A Techopedia munkatársai, 2017. május 10
Elvihető: Eric Kavanagh házigazda megbeszélte a biztonságot és az engedélyeket Dr. Robin Bloorral és az IDERA Vicky Harp-nal.
Jelenleg nincs bejelentkezve. Kérjük, jelentkezzen be vagy jelentkezzen be a videó megtekintéséhez.
Eric Kavanagh: Oké, hölgyeim és uraim, üdvözlet és üdvözlet újra. Szerda van, négy keleti, és a vállalati technológia világában ez azt jelenti, hogy újra itt a ideje a Hot Technologies számára! Igen valóban. Bemutatja a Bloor Group, természetesen a Techopedia barátainak támogatta. A mai téma egy igazán hűvös: „Jobb kérni engedélyt: A magánélet és biztonság legjobb gyakorlatai.” Így van, ez egy nagyon nehéz téma, sokan beszélnek róla, de ez egy nagyon komoly téma, és Valóban őszintén szólva, ez minden nap komolyabbá válik. Sok szervezet számára sok szempontból súlyos kérdés. Erről fogunk beszélni, és arról fogunk beszélni, hogy mit tehetünk megóvni a szervezetet a rosszindulatú karakterektől, amelyek napjainkban mindenütt jelen vannak.
Tehát a mai műsorvezető Vicky Harp, aki felhívja az IDERA-t. Láthatjuk az IDERA szoftvert a LinkedIn-en - imádom az új funkciókat a LinkedIn-en. Noha tudom mondani, hogy bizonyos módon húznak húrokat, nem engedik, hogy hozzáférjenek az emberekhez, és megpróbálják rávenni, hogy megvásárolja ezeket a prémium tagságokat. Menj, nekünk van a saját Robin Bloorunk, aki tárcsázza - valójában ma a San Diego körzetben van. És őszintén a moderátor / elemző.
Szóval miről beszélünk? Adatok megsértése. Most vettem ezt az információt az IdentityForce.com webhelyről, ez már a versenyekre vonatkozik. Idén természetesen májusban vagyunk, és csak egy csomó adat-megsértés van, van néhány igazán óriási, természetesen a Yahoo! nagy volt, és természetesen hallottunk arról, hogy az amerikai kormányt megtámadják. Most csapkodtak be a francia választások.
Ez mindenütt megtörténik, folytatódik és nem fog megállni, tehát valóság, ez az új valóság, ahogy mondják. Valójában gondolkodnunk kell a rendszerek és az adatok biztonságának érvényesítésének módjáról. És ez egy folyamatban lévő folyamat, tehát ideje az összes, a játékban felmerülő kérdés átgondolására. Ez csak egy részleges lista, de ez némi képet ad arról, hogy milyen bizonytalan a helyzet manapság a vállalati rendszereknél. És a show előtt a show-előtti beszélgetésünkben olyan ransomware-ről beszéltünk, amely valakit eltalált, amit ismerek, ami nagyon kellemetlen élmény, amikor valaki átveszi az iPhone-ját, és pénzt igényel neked, hogy visszatérjen a telefonjához. De megtörténik, történik a számítógépekkel, megtörténik a rendszerek, láttam csak a másnap, ez történik a milliárdosokkal a jachtokkal. Képzelje el, hogy egy nap elmegy a jachtjába, és megpróbálja lenyűgözni minden barátját, és még csak nem is tudja bekapcsolni, mert néhány tolvaj ellopta a hozzáférést a vezérlőkhöz, a központhoz. Csak mondtam valaki egy interjúban egy nap, mindig hagyja felül a kézi felülírást. Mintha nem vagyok nagy rajongója az összes csatlakoztatott autónak - még az autók is feltörhetők. Bármi, ami csatlakozik az internethez vagy egy hálózathoz, amelybe behatolhat, bármi feltörhető.
Tehát itt van néhány szempont, amelyet figyelembe kell venni a helyzet súlyos helyzetének megfogalmazása során. A webalapú rendszerek manapság mindenütt vannak, tovább terjednek. Hány ember vásárol cuccokat online? Manapság csak a tetőn megy keresztül, ezért az Amazon manapság olyan hatalmas erő. Azért, mert oly sok ember vásárol cuccokat online.
Tehát, emlékszel arra, akkoriban, 15 évvel ezelőtt, az emberek nagyon idegesek voltak abban, hogy hitelkártyájukat egy webes űrlapba helyezzék, hogy megszerezzék adataikat. étterem, akkor ez ugyanaz. ”Tehát, a válaszunk igen, ez ugyanaz, léteznek ezek az ellenőrző pontok vagy hozzáférési pontok, ugyanaz, ugyanazon érme másik oldala, ahol az embereket el lehet helyezni veszélybe kerül, ahol valaki elviheti a pénzt, vagy valaki ellophat tőled.
Aztán az IoT természetesen nagyságrenddel kibővíti a veszélyhelyzetet - szeretem ezt a szót -. Úgy értem, gondolkodj rajta - ezekkel az új eszközökkel mindenütt, ha valaki behatolhat egy olyan rendszerbe, amely ellenőrzi őket, akkor az összes robotot megfordíthatja ön ellen, és sok-sok problémát okozhat, tehát ez egy nagyon komoly kérdés. Napjainkban globális gazdaságunk van, amely még inkább kibővíti a veszélyhelyzetet, sőt, más országokban vannak olyan emberek, akik ugyanúgy férhetnek hozzá az internethez, mint én, és ha nem tudod, hogyan kell oroszul beszélni vagy bármilyen más nyelv használatával nehéz lesz megérteni, mi történik, amikor betörnek a rendszerébe. Tehát haladunk a hálózatépítés és a virtualizáció terén, ez jó.
De a kép jobb oldalán van kard és ennek oka van azért, mert minden kard mindkét irányba vág. Mint mondják, ez egy kétélű kard, és egy régi közhely, de azt jelenti, hogy a kardom árthat neked, vagy árthat nekem. Ez visszatérhet hozzám, akár visszapattanással, akár valaki elkapva. Valójában az Aesop egyik meséje - gyakran adjuk ellenségeinknek a pusztítás eszközeit. Ez valóban elég lenyűgöző történet, és köze van valakihez, aki íjat és nyilat használt, lelőtt egy madarat, és a madár látta, amint a nyíl feljött, hogy a madarak egyik barátjának a toll a nyíl szélén volt, a nyíl hátulján, hogy vezesse, és azt gondolta magának: „Ó, ember, itt van, a saját tollomat, a saját családomat arra fogják használni, hogy engem legyőzzenek.” Ez mindig történik, hallja statisztika arról, hogy van fegyvere a házban, a tolvaj el tudja venni a fegyvert. Nos, ez mind igaz. Szóval, ezt csak analógiának vettem alá, csak hogy megfontoljam, ezeknek a különféle fejleményeknek pozitív és negatív oldala van.
És beszéltünk azokról a konténerekről, akik valóban követik a vállalati számítástechnika élvonalát. A konténerek a legújabb dolog, a funkcionalitás legfrissebb módja, valójában a virtualizáció házassága a szolgáltatásorientált architektúrában, legalábbis a mikroszolgáltatások számára nagyon érdekes dolgok. Biztonsági protokollokat és alkalmazásprotokolljait, adatait és így tovább tárolhatja tárolók használatával, és ez előrelépést jelent egy időre, de előbb vagy utóbb a rossz fiúk kitalálják, és akkor még nehezebb lesz megakadályozni őket, hogy kihasználják a rendszerét. Tehát ott van egy olyan globális munkaerő, amely bonyolítja a hálózatot és a biztonságot, és ahonnan az emberek bejelentkeznek.
Megvannak a böngészőháborúk, amelyek gyorsan folytatódnak, és folyamatos munkát igényelnek a frissítések és a dolgok tetején maradás érdekében. Folyamatosan halljuk a régi Microsoft Explorer böngészőket, hogy hogyan hackerezték őket és elérhetők ott. Tehát, még sok pénzt kell keresni a hackelésbe manapság, van egy egész ipar, ezt olyasvalami, amit partnerünk, Dr. Bloor tanított nekem nyolc évvel ezelőtt - kíváncsi voltam, miért látunk ennyit belőle, és emlékeztette én, ez egy egész iparág, amely részt vesz a hackelésben. És ebben az értelemben a narratívum, amely az egyik legkevésbé kedvelt szavom a biztonságról, valóban nagyon tisztességtelen, mert a narratív megmutatja neked ezeket a videókat és mindenféle hírlevelet, amelyek valamilyen hackelés közben egy srácot mutatnak egy kapucnis pulóverben, ülve az alagsorában egy sötét megvilágított szobában, ez egyáltalán nem így van. Ez egyáltalán nem képviseli a valóságot. Magányos hackerek, nagyon kevés magányos hackerek vannak, vannak odakint, okoznak némi bajt - nem fogják okozni a nagy bajt, de nagyon sok pénzt kereshetnek. Tehát, mi történik, ha a hackerek belépnek, behatolnak a rendszerébe, majd eladják ezt a hozzáférést valakinek, aki megfordul, és eladja valaki másnak, majd valahol a sor alatt valaki kihasználja ezt a hacket, és kihasználja Önt. És számtalan módon lehet kihasználni a lopott adatokat.
Még magam is csodálkoztam azon, hogy miként ragyogtuk ezt a koncepciót. Ezt a kifejezést mindenütt láthatja, „növekedés hackelésével”, mintha ez jó dolog. Növekedés-hackelés, tudod, a hackelés jó lehet, ha igyekszik a jó fiúknak dolgozni, hogy úgy szóljon, és egy rendszerbe csapkodjon be, mint amilyent Észak-Koreával és azok rakétaindításairól beszélünk, amelyek potenciálisan csapkodnak - az jó. A hackelés azonban gyakran rossz dolog. Tehát most ragyogunk, szinte mint Robin Hood, amikor Robin Hoodot ragyogtuk. És akkor ott van a készpénz nélküli társadalom, ami őszintén szólva aggasztja tőlem a napfényt. Arra gondolok, hogy minden alkalommal, amikor azt hallom, hogy „Nem, kérlek, ne csináld! Kérem, ne! ”Nem akarom, hogy az összes pénzünk eltűnjön. Tehát, ez csak néhány szempont, amelyet figyelembe kell venni, és ismét egy macska és egér játék; soha nem fog megállni, mindig szükség lesz biztonsági protokollokra és a biztonsági protokollok továbbfejlesztésére. És a rendszer felügyeletéhez, annak érdekében, hogy megismerjük és érzékeljük, ki van odakint, megértve, hogy ez akár belső munka is lehet. Tehát ez egy folyamatban lévő kérdés, jó ideje folyamatos kérdés lesz - ne tévesszen el ebben.
És ezzel átadom Dr. Bloornak, aki megoszthatja velünk néhány gondolatát az adatbázisok biztonságáról. Robin, vedd el.
Robin Bloor: Oké, az egyik érdekes hackelés, azt hiszem, körülbelül öt évvel ezelőtt történt, de alapvetően egy kártyafeldolgozó cég volt, amelyet csapkodtak le. És nagyszámú kártya adatot loptak el. De számomra az érdekes dolog az volt, hogy ténylegesen bekerültek a teszt adatbázisba, és valószínűleg valószínűleg nagyon nehézségekbe ütköztek a kártyák feldolgozásának tényleges, valós adatbázisába való bejutásuk során. De tudod, hogy van a fejlesztőkkel, ők csak elvágnak egy adatbázist, és behelyezik azt. Sokkal több éberséget kellett volna, hogy ezt megállítsák. De nagyon sok érdekes hackertörténet található, az egyik területen készít egy nagyon érdekes témát.
Tehát tényleg, úgy vagy úgy, megismétlem néhány olyan dolgot, amit Eric mondott, de könnyű az adatbiztonságra statikus célpontként gondolkodni; könnyebb csak azért, mert könnyebb elemezni a statikus helyzeteket, majd gondolkodni a védekezés bevezetéséről, a védekezésről, de nem az. Mozgó célpont, és ez az egyik dolog, amely meghatározza a biztonsági terület egészét. Éppen úgy, ahogy az összes technológia fejlődik, a rossz fiúk technológiája is fejlődik. Tehát, rövid áttekintés: Az adatlopás nem új, valójában az adatok kémkedése adatlopás, és azt hiszem, ezrek évei folynak.
Ebből a szempontból a legnagyobb adat az volt, hogy a britek törték a német kódokat, az amerikaiak pedig a japán kódokat, és mindkét esetben nagyban lerövidítették a háborút. És csak hasznos és értékes adatokat loptak el, természetesen nagyon okos volt, de tudod, ami most folyik, sok szempontból nagyon okos. A számítógépes lopás az interneten született és 2005 körül robbant fel. Megnéztem az összes statisztikát, és amikor nagyon komolyan kezdett válni, és valamilyen módon rendkívül magas számot mutattak körülbelül 2005-től kezdődően. azután. Sok szereplő, kormányok, vállalkozások, hackerek és magánszemélyek vesznek részt.
Moszkvába jártam - ez körülbelül öt év kellett volna -, és valójában sok időt töltöttem egy Egyesült Királyságbeli srácmal, aki az egész csapkodási helyet kutatja. És azt mondta - és fogalmam sincs, hogy ez igaz - csak a szavát kaptam rá, de nagyon valószínűnek hangzik, hogy Oroszországban van valami, az úgynevezett Business Network, amely hackerek csoportja, tudod, a KGB romjaiból jöttek ki. És nemcsak azt értem, hogy eladják magukat, biztos vagyok benne, hogy az orosz kormány felhasználja őket, de bárkinek eladják magukat, és pletykák voltak, vagy azt mondta, hogy pletykák szerint a különféle külföldi kormányok az üzleti hálózatot használják valószínűsíthetőség. Ezeknek a srácoknak milliónyi kompromittált számítógépe van, amelyek támadhatnak. És minden eszközük volt, amit el tudsz képzelni.
Így fejlődött a támadás és a védelem technológiája. És a vállalkozások kötelesek gondoskodni adataikról, függetlenül attól, hogy birtoklik-e vagy sem. És ez sokkal világosabbá válik a ténylegesen már hatályban lévő vagy hatályba lépő különféle szabályozási elemek tekintetében. És valószínűleg javulni fog, valaki így vagy úgy, valakinek oly módon kell viselnie a hackelés költségeit, hogy ösztönzést kapjon a lehetőség bezárására. Azt hiszem, ez az egyik dolog, amelyre szükség van. A hackerekkel kapcsolatban tehát bárhol megtalálhatók. Különösen a szervezeten belül - a szörnyű sok olyan zseniális csapda, amiről hallottam, hogy valaki kinyitotta az ajtót. Tudod, az a személy, olyan, mint a bankrablók helyzete, szinte mindig azt mondták, hogy jó bankrablások során van egy bennfentes. De a bennfentesnek csak információt kell adnia, így nehéz beszerezni őket, tudni, hogy ki volt, és így tovább és így tovább.
És nehéz lehet bíróság elé állítani őket, mert ha egy moldvai emberek egy csoportja csapkodott be Önre, még ha tudod is, hogy ez a csoport volt, hogyan fogsz valamilyen jogi eseményt megtenni körülöttük? Olyan, mint az egyik joghatóságról a másikra, egyszerűen nincs egy nagyon jó nemzetközi megállapodás a hackerek felszámolására. Megosztják a technológiát és az információkat; sok nyílt forráskódú. Ha saját vírust szeretne létrehozni, rengeteg víruskészlet van odakint - teljesen nyílt forráskódú. És számottevõ erõforrásokkal rendelkeznek, számosan vannak botnetek több mint egymillió veszélyeztetett eszközben adatközpontokban és PC-kben és így tovább. Vannak olyan jövedelmező vállalkozások, amelyek hosszú ideje működnek, majd ott vannak kormányzati csoportok, amint már említettem. Nem valószínű, hogy Eric elmondta, hogy ez a jelenség soha nem fog véget érni.
Tehát ez egy érdekes hack, amire gondoltam, megemlítem, mert meglehetősen nemrégiben történt hack; tavaly történt. Az éterium rejtjeles érmével kapcsolatos DAO-szerződés sebezhetőséget okozott. Ezt megvitatták egy fórumon, és egy napon belül megtörték a DAO-szerződést, pontosan ezt a sebezhetőséget használva. 50 millió dollárt étert szétoszlattak, ami azonnali válságot okozott a DAO projektben, és bezárta. És az Etherium valójában azon harcolt, hogy megpróbálja megakadályozni a hackert a pénzhez való hozzáféréstől. Ugyanakkor azt is hitték - nem biztos, hogy tudják -, hogy a hackerek támadásuk előtt ténylegesen lerövidítették az éter árát, tudva, hogy az éter ára összeomlik, és így más módon profitálnak.
És ez egy másik, ha úgy tetszik, stratagem, amelyet a hackerek használhatnak. Ha károsíthatják a részvény árát, és tudják, hogy meg fogják csinálni, akkor csak nekik kell lerövidíteni a részvény árat és megtenni a hacket, tehát ez olyan, ezek a srácok okosak, tudod. És az ár a végső pénzlopás, a megszakítás és a váltságdíj, ideértve a befektetéseket is, ahol megszakítja és elrontja a készleteket, szabotázs, személyazonosság-lopás, mindenféle csalás, csak a reklám kedvéért. És ez általában politikai, vagy nyilvánvalóan információs kémkedés, és vannak olyan emberek, akik megélhetik azokat a hibákat, amelyeket megszerezhetnek, ha megpróbálják feltörni a Google-t, az Apple-t, a Facebook-ot - még a Pentagon is, valójában hibákat adnak. És csak csapkodsz; Ha sikerrel jár, akkor csak elveszi és igényli a díját, és nincs kár, tehát ez egy jó dolog, tudod.
Ugyancsak megemlíthetem a megfelelést és a szabályozást. Az ágazati kezdeményezéseken túl rengeteg hivatalos szabályozás létezik: a HIPAA, SOX, FISMA, FERPA és GLBA mind az Egyesült Államok jogszabályai. Vannak szabványok; A PCI-DSS meglehetősen általános szabvány lett. És akkor ott van az ISO 17799 az adattulajdonról. A nemzeti szabályozások országonként, Európában is eltérőek. És jelenleg a GDPR - a globális adatok, mit jelent? A globális adatvédelmi rendelet, azt hiszem, áll, de ez a jövő évben lép hatályba, mondta. És az az érdekes, hogy az egész világon érvényes. Ha 5000 vagy annál több ügyféllel rendelkezik, akinek személyes adatai vannak, és Európában élnek, akkor Európa valójában feladatba viszi Önt, függetlenül attól, hogy a vállalat székhelye vagy hol működik. És a büntetések, a maximális büntetés az éves bevétel négy százaléka, ami csak hatalmas, tehát érdekes csavarás lesz a világon, amikor ez hatályba lép.
Gondolkodnunk kell a DBMS sérülékenységein. Az értékes adatok többsége valójában adatbázisokban található. Ez azért értékes, mert szörnyű sok időt töltöttünk azzal, hogy elérhetővé tegyük és jól megszervezzük, és ez sebezhetőbbé teszi, ha valójában nem alkalmazza a megfelelő DBMS értékpapírokat. Nyilvánvaló, hogy ha ilyen dolgokra tervez, akkor meg kell határoznia, hogy mely veszélyeztetett adatok vannak a szervezet egészében, szem előtt tartva, hogy az adatok különböző okok miatt sérülékenyek lehetnek. Lehet, hogy ügyféladatok, de ugyanolyan belső dokumentumok is lehetnek, amelyek kémkedés szempontjából értékesek, és így tovább. A biztonsági politika, különösen a hozzáférés biztonsága kapcsán - amely az utóbbi időben véleményem szerint nagyon gyenge az új nyílt forráskódú tartalmakban - a titkosítás egyre inkább használatba kerül, mivel elég sziklaszilárd.
A biztonsági rés költségeit a legtöbb ember nem tudta, de ha valóban megnézi, hogy mi történt a biztonsági megsértéseket szenvedett szervezetekkel, akkor kiderül, hogy a biztonsági rés költsége gyakran jóval magasabb, mint gondolnád. . És akkor a másik dolog, amire gondolnunk kell a támadási felületre, mert bármilyen szoftver, bárhol, a szervezettel futtatva, támadási felületet jelent. Tegye bármelyik eszközt, csakúgy, mint az adatokat, függetlenül attól, hogy azokat tárolták-e. Minden, a támadási felület növekszik a dolgok internetével, a támadási felület valószínűleg megduplázódik.
Tehát végül: DBA és adatbiztonság. Az adatbiztonság általában a DBA szerepének része. De együttműködő is. És rá kell vonatkoznia a vállalati politikára, különben valószínűleg nem fog jól végrehajtani. Miután ezt mondta, azt hiszem át tudom adni a labdát.
Eric Kavanagh: Rendben, hadd adjak a kulcsokat Vickynek. És megoszthatja a képernyőjét, vagy áthelyezheti ezeket a diákat, rajtad múlik, elviszi.
Vicky Harp: Nem, ezekkel a diákkal kezdem, köszönöm szépen. Szóval, igen, csak egy pillanatra akartam bemutatni magamat. Vicky Harp vagyok. Menedzser vagyok, az IDERA szoftver SQL-termékmenedzsmentje, és azoknak köztük, akik esetleg nem ismerünk minket, az IDERA-nak számos terméksorozata van, de itt a dolgok SQL Server oldalát beszélek. Tehát a teljesítményfigyelést, a biztonsági előírások betartását, a biztonsági mentést, az adminisztrációs eszközöket végezzük - és ez csak egyfajta felsorolása. És persze, amiről ma itt beszélek, a biztonság és a megfelelés.
A legtöbb, amiről ma beszélni akarok, nem feltétlenül a termékeink, bár ezt később néhány példával kívánom bemutatni. Többet akartam beszélni veled az adatbázis biztonságáról, az adatbázis biztonságának jelenlegi veszélyeiről, néhányról, amelyekre gondolkodni kell, és néhány bevezető ötletről arról, hogy mit kell megnéznie az SQL biztonságához. Szerver-adatbázisok, valamint annak ellenőrzése, hogy azok megfelelnek-e a szabályozási keretnek, amelyre Ön is vonatkozhat, amint már említettük. Sok különböző szabályozás létezik; különféle iparágakban, a világ különböző helyein működnek, és ezekre kell gondolkodni.
Tehát szeretnék egy pillanatra beszélni az adatsértések helyzetéről - és nem ismétlem meg sokat az itt már tárgyalt dolgokról - a közelmúltban áttekintettem ezt az Intel biztonsági kutatási tanulmányt és az egészet - gondolom Körülbelül 1500 olyan szervezettel, amellyel beszéltek - átlagosan hat biztonsági megsértés történt az adatvesztéses megsértések vonatkozásában, és ezek 68% -a valamilyen értelemben közzétételre szorult, tehát ezek befolyásolták a tőzsdei árat, vagy valamilyen hitelt kellett fizetniük. megfigyelés ügyfeleik vagy alkalmazottaik számára stb.
Érdekes egyéb statisztikák az, hogy a belső szereplők 43% -áért felelősek. Tehát sok ember sokat gondolkodik a hackerekről és az ilyen árnyékos kvázi kormányzati szervezetekről vagy a szervezett bűnözésről stb., De a belső szereplők továbbra is közvetlenül lépnek fel a munkáltatók ellen, az esetek elég nagy hányadában. És ezeket néha nehezebb megvédeni, mivel az embereknek jogos indokai lehetnek az adatokhoz való hozzáféréshez. Ennek kb. Fele, 43% -a valamilyen értelemben véletlenszerű veszteség volt. Tehát például abban az esetben, ha valaki hazavitte az adatokat, majd elvesztette az adatok nyomon követését, ami engem a harmadik ponthoz vezetett, ami azt jelenti, hogy a fizikai adathordozókra még mindig a jogsértések 40% -ában került sor. Tehát az USB kulcsok, az emberek laptopjai, az a tényleges adathordozó, amelyet fizikai lemezekre égettek és kivezettek az épületből.
Ha gondolkodik, van-e egy fejlesztõd, akinek a gyártási adatbázisának dev példánya van a laptopján? Aztán felszállnak egy repülőgépre, kiszállnak a repülőről, megkapják a feladott poggyászot, és ellopják laptopját. Most már megsértette az adatait. Lehet, hogy nem feltétlenül gondolja, hogy ezért lett a laptop, mert előfordulhat, hogy soha nem jelenik meg vadonban. De ez még mindig valami, ami jogsértésnek számít, nyilvánosságra hozatalra lesz szükség, és az adatok elvesztésének minden későbbi hatása lesz, csak azért, mert a fizikai adathordozó elveszik.
A másik érdekes dolog az, hogy sokan gondolkodnak a hitelinformációkról és a hitelkártya-adatokról, mint a legértékesebbekről, de ez már nem igaz. Ezek az adatok értékesek, a hitelkártya-számok hasznosak, de őszintén szólva, ezeket a számokat nagyon gyorsan megváltoztatjuk, míg az emberek személyes adatait nem változtatjuk meg nagyon gyorsan. Valami, ami a közelmúltban, a viszonylag nemrégiben megjelent hír, a VTech játékkészítő, ezeket a gyerekeknek tervezett játékokat tartalmazta. És az emberek szeretnék, ha volna gyermekeik nevét, rendelkeznének információval a gyerekek lakóhelyeiről, szüleik neveik volnának, fényképeik lennének a gyerekekről. Ennek egyikét sem titkosították, mert nem tartották fontosnak. De jelszavaikat titkosították. Nos, amikor a jogsértés elkerülhetetlenül bekövetkezett, azt mondod: „Rendben, tehát van egy listám a gyermekek és szüleik nevéről, ahol élnek - ezek az információk ott vannak, és azt gondolod, hogy a jelszó volt ennek a legértékesebb része? ”Nem volt; az emberek nem változtathatják meg személyes adataik, címük stb. kérdéseit. És így az információ valóban nagyon értékes, és védeni kell.
Tehát a folyó dolgokról szerettem volna beszélni, hogy hozzájáruljak az adatok megsértésének jelenlegi módjához. Az egyik nagy hotspot, tér jelenleg a szociális mérnöki munka. Tehát az emberek adathalászatnak, más személyiségnek nevezik stb., Ahol az emberek hozzáférést kapnak az adatokhoz, gyakran belső szereplőkön keresztül, csupán meggyőzik őket arról, hogy állítólag hozzáférniük kell hozzájuk. Tehát csak másnap volt ez a Google Docs féreg, amely körülkerült. És mi fog történni - és valójában megkaptam egy másolatot, noha szerencsére nem kattintottam rá - e-mailt kapott egy kollégámtól, mondván: “Itt egy Google Doc link; rá kell kattintania, hogy megnézhesse, amit éppen megosztottam veled. Nos, egy olyan szervezetben, amely a Google Dokumentumokat használja, ez nagyon szokásos, napi tucatnyi kérést fog kapni. Ha rákattintana, engedélyt kérne ehhez a dokumentumhoz való hozzáféréshez, és talán azt mondaná: „Hé, ez kissé furcsanak tűnik, de tudod, legit is néz ki, szóval megyek előre, és kattintson rá ”, és amint ezt megtette, hozzáférést biztosított ennek a harmadik félnek az összes Google-dokumentumához, és így létrehozta ezt a linket, hogy ez a külső szereplő hozzáférhessen az összes dokumentumához a Google Drive-on. Ez az egész helyre féreggetett. Emberek százezreit sújtotta néhány órán belül. És ez alapvetően adathalász támadás volt, amelyet maga a Google-nak kellett leállítania, mert nagyon jól végrehajtották. Az emberek estek érte.
Itt említem a SnapChat HR megsértését. Ez csak egy egyszerű kérdés, amikor valaki e-mailt küldött, megszemélyesítette, hogy ők a vezérigazgató, e-mailt küld a HR osztálynak, mondván: „Szükségem van, hogy küldje el nekem ezt a táblázatot.” És hittek nekik, és 700 különféle alkalmazottat készítettek egy táblázatot. „kártérítési információkat, otthoni címeiket stb. e-mailben küldték el e másik félnek, valójában nem a vezérigazgató volt. Most az adatok nem voltak elérhetők, és minden alkalmazottjuk személyes, magánjellegű adatai ott voltak, és felhasználhatók voltak. Tehát a szociáltechnika olyasmi, amit megemlítek az adatbázisok világában, mert ezt megpróbálhatja megvédeni az oktatás útján, de azt sem szabad elfelejtenie, hogy bárhol is van egy személy, aki kölcsönhatásba lép a technológiájával, és ha a jó megítélésükre támaszkodik, hogy megakadályozzák az áramszünetet, sokat kérnek tőle.
Az emberek hibákat követnek el, az emberek olyan dolgokra kattintanak, amelyeknek nem kellett volna lenniük, az emberek okos feladatokra esnek. És nagyon nehéz megpróbálhatja megvédeni őket ellen, de ez nem elég erős, meg kell próbálnia korlátozni az emberek azon képességét, hogy véletlenül adjanak ki ezeket az információkat az adatbázis-rendszereikben. A másik dolog, amit megemlíteni akartam, hogy nyilvánvalóan sokat beszélünk, a ransomware, botnetek, vírusok - ezek a különféle automatizált módszerek. És tehát azt gondolom, hogy fontos megérteni a ransomware-t: az valóban megváltoztatja a támadók profit modelljét. Abban az esetben, ha jogsértésről beszél, bizonyos értelemben ki kell gyűjteniük az adatokat, meg kell őrizniük magukat és ki kell használniuk. És ha az adatok homályosak, ha titkosítottak, ha az iparág-specifikusak, akkor valószínűleg nincs értékük.
Addig, amíg az emberek úgy érezték, hogy ez védelem volt számukra: „Nem kell megvédenem magamat az adat megsértése ellen, mert ha bekerülnek a rendszerbe, akkor minden vagyok, fotóstúdió vagyok, van egy listám, ki fog jönni a következő év melyik napjaira. Ki törődik vele? Nos, kiderül, hogy a válasz az, hogy törődsz vele; ezt az információt tárolja, ez az üzleti szempontból kritikus információ. Tehát a ransomware használatával a támadó azt mondja: „Nos, senki más nem fog nekem pénzt adni erre, de te fogsz.” Tehát, kihasználják azt a tényt, hogy nem is kell az adatokat kihozniuk, hanem Még megsértésük sem kell, csak biztonsági eszközöket kell sértő módon alkalmazni ön ellen. Bekerülnek az adatbázisba, titkosítják annak tartalmát, és azt mondják: „Rendben, megvan a jelszó, és 5000 dollárt kell fizetnie nekünk, hogy megkapjuk ezt a jelszót, vagy különben nincs ezeket az adatokat már nem. ”
És az emberek fizetnek; azt találják, hogy ezt meg kell tenniük. Néhány hónappal ezelőtt a MongoDB-nek óriási problémája volt, azt hiszem, januárban a ransomware szerintem több mint egymillió MongoDB adatbázist talált, amelyek nyilvánosak az interneten, néhány alapértelmezett beállítás alapján. És ami még rosszabbá tette az az, hogy az emberek fizettek, és így más szervezetek bejöttek és újra titkosítottak, vagy azt állítják, hogy azok voltak, akik eredetileg titkosították, tehát amikor kifizetted a pénzed, és azt hiszem, abban az esetben Ha valami 500 dollárt kérnek, az emberek azt mondják: „Oké, ennél többet fizetnék, ha egy kutatót fizetnék azért, hogy ide kerüljön, hogy segítsenek kideríteni, mi történt rosszul. Csak befizetem az 500 dollárt. ”És még a megfelelő színésznek sem fizették meg, ezért tíz különböző szervezetbe kerültek, és mondták nekik:„ Megvan a jelszó ”vagy„ Megvan megkapta az utat, hogy kinyitja a megváltott adatait. ”És mindegyiket fizetnie kellene annak érdekében, hogy működjön.
Voltak olyan esetek is, amikor a ransomware szerzőinek hibái voltak, úgy értem, nem arról beszélünk, hogy tökéletesen fedélzeti helyzet lenne, tehát még ha megtámadták is, még ha fizettek is, akkor nincs garancia arra, hogy az összes adat visszaszerzése, ennek részét bonyolultnak tartja a fegyveres InfoSec eszközök is. Tehát a Shadow Brokers egy olyan csoport, amely az NSA-tól származó eszközöket szivárogtatott ki. Ezek olyan eszközök voltak, amelyeket a kormányzati szervek kémkedés céljából terveztek, és amelyek ténylegesen más kormányzati szervezetekkel szemben működtek. Ezek közül néhány valóban magas szintű nulla napos támadás volt, amelyek alapvetően azt eredményezik, hogy az ismert biztonsági protokollok csak félreesőek. És így az SMB protokoll egyik fő sebezhetősége például az egyik legutóbbi Shadow Brokers-szemétben volt.
És tehát ezek az itt megjelenő eszközök néhány órán belül valóban megváltoztathatják a játékot rád, a támadási felület szempontjából. Tehát amikor erre gondolok, az valami olyan, amely szervezeti szinten a biztonsági InfoSec saját funkciója, ezért komolyan kell venni. Amikor adatbázisokról beszélünk, el tudom venni egy kicsit, nem feltétlenül kell, hogy adatbázis-adminisztrátorként teljes ismerettel rendelkezzen arról, mi folyik az árnyék Brokerekkel ezen a héten, de tudnia kell, hogy minden ezek változnak, vannak dolgok folynak, és így a saját domain szűk és biztonságos megőrzésének mértéke valóban segíteni fog abban az esetben, ha a dolgok kiszabadulnak tőled.
Tehát egy pillanat alatt akartam itt lenni, mielőtt konkrétan az SQL Serverről beszélnék, hogy valóban egy kis nyitott megbeszélést folytassunk a panelesekkel az adatbázis biztonságával kapcsolatos néhány megfontolásról. Tehát eljutottam erre a pontra, néhány olyan dologról, amelyet még nem említettünk, az SQL injektálásról, mint vektorról akartam beszélni. Tehát ez az SQL befecskendezés, nyilvánvalóan ez az, ahogyan az emberek a parancsokat az adatbázisrendszerbe illesztik, a bemenetek hibás formálása alapján.
Eric Kavanagh: Igen, valóban találkoztam egy srácmal - azt hiszem, hogy az Andrews légierő támaszpontjában volt - kb. Öt évvel ezelőtt egy tanácsadó, akivel a folyosón beszéltünk vele, és mi csak valamiféle háborús történeteket osztottunk meg - nincsenek szándékok - és megemlítette, hogy valaki behozta, hogy konzultáljon egy viszonylag magas rangú katonasággal, és a srác azt kérdezte tőle: “Nos, honnan tudhatjuk, hogy jól tudsz cselekedni?” . És miközben beszélt velük, amit a számítógépen használt, bekerült a hálózatba, SQL-befecskendezéssel bejutott az e-mail és az emberek e-mail nyilvántartásába. Megtalálta a személy e-mailjét, amellyel beszélt, és csak megmutatta neki az e-mailjét a gépen! És a srác olyan volt, mint: "Hogyan csináltad?" Azt mondta: "Nos, én használtam SQL injekciót."
Szóval, ez csak öt évvel ezelőtt volt, és egy légierőnél volt, igaz? Tehát a kontextust tekintve ez a dolog még mindig nagyon valóságos, és igazán félelmetes hatásokkal használható fel. Úgy értem, kíváncsi lennék minden olyan háborús történetről, amelyek Robinnal kapcsolatban vannak a témában, de ezek a technikák továbbra is érvényesek. Sok esetben továbbra is használják őket, és önmagának oktatása kérdése, igaz?
Robin Bloor: Nos, igen. Igen, meg lehet védeni az SQL-befecskendezést a munka elvégzésével. Könnyű megérteni, miért, amikor az ötletet kitalálták és először elterjesztették, könnyen érthető, hogy miért volt olyan átkozottul sikeres, mert egyszerűen beillesztheti egy weboldal beviteli mezőjébe, és megszerezheti, hogy adatot adjon neked, vagy hogy törölje az adatokat az adatbázisból, vagy bármi ilyesmit - ehhez csak befecskendezheti az SQL kódot. De engem érdekel az, hogy tudod, hogy minden bevitt adatot egy-egy elemezéssel meg kell tennie, de valószínűleg észreveheti, hogy valaki igyekszik. És valóban, azt hiszem, valóban az, mert az emberek még mindig megszabadulnak tőle, úgy értem, hogy ez nagyon furcsa, hogy ennek leküzdésére nem volt könnyű út. Tudod, hogy mindenki könnyen felhasználhatja, úgy értem, amennyire tudom, még nem volt, Vicky, ott volt?
Vicky Harp: Nos, valójában néhány túsz megoldás, például az SQL Azure, azt hiszem, van néhány nagyon jó észlelési módszer, amelyek gépi tanuláson alapulnak. Valószínűleg ezt fogjuk látni a jövőben, olyasmi, amit megpróbál kidolgozni, és mindenki számára megfelelő. Úgy gondolom, hogy a válasz nem az, hogy egy méret mindenkinek megfelelő, de vannak olyan gépeink, amelyek megtanulják, hogy mi az a méret, és meggyőződhetnek arról, hogy illeszkedik-e, ugye? És tehát ha hamis pozitív van, az azért van, mert valójában valami szokatlan dolgot csinál, nem azért, mert át kellett mennie, és gondosan meg kell határoznia mindazt, amit az alkalmazás valaha megtehet.
Úgy gondolom, hogy az egyik oka annak, hogy valóban továbbra is ilyen termékeny, az az, hogy az emberek továbbra is támaszkodnak harmadik fél által készített alkalmazásokra, az ISV-k által benyújtott kérelmek pedig az idő múlásával kimerülnek. Tehát egy olyan szervezetről beszél, amely megvásárolt egy mérnöki alkalmazást, amelyet 2001-ben írtak. És nem frissítették azt, mert azóta nem történt jelentős funkcionális változás, és az eredeti szerző ilyen volt, nem voltak mérnökök, nem voltak adatbázis-biztonsági szakértők, nem az alkalmazásokban tették helyesen a dolgokat, és vektorokká váltak. Megértettem, hogy - azt hiszem, hogy a ténylegesen megcélzott adatsértés volt - a támadásvektor egyik légkondicionáló szállítóján keresztül, nem igaz? Tehát, a harmadik féltől származó probléma esetén, ha a saját fejlesztési üzlet tulajdonosa van, akkor rendelkezhet ezekkel a szabályokkal, és ezeket általában bármikor elvégezheti. Szervezetként lehet, hogy több száz vagy akár több ezer alkalmazás fut, a különféle profilokkal. Úgy gondolom, hogy itt jön létre a gépi tanulás, és sokat segíthet nekünk.
A háborús történetem oktatási élet volt. Láttam egy SQL injekciós támadást, és valami, ami soha nem történt velem, az egyszerűen olvasható SQL-t használ. Ezeket a dolgokat elnevezett P SQL üdülési kártyáknak nevezem; Szeretem csinálni, ezt az SQL-t a lehető leginkább zavarba ejtőnek látod. Van egy elhalványított C ++ kódverseny, amely már évtizedek óta folyik, és ez ugyanaz az ötlet. Szóval, amit valójában kapott, az az SQL befecskendezés volt, amely egy nyitott karakterlánc mezőben volt, bezárta a karakterláncot, behelyezte a pontosvesszőt, majd betette az exec parancsba, amely akkor egy sorozatot tartalmazott, majd alapvetően casting parancs, hogy ezeket a számokat binárissá alakítsuk, majd ezeket leadjuk, viszont karakterértékekbe, majd végrehajtjuk azt. Tehát nem olyan, mintha látott volna valamit, amely azt mondta: „Törölje az indítást a termelési táblából”, valójában numerikus mezőkbe töltve, ami sokkal nehezebbé vált. És még ha egyszer meg is látta, hogy azonosítsa, mi történik, néhány valódi SQL felvételre volt szükség, hogy meg tudjam deríteni, mi történik, mire természetesen a munka már megtörtént.
Robin Bloor: És az egyik dolog, ami csak a jelenség a hackelés világában, az az, hogy ha valaki gyengeséget talál, és történik egy olyan szoftverben, amelyet általában eladtak, tudod, az egyik korai probléma a az adatbázis jelszava, amelyet megadtak egy adatbázis telepítésekor, sok adatbázis valójában csak alapértelmezés volt. És sok DBA egyszerűen soha nem változtatta meg, és ezért sikerült bejutni a hálózatba; csak kipróbálhatja ezt a jelszót, és ha jól működött, akkor csak nyert a lottón. És az az érdekes, hogy az összes információt nagyon hatékonyan és eredményesen terjesztik a darknet webhelyek hackelő közösségei között. És tudják. Tehát nagyjából megsemmisíthetik azt, ami odakint van, megtalálnak néhány példányt, és automatikusan eldobnak valamiféle hackelést, és belépnek. És azt hiszem, hogy sok ember, aki legalább Mindezek perifériáján, valójában nem értem, milyen gyorsan reagál a hackelési hálózat a sebezhetőségre.
Vicky Harp: Igen, ez ténylegesen felhoz egy másik dolgot, amelyet megemlítettem, mielőtt továbbmentem, ez a hitelesítő adatok kitöltésének fogalma, ami sokat felbukkan, ami az, hogy ha egyszer a személyi adatokkal ellopták valaki számára, , bármely helyszínen megkíséreljük ezeket a hitelesítő adatokat újra felhasználni. Tehát, ha duplikált jelszavakat használ, mondjuk, ha a felhasználók is, mondjuk úgy, akkor valaki valószínűleg hozzáférést kaphat azon keresztül, amely úgy tűnik, hogy egy teljesen érvényes hitelesítő adatkészlet. Tegyük fel, hogy ugyanazt a jelszót használtam az Amazon-on és a bankomnál, valamint egy fórumon, és a fórum szoftverét feltörték, nos, megvan a felhasználói nevem és a jelszavam. És akkor ugyanazt a felhasználónevet használhatják az Amazonon, vagy pedig a bankban használhatják. És ami a bankot illeti, ez egy teljesen érvényes bejelentkezés volt. Most már teljes mértékben meghatalmazott hozzáféréssel megtévesztő lépéseket tehet.
Tehát ez a fajta visszatér ahhoz, amit mondtam a belső jogsértésekről és a belső szokásokról. Ha olyan szervezeteiben vannak olyan emberek, akik ugyanazt a jelszót használják a belső hozzáféréshez, mint a külső hozzáféréshez, akkor lehetősége van arra, hogy valaki bejön, és megszemélyesít téged egy másik webhely megsértése miatt, amelyet nem erről sem tudni. És ezeket az adatokat nagyon gyorsan terjesztik. Vannak listák, azt hiszem, hogy a legutóbbi terhelés, amelyet Troy Hunt „megcsináltam”, azt mondta, fél milliárd mandátumkészlettel rendelkezik, vagyis - ha figyelembe vesszük a bolygón élő emberek számát - ez egy nagyon sok hitelesítő adat, amelyet rendelkezésre bocsátottak a hitelesítő adatok kitöltéséhez.
Tehát megyek egy kicsit mélyebben, és beszélek az SQL Server biztonságáról. Most azt akarom mondani, hogy nem akarok mindent megadni, amit tudnod kell az SQL Server biztonságához a következő 20 percben; ez kicsit magasnak tűnik. Tehát a kezdéshez azt szeretném mondani, hogy vannak online csoportok és online erőforrások, amelyeket biztosan Google-nak lehet, vannak könyvek, vannak bevált gyakorlati dokumentumok a Microsoft-on, van egy virtuális biztonsági fejezet az SQL Server hivatásos munkatársainak, a security.pass.org oldalon vannak, és úgy gondolom, hogy havonta internetes adásokkal és internetes adások rögzítésével is rendelkeznek, hogy átmutassák az SQL Server biztonságának valódi, alapos ismereteit. De ezek néhány olyan dolog, amiről én, adat szakemberekként, informatikai szakemberekként és DBA-kként beszélve, szeretném, ha tudná, hogy tudnia kell az SQL Server biztonságáról.
Tehát az első a fizikai biztonság. Tehát, ahogy korábban mondtam, a fizikai adathordozók lopása továbbra is rendkívül gyakori. És tehát a forgatókönyv, amelyet adtam a dev gépen, az adatbázis másolatával a dev gépen, amely ellopódik - ez egy rendkívül gyakori vektor, ez egy olyan vektor, amelyet tisztában kell lennie, és meg kell próbálnia fellépni ellen. Ugyanez vonatkozik a biztonsági mentés biztonságára is, tehát amikor minden adatot biztonsági másolatot készít, titkosítva kell biztonsági másolatot készíteni, biztonságos helyre. Sokszor ezeket az adatokat, amelyek valóban védettek voltak az adatbázisban, mihelyt elindulnak perifériára, dev-gépekre, tesztgépekre, kissé kevésbé óvatosak vagyunk a javítások iránt, vigyázzon az emberekre, akik hozzáférnek ehhez. A következő dolog, amit tudsz, titkosítatlan biztonsági másolatot készít a szervezeted nyilvános részvényén tárolt, sokféle ember számára elérhető felhasználásra. Tehát gondoljon a fizikai biztonságra, és éppen olyan egyszerűen, hogy fel tud lépni valaki, és csak helyezhet USB-kulcsot a szerverére? Nem szabad engedned ezt.
Következő tétel, amelyet szeretnék gondolkodni a platformbiztonsággal, azaz a legfrissebb operációs rendszerekkel, a legfrissebb javításokkal. Nagyon fárasztó, hogy az emberek azt hallják, hogy a Windows régebbi verzióin, az SQL Server régebbi verzióin való tartózkodásról beszélnek, és azt gondolják, hogy az egyetlen játékköltség a licencfrissítés költsége, amely nem ez a helyzet. Biztonsággal vagyunk, ez egy patak, amely folyamatosan megy le a dombról, és az idő múlásával további kihasználások találhatók. Ebben az esetben a Microsoft és adott esetben más csoportok is frissítik a régebbi rendszereket, és végül el fognak esni a támogatásból, és nem frissítik őket többé, mert ez csak egy soha véget nem érő folyamat a karbantartás.
Tehát támogatott operációs rendszeren kell lennie, és naprakésznek kell lennie a javításokon, és a közelmúltban azt találtuk, mint például az Árnyék Brokerek esetében, hogy a Microsoft bizonyos esetekben betekintést nyerhet a várható jelentős biztonsági szabálysértésekbe, még ezek előtt is. nyilvánosságra hozatalát a nyilvánosságra hozatalt megelőzően, ezért ne hagyja, hogy mindenki elcsavarodjon. Inkább nem veszem igénybe az állásidőt, inkább megvárom és elolvasom mindegyiket, és eldöntöm. Lehet, hogy nem tudja, hogy ennek az értéke, amíg néhány héttel később meg nem találja, miért derült ki ez a javítás. Tehát maradj ennek tetején.
A tűzfalat konfigurálnia kell. Megdöbbentő volt az SNB megsértése miatt, hogy hány ember futtatta az SQL Server régebbi verzióit, teljesen nyitott tűzfallal az internetre, így bárki be tudott lépni, és bármit megtehetett a szervereivel. Tűzfalat kell használnia. Az a tény, hogy időnként be kell állítania a szabályokat, vagy különleges kivételeket kell tennie a vállalkozásának módjára, rendkívül fizethető ár. Ellenőriznie kell az adatbázis-rendszerek felületét - együtt telepít szolgáltatásokat vagy webkiszolgálókat, mint például az IIS ugyanazon a gépen? Ugyanazon lemezterület megosztása, ugyanolyan memóriaterület megosztása, mint az adatbázisokkal és a személyes adatokkal? Próbáljon meg nem ezt tenni, próbálja izolálni, tartsa kisebb a felületét, hogy ne kelljen annyira aggódnia, hogy minden biztonságos legyen az adatbázis tetején. Fizikailag elválaszthatja azokat, felállíthatja, elválaszthatja őket, adhat magának egy kis lélegzetet.
Nem szabad, hogy mindenütt szuper adminisztrátorok futjanak, akik hozzáférhetnek minden adatához. Lehet, hogy az operációs rendszer adminisztrátori fiókjainak nem feltétlenül kell hozzáférniük az adatbázishoz vagy az adatbázisban található adatokhoz titkosítás útján, erről egy perc alatt beszélünk. És az adatbázis-fájlokhoz való hozzáféréshez ezt is korlátozni kell. Olyan hülye, ha azt mondanád, hogy valaki nem fér hozzá ezekhez az adatbázisokhoz az adatbázison keresztül; Az SQL Server önmagában nem engedi meg nekik, hogy hozzáférjenek hozzá, de ha körül tudnak menni, akkor készítsen egy másolatot az aktuális MDF fájlról, áthelyezi azt egyszerűen úgy, csatolja a saját SQL szerveréhez, még nem igazán teljesített sokkal.
Titkosítás, tehát a titkosítás az a híres kétirányú kard. A titkosításnak nagyon sokféle szintje van, amit az operációs rendszer szintjén meg lehet tenni, és az SQL és a Windows korszerű módja a BitLockernek, az adatbázis szintjén pedig TDE vagy átlátszó adattitkosításnak. Tehát, mindkettő ilyen módon megőrzi adatait nyugalomban. Ha adatait átfogóbb módon szeretné titkosítani, akkor titkosítva is megbánhat - bocsánat, máris léptem előre. Titkosított kapcsolatokat végezhet úgy, hogy amikor áthaladjon, akkor is titkosítva legyen, így ha valaki meghallgat, vagy ha egy ember támadás közepén van, akkor az adatok valamilyen védelmet élveznek a vezetéken keresztül. A biztonsági mentéseket titkosítani kell, amint mondtam, mások számára is elérhetők lehetnek, és ha azt szeretné, hogy a memóriában és a használat során titkosítva legyenek, oszlop-titkosítást kapunk, majd az SQL 2016 ezt a „mindig titkosítva ”, ahol valójában titkosítva van a lemezen, a memóriában, a huzalon, egészen az alkalmazásig, amely ténylegesen felhasználja az adatokat.
Most ez a titkosítás nem ingyenes: Van CPU fölött, néha az oszlop-titkosításhoz és az mindig titkosított esethez, a teljesítményre gyakorolt hatások az, hogy képesek vagy-e arra keresni ezeket az adatokat. Ez a titkosítás azonban, ha megfelelően össze van állítva, azt jelenti, hogy ha valaki hozzáférne az Ön adataihoz, akkor a károk jelentősen csökkennek, mert képesek voltak megszerezni őket, és akkor semmit sem tudnak tenni vele. A ransomware működése ugyanakkor az is, hogy valaki bemegy és bekapcsolja ezeket az elemeket, saját tanúsítvánnyal vagy saját jelszavával, és nincs rá hozzáférése. Ezért fontos, hogy megbizonyosodjunk arról, hogy ezt csinálod, és hozzáférhetsz hozzá, de nem adod meg, nyitva állhatsz mások és a támadók számára.
És akkor a biztonsági alapelvek - nem fogom ezt megkérdezni, de ügyelj arra, hogy minden felhasználó ne futtasson szuper adminként az SQL Server-en. Lehet, hogy a fejlesztõk szeretnék, különbözõ felhasználók kérhetik - frusztráltak, ha hozzáférést kérnek egyes tételekhez -, de körültekintõnek kell lenni errõl, és bár lehet, hogy bonyolultabb, hozzáférést kell adnia az objektumokhoz és az adatbázisok és a sémák, amelyek érvényesek a folyamatban lévő munkára, és van egy különleges eset, esetleg ez azt jelenti, hogy egy speciális bejelentkezés, ez nem feltétlenül jelenti a jogok kibővítését az átlagos esetfelhasználó számára.
És akkor vannak olyan jogszabályi megfelelési megfontolások, amelyek ezt összehangolják, és egyes esetek valójában valójában a maga módján indulnak el - tehát van HIPAA, SOX, PCI -, vannak ezek a különféle megfontolások. És amikor elvégzi az ellenőrzést, várhatóan megmutatja, hogy intézkedéseket tesz annak érdekében, hogy ennek megfeleljen. Tehát ezt nagyon sok nyomon kell követni, azt mondanám, mint egy DBA tennivalók listáját, és megpróbálsz biztosítani a fizikai titkosítás biztonságát, és megpróbálod biztosítani, hogy az adatokhoz való hozzáférés ellenőrzésre kerüljön. a megfelelőségi célokra, ügyelve arra, hogy az érzékeny oszlopok tudják, hogy mi vannak, hol vannak, melyeket titkosítsák és figyeljék a hozzáférést. És ellenőrizze, hogy a konfigurációk összhangban vannak-e az Ön által szabályozott iránymutatásokkal. És ezt mindent naprakészen kell tartania, ahogy a dolgok változnak.
Szóval nagyon sok tennivaló van, és tehát, ha csak ott hagynám, azt mondanám, hogy menjen! De ehhez nagyon sokféle eszköz létezik, és így, ha az elmúlt néhány percben megkíséreltem, meg akartam mutatni neked néhány eszközt, amelyek az IDERA-nál rendelkeznek. És azokról a kétről, amelyekről ma beszélni akartam, az SQL Secure és az SQL Compliance Manager. Az SQL Secure az eszköz, amely segít meghatározni a konfigurációs sérülékenységeket. Biztonsági politikája, felhasználói engedélyei, felületének konfigurációi. És rendelkezik sablonokkal, amelyek segítenek a különböző szabályozási keretek betartásában. Ez önmagában az utolsó sor lehet az oka annak, hogy az emberek fontolgassák. Mivel a különféle rendeletek átolvasása és a PCI azonosítása, majd az üzletben lévő SQL Server-hez való átvitele, ez sok munka. Ez olyasmi, amire sok tanácsadói pénzt fizethetne; elmentünk és elvégeztük azt a tanácsadást, együtt dolgoztunk a különféle könyvvizsgáló cégekkel stb., hogy kitaláljuk, mi ezek a sablonok - valami, ami valószínűleg átadja az ellenőrzést, ha ezek a helyükön vannak. És akkor használhatja ezeket a sablonokat, és megnézheti őket a környezetében.
Van még egyfajta testvér eszköz az SQL Compliance Manager formájában, és itt áll az SQL Secure a konfigurációs beállításokkal kapcsolatban. Az SQL Compliance Manager arról szól, hogy megtudta, mit és mikor tettek. Tehát ez a könyvvizsgálat, így lehetővé teszi a tevékenység nyomon követését, amint bekövetkezik, és lehetővé teszi, hogy felfedezzék és nyomon követhessék, ki fér hozzá a dolgokhoz. Valaki, akinek a prototípusos példája egy híresség, bekerült a kórházba, valakit csak a kíváncsiságból keresett és keresett információt? Van okuk erre? Vessen egy pillantást az ellenőrzési előzményekre, és megnézheti, mi folyik, ki fér hozzá ezekhez a nyilvántartásokhoz. És meg tudja állapítani, hogy vannak olyan eszközei, amelyek segítenek az érzékeny oszlopok azonosításában, így nem feltétlenül kell mindent átolvasnia és elvégeznie.
Tehát, ha megengedi, megyek és megmutatom néhány eszközét az elmúlt néhány percben - és kérlek, ne vegye ezt mélyreható demonstrációnak. Termékmenedzser vagyok, nem pedig értékesítési mérnök, ezért megmutatom néhány dolgot, amelyek véleményem szerint relevánsak ebben a beszélgetésben. Tehát ez az SQL Secure termékünk. És amint itt láthatod, kaptam egy ilyen magas szintű jelentéskártyát. Azt hiszem, tegnap futottam el ezzel. És megmutatja nekem néhány olyan dolgot, amelyeket nincs megfelelően beállítva, és néhányat, amelyek nem megfelelően vannak beállítva. Tehát láthatja, hogy nagyon sok, több mint 100 különböző ellenőrzés létezik, amelyeket itt elvégeztünk. És látom, hogy a biztonsági mentésemben használt titkosításomat a biztonsági másolatokon készítettem, nem használtam biztonsági mentési titkosítást. Az SA-fiókomat, amely kifejezetten „SA-fiók” elnevezésű, nem tiltjuk le vagy nevezjük át. A nyilvános kiszolgálói szerepkör engedéllyel rendelkezik, tehát ezeket érdemes változtatni.
Itt állítottuk fel a házirendet, tehát ha új házirendet szeretnék beállítani, hogy a kiszolgálóimra érvényesek legyenek, megvan mindezek a beépített irányelvek. Tehát használom egy meglévő irányelv sablont, és láthatja, hogy CIS, HIPAA, PCI, SR és folyamatban van, és valójában folyamatosan folyamatosan bővítünk további irányelveket, azokra a dolgokra alapozva, amelyekre az embereknek szükségük van a helyszínen . És létrehozhat egy új irányelvet is, tehát ha tudja, hogy mit keres az auditor, akkor saját maga is elkészítheti. És akkor, amikor ezt megteszi, választhat ezek közül a különféle beállítások közül, amelyek közül néhányat be kell állítania, amelyekre van szüksége - hadd menjek vissza, és keressem az egyik előre elkészített beállítást. Ez kényelmes, választhatom, mondjuk, a HIPAA-t - már megvan a HIPAA, a rosszom - a PCI-t, majd amikor ide kattintom, valójában látom a külső kereszthivatkozást a az ezzel kapcsolatos szabályozás. Tehát ez később segít, amikor megpróbálja kitalálni, miért állítom ezt? Miért próbálok ezt megnézni? Melyik szakaszhoz kapcsolódik ez?
Ehhez egy szép eszköz is van, amely lehetővé teszi, hogy belépjen és böngészje a felhasználókat, tehát az egyik trükkös dolog a felhasználói szerepkörök felfedezésében az, hogy valójában itt megnézem. Tehát, ha megmutatom az engedélyem, lássuk, válasszunk itt egy felhasználót. Mutassa engedélyeket. Látom a kiszolgálóhoz hozzárendelt engedélyeket, de akkor ide kattintva kiszámolhatom a tényleges engedélyeket, és megkapom a teljes listát az alapján, tehát ebben az esetben ez admin, tehát nem olyan izgalmas, de Átmentem és kiválaszthattam a különféle felhasználókat, és megnézhettem, mi a tényleges engedélyük az összes különféle csoport alapján, amelyekhez tartozhatnak. Ha valaha is megpróbálja egyedül ezt megtenni, valójában kicsit nehézséget okozhat, hogy kitaláljuk, oké, ez a felhasználó ezeknek a csoportoknak a tagjai, és így ezekhez a csoportokhoz hozzáférhet stb.
Tehát, hogy ez a termék működjön, pillanatfelvételeket készít, tehát valóban nem egy nagyon nehéz folyamat, hogy rendszeresen készítsen pillanatfelvételt a szerverről, majd idővel megőrzi ezeket a pillanatképeket, hogy összehasonlíthassa a változásokat. Tehát ez nem a folyamatos nyomon követés a hagyományos értelemben, mint például egy teljesítményfigyelő eszköz; ez olyasmi, amelyet beállíthatott, hogy egyszer futtasson éjszakánként, hetente egyszer - bár gyakran gondolja, hogy érvényes - úgy, hogy amikor csak elemzi, és egy kicsit többet csinálsz, valójában csak az eszközünkön dolgozik. Annyira nem kapcsolódik vissza a szerverhez, tehát ez egy nagyon szép kis eszköz, amellyel együtt dolgozhat az ilyen statikus beállítások betartása érdekében.
A másik eszköz, amelyet meg akarok mutatni, a Compliance Manager eszköz. A megfelelőségkezelő folyamatosabb figyelemmel kíséri. És látni fogja, hogy ki mit csinál a szerveren, és lehetővé teszi, hogy átnézze. Szóval, amit itt csináltam, az elmúlt néhány órában, valójában megpróbáltam kicsi problémákat felhozni. Tehát itt van, van-e probléma vagy sem, talán tudok róla, valaki valójában létrehozott egy bejelentkezést és hozzáadta azt a szerver szerephez. Tehát ha bemegyek és megnézem ezt, láthatom - azt hiszem, nem tudok jobb kattintással odafigyelni, mi folyik itt. Tehát ez az irányítópultom, és kicsit korábban látom, hogy számos sikertelen bejelentkezéssel voltam. Volt egy csomó biztonsági tevékenység, DBL tevékenység.
Tehát hadd menjek át az ellenőrzési eseményeimre, és vessünk egy pillantást. Itt az ellenőrzési eseményeim kategóriák és célobjektumok szerint vannak csoportosítva, tehát ha korábban megnézem ezt a biztonságot, láthatom a DemoNewUser alkalmazást, ez a szerver létrehozása bejelentkezési esemény történt. Látom, hogy a bejelentkezési SA létrehozta ezt a DemoNewUser fiókot, itt, 14:42-kor. És aztán látom, hogy viszont adjunk be bejelentkezést a kiszolgálóra, ezt a DemoNewUser felhasználót hozzáadtuk a kiszolgáló admin csoportjához, és hozzáadtuk a A rendszergazdai beállításokkal felveszik őket a sysadmin csoportba. Szóval, ez valami, amit szeretnék tudni, hogy történt. Azt is beállítottam, hogy a tábláimban lévő érzékeny oszlopokat nyomon kövessék, így láthatom, ki fér hozzá.
Tehát itt van néhány válogatott, amelyek a kalandművekből kerültek a személyem asztalomra. Megnézhetek egy pillantást arra, hogy a Kalandművek tábláján szereplő SA SA a tíz legjobban kiválasztott csillagot választotta az ember ponttól. Tehát a szervezetemben valószínűleg nem akarom, hogy az emberek pontonként jelöljenek ki csillagokat, vagy csak bizonyos felhasználók elvárják, hogy ezt tegyék, és ezért itt látom. Tehát - amit az auditálásához szüksége van, ezt a keret alapján állíthatjuk be, és ez egy kicsit intenzívebb eszköz. A verziótól függően SQL Trace vagy SQLX eseményeket használ. És ez olyasmi, amire a kiszolgálón van némi előtér, hogy elférjen, de ez egyike ezeknek a dolgoknak, például a biztosításnak, ami jó, ha nem kellett volna autóbiztosítással rendelkezni - ez egy költségeket, amelyeket nem kellene elviselnünk, de ha van olyan szervere, ahol nyomon kell követnie, hogy ki mit csinál, akkor lehet, hogy van egy kicsit extra helyiség és egy ehhez hasonló eszköz ehhez. Függetlenül attól, hogy szerszámunkat használja, vagy önmagát gördíti be, végső soron Ön lesz a felelős azért, hogy ezeket az információkat a jogszabályok betartása céljából megkapja.
Tehát, mint mondtam, nem egy mélyreható bemutató, csak egy gyors, kis összefoglaló. Ezenkívül egy gyors, kevés ingyenes eszközt akartam mutatni Önnek ezen SQL oszlopkeresés formájában, amely felhasználható annak meghatározására, hogy a környezetében mely oszlopok érzékeny információk. Szóval számos olyan keresési konfigurációval rendelkezik, ahol az oszlopok különféle nevét keresi, amelyek általában érzékeny adatokat tartalmaznak, majd megkaptam az azonosított teljes listájukat. Nekem 120 van, majd exportáltam ide, hogy felhasználhassam őket, mondván: menjünk nézzünk és győződjünk meg arról, hogy nyomon követem a középső névhez, az egy személyhez tartozó személy vagy a forgalmi adót arány stb.
Tudom, hogy itt vagyunk az időnk végén. És ez az egész, amit valójában meg kellett mutatnom neked, tehát vannak kérdéseim nekem?
Eric Kavanagh: Van néhány jó neked. Hadd görgessek fel itt. Az egyik résztvevő egy igazán jó kérdést tett fel. Közülük az egyik a teljesítményadóval foglalkozik, tehát tudom, hogy az megoldásonként változik, de van-e általános elképzelése arról, hogy mi a teljesítményadó az IDERA biztonsági eszközök használatáért?
Vicky Harp: Tehát az SQL Secure rendszeren, mint mondtam, nagyon alacsony, csak alkalmi pillanatképeket készít. És még ha gyakran is fut, statikus információkat kap a beállításokról, és ezért nagyon alacsony, szinte elhanyagolható. A Compliance Manager szempontjából ez a következő:
Eric Kavanagh: Mint egy százalék?
Vicky Harp: Ha százalékértéket kellene adnom, igen, az egy százalék vagy annál alacsonyabb lenne. Alapvető információ az SSMS használatának sorrendjéről, a biztonsági lapon való belépésről és a dolgok kibővítéséről. A megfelelőség oldalán ez sokkal magasabb - ezért mondtam, hogy szüksége van egy kis helyiségre - olyan, mintha jóval meghaladná a teljesítményfigyelés szempontjából. Most nem akarom elriasztani az embereket tőle, ez a trükk a megfelelőség figyelésével, és ha ez az ellenőrzés, akkor ellenőrizze, hogy csak azt ellenőrzi, amiben fog cselekedni. Tehát, amint kiszűri, hogy azt mondja: „Hé, szeretném tudni, mikor férnek hozzá az emberek ehhez a táblázathoz, és azt akarom tudni, hogy mikor férnek hozzá az emberek ehhez a művelethez”, akkor az alapja az lesz, hogy milyen gyakran ezek a dolgok történik, és mennyi adatot generál. Ha azt mondod: „Azt akarom, hogy a SQL minden szövegének teljes SQL-szövege megjelenjen, amely valaha is megtörténik ezen táblázatok bármelyikén”, ez valószínűleg gigabájt és gigabájtnyi adat lesz, amelyet az SQL Server tárolnia kell, a tárolt termékre költözve, stb.
Ha lecsökkenti - ez szintén több információ lesz, mint amennyivel valószínűleg foglalkozna. Ha le tudná vinni egy kisebb készletre, és így napi pár száz eseményt kapna, akkor ez nyilvánvalóan sokkal alacsonyabb. Tehát bizonyos értelemben az ég a határ. Ha bekapcsolja az összes beállítást az összes megfigyelésnél, akkor igen, ez 50 százalékos teljesítményt fog eredményezni. De ha ezt valamiféle mérsékelt, átgondolt szintre állítja, akkor talán 10% lenne a szemgolyó? Valójában ez egy olyan dolog, amely nagyon függ a munkaterhelésétől.
Eric Kavanagh: Igen, igaz. Van még egy kérdés a hardverrel kapcsolatban. Aztán ott vannak hardvergyártók, akik bekerülnek a játékba, és valóban együttműködnek a szoftvergyártókkal, és én válaszoltam a Kérdések és válaszok ablakon. Tudok egy olyan esetet, amikor Cloudera együttműködik az Intel-rel, ahol az Intel ilyen óriási beruházást hajtott végre bennük, és a kalkulus része az volt, hogy Cloudera korai hozzáférést kap a chip-tervezéshez, és így biztonságot tud feltenni a építészet, ami elég lenyűgöző. De mindazonáltal ez valami, ami oda fog menni, és amelyet mindkét fél kihasználhat. Ismeri-e a hardver-gyártók olyan tendenciáit vagy hajlamait, hogy a biztonsági protokollal együttműködve működjenek együtt a szoftvergyártókkal?
Vicky Harp: Igen, valójában azt gondolom, hogy a Microsoft együttműködött annak érdekében, hogy a titkosítási munkák némelyikének memóriaterülete valójában az alaplapok különálló chipein történjen, amelyek külön vannak a fő memóriájuktól, így néhány e cuccok fizikailag elválasztottak. És azt hiszem, hogy ez valójában a Microsoft részéről érkezett, amikor azt mondták a gyártóknak, hogy mondják: „Tudunk-e kidolgozni egy módszert ennek létrehozására, alapvetően ez egy nem címzett memória, egy puffer túlcsordulás útján nem tudom elérni ezt az emlékezetet, mert bizonyos értelemben még ott sem van, tehát tudom, hogy ennek néhány történik. ”
Eric Kavanagh: Igen.
Vicky Harp: Ez valószínűleg valóban nagy eladó lesz, valószínűleg.
Eric Kavanagh: Igen. Kíváncsi vagyok ezt figyelni, és talán Robin, ha van egy gyors másodperc, kíváncsi lennék arra, hogy megismerjem az évek során szerzett tapasztalatait, mert a hardver szempontjából, a tényleges anyagtudomány szempontjából is, ami megy a gyártó oldaláról, hogy ez az információ mindkét oldalra eljuthat, és elméletileg meglehetősen gyorsan mindkét oldalra megyünk, tehát van valami módja a hardver gondosabb felhasználására, tervezési szempontból a biztonság fokozására? Mit gondolsz? Robin, néma vagy?
Robin Bloor: Igen, igen. Sajnálom, itt vagyok; Csak gondolkodom a kérdésen. Hogy őszinte legyek, nem kaptam véleményt, ez egy olyan terület, amelyet nem vizsgáltam meg alapos mélységben, tehát olyan vagyok, tudod, kitalálhatok egy véleményt, de nem igazán tudom. Inkább azt szeretném, ha a szoftverek biztonságosak lennének, alapvetően ez az, amellyel játszom.
Eric Kavanagh: Igen. Nos, emberek, egy órán át megégettünk és itt változottunk. Nagyon köszönöm Vicky Harp-nak idejét és figyelmét - minden időt és figyelmet; Nagyra értékeljük, hogy megjelenik ezeknél a dolgoknál. Nagy ügy; hamarosan nem fog menni. Ez egy macska és egér játék, amely folyamatosan megy és megy és megy. És ezért hálásak vagyunk annak, hogy néhány vállalat ott van, a biztonság lehetővé tételére összpontosítva, de amint Vicky az előadásában még egy kicsit utalt és beszélt róla, a nap végén a szervezetekben dolgozó embereknek nagyon gondosan kell gondolkodniuk ezekről az adathalász támadásokról, az ilyen szociális mérnöki tervekről, és tartsa meg a laptopjainkat - ne hagyja a kávézóban! Cserélje ki a jelszavát, hajtsa végre az alapokat, és oda fogja jutni az út 80 százalékát.
Szóval, emberekkel, búcsút fogunk köszönetet mondani, még egyszer köszönöm az idejét és figyelmét. Legközelebb utolérjük, vigyázunk. Viszlát.
Vicky Harp: Viszlát, köszönöm.