarà realment en el cas que se us elimini alguna cosa.
Per tant, he volgut passar un moment aquí, abans de parlar de SQL Server específicament, per tenir una discussió oberta amb els nostres panelistes sobre algunes de les consideracions sobre la seguretat de la base de dades. Per tant, he arribat a aquest punt, algunes de les coses que no hem esmentat, volia parlar sobre la injecció SQL com a vector. Es tracta, doncs, d'una injecció SQL, òbviament, com és la forma en què les persones insereixen comandes en un sistema de base de dades, mitjançant un malformat d'entrades.
Eric Kavanagh: Sí, en realitat vaig conèixer a un noi (crec que era a la base de la Força Aèria d’Andrews), fa uns cinc anys, un consultor que estava parlant amb ell al passadís i només estàvem en un tipus de compartir històries de guerra, sense cap intenció, i ell. va esmentar que algú l’havia introduït per consultar-se amb un membre de la força militar altament elevat i el noi li va preguntar: “Bé, com sabem que sou bé del que feu?” i això i això. I, mentre els estava parlant, utilitzava el seu ordinador, entrat a la xarxa, va utilitzar la injecció SQL per entrar al registre d'aquesta base i d'aquella gent. I va trobar les persones amb qui va parlar i només li va mostrar la seva màquina. I el tipus va ser com "Com vas fer això?" Va dir: "Bé, vaig utilitzar injecció SQL".
Això fa només cinc anys i es trobava a la base de la Força Aèria, oi? Així, vull dir, en termes de contra, aquesta cosa encara és molt real i es pot utilitzar amb efectes realment terrorífics. Vull dir, tinc curiositat per conèixer alguna història de guerra que té Robin sobre el tema, però totes aquestes tècniques continuen sent vàlides. Encara es fan servir en molts casos, i és una qüestió d’educar-se, oi?
Robin Bloor: Bé, sí. Sí, és possible defensar-se de la injecció de SQL fent els treballs. És fàcil entendre per què quan es va inventar i va proliferar la idea, és fàcil entendre per què va tenir un èxit tan dolent, perquè només podríeu enganxar-la en un camp d’entrada d’una pàgina web i aconseguir que us retornés les dades. per eliminar dades de la base de dades, o qualsevol cosa, només podríeu injectar codi SQL per fer-ho. Però el que m’interessa és que, ja ho sabeu, haureu de fer una mica d’anàlisi, de totes les dades que s’hi van introduir, però és força possible detectar que hi ha qui intenta fer-ho. I és realment, crec que és realment, perquè la gent encara se n'escapa, vull dir que és realment estrany que no hi hagi hagut una manera fàcil de lluitar contra això. Ja sabeu, que tothom pot utilitzar fàcilment, vull dir, fins on sé, no hi ha hagut, Vicky, no hi ha estat?
Arpa de Vicky: Bé, en realitat algunes de les solucions d’ostatges, com SQL Azure, crec que tenen uns mètodes de detecció força bons que es basen en l’aprenentatge de màquines. Probablement, això que podríeu veure en el futur, és alguna cosa que la seva intenció d'aconseguir la mida única s'adapta a tots. Crec que la resposta és que no hi ha mida única, però disposem de màquines que puguin aprendre quina és la vostra mida i assegurar-vos que s’adapta a ella, oi? I de manera que si teniu un fals positiu, és perquè realment esteu fent alguna cosa inusual, no perquè us haguéssiu de recórrer i identifiqueu acuradament tot allò que la vostra sol·licitud pugui fer.
Crec que una de les raons que encara és tan prolífica és que la gent segueix confiant en aplicacions de tercers, i les aplicacions d’ISV i aquelles que es tanquen amb el pas del temps.Per tant, parleu d’una organització que ha comprat una aplicació d’enginyeria que es va escriure el 2001. I no l’han actualitzada, ja que des d’aleshores no hi ha hagut canvis funcionals importants i l’autor original d’això no era un enginyer. , no eren un expert en seguretat de bases de dades, no feien les coses de la manera correcta en l’aplicació i acaben sent un vector. La meva comprensió és que –crec que va ser l’incompliment de dades de Target, el realment important–, el vector d’atac havia estat a través d’un dels seus proveïdors d’aire condicionat, oi? Per tant, el problema que tingueu aquests tercers pot ser que, si teniu el vostre propi botiga de desenvolupament, podeu tenir algunes d’aquestes regles al seu lloc, fent-ho de forma genèrica sempre que sigui. Com a organització, podeu tenir en funcionament centenars o fins i tot milers d’aplicacions, amb tots els perfils diferents. Crec que és allà on aprendrà l'aprenentatge automàtic i ens ajudarà molt.
La meva història de guerra era educativa. Vaig veure un atac d'injecció SQL i alguna cosa que no m'havia ocorregut mai és que utilitzeu un simple SQL. Faig aquestes coses que s’anomenen targetes de vacances P SQL ofuscades; M'agrada fer-ho, feu que aquest aspecte SQL sigui el més confús possible. Aquí hi ha un concurs de codis C ++ que ja fa dècades que es desenvolupa i la mateixa idea. De manera que el que realment va obtenir va ser la injecció SQL que es trobava en un camp de cadena oberta, va tancar la cadena, va posar el punt i coma, i després va posar una comanda exec que llavors tenia una sèrie de números i, bàsicament, utilitzava la emetent ordre per emetre aquests números en binaris i, després, per convertir-los en valors de caràcters i després executar-los. De manera que no és com que vinguessis a veure alguna cosa que deia: "Suprimeix la posada en marxa de la taula de producció", en realitat estava rellotjat en camps numèrics que feien molt més difícil veure-ho. Fins i tot, una vegada que ho vau veure, per identificar el que estava passant, es van prendre algunes fotos reals de SQL, per poder imaginar el que estava passant, moment en què el treball ja havia estat fet.
Robin Bloor: I una de les coses que només és un fenomen en el món de la pirateria és que si algú troba una debilitat i es troba en un programari que generalment s’ha venut, ja sabeu, un dels primers problemes és la contrasenya de la base de dades. que ens van donar quan es va instal·lar una base de dades, moltes bases de dades en realitat eren només les predeterminades. I moltes DBA simplement no l’han canviat mai, i per tant podríeu aconseguir entrar a la xarxa; només podríeu provar aquesta contrasenya i si funcionava, bé, heu guanyat a la loteria. I l’interessant és que tota aquesta informació circula de manera molt eficaç i eficaç entre les comunitats de pirateria als llocs web de Darknet. I ho saben. Per tant, poden aprofitar gairebé tot allò que hi ha, trobar-ne alguns casos i llançar automàticament alguna explotació de pirates informàtics, i això és. Crec que hi ha molta gent que es troba almenys a la perifèria. De tot plegat, no enteneu realment la rapidesa amb què la xarxa de pirateria respon a la vulnerabilitat.
Arpa de Vicky: Sí, realment, apareix una altra cosa que volia esmentar abans de continuar, que és aquesta noció de farciment de credencials, que és una cosa que ha sorgit molt, que és que una vegada les robes han estat robades a algú en qualsevol lloc i en qualsevol moment. al lloc, es prova de reutilitzar les credencials a la pissarra. Per tant, si utilitzeu contrasenyes duplicades, digueu que, si els vostres usuaris són, fins i tot, permet-ho així, algú podria accedir mitjançant el que sembla que és un conjunt de credencials completament vàlid. Per tant, diguem que he utilitzat la meva contrasenya a Amazon i al meu banc, i també a un fòrum i que el programari de fòrum ha estat piratejat, bé, tenen el meu nom d’usuari i la meva contrasenya. I després poden utilitzar aquest mateix nom d'usuari a Amazon, o bé utilitzar-lo al banc. Pel que fa al banc, es tractava d'un inici de sessió completament vàlid. Ara, podeu emprendre accions nefastes mitjançant l’accés totalment autoritzat.
Aleshores, aquest tipus de dades es remunten al que deia sobre els incompliments interns i els usos interns. Si teniu persones de la vostra organització que utilitzen la mateixa contrasenya per a un accés intern que ho fan per a un accés extern, teniu la possibilitat que algunes persones vinguessin a venir i us interrompessin a través d'una infracció en algun altre lloc que ni coneixeu. I aquestes dades es difonen molt ràpidament. Hi ha llistes de, crec que la càrrega més recent de Troy Hunt "ha estat indicat per ell", va dir que tenia mig miler de milions de credencials, que és, si es té en compte el nombre de persones al planeta, això és un el nombre real de credencials que s'han posat a disposició per omplir les credencials.
Per tant, vaig a aprofundir una mica més i parlaré sobre la seguretat de SQL Server. Ara vull dir que no intentaré donar-vos tot el que heu de saber per protegir el vostre servidor SQL en els propers 20 minuts; sembla un ordre alt. Així, fins i tot, vull dir que hi ha grups en línia i recursos en línia que certament podeu Google, hi ha llibres, hi ha documents de bones pràctiques a Microsoft, hi ha un capítol virtual de seguretat per als associats professionals de SQL Server, Són a security.pass.org i tenen, crec, transmissions web mensuals i enregistraments de transmissions web per superar la realitat, en profunditat, com fer la seguretat de SQL Server. Aquestes són algunes de les coses que jo, parlant de vostè com a professionals de les dades, com a professionals de les TI, com a DBA, vull que sàpigues que necessites saber amb la seguretat de SQL Server.
Així doncs, el primer és seguretat física. Així doncs, com he dit anteriorment, el robatori de suports físics és encara molt habitual. De manera que l'escenari que vaig donar amb la màquina dev, amb una còpia de la base de dades de la màquina dev que es roba, és un vector molt comú, és un vector que cal tenir en compte i intentar fer accions. També és vàlid per a la seguretat de còpia de seguretat, de manera que sempre que facis una còpia de seguretat de les vostres dades, heu de fer una còpia de seguretat de les dades xifrades, heu de fer una còpia de seguretat en una ubicació segura. Moltes vegades aquestes dades realment protegides a la base de dades, tan bon punt comencen a sortir a les ubicacions de la perifèria, a les màquines dev, a les màquines de prova, fem una mica menys cura amb el pegat, fem una mica menys cura de les persones que hi tenen accés. El següent que sabeu, tindreu les còpies de seguretat de bases de dades no xifrades emmagatzemades en una participació pública de l'organització disponibles per a l'explotació de moltes persones diferents. Així doncs, penseu en la seguretat física i tan simple com algú pot pujar i posar una clau USB al vostre servidor? No hauríeu de permetre això.
L’article següent en què vull que hi penseu és la seguretat de la plataforma, els sistemes operatius actualitzats, els pedaços actualitzats. És molt molest escoltar la gent parlant de romandre en versions anteriors de Windows, versions anteriors de SQL Server, pensant que l’únic cost en joc és el cost de l’actualització de llicències, que no és el cas. Estem amb seguretat, és un corrent que continua baixant pel turó i, amb el pas del temps, es van trobant més explotacions. Microsoft en aquest cas, i altres grups segons el cas, actualitzaran fins a certs sistemes més antics i, eventualment, no seran suportats i ja no els actualitzaran, perquè és un procés de manteniment que no acaba de fer-ho.
Per tant, cal estar en un sistema operatiu suportat i cal estar al dia en els vostres pedaços, i ens hem trobat recentment com amb Shadow Brokers, en alguns casos, Microsoft pot tenir informació sobre els futurs incompliments de seguretat abans que es cometessin. públic abans de divulgar-lo, així que no us deixeu deixar fora de tot. Més aviat no agafar el temps d’inactivitat, més aviat espereu i llegiu cadascun d’ells i decidiu. És possible que no sàpigues quin és el valor fins unes setmanes a la baixa de la línia després d’assabentar-te de què s’ha produït aquest pegat. Per tant, seguiu al capdamunt.
Hauríeu de tenir configurat el tallafoc. Va ser sorprenent la infracció del SNB de la quantitat de persones que utilitzaven versions anteriors de SQL Server amb el tallafoc completament obert a Internet, de manera que qualsevol persona pogués entrar i fer el que volgués amb els seus servidors. Hauríeu d’utilitzar un tallafoc. El fet que, de vegades, hagi de configurar les regles o fer excepcions específiques per a la manera de fer la vostra empresa és un preu adequat a pagar. Heu de controlar la superfície dels sistemes de base de dades. Estan co-instal·lant serveis o servidors web com IIS a la mateixa màquina? Compartiu el mateix espai de disc, compartiu el mateix espai de memòria que les vostres bases de dades i les vostres dades privades? Proveu de no fer-ho, intenteu aïllar-lo, manteniu la superfície més petita, de manera que no us haureu de preocupar tant per assegurar-vos que tot això estigui segur a la base de dades. Podeu separar-los físicament, formar-vos una plataforma, separar-los, donar-vos una mica d’espai per respirar.
No hauríeu de tenir súper administradors que corren a tot arreu per poder tenir accés a totes les vostres dades. És possible que els comptes d’administració del sistema operatiu no necessàriament tinguin accés a la vostra base de dades o a les dades subjacents de la base de dades mitjançant encriptació, de la qual cosa es pot parlar en un minut. I l’accés als fitxers de bases de dades, també cal restringir-ho. És una tonteria si haguessis de dir, bé, algú no pot accedir a aquestes bases de dades a través de la base de dades; El propi SQL Server no els permet accedir-hi, però si després poden recórrer, prendre una còpia del fitxer MDF real, traslladar-lo simplement, connectar-lo al seu propi SQL Server, realment no ho heu aconseguit gaire.
Xifrat, per tant, el xifrat és la famosa espasa de dues vies. Hi ha molts nivells de xifrat que podeu fer a nivell de sistema operatiu i la manera contemporània de fer les coses per a SQL i Windows és amb BitLocker i, a nivell de base de dades, es diu TDE o xifrat de dades transparent. Es tracta, doncs, de totes dues maneres de mantenir les dades encriptades en repòs. Si voleu mantenir les dades xifrades de manera més comprensiva, podeu fer xifratges. Ho sento, he sabut avançar. Podeu fer connexions xifrades de manera que sempre que estiguin en trànsit, encara es xifren de manera que si algú escolta o té un home enmig d'un atac, teniu una protecció d'aquestes dades per sobre. Cal xifrar les vostres còpies de seguretat, com he dit, podrien ser accessibles per a altres, i, si voleu que sigui xifrat a la memòria i durant l’ús, hem obtingut xifrat de columnes i, després, SQL 2016 té aquesta noció de “sempre xifrat”. on es xifra realment al disc, a la memòria, al cable, fins a l'aplicació que està utilitzant les dades.
Ara, tot aquest xifrat no és gratuït: aquí hi ha la sobrecàrrega de la CPU, hi ha de vegades per al xifrat de columnes i el cas sempre xifrat, les conseqüències sobre el rendiment en funció de la vostra capacitat de fer busquen aquestes dades. Tanmateix, aquest xifratge, si es combina correctament, significa que si algú hauria d’accedir a les vostres dades, els danys es redueixen molt, perquè han pogut obtenir-lo i no poden fer res amb ell. Tanmateix, aquesta és també la forma en què funciona el ransomware, és que algú entra i hi activa aquests certificats o la seva contrasenya i no hi teniu accés. Per això, és important que us assegureu que esteu fent això i que hi teniu accés, però no ho esteu donant, obert a altres persones i atacants.
I, a continuació, els principis de seguretat: no aconseguiré evitar aquest punt, però assegureu-vos que no teniu tots els usuaris que utilitzin SQL Server com a super administrador. Pot ser que els seus desenvolupadors ho desitgin, els diferents usuaris ho poden desitjar, que estan frustrats per haver de demanar accés per a elements individuals, però cal ser diligent al respecte i, tot i que pot ser més complicat, donar accés als objectes i a les bases de dades. i els esquemes que són vàlids per al treball continuat, i hi ha un cas especial, potser això significa un inici de sessió especial, no vol dir necessàriament una elevació de drets per a un usuari mitjà.
I després, hi ha consideracions de compliment regulatori que comporten aquest tema i alguns casos realment poden desaparèixer a la seva manera, així que aquí hi ha HIPAA, SOX, PCI, totes aquestes consideracions diferents. I quan realitzeu una auditoria, us haureu de demostrar que esteu fent accions per mantenir-vos en compliment. Per tant, és molt pendent de fer el seguiment, diria que com a llista de tasques de DBA, estàs intentant assegurar la configuració de xifrat físic de seguretat, estàs intentant assegurar-te que s’està verificant l’accés a aquestes dades als seus propòsits de compliment. assegureu-vos que les vostres columnes sensibles ja sabeu què són, on són, a quines hauríeu de xifrar i veureu l'accés. I assegureu-vos que les configuracions s’ajusten a les directrius reguladores a les que us sotmeteu. I heu de mantenir tot això actualitzat a mesura que les coses canvien.
Per tant, li queda molt per fer, i, per tant, si ho deixés només allà, diria que vés a fer-ho. Però hi ha moltes eines diferents per això, i així, si en els últims minuts, vull mostrar-vos algunes de les eines que tenim a IDERA. I els dos dels quals volia parlar avui són SQL Secure i SQL Compliance Manager. SQL Secure és la nostra eina per ajudar a identificar el tipus de vulnerabilitats de la configuració. Les vostres polítiques de seguretat, els vostres permisos d’usuari, les configuracions de la vostra superfície. I té plantilles per ajudar-vos a complir amb diferents marcs normatius. Això per si mateix, aquesta última línia, podria ser el motiu perquè la gent ho consideri. Com que llegiu aquestes diferents regulacions i identifiqueu què signifiquen, PCI i, tot seguit, tot el que heu baixat al meu servidor SQL a la meva botiga, té molta feina. Això és una cosa que podríeu pagar molts diners per fer la consulta; Hem realitzat aquesta consultoria, hem treballat amb les diferents empreses auditores, etc., per conèixer quines són aquestes plantilles, cosa que és probable que passi una auditoria si hi ha lloc. A continuació, podeu utilitzar aquestes plantilles i veure-les al vostre entorn.
També tenim un altre tipus d’eina germà en forma de SQL Compliance Manager i aquí és SQL Secure sobre configuració de configuració. SQL Compliance Manager tracta de veure què va fer qui, quan. Així doncs, la seva auditoria, de manera que permet supervisar l'activitat que es produeix i permet detectar i fer un seguiment de qui està accedint a les coses. Hi havia algú, l'exemple prototípic de ser una celebritat al vostre hospital, algú anava buscant la seva informació només per curiositat? Tenien un motiu per fer-ho? Podeu fer un cop d’ull a l’historial de l’auditoria i veure què passava, qui estava accedint a aquests registres. I podeu identificar que té eines que us ajudaran a identificar columnes sensibles, de manera que no necessàriament heu de llegir i fer-ho tot vosaltres mateixos.
Així que, si puc, vaig a avançar i us mostraré algunes d’aquestes eines aquí en aquests darrers minuts, i si us plau, no ho considereu com una demostració en profunditat. Jo sóc un director de producte, no un enginyer en vendes, així que us mostraré algunes de les coses que crec que són rellevants per a aquesta discussió. Per tant, aquest és el nostre producte SQL Secure. I com podeu veure aquí, he rebut una mena d’informació d’alt nivell. Crec això, crec, ahir. I em mostra algunes de les coses que no estan configurades correctament i algunes de les coses que s’han configurat correctament. Per tant, podeu veure allà un nombre de més de 100 controls diferents que hem fet aquí. I puc veure que el meu xifrat de còpia de seguretat de les còpies de seguretat que he estat fent, jo no he estat utilitzant el xifrat de còpia de seguretat. El meu compte SA, anomenat explícitament "compte SA" no està desactivat ni es canvia de nom. El paper del servidor públic té permís, per tant, totes aquestes coses que voldria mirar de canviar.
He tingut la política configurada aquí, així que si volia configurar una nova política per aplicar-la als meus servidors, he tingut totes aquestes polítiques integrades. Per tant, faig servir una plantilla de polítiques existent i podreu veure que tinc CIS, HIPAA, PCI, SR, i en realitat estem en procés d’afegir contínuament polítiques addicionals, en funció de les coses que la gent necessita al camp. I també podeu crear una nova política, de manera que si sabeu el que busca el vostre auditor, podeu crear-la vosaltres mateixos. Aleshores, quan ho facis, pots triar entre tots aquests diferents paràmetres, els que has de tenir, en alguns casos, en tens: deixar-me tornar i trobar-ne un dels preconstruïts. Això és convenient, puc triar, per exemple, HIPAA - Ja tinc HIPAA, el meu malament - PCI, i, a mesura que faig clic aquí, realment puc veure la referència creuada externa a la secció del reglament que aquesta és. relacionat amb. Així, això us ajudarà més endavant, quan intenteu esbrinar per què estic definint això? Per què intento mirar això? Amb quina secció es relaciona?
A més, té una bona eina perquè us permetrà accedir als usuaris i, per tant, una de les coses més complicades de l'exploració dels vostres rols d'usuari és que, realment, vaig a fer una ullada aquí. Per tant, si mostro permisos per a la meva, deixa veure, deixem aquí un usuari. Mostra permisos. Puc veure els permisos assignats per a aquest servidor, però puc fer clic aquí i calcular els permisos efectius, i em donarà la llista completa basada, així que en aquest cas és administrador, així que no és tan excitant, però podria visiteu i seleccioneu els diferents usuaris i vegeu quins són els seus permisos efectius, en funció de tots els grups que pertanyin. Si mai intenteu fer-ho pel vostre compte, en realitat pot ser una mica complicat, per esbrinar, D'acord aquest usuari és membre d'aquests grups i per tant té accés a aquestes coses a través de grups, etc.
Per tant, la forma en què funciona aquest producte és que es necessiten instantànies, de manera que no és un procés gaire difícil fer una instantània del servidor de forma regular i, a continuació, manté aquestes instantànies amb el pas del temps de manera que pugueu comparar els canvis. Per tant, aquest no és un seguiment continu en el sentit tradicional de com una eina de control de rendiment; és una cosa que potser heu configurat per funcionar una vegada per nit, un cop per setmana, tot i que sovint creieu que és vàlid, de manera que, sempre que feu l'anàlisi i esteu fent una mica més, realment només esteu treballant dins de la nostra eina. No us heu tornat a connectar al vostre servidor, de manera que es tracta d'una eina molt maca per treballar, per complir amb aquest tipus de configuració estàtica.
L’altra eina que vull mostrar-vos és la nostra eina Gestor de compliment. Compliance Manager farà un seguiment de forma més contínua. I veurà tot allò que fa al vostre servidor i us permetrà fer una ullada. Aleshores, el que he fet aquí, durant les últimes dues hores més o menys, he intentat crear alguns petits problemes. Per tant, aquí he rebut si és un problema o no, potser ho sé, algú ha creat un inici de sessió i l'ha afegit a un paper de servidor. Aleshores, si entro a fer una ullada, puc veure ... suposo que no puc fer clic dret aquí, puc veure què passa.Llavors, aquest és el meu tauler de control i puc veure que he tingut una sèrie d’inicis de sessió fallits una mica abans d’avui. Vaig tenir un munt d’activitats de seguretat, DBL.
Per tant, deixa'm passar els meus esdeveniments d'auditoria i fer una ullada. Aquí he agrupat els meus esdeveniments d'auditoria agrupats per categoria i objecte de destinació, així que si faig una ullada a aquesta seguretat anteriorment, puc veure DemoNewUser, es va produir aquest login al servidor de creació. I veig que la SA d’inici de sessió va crear aquest compte DemoNewUser, aquí, a les 14:42. I, a continuació, puc veure que, al seu torn, afegir accés al servidor, aquest DemoNewUser es va afegir al grup d'administrador del servidor, es van afegir al grup d'administració de configuració, es van afegir al grup sysadmin. Aleshores, hauria passat alguna cosa que voldria saber. També ho he configurat perquè es facin el seguiment de les columnes sensibles de les meves taules, de manera que veig qui hi ha accedit.
Aquí, tinc un parell de seleccionats que han tingut lloc a la taula de la meva persona, de Adventure Works. Puc fer una ullada i veure que l’usuari SA de la taula d’Aventes d’Aventura va seleccionar una de les deu millors estrelles de la persona dot punt. Així que potser a la meva organització no vull que la gent faci estel·les selectes d'una persona dot persona, o espero que només alguns usuaris ho facin, i així ho veuré aquí. Per tant, el que necessiteu pel que fa a la vostra auditoria, podem configurar-lo en funció del marc i això és una mica més una eina intensiva. Utilitza esdeveniments SQL Trace o SQLX, segons la versió. I és una cosa que haureu de tenir una sala al vostre servidor per allotjar-se, però és una d'aquestes coses, una assegurança semblant, que és bo si no haguéssim de tenir una assegurança d'automòbil - seria un cost que no heu de portar, però si teniu un servidor on heu de fer un seguiment de tot allò que fa, potser haureu de tenir una mica més de capçalera i una eina com aquesta per fer-ho. Tant si feu servir la nostra eina com si esteu llançant a la vostra imatge, en última instància, serà responsable de tenir aquesta informació amb finalitats de compliment regulatori.
Així com he dit, no és una demostració en profunditat, només un resum, poc i ràpid. També volia mostrar-vos una eina ràpida, poc gratuïta, en forma d'aquesta cerca de columnes SQL, que és una cosa que podeu utilitzar per identificar quines columnes del vostre entorn semblen ser informació sensible. Per tant, tenim diverses configuracions de cerca on es busquen els diferents noms de les columnes que solen contenir dades sensibles i, tot seguit, tinc tota aquesta llista que s'han identificat. En tinc 120, i després els vaig exportar, de manera que en puc fer servir per dir-los, deixeu-me mirar i assegureu-me que segueixo l’accés al nom mig, una persona o una taxa d’impost de vendes, etc.
Sé que aquí acabàvem bé. I això és tot el que realment havia de mostrar, així que hi ha alguna pregunta?
Eric Kavanagh: Tinc un parell de bons per a vosaltres. Deixa'm desplaçar aquí. Un dels assistents va fer una pregunta realment bona. Un dels quals pregunta sobre l’impost de rendiment, així que sé que varia de solució a solució, però teniu alguna idea general de què suposa l’impost de rendiment per utilitzar eines de seguretat IDERA?
Arpa de Vicky: Així, a l'SQL Secure, com deia, és molt baix, només tindrà alguna instantània. I fins i tot si heu estat executant força sovint, la seva informació estàtica sobre la configuració és, per tant, molt baixa, gairebé menyspreable. En termes de Compliance Manager, és:
Eric Kavanagh: Com un tant per cent?
Arpa de Vicky: Si hagués de donar un nombre per cent, sí, seria un per cent o inferior. La informació bàsica sobre l’ordre d’utilitzar SSMS i entrar a la pestanya de seguretat i ampliar les coses. Pel que fa a la línia de compliment, és molt més gran, és per això que he dit que necessita una mica de capçalera; és molt més enllà del que teniu en termes de control del rendiment. Ara, no vull espantar la gent, el truc amb la supervisió de la conformitat, i si la seva auditoria consisteix a assegurar-se que només auditareu allò que aneu fent. Així doncs, un cop us filtreu per dir: "Hola, vull saber quan la gent accedeix a aquestes taules concretes i vull saber cada vegada que la gent hi accedeix, realitzeu aquestes accions", llavors es basarà en la freqüència amb què es fan aquestes coses. succeint i quantes dades estàs generant. Si dius, "vull que l'SQL complet de cada selecció que passi en qualsevol d'aquestes taules", això només serà possible que siguin gigabytes i gigabytes de dades que SQL Server emmagatzemaran al nostre producte, etc. .
Si ho manteniu a baix, també obtindreu més informació de la que podríeu tractar. Si podríeu reduir-lo a un conjunt més petit, de manera que esteu rebent un parell de cent esdeveniments al dia, és evident que és molt inferior. Així, de veritat, d’alguna manera, els cels són els límits. Si activeu tots els paràmetres de control de tot, aleshores sí, serà un èxit de rendiment del 50 per cent. Però si voleu convertir-lo en un nivell més moderat i considerat, potser el globus ocular és un 10 per cent? És una de les coses que depèn molt de la vostra càrrega de treball.
Eric Kavanagh: Sí, no. Hi ha una altra pregunta sobre el maquinari. Aleshores, els proveïdors de maquinari han entrat al joc i col·laboren realment amb venedors de programari, i vaig respondre a través de la finestra de Q&A. Conec un cas concret, de Cloudera que treballava amb Intel, on Intel va fer una gran inversió en ells, i una part del càlcul va ser que Cloudera obtindria un accés primerenc al disseny de xip i, per tant, podia afegir seguretat al nivell de xip del. arquitectura, que és força impressionant. Però, tot i així, és una cosa que va a sortir, i encara es pot explotar per les dues parts. Coneixeu alguna tendència o alguna tendència de venedors de maquinari per col·laborar amb venedors de programari en protocol de seguretat?
Arpa de Vicky: Sí, de fet, crec que Microsoft ha col·laborat per tenir algun espai, com ara, l'espai de memòria d'alguns dels treballs de xifratge que ocorre en xips separats a les plaques base separades de la vostra memòria principal, de manera que algunes d'aquestes coses està separat físicament. I crec que realment va ser una cosa que provenia de Microsoft en termes de sortir als venedors per dir: "¿Podem trobar una manera de fer això, bàsicament la seva memòria desagradable, no puc recórrer a un record de buffer? , perquè fins i tot no hi és, en algun sentit, així que sé que alguna cosa està passant. "
Eric Kavanagh: Sí.
Arpa de Vicky: Això serà, òbviament, els venedors realment grans, molt probablement.
Eric Kavanagh: Sí. Tinc curiositat per observar-ho, i potser Robin, si tens un segon ràpid, tinc curiositat per conèixer la teva experiència al llarg dels anys, perquè de nou, en termes de maquinari, en termes de la ciència material real que s’entén en allò que estàs plantejant. Des del costat del venedor, aquesta informació pot anar a ambdues parts i, teòricament, ens dirigim a ambdues parts bastant ràpidament, de manera que hi ha alguna manera d’utilitzar el maquinari amb més cura, des d’una perspectiva de disseny per reforçar la seguretat? Què penses? Robin, estàs en silenci?
Robin Bloor: Sí, sí. Ho sento, estic aquí; Em plantejo la pregunta. Per ser sincer, no en tinc cap opinió, és un àmbit que no he examinat a fons significatiu, així que sóc una cosa que sap, puc inventar una opinió, però realment no ho sé. Prefereixo que les coses estiguin segures en el programari, bàsicament és la meva manera de jugar.
Eric Kavanagh: Sí. Bé, gent, hem cremat durant una hora i canviem aquí. Moltes gràcies a Vicky Harp pel seu temps i atenció, pel vostre temps i atenció; us agraïm que us presenteu per aquestes coses. És un gran problema; no anirà a desaparèixer en cap moment. És un joc de gats i ratolins que segueix endavant i seguint. I, per tant, van agrair que algunes empreses estiguessin fora, centrades a permetre la seguretat, però com Vicky fins i tot va fer al·lusió i va parlar una mica en la seva presentació, al final del dia, la seva gent en organitzacions que necessita pensar amb molta cura sobre aquestes atacs de phishing, aquest tipus d'enginyeria social i mantingueu-vos als ordinadors portàtils, no ho deixeu a la cafeteria. Canvieu la vostra contrasenya, feu els conceptes bàsics i aneu a obtenir el 80 per cent del camí.
Així doncs, amb això, gent, us acomiadariarem, gràcies un cop més pel vostre temps i atenció. Ben atents a vosaltres la propera vegada, tingueu cura. Adeu.
Arpa de Vicky: Adéu, gràcies.