A Techopedia munkatársai, 2016. október 27
Elvihető: Eric Kavanagh házigazda megvitatja az adatbázis biztonságát Robin Bloor, Dez Blanchfield és az IDERA Ignacio Rodriguez közreműködésével.
Jelenleg nincs bejelentkezve. Kérjük, jelentkezzen be vagy jelentkezzen be a videó megtekintéséhez.
Eric Kavanagh: Üdvözlet és ismét üdvözlöm a Hot Technologies-t. A nevem Eric Kavanagh; Ma a webcast közvetítője vagyok. Ez egy forró téma, és soha nem lesz forró téma. Ez most forró téma, őszintén szólva, az összes megsértés miatt, amelyről hallunk, és garantálhatom, hogy soha nem fog eltűnni. Tehát a mai téma, a műsor pontos címe, amelyet mondanom kell: „Az új normál: A biztonságos világ valóságának kezelése.” Pontosan ezzel foglalkozunk.
Itt van a házigazda, igazán a tiéd. Néhány évvel ezelőtt, ne feledje, valószínűleg frissítenem kell a fotómat; ez volt 2010. Az idő repül. Küldjön e-mailt, ha javaslatokat szeretne tenni. Tehát ez a szokásos „forró” diánk a Hot Technologies számára. A show teljes célja valójában egy adott hely meghatározása. Tehát ma természetesen a biztonságról beszélünk. Nagyon érdekes szöget vetünk rá, valójában az IDERA barátainkkal.
És rámutatok, hogy Ön, mint közönség tagunk, jelentős szerepet játszik a programban. Kérem, ne légy félénk. Küldjön nekünk kérdést bármikor, és sorba állítjuk a kérdéseket és válaszokat, ha elég időnk van rá. Jelenleg három ember működik online, Dr. Robin Bloor, Dez Blanchfield és Ignacio Rodriguez, akik egy ismeretlen helyről hívnak be. Tehát először is, Robin, te vagy az első műsorvezető. Átadom neked a kulcsokat. Elvenni.
Dr. Robin Bloor: Oké, köszönöm, Eric. Adatbázis biztosítása - Azt hiszem, azt mondhatnánk, hogy valószínűsíthető, hogy egy adatbázisban a legértékesebb adatok vannak, amelyeket valamelyik vállalat ténylegesen elnököl. Tehát van egy sor biztonsági kérdés, amelyekről beszélhetnénk. De amit gondoltam, az az adatbázis biztonságának témája. Nem akarok semmit elvonni az Ignacio által bemutatott előadástól.
Tehát kezdjük azzal, hogy az adatbiztonságot statikus célpontnak gondoljuk, de nem az. Ez egy mozgó célpont. És ezt nagyon fontos megérteni abban az értelemben, hogy a legtöbb ember informatikai környezete, különösen a nagyvállalatok informatikai környezete, folyamatosan változik. És mivel folyamatosan változnak, a támadási felület, azok a területek, ahol valaki valamilyen módon, akár belülről, akár kívülről megpróbálhatja veszélyeztetni az adatbiztonságot, folyamatosan változik. És ha valami hasonlót csinál, frissít egy adatbázist, fogalma sincs arról, hogy csak ezzel hozott létre valamilyen sebezhetőséget magad számára. De nem ismeri, és soha nem tudhat meg mindaddig, amíg valami gonosz meg nem történik.
Rövid áttekintés található az adatbiztonságról. Először is, az adatlopás nem új, és az értékes adatokat célozzák meg. Általában könnyű egy szervezet számára kidolgozni, hogy milyen adatokkal kell a legnagyobb védelmet biztosítaniuk. Furcsa tény, hogy az elsőt, vagy azt, amelyet mi elsőnek tekinthetünk, a brit hírszerzés épített a második világháború alatt, egy cél szem előtt tartásával, és az adatok ellopása volt a német kommunikációból.
Tehát az adatlopás már az indulása óta nagyrészt része az informatikai iparnak. Az internet születésével sokkal súlyosabb lett. Néztem egy naplót azokról az adatsértésekről, amelyek évről-évre fordultak elő. És a szám 2005-re 100 felett meghaladta, és attól kezdve ez évről évre egyre rosszabb lett.
Nagyobb mennyiségű adat lopott el, és több hackelés zajlik. És ezekről a hackekről számoltak be. Nagyon sok olyan esemény fordul elő, amelyben a cég soha nem mond semmit, mert semmi nem kényszeríti valamit mondani. Tehát ez csendes marad. A hackelés-üzletben sok szereplő van: kormányok, vállalkozások, hackerek csoportjai, magánszemélyek.
Egy dolgot, amelyet érdemes megemlíteni, amikor Moszkvába mentem, azt gondolom, hogy valamikor körülbelül négy évvel ezelőtt egy szoftverkonferencia volt Moszkvában, beszéltem egy újságíróval, aki az adathakkolás területére szakosodott. És azt állította - és biztos vagyok benne, hogy igaza van, de nem ismerem más, mint ő az egyetlen személy, aki valaha is említette nekem, de - létezik egy orosz üzlet, az Orosz üzleti hálózat néven, valószínűleg van egy orosz név, de azt hiszem, ez az angol fordítás, amelyet valójában hackelésre használtak.
Tehát ha a világ bármely részén nagy szervezet vagy, és valamit meg akar tenni a verseny károsítása érdekében, felveheti ezeket az embereket. És ha ezeket az embereket felveszi, akkor nagyon valószínűsíthető, hogy lelkesedik arról, hogy ki mögött állt a csapkod. Mert ha egyáltalán felfedezzék, ki mögött áll a csapkod, akkor az azt jelzi, hogy valószínűleg valaki Oroszországban tette ezt. És nem fog kinézni, ahogy megpróbálta károsítani egy versenytársat. És azt hiszem, hogy az orosz üzleti hálózatot valójában a kormányok bérelték fel, hogy például bankokba csapkodjanak, és megpróbálják megtudni, hogyan mozognak a terrorista pénzek. És ezt a kormányok valószínűsíthetetlenséggel teszik, akik soha nem fogják beismerni, hogy valójában valaha is tették ezt.
A támadás és a védelem technológiája fejlődik. Rég régen a Chaos Clubba jártam. Ez egy németországi webhely, ahol regisztrálhat, és csak követheti különféle emberek beszélgetéseit, és megnézheti, mi áll rendelkezésre. És amikor megvizsgáltam a biztonsági technológiát, azt gondolom, 2005 körül. És csak azért tettem, hogy megnézem, mi volt akkoriban, és az a dolog, ami meghökkent, a vírusok száma volt, ahol alapvetően nyílt forráskódú rendszer volt. Folyamatban voltam, és az emberek, akik vírusokat írtak, vagy továbbfejlesztett vírusokat, csak felragasztották a kódot, hogy bárki felhasználhassa. És abban az időben számomra történt, hogy a hackerek nagyon, nagyon okosak lehetnek, de nagyon sok olyan hackerek vannak, amelyek nem feltétlenül okosak, de intelligens eszközöket használnak. És ezek közül az eszközök közül néhány rendkívül okos.
És itt a végső pont: a vállalkozások kötelesek gondoskodni adataikról, függetlenül attól, hogy birtoklik-e vagy sem. És azt hiszem, ez egyre inkább megvalósul, mint régen. És egyre inkább, mondjuk, drága az, hogy egy vállalkozás ténylegesen átalakul. A hackerek vonatkozásában bárhol megtalálhatók, és valószínűleg nehéz az igazságszolgáltatás elé állítása akkor is, ha megfelelően azonosítják őket. Sokan nagyon képzettek. Jelentős erőforrások, botnetek vannak mindenütt. A közelmúltbeli DDoS támadás úgy vélte, hogy több mint egy milliárd eszközről származik. Nem tudom, hogy ez igaz-e, vagy csak egy kerek számot használó újságíró, de minden bizonnyal nagyszámú robot eszközt használtak támadásra a DNS-hálózat ellen. Van néhány nyereséges vállalkozás, vannak kormányzati csoportok, vannak gazdasági háborúk, vannak számítógépes háborúk, minden ott zajlik, és ez valószínűtlen, azt hiszem, azt gondoltuk, hogy a kiállítási műsorban mondtuk, ez valószínűleg soha nem fog véget érni.
Megfelelés és előírások - számos dolog folytatódik. Sok megfelelőségi kezdeményezés létezik ágazatspecifikus, tudod - a gyógyszeriparban, a banki vagy az egészségügyi ágazatban - lehetnek speciális kezdeményezések, amelyeket az emberek követhetnek, különféle bevált gyakorlatok. De vannak olyan hivatalos rendeletek is, amelyek - mivel törvények - büntetést szabnak ki mindenki számára, aki megsérti a törvényt. Az amerikai példák a HIPAA, SOX, FISMA, FERPA, GLBA. Van néhány szabvány, a PCI-DSS szabvány a kártyagyártók számára. Az ISO / IEC 17799 azon alapul, hogy megpróbálják elérni a közös szabványt. Ez az adatok tulajdonjoga. A nemzeti szabályozások országonként eltérnek, még Európában is, vagy lehet, mondhatnánk, különösen Európában, ahol ez nagyon zavaró. És létezik egy GDPR, egy globális adatvédelmi rendelet, amelyet jelenleg tárgyalnak Európa és az Egyesült Államok között annak érdekében, hogy megkíséreljék harmonizálni a rendeleteket, mivel rengeteg olyan létezik, általában valójában nemzetközi, és vannak olyan felhőalapú szolgáltatások, amelyek ne gondolja, hogy adatai nemzetköziek voltak, de nemzetközivé váltak, amint a felhőbe ment, mert az országából költözött. Tehát ezek egy olyan szabályozáskészlet, amelyről az adatvédelemmel kapcsolatban valamilyen módon tárgyalnak. És ennek nagy része köze van az egyén adataihoz, amely természetesen nagyjából az összes személyazonossági adatot tartalmazza.
Gondolkodni kell: adatbázis sérülékenységei. Van egy lista a sebezhetőségről, amelyet az adatbázis-gyártók ismertek és jelentettek, amikor a lehető leggyorsabban felfedezték és javították őket, tehát mindez elérhető. Vannak dolgok, amelyek ehhez kapcsolódnak a sebezhető adatok azonosítása szempontjából. Az egyik legnagyobb és legsikeresebb fizetési adatok feltörését egy fizetéskezelő cégnek végezték. Ezt később átvették, mert felszámolás alá kellett vonni, ha nem, de az adatokat nem lopták el egyetlen működési adatbázisból sem. Az adatokat ellopták egy teszt adatbázisból. Éppen így történt, hogy a fejlesztők éppen az adatok egy részhalmazát vették fel, amely valós adatok volt, és bármilyen védelem nélkül felhasználták őket egy teszt adatbázisba. A teszt adatbázist feltörték, és rengeteg ember személyes pénzügyi adatait vették abból.
A biztonsági politika, különös tekintettel az adatbázis-hozzáférés biztonságára, ki tudja olvasni, ki írhat, ki adhat engedélyt, vagy bárki megkerülheti ezt? Akkor természetesen az adatbázisokból származó titkosítások ezt lehetővé teszik. A biztonság megsértésének költségei vannak. Nem tudom, hogy ez szokásos gyakorlat-e a szervezeteken belül, de tudom, hogy egyesek, mint például a biztonsági tisztviselők, megpróbálják a vezetőkhöz valamilyen elképzelést adni arról, hogy mekkora költségekkel jár egy biztonsági szabálysértés, mielőtt megtörténik, nem pedig utána. És nekik, valamilyen módon, ezt meg kell tenniük annak érdekében, hogy megbizonyosodjanak arról, hogy a költségvetés megfelelő összegét megkapják-e, hogy megvédjék a szervezetet.
És akkor a támadás felszíne. A támadás felülete folyamatosan növekszik. Évről évre tűnik a támadás felszíne. Tehát összefoglalva: a tartomány egy másik pont, de az adatbiztonság általában a DBA szerepének része. Az adatbiztonság ugyanakkor együttműködési tevékenység is. Ha biztonságot csinál, akkor teljes ismerettel kell rendelkeznie a szervezet egészének biztonsági védelméről. És ehhez vállalati politikára van szükség. Ha nincs vállalati politika, akkor csak részleges megoldásokkal kell szembenéznie. Tudod, a gumiszalag és a műanyag próbálkozik a biztonság megállításának megakadályozására.
Tehát miután ezt mondtam, azt hiszem átadom Deznek, aki valószínűleg különféle háborús történeteket fog mondani neked.
Eric Kavanagh: Vedd el, Dez.
Dez Blanchfield: Köszönöm, Robin. Ez mindig nehéz cselekedet. A spektrum ellentétes végéről fogok itt jönni, csak azt hiszem, megismernénk az Ön előtt álló kihívás mértékét, és miért kellene többet tennie, mint hogy csak üljünk fel és figyeljünk erre. . A kihívás, amelyet most szembesülünk a skálával, a mennyiséggel és a hangerővel, amellyel ezek a dolgok történnek, az, hogy azt a dolgot, amelyet most a helyszínen hallok, sok CXO-val, nem csak a CIO-val, de természetesen A CIO-k azok, akik ott tartózkodnak, ahol a dollár megáll, úgy vélik, hogy az adatok megsértése gyorsan normává válik. Ez olyasmi, amire szinte számítanak. Tehát ezt a szempontot tekintik erről: „Oké, nos, ha megsértünk - ha nem -, amikor megsértünk, mit kell tennünk erről?” És akkor a beszélgetések körül kezdődnek, mit csinálnak a hagyományos élkörnyezetben és útválasztókban, kapcsolókban, szerverekben, behatolás-észlelés, behatolás-ellenőrzés? Mit csinálnak maguk a rendszerek? Mit csinálnak az adatokkal? És akkor az egész visszatér arra, amit tett az adatbázisukkal.
Hadd érintsek meg néhány példát ezekre a dolgokra, amelyek megragadták az emberek sok képzeletét, majd egyfajta részletekbe foglalják őket. Tehát azt hallottuk a hírben, hogy a Yahoo - talán a legtöbb ember, amelyet hallottak - körülbelül félmillió, de valójában kiderül, hogy nem hivatalosan inkább egy milliárdnak felel meg -, hárommilliárd külföldi számot hallottam, de ez majdnem a világ népességének fele, tehát azt hiszem, ez egy kicsit magas. De a releváns terek számos népe igazolta, hogy úgy vélik, hogy alig több mint egy milliárd felvétel történt a Yahoo-ból. És ez csak egy elképesztő szám. Most néhány játékos úgy néz ki és gondolkodik, nos, csak webmail-fiókok, nem nagy ügy, de ehhez hozzáteszi azt a tényt, hogy sok ilyen webmail-fiók és egy furcsaan magas szám, a vártnál nagyobb szám, valójában fizetett számla. Itt helyezik el az emberek hitelkártya-adataikat, és fizetnek a hirdetések eltávolításáért, mert unatkoznak a hirdetésekre, és így havonta 4 vagy 5 dollár hajlandóak megvásárolni egy webmail és felhőalapú tárolási szolgáltatást, amelyen nincs hirdetés, és én is egy ilyen vagyok, és három különböző szolgáltatónál kaptam meg ezt, ahol bedugom a hitelkártyámat.
Tehát akkor a kihívás egyre nagyobb figyelmet kap, mivel nem csak valami, ami odakinn egy sor, amelyben azt mondják: „Ja, a Yahoo elvesztette, mondjuk, 500 és 1000 millió közötti számlát.” Nagyon hangosak, és a webmail fiókok, de a hitelkártya adatai, keresztnév, vezetéknév, e-mail cím, születési dátum, hitelkártya, PIN-kód, amit csak akar, jelszavak, és ezután sokkal félelmetesbb fogalommá válik. És ismét az emberek azt mondják nekem: „Igen, de ez csak webszolgáltatás, csak webmail, nem nagy ügy.” És aztán azt mondom: „Igen, nos, a Yahoo számlát valószínűleg a Yahoo pénzszolgáltatásokban is használták vásárláshoz. és eladni részvényeket. ”Akkor még érdekesebbé válik. És amikor elkezdesz belemélyedni, rájössz, hogy oké, ez valójában több, mint pusztán anyukák és apukák otthon, és a tinédzserek, üzenetküldő fiókokkal, ez valójában valami olyan, ahol az emberek üzleti tranzakciókat folytatnak.
Szóval ez a spektrum egyik vége. A spektrum másik vége az, hogy egy nagyon kicsi, általános gyakorlati egészségügyi szolgáltatónál Ausztráliában körülbelül 1000 rekordot loptak el. Belső munka volt, valaki távozott, csak kíváncsi voltak, kijöttek az ajtón, ebben az esetben egy 3, 5 hüvelykes hajlékonylemez volt. Nem sokkal ezelőtt volt - de elmondhatjuk a média korszakát -, de a régi technológián dolgoztak. De kiderült, hogy az adatokat azért vették, mert csak kíváncsi voltak arra, ki ott volt. Mert nagyon sok ember volt ebben a kis városban, amely a nemzeti fővárosunk volt, és politikusok voltak. És azt érdekli, hogy ki volt ott és hol volt az életük, és mindezek a fajta információk. Tehát egy nagyon kicsi, belsőleg elkövetett adatok megsértésével az ausztrál kormány részéről lényegesen sok politikus állítólag a nyilvánosság körében volt.
Itt van a spektrum két különböző vége, amelyet meg kell fontolni. Most a valóság az, hogy ezeknek a dolgoknak a puszta skálája meglehetősen megdöbbentő, és kaptam egy diát, amelyre nagyon-nagyon gyorsan oda fogunk ugrani. Van néhány olyan webhely, amely mindenféle adatot felsorol, de ez egy olyan biztonsági szakember szakemberétől származik, akinek volt egy olyan weboldala, ahol megkeresheti az e-mail címét vagy a nevét, és megmutatja az adatok minden bekövetkeztét. az elmúlt 15 évben megsértette azt, hogy sikerült megszereznie a kezét, majd betölteni egy adatbázisba és ellenőriznie, és ez azt fogja mondani, hogy megfogalmazták-e, ahogy az a kifejezés. De amikor elkezdi nézegetni ezeket a számokat, és a képernyőképet nem frissítették a legújabb verziójával, amely tartalmaz egy párat, például a Yahoo-t. De gondoljon csak az itt felsorolt szolgáltatások típusára. Megvan a Myspace, a LinkedIn, az Adobe. Az Adobe érdekes, mivel az emberek jól néznek ki és gondolkodnak, mit jelent az Adobe? Legtöbben, akik valamilyen formában letöltik az Adobe Reader programot, sokan 152 millió ember vásároltak Adobe termékeket hitelkártyával.
Robin korábban rámutatott, hogy ezek nagyon nagy számok, könnyű elárasztani őket. Mi történik, ha 359 millió megsértett számlád van? Nos, van néhány dolog. Robin hangsúlyozta azt a tényt, hogy ezek az adatok mindig valamilyen formájú adatbázisban vannak. Ez itt a kritikus üzenet. Szinte senki sem ezen a bolygón, akiről tudom, hogy bármilyen formájú rendszert működtet, nem tárolja azt adatbázisban. De ami érdekes, hogy három különböző típusú adat van az adatbázisban. Vannak olyan biztonsággal kapcsolatos dolgok, mint például a felhasználónevek és a jelszavak, amelyek általában titkosítva vannak, de mindig sok olyan példa van, ahol nem. Profiluk körül vannak az aktuális ügyfélinformációk és az általuk létrehozott adatok, akár egészségügyi nyilvántartásról, akár e-mailről vagy azonnali üzenetről. És akkor ott van a tényleges beágyazott logika, tehát ez tárolható eljárások lehet, egy egész csomó szabály lehet, ha + ez + akkor + ez. És mindig ez csak az ASCII szöveg beragadt az adatbázisba, nagyon kevés ember ül ott gondolkodva: „Nos, ezek üzleti szabályok, így mozgatjuk és kezeljük adatainkat. Ezt potenciálisan titkosítanunk kell, amikor nyugalomban van, és mikor van. a mozgást talán dekódoljuk, és a memóriában tartjuk ”, de ideális esetben valószínűleg szintén ilyen lenne.
Visszatérve ehhez a kulcsfontosságú ponthoz, hogy ezek az adatok valamilyen formában egy adatbázisban vannak, és többnyire a hangsúly, történelmileg inkább az útválasztókra, a kapcsolókra és a szerverekre, sőt a tárolásra, és nem mindig az adatbázisra a a hátsó vég. Mert úgy gondoljuk, hogy a hálózat szélét lefedtük, és ez egyfajta, mint egy tipikus öreg, egy kastélyban él, és árokba helyezi, és reméled, hogy a rossz fiúk nem fognak képes úszni. De aztán hirtelen a rossz fiúk kidolgozták, hogyan készíthetnek meghosszabbított létrákat, dobják át őket a várárokba, másznak át a várárokba, és felmásznak a falakon. És hirtelen a váród eléggé haszontalan.
Tehát most a forgatókönyvben vagyunk, amikor a szervezetek felzárkózási módban vannak sprintben. Szó szerint minden rendszerre átjutnak, véleményem szerint, és természetesen tapasztalataim szerint, nemcsak ezek a webes egyszarvúak, mivel gyakran utalunk rájuk, többnyire a hagyományos vállalkozói szervezeteket sértik meg. És nem kell sok képzelettel ahhoz, hogy kiderítse, kik ők. Vannak olyan webhelyek, mint például a pastebin.net, és ha belépsz a pastebin.net oldalra, és csak gépelsz be egy e-mail listát vagy jelszó listát, napi százezres bejegyzéshez jutsz hozzá, amelyek naponta hozzáadódnak, ahol az emberek a legfeljebb ezer rekord keresztnév, vezetéknév, hitelkártya-adatok, felhasználónév, jelszó, visszafejtett jelszavak, egyébként. Ahol az emberek megragadhatják a listát, elmenhetnek és ellenőrizhetnek közülük három-négyet, és úgy döntenek, hogy igen, szeretnék megvenni azt a listát, és általában van valamilyen mechanizmus, amely valamilyen névtelen átjárót biztosít az adatokat értékesítő személyek számára.
Most érdekes az, hogy mihelyt az affiliate vállalkozó rájön, hogy meg tudja ezt csinálni, nem kell sok képzeletre ráébreszteni, hogy ha 1000 USD-t költene e listák valamelyikének megvásárlására, mi az az első, amit ezzel csinálsz? Nem megy, és megpróbálja nyomon követni a számlákat, másolatát visszateszi a pastbin.net webhelyre, és két példányt ad el 1000 dollárért, és 1000 dollár nyereséget szerez. És ezek gyerekek csinálják ezt. Vannak rendkívül nagy szakmai szervezetek a világon, amelyek ezt megélhetés érdekében teszik. Vannak olyan államállamok is, akik megtámadnak más államokat. Tudod, sokat beszélnek arról, hogy Amerika megtámadja Kínát, Kína megtámadja Amerikát, ez nem annyira egyszerű, de határozottan vannak kormányzati szervezetek, amelyek megsértik a rendszereket, amelyeket mindig az adatbázisok hajtanak végre. Ez nem csak kis szervezetek esete, hanem országok és országok is. Visszatérve ahhoz a kérdéshez, hol tárolják az adatokat? Ez egy adatbázisban található. Milyen ellenőrzések és mechanizmusok vannak ott? Vagy mindig nem titkosítva, és ha titkosítva, akkor nem mindig az összes adat, talán csak a jelszó van sózva és titkosítva.
És ezen áttekintve számos kihívással kell szembenéznünk azzal, hogy mi található az adatokban, hogyan biztosítjuk az adatokhoz való hozzáférést és a SOX-megfelelést. Tehát ha gondolkodik vagyonkezelésről vagy banki tevékenységről, akkor vannak olyan szervezetek, amelyek aggódnak a hitelesítő adatok kihívása miatt; Van olyan szervezete, amely aggódik a vállalati terekben való megfelelés miatt; megvan a kormányzati megfelelési és szabályozási követelmények; Megvannak a forgatókönyvei, amelyekben helyszíni adatbázisok is vannak; harmadik féltől származó adatközpontokban vannak adatbázisok; Vannak adatbázisai, amelyek felhőkörnyezetben ülnek, tehát felhőkörnyezete nem mindig található meg az országban. Tehát ez egyre nagyobb kihívássá válik, nemcsak a tiszta biztonság szempontjából, hanem ne kapjunk be csapkodást, hanem hogy hogyan tudunk megfelelni a különféle megfelelési szinteknek? Nem csak a HIPAA és az ISO szabványok, hanem szó szerint tucatnyi és tucatnyi és tucatnyi létezik állami, nemzeti és globális szinten is, amelyek átlépik a határokat. Ha Ausztráliával üzletel, akkor nem mozgathatja át a kormányzati adatokat. Ausztrál személyes adatok nem hagyhatják el az országot. Ha Németországban vagy, akkor még szigorúbb. És tudom, hogy Amerika nagyon gyorsan mozog ezen a téren számos ok miatt.
De visszatér hozzám az egész kihíváshoz: hogyan tudja, mi történik az adatbázisban, hogyan figyeli ezt, hogyan mondja ki, hogy ki mit csinál az adatbázisban, ki látja a különféle táblákat és sorokat, oszlopokat és mezőket, mikor olvassa, milyen gyakran olvassa és ki követi nyomon? És azt hiszem, ez vezeti a végső ponthoz, mielőtt átadnám a mai vendégünknek, aki segít nekünk beszélni arról, hogyan oldjuk meg ezt a problémát. De ezt a gondolatot akarom hagyni nekünk, vagyis az, hogy nagy hangsúlyt fektetünk az üzleti költségekre és a szervezet költségeire. És ma nem fogjuk részletesen kitérni erre a pontra, de azt csak el akarjuk hagyni a fejünkben, hogy elgondolkodjunk. Ez azt jelenti, hogy rekordonként körülbelül 135 USD és 585 USD közötti becslések szerint kell megtisztítani a jogsértés után. Tehát a forgalomirányítók, kapcsolók és szerverek környékén a biztonságba fektetett beruházás mind jótékony, mind tűzfalak, de mennyit fektettek az adatbázis biztonságába?
De ez egy hamis gazdaság, és amikor a Yahoo nemrégiben történt megsértésként, és jó hatalommal bírom, akkor körülbelül egy milliárd számla, nem pedig 500 millió. Amikor Verizon 4, 3 milliárd dollárért vásárolta meg a szervezetet, mihelyt a jogsértés megtörtént, egymilliárd dollár visszafizetést vagy engedményt kértek. Ha elvégzi a matematikát, és azt mondja, hogy nagyjából egy milliárd rekordot sértett meg, milliárd dolláros árengedményt, a nyilvántartás megtisztításának becsült 135–535 dolláros becslése most 1 dollár lesz. Ami ismét ártalmas. Egy milliárd lemezt nem kell 1 dollárba kerülnie. Rekordonként 1 dollár, ami megtisztítja egy milliárd rekordot egy ilyen méretű megsértésért. Még nem is adhat ki sajtóközleményt ilyen jellegű költségekért. És így mindig a belső kihívásokra összpontosítunk.
De gondolom, hogy az egyik dolog, és nagyon fontos, hogy ezt adatbázisunk szintjén nagyon komolyan vesszük, ezért ez egy nagyon, nagyon fontos téma, amiről beszélnünk kell, vagyis soha nem beszélünk az emberi hívható. Mennyit kell fizetnünk ebből az emberből? És megragadok egy példát, mielőtt gyorsan beteszem. LinkedIn: 2012-ben feltörték a LinkedIn rendszert. Számos vektor volt, és nem megyek bele. És több millió millió számlát loptak el. Az emberek szerint kb. 160 páratlan millió, de valójában sokkal nagyobb szám, akár 240 millió is lehet. Ezt a jogsértést azonban csak ez év elején jelentették be. Négy év alatt több száz millió emberrekord van ott. Most voltak olyanok, akik hitelkártyával fizettek a szolgáltatásokért, és mások ingyenes számlákkal. A LinkedIn azonban érdekes, mert nemcsak hozzáférést kaptak a fiókja adataihoz, ha megsértették, hanem hozzáférést kaptak az összes profilinformációhoz. Tehát, kihez kapcsolódtak, és az összes kapcsolata, amellyel rendelkeztek, és milyen típusú munkáik voltak, milyen típusú készségeik voltak, és mennyi ideig dolgoztak a vállalatoknál, minden ilyen információval és elérhetőségeikkel.
Tehát gondoljon arra a kihívásra, amelyet az adatok ezen adatbázisokban történő biztosításával, valamint az adatbázis-rendszerek maguknak a biztonságával és kezelésével kell megoldanunk, valamint a hatásokkal kapcsolatos folyamatokra, ezen adatok emberi teherviszonyának négy éve tartózkodása alatt. És annak a valószínűsége, hogy valaki vakációra fordulhat valahol Délkelet-Ázsiában, és négy év óta rendelkeznek az adatokkal. És lehet, hogy valaki vásárolt egy autót, lakáshitelt vagy tíz telefont vásárolt az év során hitelkártyákon, ahol hamis azonosítót készítettek azokra az adatokra, amelyek négy évig voltak ott - mert még a LinkedIn-adatok is elegendő információt szolgáltattak hozzon létre bankszámlát és hamis személyi igazolványt - és felszáll a repülőgépre, megy nyaralni, leszáll, és börtönbe dobja. És miért dobtak börtönbe? Nos, mert ellopták az azonosítóját. Valaki létrehozott egy hamis személyi igazolványt, és úgy viselkedett, mint te és százezrek dollárja. Ezt tették ezt a négy évet, és nem is tudtál róla. Mivel odakint, csak történt.
Tehát azt hiszem, ez a központi kihíváshoz vezet minket, hogyan tudjuk, mi történik az adatbázisunkban, hogyan követjük nyomon, hogyan követjük nyomon? Várom, hogy meghallgassam, hogy az IDERA-i barátaink hogyan találtak megoldást ennek megoldására. És ezzel átadom.
Eric Kavanagh: Rendben, Ignacio, a padló a tied.
Ignacio Rodriguez: Jól van. Nos, üdvözlöm mindenkit. Ignacio Rodriguez vagyok, ismertebb nevén Iggy. Az IDERA-val vagyok és a biztonsági termékek termékmenedzsere vagyok. Nagyon jó témák, amelyeket éppen tárgyaltunk, és tényleg aggódnunk kell az adatsértések miatt. Szigorúbb biztonsági politikákat kell alkalmaznunk, meg kell határoznunk a sebezhetőségeket, fel kell mérnünk a biztonsági szinteket, ellenőrizzük a felhasználói engedélyeket, ellenőrizzük a kiszolgáló biztonságát és be kell tartanunk az ellenőrzéseket. A korábbi történelem során könyvvizsgálatot folytattam, főleg az Oracle oldalán. Megtettem néhányat az SQL Server-en, és eszközeivel, vagy alapvetően otthoni szkriptekkel tettem őket, ami nagyszerű volt, de létre kell hoznia egy lerakatot, és meg kell győződnie arról, hogy a lerakat biztonságos-e, és a szkripteket folyamatosan karban kell tartania az auditorok változásaival, mi van neked.
Tehát a szerszámokban, ha tudtam volna, hogy az IDERA odakint van, és van egy eszköze, akkor valószínűleg megvásároltam volna. De egyébként a Biztonságról fogunk beszélni. Ez az egyik termékünk a biztonsági termékcsaládban, és alapvetően az, hogy megvizsgáljuk a biztonsági politikákat, és összevesszük azokat a szabályozási iránymutatásokkal. Megnézheti az SQL Server beállításainak teljes előzményeit, és alapvetően meg is végezheti a beállításokat, majd összehasonlíthatja a jövőbeli változásokkal. Készíthet egy pillanatképet, amely a beállítások alapja, majd nyomon tudja követni, hogy ezen dolgok valamelyikét megváltoztatták-e, és figyelmeztetést kap, ha megváltoznak.
Az egyik dolog, amit jól csinálunk, a biztonsági kockázat és a jogsértések megelőzése. A biztonsági jelentéskártya áttekintést nyújt a kiszolgálók legfontosabb biztonsági réseiről, majd minden egyes biztonsági ellenőrzést magas, közepes vagy alacsony kockázatú kategóriába sorolnak. Most ezekben a kategóriákban vagy a biztonsági ellenőrzésekben mindegyik módosítható. Tegyük fel, hogy ha van valamilyen vezérlőeleme, és használja a meglévő sablonokat, és Ön úgy dönt, nos, ellenőrzéseink valóban azt jelzik vagy akarják, hogy ez a biztonsági rés valójában nem magas, hanem közepes, vagy fordítva. Lehet, hogy vannak közepes címkével ellátott, de a szervezetedben a vezérlők, amelyeket meg akarnak címkézni, vagy magasnak tekintik őket, a felhasználó konfigurálhatja ezeket a beállításokat.
Egy másik kritikus kérdés, amelyet meg kell vizsgálnunk, a sérülékenységek azonosítása. Annak megértése, hogy mihez férhet hozzá, és meghatározzák a felhasználó minden érvényes jogát az SQL Server összes objektumán. Az eszközzel áttekinthetjük az összes SQL Server objektum jogait, és hamarosan látni fogunk egy képernyőképet erről. Jelentünk és elemezzük a felhasználói, csoportos és szerepkör-engedélyeket is. Az egyik másik szolgáltatás, hogy részletes biztonsági kockázati jelentéseket készítünk. Rendelkezésre álló jelentéseink vannak, és rugalmas paramétereket tartalmaz az Ön számára a jelentéstípusok létrehozásához és az auditorok, biztonsági tisztviselők és vezetők által megkövetelt adatok megjelenítéséhez.
Össze tudjuk hasonlítani a biztonság, a kockázat és a konfiguráció időbeli változásait, amint már említettem. És ezek a pillanatképek. És azokat a pillanatképeket konfigurálhatjuk, amennyire csak akarjuk - havonta, negyedévente, évente -, amelyeket az eszközön belül lehet ütemezni. És ismét összehasonlításokat végezhet annak érdekében, hogy megnézze, mi változott és mi az, ami jó, ha megsértettél egy pillanatképet a javítás után, készíthetsz összehasonlítást, és látni fogod, hogy magas szintű az előző pillanatfelvételhez kapcsolódó kockázat, majd a jelentés, akkor valójában a javítás után a következő pillanatképben láthatja, hogy ez már nem probléma. Ez egy jó könyvvizsgálati eszköz, amelyet adhat az auditornak, jelentést adhat az auditoroknak, és mondhatja: „Nézd, volt ez a kockázat, enyhítettük, és most már nem jelent kockázatot.” És ismét: A pillanatképekkel emlékeztető figyelmeztethet, ha a konfiguráció megváltozik, és ha egy konfiguráció megváltozik, és észlelésre kerül, amelyek új kockázatot jelentenek, akkor erről is értesítést kapnak.
Van néhány kérdés az SQL Server architektúránkkal a Secure segítségével, és javítani akarom az itt található diát, ahol a „Gyűjtési szolgáltatás” felirat szerepel. Még nincs szolgáltatásunk, ennek kellett volna lennie a „Management and Collection Server” -nek. Megvan a konzolunk, majd a Kezelő és Gyűjtő Szerverünk, és van egy ügynökök nélküli rögzítés, amely a regisztrált adatbázisokba megy keresztül, és az adatokat munkahelyek révén gyűjti. Van SQL Server Repository, és az SQL Server Reporting Services szolgáltatással együtt dolgozunk a jelentések ütemezése és az egyedi jelentések létrehozása érdekében is. A biztonsági jelentéskártyán ez az első képernyő, amelyet látni fog, amikor az SQL Secure elindul. Könnyen láthatja, hogy mely kritikus elemeit észlelte. És megint megvannak a magasságok, a közegek és a mélypontok. És akkor megvannak az irányelveink is, amelyek a konkrét biztonsági ellenőrzésekkel játszottak. Van egy HIPAA sablon; van IDERA 1., 2. és 3. biztonsági szintű sablonunk; van PCI irányelveink. Mindegyik sablon használható, és ismét elkészítheti saját sablonját, a saját vezérlőelemei alapján is. És ismét módosíthatóak. Készíthet saját. Bármelyik meglévő sablon felhasználható alapvonalként, majd a kívánt módon módosíthatja azokat.
Az egyik jó dolog, hogy megnézze, ki rendelkezik engedéllyel. És ezzel a képernyővel itt láthatjuk, hogy mi az SQL Server bejelentkezés a vállalkozáson, és látni fogja az összes hozzárendelt és tényleges jogot és engedélyt a kiszolgálói adatbázisban az objektum szintjén. Itt csináljuk. Ismét kiválaszthatja az adatbázisokat vagy a kiszolgálókat, majd összeállíthatja az SQL Server engedélyek jelentését. Tehát képes látni, hogy kinek mihez férhet hozzá. Egy másik jó szolgáltatás, hogy összehasonlítani tudja a biztonsági beállításokat. Tegyük fel, hogy szabványos beállításai voltak, amelyeket be kellett állítania a vállalkozásában. Ezután összehasonlíthatja az összes kiszolgálót, és megnézheti, hogy milyen beállításokat állítottak be a vállalkozás többi szerveren.
Ismét a politikai sablonok, ezek néhány sablonunk, amelyek rendelkeznek. Alapvetően ismét az egyiket használja, létrehozza a sajátját. Készítheti saját házirendjét, amint az itt látható. Használja az egyik sablont, és szükség szerint módosíthatja azokat. Megtekinthetjük az SQL Server hatékony jogokat is. Ez ellenőrzi és bizonyítja, hogy a felhasználók és a szerepkörök jogosultságokat helyesen állítottak-e be. Megint kimehetsz oda, megnézheted, láthatod és ellenőrizheted, hogy a felhasználók és a szerepek helyesen vannak-e beállítva. Ezután az SQL Server objektumhozzáférési jogokkal böngészhet és elemezheti az SQL Server objektumfát a kiszolgálói szintről lefelé az objektumszintű szerepekre és végpontokra. És azonnal megnézheti a hozzárendelt és hatékony örökölt engedélyeket és a biztonsággal kapcsolatos tulajdonságokat az objektum szintjén. Ez jó képet ad az adatbázis-objektumokon lévő hozzáférésekről, és azoknak, akik hozzáférhetnek hozzájuk.
Megint jelentéseink vannak. Konzerv jelentések, közülük több közül választhat, amelyekkel jelentést készíthet. És ezek közül sok testreszabható, vagy megrendelheti ügyféljelentéseit, és ezeket felhasználhatja a jelentési szolgáltatásokkal összekapcsolva, és onnan készítheti el saját egyedi jelentéseit. Most a Pillanatkép-összehasonlítások, ez egy nagyon jó szolgáltatás, azt hiszem, oda lehet menni, ahol összehasonlíthatja a készített pillanatképeket, és megnézheti, hogy vannak-e különbségek a számban. Van-e objektum hozzáadva, változtak-e engedélyek, bármi, ami láthatja, hogy milyen változtatások történtek a különböző pillanatképek között. Vannak, akik ezeket havi szinten vizsgálják - havonta készítenek pillanatfelvételt, majd minden hónapban összehasonlítják, hogy megváltozott-e valami. És ha nem volt semmi, amit állítólag meg kellett volna változtatni, akkor bármi, ami a változás-ellenőrző értekezleteken ment, és ha látod, hogy néhány engedély megváltozott, akkor visszatérhet, hogy megnézze, mi történt. Ez egy nagyon szép szolgáltatás itt, ahol megismételheti mindazt, amelyet a pillanatfelvétel során ellenőriztek.
Akkor az értékelési összehasonlítás. Ez egy újabb szép szolgáltatás, amellyel oda lehet menni, megnézni az értékeléseket, majd összehasonlítani őket, és észrevenni, hogy itt az összehasonlításnak van egy SA-fiókja, amelyet nem tettek le a legutóbbi pillanatkép során, amelyet én tettem - ez most javítva. Ez egy nagyon szép dolog, ahol bebizonyíthatja, hogy oké, van némi kockázatunk, az eszköz azonosította őket, és most ezeket a kockázatokat enyhítettük. És ismét, ez egy jó jelentés, amely megmutatja az auditoroknak, hogy valójában ezeket a kockázatokat enyhítették és gondoskodtak róla.
Összefoglalva: az adatbázis biztonsága, ez kritikus fontosságú, és azt hiszem, sokszor olyan külső megsértéseket vizsgálunk, amelyek külső forrásokból származnak, és néha nem igazán fordítunk túl nagy figyelmet a belső jogsértésekre, és ez néhány olyan dolog, amelyet vigyáznod kell. És a Secure segít abban, hogy megbizonyosodjon arról, hogy nincsenek olyan privilégiumok, amelyeket nem kell kiosztani. Bizonyosodjon meg arról, hogy ezeket a biztonságot a fiókok megfelelő módon állítják-e be. Győződjön meg arról, hogy SA-fiókjai tartalmaznak jelszavakat. Szintén ellenőrzi, hogy a titkosítási kulcsokat exportálták-e? Csak több különböző dolgot vizsgálunk meg, és figyelmeztetjük Önt, hogy van-e probléma, és milyen szintű. Szükségünk van egy eszközre, sok szakembernek szüksége van eszközökre az adatbázis-hozzáférési engedélyek kezelésére és felügyeletére, és valójában azt vizsgáljuk, hogy kiterjedt képességgel rendelkezik-e az adatbázis-engedélyek ellenőrzésére, a hozzáférési tevékenységek nyomon követésére és a jogsértések kockázatának csökkentésére.
Biztonsági termékeink egy másik része az, hogy van egy WebEx, amelyet lefedtek, és a bemutató része, amelyről korábban beszéltünk, az adatok volt. Tudod, kihez mihez fér, mi van, és ez az SQL Compliance Manager eszköz. És van egy rögzített WebEx ezen az eszközön, amely valóban lehetővé teszi annak ellenőrzését, hogy kik férnek hozzá az egyes táblákhoz, milyen oszlopokhoz, azonosíthatók az érzékeny oszlopokkal rendelkező táblák, a születési dátum, a beteg adatai, az ilyen típusú táblák és valójában megnézheti, hogy ki férhet hozzá ehhez az információhoz, és ha azokhoz hozzáférnek.
Eric Kavanagh: Rendben, szóval belemerülünk a kérdésekbe, azt hiszem, itt. Lehet, Dez, először neked dobom, és Robinnak, amint csak tudsz.
Dez Blanchfield: Igen, már viszkettem, hogy kérdést tegyek fel a második és a harmadik diáról. Mi az a tipikus használati eset, amelyet ezt az eszközt lát? Kik a leggyakoribb felhasználói típusok, akiket látnak, akik ezt elfogadják és játékba helyezik? És hátul a tipikus, egyfajta használati esetmodell, hogyan fognak ezt megtenni? Hogyan valósul meg?
Ignacio Rodriguez: Oké, tipikus felhasználói esetünk olyan DBA-k, akikre az adatbázis hozzáférés-felügyeletének felelõssége van, és akik gondoskodnak arról, hogy az összes engedélyt meghatározzák, amire szükségük van, majd kövessék nyomon és kövessék szabványaikat a helyén. Tudod, ezeknek a bizonyos felhasználói fiókoknak csak ezekhez a táblákhoz lehet hozzáférni, stb. És mit csinálnak azzal, hogy megbizonyosodjon arról, hogy ezeket a szabványokat meghatározták, és ezek a standardok nem változtak az idő múlásával. És ez az egyik nagy dolog, amely miatt az emberek ezt használják, hogy nyomon kövessék és azonosítsák azokat a változásokat, amelyekről még nem tudtak.
Dez Blanchfield: Mivel ők félelmesek, nem? Lehet, hogy van egy, mondjuk, stratégiai dokumentumunk, van olyan politikáid, amelyek ezt alátámasztják, alapul áll a megfelelés és irányítás, és követi a politikákat, betartja a kormányzást, és zöld fényt kap és aztán váratlanul egy hónappal később valaki végrehajtja a változást, és valamilyen oknál fogva nem megy keresztül ugyanazon a változás-áttekintő táblán vagy a változás folyamatán, vagy bármi más is lehet, vagy a projekt éppen elmozdult, és senki sem tudja.
Van néhány példája, amelyet megoszthat - és tudom, nyilvánvaló, hogy nem mindig olyan, amit megoszt, mert az ügyfelek kissé aggódnak, ezért nem kell feltétlenül nevet adnunk, hanem adj példát nekünk Valószínűleg látta ezt, tudod, egy szervezet ezt a helyére hozta anélkül, hogy észrevette volna, és csak találtak valamit, és rájöttek: “Hú, tízszer volt érdemes, csak találtunk valamit, amit nem valósítottunk meg.” bármilyen példa, amikor az emberek ezt megvalósították, majd rájöttek, hogy nagyobb probléma merült fel, vagy olyan valódi probléma volt, amelyről nem tudták, hogy van, és akkor azonnal felkerülnek a karácsonyi kártya listájára?
Ignacio Rodriguez: Nos, azt hiszem, a legfontosabb dolog, amit láttak vagy jelentettünk, az, amit éppen említettem, egészen a hozzáféréshez, amely valaki rendelkezett. Vannak fejlesztők, és amikor az eszközt megvalósították, valójában nem veszték észre, hogy ezeknek a fejlesztőknek az X mennyisége nagyon sok hozzáféréssel rendelkezik az adatbázishoz és bizonyos objektumokhoz. És egy másik dolog a csak olvasható fiókok. Voltak olyan írásvédett fiókok, amelyek megtudták, hogy ezek a csak olvasható fiókok valóban vannak, adatokkal beszúrtak és törölték a jogosultságokat is. Itt láttunk némi előnyt a felhasználók számára. A nagy dolog ismét, hogy azt hallottuk, hogy az emberek kedvelik, képes ismét nyomon követni a változásokat, és ügyelni arra, hogy semmi ne akadályozza őket.
Dez Blanchfield: Ahogyan Robin kiemelte, van olyan forgatókönyve, amelyet az emberek gyakran nem gondolnak át, igaz? Amikor várakozással tekintünk, gondolkodunk, tudjuk, ha mindent a szabályok szerint csinálunk, és azt találom, és biztos vagyok benne, hogy látja is - mondja meg, ha nem ért egyet - a szervezetek így összpontosítanak erősen fejleszti a stratégiát és a politikát, valamint a megfelelést és a kormányzást, valamint a KPI-ket és a jelentéstételt, amelyek gyakran annyira meg vannak ragadva, hogy nem gondolnak a túllépésekre. És Robinnak volt egy igazán nagyszerű példája, amelyet el fogok lopni tőle - bocsánat Robin -, de a példa a másik alkalom, amikor az adatbázis élő példányát, egy pillanatképet készítjük fejlesztési tesztre, igaz? Csinálunk dev-ot, teszteket, UAT-ot, rendszerintegrációt, ilyesmi dolgot, majd egy csomó megfelelőség-tesztet csinálunk. Gyakran a dev teszt, az UAT, a SIT tartalmaz megfelelőségi összetevőt, ahol csak megbizonyosodunk arról, hogy egészségesek és biztonságosak, de nem mindenki csinálja. Ez a példa, amelyet Robin adott az adatbázis egy élő példányával, amelyet tesztelésre készítettek a fejlesztési környezettel, hogy megtudja, működik-e még az élő adatokkal. Nagyon kevés cég ül hátra és gondolkodik: „Ez is megtörténik, vagy lehetséges?” Mindig ragaszkodnak a gyártáshoz. Hogyan néz ki a megvalósítási út? Napokról, hetekről, hónapokról beszélünk? Milyen a rendszeres telepítés egy átlagos méretű szervezetnél?
Ignacio Rodriguez: Napok. Még csak nem is napok, úgy értem, csak pár nap. Éppen most hozzáadott egy funkciót, ahol sok-sok szervert regisztrálhatunk. Ahelyett, hogy oda kellett volna mennie az eszközbe, és azt kellene mondania, hogy 150 szerverrel rendelkezik, külön kellett belépnie és regisztrálnia a kiszolgálókat - most nem kell ezt tennie. Van egy Ön által létrehozott CSV-fájl, amelyet automatikusan eltávolítunk, és biztonsági okok miatt nem tartjuk ott. De ez egy másik dolog, amelyet figyelembe kell vennünk: CSV-fájlt fogsz kiadni ott felhasználónévvel / jelszóval.
Amit automatikusan elvégzünk, újra töröljük, de ez egy lehetőség. Ha egyedileg akar belépni és regisztrálja őket, és nem akarja vállalni ezt a kockázatot, akkor megteheti. De ha CSV-fájlt szeretne használni, helyezze biztonságos helyre, irányítsa az alkalmazást arra a helyre, futtatja azt a CSV-fájlt, majd automatikusan törli azt a fájlt, miután kész. És megy, és ellenőrizze, és ellenőrizze, hogy a fájlt eltávolították-e. A leghosszabb oszlop a homokban, amely a megvalósításig volt, az a tényleges szerver regisztrálása.
Dez Blanchfield: Oké. Most beszéltél jelentésekről. Tudna-e adni nekünk egy kicsit részletesebb információt és betekintést arról, hogy mi történik előrecsomagolással, akárcsak a jelentésekkel, azt hiszem, a felfedező elemmel, hogy megnézzük, mi van benne, és jelentést készítsünk róla, a nemzet jelenlegi helyzete, az előre látható beépítve és előre sütve, a jelentéseknek megfelelõen a megfelelés és a biztonság jelenlegi helyzetérõl, majd milyen könnyen lehet kibõvíteni? Hogyan építhetünk ezekre?
Ignacio Rodriguez: Oké. Néhány beszámolónk van, amelyek olyan szerverek közötti, bejelentkezési ellenőrzésekkel, adatgyűjtési szűrőkkel, tevékenységi előzményekkel, majd a kockázatértékelési jelentésekkel foglalkoznak. És minden gyanúsított Windows-fiókot. Sok-sok itt van. Lásd a gyanús SQL bejelentkezéseket, a kiszolgálói bejelentkezéseket és a felhasználói leképezéseket, a felhasználói engedélyeket, az összes felhasználói engedélyt, a kiszolgálói szerepköröket, az adatbázis szerepköreit, a biztonsági rés bizonyos szintjét vagy vegyes módú hitelesítési jelentéseket, a vendég engedélyezési adatbázisokat, az XPS-en keresztüli operációs rendszer sebezhetőségét, a kiterjesztett eljárásokat, majd a sebezhető rögzített szerepek. Ezek a jelentések közül néhány.
Dez Blanchfield: És megemlítette, hogy ezek elég jelentősek, és számuk is sok, ami logikus dolog. Mennyire könnyű ezt személyre szabni? Ha készítek egy jelentést, és megkapom ezt a nagyszerű grafikont, de ki akarok venni néhány olyan darabot, amelyek nem igazán érdekelnek, és hozzáadhatom néhány más funkciót is, van-e riportíró, van-e valamilyen felület és eszköz egy új jelentés konfigurálásához és testreszabásához, vagy akár valószínűleg felépítéséhez a nulltól?
Ignacio Rodriguez: Ezután arra utasítanánk a felhasználókat, hogy használják a Microsoft SQL Report Services szolgáltatást erre a célra, és sok olyan ügyfelünk van, akik valójában elkészítik a jelentések egy részét, testreszabják és ütemezik őket, amikor csak akarják. Ezek közül a srácok közül néhányan havonta vagy hetente szeretnék látni ezeket a jelentéseket, és átveszik a rendelkezésünkre álló információkat, áthelyezik azokat a Jelentési Szolgáltatásokba, majd onnan készítenek. Nincs integrált jelentéskészítő eszköz az eszközünkbe, de kihasználjuk a Jelentési szolgáltatások előnyeit.
Dez Blanchfield: Szerintem ez az egyik legnagyobb kihívás ezekkel az eszközökkel. Bejuthat és megtalálhat cuccokat, de akkor képesnek kell lennie arra, hogy kihúzza, jelentse azoknak az embereknek, akik nem feltétlenül DBA-k és rendszermérnökök. Érdekes szerepet játszik ez a tapasztalatom, és azaz tudod, hogy a kockázatért felelős tisztviselők mindig is voltak a szervezetekben, és hogy túlnyomórészt körül vannak és egy teljesen más kockázati körzetben voltak, amelyeket a közelmúltban láttunk, míg mostantól az adatokkal mivel a jogsértések nemcsak dologgá válnak, hanem valódi szökőárrá is válnak, a CRO az ön felelősségvállalásának és megfelelőségének, valamint a munkahelyi egészségvédelemnek és biztonságnak a középpontjában a kiberkockázat felé fordult. Tudod, megsértés, hackelés, biztonság - sokkal technikaibb. És ez egyre érdekesebbé válik, mivel sok CRO származik egy MBA és nem műszaki származási helyből, tehát meg kell fejet tenni, hogy ez mit jelent a számítógépes kockázat közötti átmenethez egy CRO, és így tovább. De a nagy dolog, amit akarnak, csak a láthatóság jelentése.
El tudsz mondani nekünk valamit a helymeghatározásról a megfelelés szempontjából? Ennek nyilvánvalóan az egyik legnagyobb erőssége, hogy láthatja, hogy mi folyik, megfigyelheti, megtanulhatja, jelenthet, reagálhat, sőt néhány dolgot is kiválthat. Az átfogó kihívás az irányítás betartása. Vannak-e ennek kulcsfontosságú részei, amelyek szándékosan kapcsolódnak a meglévő megfelelési követelményekhez vagy az iparági megfeleléshez, mint például a PCI, vagy valami hasonló, vagy jelenleg valami, ami jön az ütemtervhez? Valahogy belefér-e a COBIT, az ITIL és az ISO szabványok kedvező keretébe? Ha telepítettük ezt az eszközt, akkor ad-e egy sor ellenőrzést és egyensúlyt, amelyek illeszkednek ezekbe a keretekbe, vagy hogyan építjük be ezekbe a keretekbe? Hol van a helyzet ezekkel a dolgokkal szem előtt tartva?
Ignacio Rodriguez: Igen, vannak sablonok, amelyeket megküldünk az eszközzel. És ismét eljutunk arra a pontra, ahol újraértékeljük sablonjainkat, és hozzáadni fogunk, és hamarosan több lesz. FISMA, FINRA, néhány további sablonunk van, és általában felülvizsgáljuk a sablonokat, és megnézjük, mi változott meg, mit kell hozzáadnunk? És valóban azt a pontot akarjuk elérni, ahol, tudod, a biztonsági követelmények meglehetősen megváltoztak, tehát arra törekszünk, hogy hogyan lehet ezt menet közben kibővíteni. Ezt a jövőben vizsgáljuk.
Most azonban arra gondolunk, hogy lehet-e sablonokat létrehozni, és hogy a sablonokat egy weboldalról tudjuk-e szerezni; letöltheti őket. És így kezeljük ezt - sablonok segítségével kezeljük őket, és a jövőben itt keressük a jövőbeli lehetőségeit, hogy ez könnyen kibővíthető és gyors legyen. Mert amikor szoktam könyvvizsgálatot végezni, tudod, hogy a dolgok megváltoznak. A könyvvizsgálók egy hónappal jönnek, és a következő hónapban valami mást akarnak látni. Akkor ez az egyik kihívás az eszközökkel, amikor képesek vagyunk elvégezni ezeket a változásokat, és megszerezni azt, amire szüksége van, és ez az, ahol oda akarunk jutni.
Dez Blanchfield: Azt hiszem, a könyvvizsgálói kihívás rendszeresen megváltozik annak fényében, hogy a világ gyorsabban halad. És egyszer az ellenőrzési szempontból ez a követelmény, tapasztalatom szerint, csak tiszta kereskedelmi megfelelés lenne, majd műszaki megfelelőséggé vált, és most működési megfelelőséggé vált. És ezek minden más, tudod, minden nap valaki felbukkan, és nemcsak az ISO 9006 és a 9002 működésén mér téged, hanem mindenféle dolgot néz. És látom, hogy a 38 000 sorozat is nagy dologvá válik az ISO-ban. Azt hiszem, ez csak egyre nagyobb kihívást jelent. Azért fogom átadni Robinnak, mert megsértettem a sávszélességet.
Nagyon köszönöm, hogy ezt látja, és határozottan több időt fogok tölteni azzal, hogy megismerjem, mert nem tudtam, hogy valójában ez elég mély. Szóval, köszönöm, Ignacio, most átadom Robinnak. Nagyszerű bemutató, köszönöm. Robin, neked.
Dr. Robin Bloor: Oké Iggy, Iggynek hívlak, ha ez rendben van. Mi zavar engem, és azt hiszem, hogy néhány dolgok fényében Dez elmondta az előadását, borzasztóan sok minden történik odakinn, hogy el kell mondani, hogy az emberek valóban nem vigyáznak az adatokra. Tudod, főleg amikor a tény, hogy csak a jéghegy egy részét látja, valószínűleg sok minden történik, hogy senki sem jelent. Érdeklődik az Ön perspektívája szempontjából, hogy hány ügyféllel kapcsolatban, akikről tisztában van, vagy potenciális ügyfelekkel, akiknek tudatában vannak, milyen szintű védettséget nyújt Önnek, nemcsak ezzel, hanem az adathozzáférési technológiád is? Úgy értem, ki van a kérdés, ki oda van felszerelve a fenyegetés kezeléséhez?
Ignacio Rodriguez: Ki van felkészítve? Nagyon sok ügyfélnek értem, hogy valójában még nem foglalkoztak semmilyen ellenőrzéssel, tudod. Volt nekik, de a nagy dolog az, hogy megpróbálják lépést tartani vele, megpróbálják fenntartani és meggyőződni róla. A legfontosabb kérdés, amelyet láttunk - és még akkor is, amikor a szabályok betartása mellett voltam - az, hogy ha futtatná a forgatókönyveidet, akkor ezt negyedévente egyszer megtenné, amikor az auditorok bejelentkeznének, és problémát találtál. Nos, tudod mit, már túl késő, ott van könyvvizsgálat, ott vannak az auditorok, akarják jelentését, megjelölik. És akkor vagy kapunk pontot, vagy azt mondták nekünk, hé, meg kell javítanunk ezeket a kérdéseket, és ez az, ahol ez jönne be. Ez inkább egy proaktív jellegű dolog, ahol megtalálhatja a kockázatot és enyhítheti a kockázatot, és ez amit ügyfeleink keresnek. Annak módja, hogy kissé proaktív legyen, szemben a reaktív reakciókkal, amikor az auditorok belépnek, és találják, hogy néhány hozzáférés nem ott van, ahol kell, másoknak adminisztratív kiváltságok vannak, és nem kellett volna nekik, az ilyen típusú dolgok. És itt láthattunk sok visszajelzést, hogy az emberek szeretik az eszközt és használják.
Dr. Robin Bloor: Oké, még egy kérdésem van, amely bizonyos értelemben egyértelmű kérdés is, de csak kíváncsi vagyok. Hány ember jön hozzád egy csapkod nyomán? Tudod, hol van az üzlet, nem azért, mert a környezetükre néztek, és úgy gondolták, hogy sokkal szervesebben kell őket biztonságba helyezni, hanem valójában ott vagytok, csak azért, mert már szenvedtek a fájdalom.
Ignacio Rodriguez: Az IDERÁ-ban töltött idő alatt még nem láttam. Hogy őszinte legyek veled, az ügyfelekkel folytatott interakciók nagy része, amelyekben részt vettem, inkább várakozással tekint, és megpróbálja megkezdeni az ellenőrzést, és megkezdi a kiváltságok, stb. Mint mondtam, magam is, az itt töltött időm során nem tapasztalták meg, hogy volt valaki, akiről tudom, hogy a bántalmazás után jött.
Dr. Robin Bloor: Ó, érdekes. Azt hittem, hogy volt legalább néhány. Valójában ezt vizsgálom, és hozzáfűzöm az összes olyan bonyolultságot, amely az adatok tényleges biztonságát minden vállalkozáson keresztül minden módon és minden elvégzett tevékenységnél biztonságossá tesz. Közvetlenül kínál tanácsadást az emberek kihívására? Úgy értem, egyértelmű, hogy eszközöket is megvásárolhat, de tapasztalatom szerint gyakran az emberek kifinomult eszközöket vásárolnak, és nagyon rosszul használják őket. Kínál specifikus tanácsadást - mit tegyen, ki kiképzzen, és ilyesmi?
Ignacio Rodriguez: Vannak olyan szolgáltatások, amelyek a támogató szolgáltatásokkal összefüggésben lehetővé teszik ezek egy részének előfordulását. De a tanácsadást illetően nem tanácsadási szolgáltatásokat nyújtunk, hanem képzést, tudod, hogyan kell használni az eszközöket és ilyesmiket, ezek egy részét a támogatási szinttel kezelik. De önmagában nincs olyan szolgáltató osztály, amely kiment és ezt megteszi.
Dr. Robin Bloor: Oké. A lefedett adatbázis szempontjából az itt bemutatott bemutatja a Microsoft SQL Server alkalmazást - az Oracle-t is?
Ignacio Rodriguez: Először a Compliance Managerrel bővítjük az Oracle birodalmat. Ezzel indítunk egy projektet, így azt fogjuk vizsgálni, hogy kibővítsük ezt az Oracle-be.
Dr. Robin Bloor: És valószínűleg máshol megy?
Ignacio Rodriguez: Igen, ezt meg kell vizsgálnunk az ütemterveken, és meg kell nézni, hogy vannak a dolgok, de ez egy olyan dolog, amelyet megfontolunk, az, amit más adatbázis-platformokra is meg kell támadnunk.
Dr. Robin Bloor: A felosztást is érdekeltem, erről még nem állítottam előre be képét, de a telepítések szempontjából, hogy ennek mekkora részét valósítják meg a felhőben, vagy szinte minden a feltételezés ?
Ignacio Rodriguez: Minden előfeltevés. Megvizsgáljuk a Secure kiterjesztését az Azure-ra, igen.
Dr. Robin Bloor: Ez volt az Azure-i kérdés, még nem vagy ott, de odamegyél, nagyon sok értelme van.
Ignacio Rodriguez: Igen, nagyon hamar odamegyünk.
Dr. Robin Bloor: Igen, az a megértésem a Microsoft-tól, hogy borzasztóan sok cselekedet van a Microsoft SQL Server használatával az Azure-ban. Ha tetszik, ez lesz annak kulcsfontosságú része, amit kínálnak. A másik kérdés, amelyet engem nagyon érdekel - nem technikai jellegű, hanem inkább egy „hogyan kell csinálni?” Kérdés, - ki a vevő ehhez? Az informatikai osztály felveszi Önnel a kapcsolatot, vagy a civil társadalmi szervezetek felkeresik Önt, vagy eltérő sokféleségű emberek? Ha valami ilyesmire gondolunk, része annak, hogy egy egész sorozatot megvizsgálunk a környezet védelme érdekében? Mi a helyzet ott?
Ignacio Rodriguez: Ez keverék. Van CSO-k, sokszor az értékesítési csapat felkeres és beszélget DBA-kkal. És akkor a DBA-k ismét arra bíztak meg, hogy valamilyen könyvvizsgálati folyamatirányelvet hozzanak létre. És akkor onnan kiértékelik az eszközöket, jelentést készítenek a láncról, és eldöntik, melyik részt akarják vásárolni. De ez egy vegyes zsák, aki felveszi velünk a kapcsolatot.
Dr. Robin Bloor: Oké. Azt hiszem, vissza fogom adni Ericnek, mert máris csináltuk az órát, de lehet, hogy vannak közönség kérdései. Eric?
Eric Kavanagh: Igen, nagyon sok jó tartalom átitatott itt. Itt van egy igazán jó kérdés, amelyet az egyik résztvevőtől átadok neked. Beszél a blokkláncról, és arról, hogy miről beszél, és azt kérdezi, létezik-e lehetséges mód az SQL adatbázis csak olvasható részének áthelyezésére valami hasonlóra, mint amit a blockchain kínál? Olyan kemény.
Ignacio Rodriguez: Igen, őszinte leszek veled, erre nem válaszolok.
Eric Kavanagh: Dobom Robinnak. Nem tudom, hallotta-e ezt a kérdést, Robin, de ő csak azt kérdezi: van-e mód az SQL adatbázis csak olvasható részének áthelyezésére valami hasonlóra, amit a blockchain kínál? Mit gondolsz arról?
Dr. Robin Bloor: Olyan, mintha az adatbázist áttelepítené, akkor az adatbázis-forgalmat is áttelepítené. Ennek elvégzéséhez komplex komplexum tartozik. De nem más okból tenné meg, csak azért, hogy az adatokat sérthetetlenné tegyék. Mivel a blockchain elérése lassabb lesz, tehát tudod, ha a sebesség a te dolgod - és szinte mindig ez a dolog -, akkor nem csinálnád. De ha szeretne valamilyen, kódolt titkosított hozzáférést biztosítani annak egy részéhez olyan emberek számára, akik ilyen jellegű dolgot csinálnak, meg tudod csinálni, de nagyon jó oknak kell lennie. Sokkal valószínűbb, hogy otthagyja, ahol van, és rögzíti, ahol van.
Dez Blanchfield: Igen, egyetértek abban, ha gyorsan tudok mérlegelni. Úgy gondolom, hogy a blockchain kihívása, még a nyilvánosan odakint álló blockchain is, a bitcoin-on használják - nehezen tudjuk skálázni azt, mint egy négy tranzakciót percenként egy teljesen elosztott módon. Nem annyira a számítási kihívás miatt, bár ott van, a teljes csomópontoknak nehezen tudnak lépést tartani az előre-hátra mozgó adatbázis-kötetekkel és a lemásolni kívánt adatok mennyiségével, mert a koncertek most nemcsak a megs.
De azt is gondolom, hogy a legfontosabb kihívás az, hogy meg kell változtatni az alkalmazás architektúráját, mert egy adatbázisban elsősorban mindent egy központi helyre hozza, és megvan az ügyfél-szerver típusú modell. A Blockchain inverz; az elosztott másolatokról szól. Több szempontból hasonlít a BitTorrenthez, azaz hogy sok másolat van ugyanazon adatokból. És tudod, mint például a Cassandra és a memóriába épített adatbázisok, ahol terjesztik, és sok szerver ugyanazon adatok másolatát kaphatja meg egy elosztott indexből. Úgy gondolom, hogy a két kulcsfontosságú rész, amint mondtad, Robin, a következő: az egyik, ha biztosítani akarja, és megbizonyosodni arról, hogy nem lehet lopni vagy feltörni, ez remek, de ez még nem feltétlenül tranzakciós platform, és mi ezt tapasztaltam a bitcoin projekt során. De elméletben mások megoldották ezt. Ugyanakkor építészetileg az ottani alkalmazások nagy része sem tudja, hogyan kell lekérdezni és olvasni a blokkláncból.
Sok munkát kell tenni ott. De azt hiszem, hogy a kérdés kulcstényezője, ha csak tudok, az az indok, hogy azt blokkláncba helyezzem, azt hiszem, a feltett kérdés az, hogy ki tudja-e venni az adatokat egy adatbázisból, és elhelyezheti valamilyen formában, biztonságosabb? És a válasz az, hogy hagyhatja az adatbázisban, és csak titkosíthatja. Jelenleg rengeteg technológia van. Csak titkosítsa az adatokat nyugalomban vagy mozgásban. Nincs ok, amiért nem lehet titkosított adatokat a memóriában és az adatbázisban a lemezen, ami sokkal egyszerűbb kihívás, mert egyetlen építészeti változtatással nem rendelkezik. A legtöbb adatbázis-platform esetében ez valójában csak egy szolgáltatás, amely engedélyezve van.
Eric Kavanagh: Igen, van még egy utolsó kérdés, amit átadok neked, Iggy. Nagyon jó. Az SLA és a kapacitástervezés szempontjából milyen adó merül fel a rendszer használatával? Más szavakkal: bármilyen további késleltetés vagy áteresztőképesség-felülbírálás, ha valaki egy termelési adatbázisrendszerben ide akarja vonni az IDERA technológiáját?
Ignacio Rodriguez: Valójában nem látunk nagy hatást. Ismét ügynökök nélküli termék, és minden, ahogy már említettem, a pillanatképektől függ. A biztonság pillanatfelvételeken alapul. Kimegy, és valójában létrehoz egy munkát, amely a kiválasztott időközönként megy ki. Vagy meg akarja csinálni, ismét hetente, naponta, havonta. Kiment, elvégzi azt a feladatot, majd összegyűjti az adatokat a példányoktól. Ezen a ponton a betöltés visszatér a felügyeleti és gyűjtési szolgáltatásokhoz, miután elkezdi elvégezni az összehasonlításokat, és az összes, az adatbázis terhelése nem játszik szerepet ebben. Ez a betöltés most már a felügyeleti és adatgyűjtő kiszolgálón van, egészen az összehasonlítások elvégzéséig, az összes jelentéskészítéshez és mindezekhez. Az adatbázis csak akkor jelenik meg, amikor a tényleges pillanatfelvételeket készíti. És még nem érkezett olyan jelentés, hogy az valóban káros lenne a termelési környezetre.
Eric Kavanagh: Igen, ez egy igazán jó pont, amelyet ott mond. Alapvetően beállíthatja, hogy hány pillanatfelvételt készítsen, hogy mennyi az időintervallum, és attól függően, hogy mi történhet, de ez nagyon intelligens architektúra. Ez jó cucc, ember. Nos, srácok, ki vagytok a frontvonalon, és megpróbálnak megvédeni minket a támadásoktól, amelyekről a show első 25 percében beszéltünk. És odakint, emberek, nem hibáznak.
Nos, figyelj, elküldünk egy linket erre a webes közvetítésre, az archívumra, a siteanalysis.com webhelyünkre. Találhat cuccokat a SlideShare-en, a YouTube-on. És emberek, jó dolgok. Köszönöm az idejét, Iggy, egyébként szeretem a beceneved. Ezzel búcsúzunk, emberek. Nagyon köszönöm az idejét és figyelmét. Legközelebb utolérjük. Viszlát.
