Od zamestnancov Techopedia, 10. mája 2017
Hostiteľ Eric Kavanagh diskutuje o bezpečnosti a oprávneniach s Dr. Robinom Bloorom a Vicky Harp IDERA.
Momentálne nie ste prihlásení. Ak chcete vidieť video, prihláste sa alebo sa zaregistrujte.
Eric Kavanagh: OK, dámy a páni, opäť sa pozdravte. Je to streda, sú to štyri východné a vo svete podnikových technológií, čo znamená, že je čas opäť pre Hot Technologies! Ano, naozaj. Prezentované skupinou Bloor, samozrejme, poháňané našimi priateľmi v Techopedia. Téma pre dnešok je skutočne skvelá: „Lepšie sa opýtať na povolenie: Osvedčené postupy v oblasti ochrany súkromia a bezpečnosti.“ Správne, je to trochu náročná téma, veľa ľudí o tom hovorí, ale je to celkom vážna téma a je to naozaj vážnejšie každý deň, úprimne povedané. Pre mnoho organizácií je to v mnohých ohľadoch vážny problém. Budeme o tom hovoriť a budeme hovoriť o tom, čo môžete urobiť, aby ste svoju organizáciu ochránili pred škodlivými postavami, ktoré sa dnes zdajú byť všade všade.
Dnešným moderátorom sa teda volá Vicky Harp z IDERA. Môžete vidieť softvér IDERA na LinkedIn - Mám rád novú funkčnosť na LinkedIn. Aj keď viem, že ťahajú niektoré struny určitým spôsobom, nedovoľujú vám prístup k ľuďom a snažia sa prinútiť vás, aby ste si kúpili tieto prémiové členstvá. Tam máš, máme vlastného Robina Bloora, ktorý sa volá - je dnes v oblasti San Diega. A skutočne ako moderátor / analytik.
O čom to teda hovoríme? Porušenia údajov. Tieto informácie som si vzal z IdentityForce.com, už sú na pretekoch. Sme samozrejme v máji tohto roku a je tu len veľa porušení údajov. Yahoo! samozrejme existuje niekoľko skutočne obrovských porušení. bol veľký a počuli sme samozrejme o tom, že americká vláda bola hacknutá. Práve sme nechali hacknúť francúzske voľby.
Deje sa to všade, pokračuje a nezastaví sa, takže je to realita, ako sa hovorí, je to nová realita. Naozaj musíme myslieť na spôsoby, ako presadiť bezpečnosť našich systémov a našich údajov. A je to nepretržitý proces, takže je načase premýšľať o všetkých rôznych problémoch, ktoré prichádzajú do hry. Toto je iba čiastočný zoznam, ale to vám dáva určitý pohľad na to, aká neistá je situácia v súčasnosti v podnikových systémoch. A pred touto prehliadkou sme v našom predsavzatí žartovali o ransomware, ktorý zasiahol niekoho, koho poznám, čo je veľmi nepríjemný zážitok, keď niekto prevezme váš iPhone a požaduje od vás peniaze, aby ste získali späť prístup k telefónu. Ale stáva sa to, stáva sa to počítačom, stáva sa to systémom, videl som to len druhý deň, stalo sa to miliardárom so svojimi jachtami. Predstavte si, že jedného dňa pôjdete na svoju jachtu, snažíte sa zapôsobiť na všetkých svojich priateľov a nemôžete ju ani zapnúť, pretože nejaký zlodej ukradol prístup k ovládacím prvkom, k ovládacímu panelu. Práve som povedal, že jedného dňa v rozhovore s niekým mám vždy manuálne prepísanie. Rovnako ako ja nie som veľký fanúšik všetkých pripojených automobilov - dokonca aj autá môžu byť hacknuté. Čokoľvek, čo je pripojené k internetu alebo pripojené k sieti, do ktorej je možné preniknúť, môže byť hacknuté.
Preto je tu niekoľko bodov, ktoré je potrebné zvážiť, pokiaľ ide o rámovanie kontextu závažnosti situácie. Webové systémy sú dnes všade všade a neustále sa množia. Koľko ľudí nakupuje veci online? V súčasnosti je to práve cez strechu, preto je Amazon v týchto dňoch tak silnou silou. Je to preto, že toľko ľudí nakupuje veci online.
Takže si pamätáte vtedy, pred 15 rokmi, ľudia boli dosť nervózni, keď vložili svoju kreditnú kartu do webového formulára, aby získali svoje informácie, a vtedy bol argument: „No, ak svoju kreditnú kartu odovzdáte čašníkovi na reštaurácia, potom to je to isté. “Takže naša odpoveď je áno, je to to isté, sú tu všetky tieto kontrolné body alebo prístupové body, to isté, iná strana tej istej mince, kam sa dajú dať ľudia do ohrozenia, kde niekto môže vziať vaše peniaze, alebo niekto vás môže ukradnúť.
Potom IoT samozrejme rozširuje hrozbu - milujem to slovo - rádovo. Myslím tým, že na to - so všetkými týmito novými zariadeniami všade, ak niekto môže preniknúť do systému, ktorý ich ovláda, môže obrátiť všetky tie roboty proti vám a spôsobiť veľa a veľa problémov, takže je to veľmi vážny problém. Dnes máme globálnu ekonomiku, ktorá ešte viac rozširuje hrozbu a navyše máte ľudí v iných krajinách, ktorí majú prístup na web rovnako ako vy a ja, a ak neviete, ako hovoriť rusky alebo ľubovoľný počet ďalších jazykov, budete mať ťažkosti pochopiť, čo sa deje, keď preniknú do vášho systému. Takže máme pokroky v sieťovaní a virtualizácii, to je dobré.
Mám však na pravej strane tohto obrázku meč a dôvod, prečo ho mám, je ten, že každý meč preťáva obe strany. Ako sa hovorí, je to dvojsečný meč a je to staré klišé, ale to znamená, že meč, ktorý mám, vám môže ublížiť alebo mi môže ublížiť. Môže sa to na mňa vrátiť buď odrazom alebo niekým, kto to vezme. Je to vlastne jedna z Aesopových bájok - často dávame našim nepriateľom nástroje našej vlastnej deštrukcie. Je to skutočne presvedčivý príbeh a má to spoločné s niekým, kto použil luk a šípy a zostrelil vtáka a vták videl, ako sa šípka blížila, že perie od jedného z jeho vtáčích priateľov bolo na okraji šípky, na zadnej strane šípky, ktorá ho viedla, a pomyslel si: „Ó, človeče, tu to je, moje vlastné perie, moja vlastná rodina sa použije na to, aby ma zobrala.“ To sa stáva stále, počuješ štatistiky o tom, že v dome máte zbraň, zlodej môže zbraň vziať. To všetko je pravda. Vyhodím to ako analógiu, ktorú treba vziať do úvahy, pretože všetky tieto rôzne udalosti majú pozitívne a negatívne stránky.
A keď už hovoríme o kontajneroch pre tých z vás, ktorí skutočne sledujú špičku podnikovej výpočtovej techniky, kontajnery sú najnovšou vecou, najnovším spôsobom poskytovania funkčnosti, je to skutočne manželstvo virtualizácie v architektúre orientovanej na služby, prinajmenšom pre mikroprocesie a je to veľmi zaujímavé veci. Svoje bezpečnostné protokoly, aplikačné protokoly a údaje a ďalšie údaje si určite môžete zahladiť pomocou kontajnerov, čo vám poskytne čas na vopred, ale skôr alebo neskôr sa na to nájdu zločinci a potom bude ešte ťažšie zabrániť im, aby využívali výhody vašich systémov. Existuje tu teda globálna pracovná sila, ktorá komplikuje sieť a zabezpečenie a odkiaľ sa ľudia prihlasujú.
Máme vojny prehliadača, ktoré pokračujú v tempe, a je potrebné neustále pracovať na aktualizácii a udržiavaní prehľadu vecí. Stále sledujeme staré prehliadače Microsoft Explorer, ako boli v nich hacknuté a dostupné. Takže v dnešnej dobe máme na hackerstve viac peňazí, je tu celé priemyselné odvetvie, toto ma naučil môj partner, Dr. Bloor, pred ôsmimi rokmi - premýšľal som, prečo to tak veľa vidíme, a on pripomenul ja, je to celé odvetvie zapojené do hackingu. A v tomto zmysle je rozprávanie, ktoré je jedným z mojich najobľúbenejších slov o bezpečnosti, veľmi nečestné, pretože rozprávanie vám ukáže všetky tieto videá a akékoľvek spravodajstvo, niektoré hackerstvá, ukážu nejakého chlapa v kapucni a sedí v suteréne v tmavom osvetlenej miestnosti to vôbec nie je. To vôbec nepredstavuje realitu. Je to osamelý hacker, je veľmi málo osamelých hackerov, sú tam vonku, spôsobujú nejaké problémy - nespôsobia veľké problémy, ale dokážu zarobiť veľa peňazí. Čo sa stane, keď hackeri vstúpia a preniknú do vášho systému a potom tento prístup predajú niekomu inému, kto sa otočí a predá ho niekomu inému a potom niekde dole, niekto zneužije tento hack a využije vás. A existuje nespočet spôsobov, ako využiť ukradnuté údaje.
Dokonca som sa divil sebe, ako sme tento koncept okúzľovali. Tento výraz vidíte všade, „hackovanie rastu“, ako by to bolo dobré. Rast hacking, viete, hackerstvo môže byť dobrá vec, ak sa snažíte pracovať pre dobrých ľudí tak, aby ste ich mohli rozprávať a preniknúť do systému, ako keby sme sa stále dopočuli o Severnej Kórei a ich raketových raketoch, ktoré by mohli byť napadnuté - to je dobré. Hacking je však často zlá vec. Takže teraz to okúzľujeme, takmer ako Robin Hood, keď sme okúzľovali Robina Hooda. A potom je tu bezhotovostná spoločnosť, niečo, čo sa úprimne týka denných svetiel odo mňa. Všetko, čo si myslím, že zakaždým, keď začujem, je: „Nie, nerobte to! Prosím, nie! “Nechcem, aby všetky naše peniaze zmizli. Preto je potrebné zvážiť len niektoré problémy a opäť je to hra s mačkou a myšou; nikdy sa nezastaví, vždy budú potrebné bezpečnostné protokoly a pokrokové bezpečnostné protokoly. A na monitorovanie vašich systémov, aby ste vedeli a cítili, kto je tam vonku, s pochopením, že to môže byť dokonca vnútorná práca. Takže ide o pokračujúci problém, bude to nejaký problém, ktorý bude trvať dosť dlho - nemýľte sa s tým.
A s týmto, odovzdám to Dr. Bloorovi, ktorý sa s nami môže podeliť o niektoré myšlienky týkajúce sa zabezpečenia databáz. Robin, zober to.
Robin Bloor: OK, jeden zo zaujímavých hackov, myslím, že k tomu došlo asi pred piatimi rokmi, ale v podstate to bola hackerská spoločnosť, ktorá sa zaoberala spracovaním kariet. A odcudzilo sa veľa detailov kariet. Ale zaujímavá vec bola pre mňa skutočnosť, že to bola testovacia databáza, do ktorej sa skutočne dostali, a pravdepodobne to bolo tak, že mali veľké problémy dostať sa do skutočnej, skutočnej databázy spracovateľských kariet. Ale viete, ako to je s vývojármi, jednoducho urobia rez databázy a tam ju strčia. Na zastavenie by bolo treba oveľa väčšiu ostražitosť. Ale je tu veľa zaujímavých hackerských príbehov, ktoré sa vyrábajú v jednej oblasti, je to veľmi zaujímavý predmet.
Takže vlastne tak či onak opakujem niektoré veci, ktoré Eric povedal, ale je ľahké si predstaviť bezpečnosť údajov ako statický cieľ; je to jednoduchšie len preto, že je ľahšie analyzovať statické situácie a potom premýšľať o nasadení obrany, o ochrane, ale nie je to tak. Je to pohyblivý cieľ a to je jedna z vecí, ktorá druh definuje celý bezpečnostný priestor. Je to len tak, že sa vyvíja všetka technológia, rovnako sa vyvíja aj technológia zbabelcov. Stručný prehľad: Krádež údajov nie je nič nové, v skutočnosti je špionáž údajov krádežou údajov a myslím si, že to prebieha už tisíce rokov.
Najväčším lúpežným údajom bolo, že Briti porušili nemecké kódexy a Američania porušili japonské kódexy. V obidvoch prípadoch vojnu značne skrátili. A kradli iba užitočné a cenné údaje, samozrejme, že to bolo veľmi múdre, ale viete, to, čo sa práve teraz deje, je veľmi chytré mnohými spôsobmi. Kybernetická krádež sa narodila s internetom a explodovala okolo roku 2005. Išiel som a pozrel som sa na všetky štatistické údaje, a keď ste začínali byť skutočne vážni a nejakým spôsobom pozoruhodne vysoký počet začínajúci okolo roku 2005. Je to od začiatku horšie potom. Zapája sa veľa hráčov, vlády, podniky, hackerské skupiny a jednotlivci.
Išiel som do Moskvy - to muselo byť asi päť rokov - a skutočne som strávil veľa času s chlapom zo Spojeného kráľovstva, ktorý skúma celý hackerský priestor. A povedal, že - a netuším, či je to pravda, mám na to len jeho slovo, ale znie to veľmi pravdepodobne - že v Rusku existuje niečo, čo sa nazýva Obchodná sieť, čo je skupina hackerov, ktorí sú všetci, viete, vyšli z ruín KGB. A predávajú sa, nie len, myslím, že som si istý, že ich používa ruská vláda, ale predávajú sa každému, a hovorilo sa, alebo sa hovorilo, že sa hovorilo, že rôzne zahraničné vlády používajú obchodnú sieť na hodnoverná popierateľnosť. Títo chlapci mali siete miliónov kompromitovaných počítačov, z ktorých mohli zaútočiť. A mali všetky nástroje, ktoré si viete predstaviť.
Technológia útoku a obrany sa vyvinula. A podniky majú povinnosť starať sa o svoje údaje, či už ich vlastnia alebo nie. A to sa začína vyjasňovať, pokiaľ ide o rôzne nariadenia, ktoré už sú v platnosti alebo ktoré nadobudli účinnosť. A je pravdepodobné, že sa niekto zlepší, niekto tak či onak, niekto musí znášať náklady na hackovanie takým spôsobom, aby bol motivovaný uzavrieť túto možnosť. Myslím si, že je to jedna z vecí, ktorá je nevyhnutná. Pokiaľ ide o hackerov, môžu byť umiestnené kdekoľvek. Najmä vo vašej organizácii - ohromné množstvo dômyselných hackov, o ktorých som počul, že sa do nich niekto zapojil. Vieš, ten človek, je to ako situácia v bankových lupičoch, takmer vždy hovorili, že v dobrých bankových lúpežiach je zasvätených. Avšak zasvätený potrebuje iba poskytnúť informácie, takže je ťažké ich získať, vedieť, kto to bol, a tak ďalej a tak ďalej.
Môže byť ťažké postaviť ich pred súd, pretože ak ste boli napadnutí skupinou ľudí v Moldavsku, aj keď viete, že to bola táto skupina, ako sa chystáte, aby sa okolo nich stalo nejaké súdne konanie? Je to druh, z jednej jurisdikcie do druhej, je to len tak, že neexistuje veľmi dobrá skupina medzinárodných dohôd na potlačenie hackerov. Zdieľajú technológie a informácie; veľa z toho je open source. Ak si chcete zostaviť vlastný vírus, je tam veľa vírusových súprav - úplne otvorený zdroj. A majú značné zdroje, existuje množstvo, ktoré majú botnety vo viac ako milióne kompromitovaných zariadení v dátových centrách a na PC a tak ďalej. Niektoré z nich sú ziskové podniky, ktoré pôsobia už dlhú dobu, a potom, ako som už spomenul, sú tu vládne skupiny. Je nepravdepodobné, ako povedal Eric, je nepravdepodobné, že sa tento jav skončí.
Takže toto je zaujímavý hack, o ktorom som si myslel, že by som ho spomenul, pretože to bol celkom nedávny hack; stalo sa to minulý rok. V zmluve o DAO sa vyskytla zraniteľnosť spojená s kryptoínovou mincou Etherium. A bolo prediskutované na fóre a do jedného dňa bola zmluva DAO nabouraná, pričom túto zraniteľnosť presne použila. 50 miliónov dolárov v éteri bolo sifónovaných, čo spôsobilo okamžitú krízu v projekte DAO a jeho uzavretie. A éterium vlastne bojovalo, aby sa pokúsilo zabrániť hackerovi v prístupe k peniazom, a tak trochu obmedzili jeho prijatie. Verilo sa však, že nie je známe, že hacker pred útokom skutočne skrátil cenu éteru, pretože vedel, že cena éteru sa zrúti, a tak získal zisk iným spôsobom.
A to je ďalší, ak sa vám páči, stratagém, ktorý môžu hackeri použiť. Ak môžu poškodiť vašu cenu za akciu a vedia, že to urobia, potom je potrebné, aby iba skrátili cenu akcie a vykonali hack, takže je to tak trochu, títo chlapci sú inteligentní. A cena je priame odcudzenie peňazí, narušenie a výkupné, vrátane investícií, kde narušíte a skrátite zásoby, sabotáž, krádež identity, všetky druhy podvodov len z dôvodu reklamy. A je to tendencia byť politickým, alebo samozrejme, špionážnym spôsobom informácií, a dokonca existujú aj ľudia, ktorí si zarobia na živobytie z chyby, ktorú môžete získať pokusom o hackovanie spoločnosti Google, Apple, Facebook - dokonca aj Pentagonu, skutočne poskytujú odmenu za chybu. A vy len hackujete; ak je úspešný, stačí ísť a uplatniť svoju cenu a nedôjde k žiadnemu poškodeniu, takže je to pekné, viete.
Mohol by som tiež spomenúť súlad a reguláciu. Okrem sektorových iniciatív existuje množstvo oficiálnych predpisov: HIPAA, SOX, FISMA, FERPA a GLBA sú všetky právne predpisy USA. Existujú normy; PCI-DSS sa stal pomerne všeobecným štandardom. A potom je tu ISO 17799 o vlastníctve údajov. Národné predpisy sa v jednotlivých krajinách líšia, dokonca aj v Európe. A v súčasnosti GDPR - globálne údaje, čo to znamená? Globálne nariadenie o ochrane údajov si myslím, že to znamená - to však nadobudne účinnosť budúci rok. A zaujímavé na tom je, že platí po celom svete. Ak máte 5 000 alebo viac zákazníkov, o ktorých máte osobné informácie a žijú v Európe, potom vás Európa skutočne vezme do úlohy bez ohľadu na to, či má vaša spoločnosť skutočne sídlo alebo kde pôsobí. A pokuty, maximálna pokuta sú štyri percentá z ročného príjmu, čo je len obrovské, takže po vstupe do platnosti bude zaujímavý zvrat na svete.
Veci, na ktoré by ste mali myslieť, no, chyby zabezpečenia DBMS, väčšina cenných údajov v skutočnosti sedí v databázach. Je to cenné, pretože sme venovali veľa času tomu, aby sme ho sprístupnili a usporiadali dobre, a preto je zraniteľnejšie, ak v skutočnosti nepoužívate správne cenné papiere DBMS. Samozrejme, ak plánujete podobné veci, musíte zistiť, aké zraniteľné údaje sú v rámci organizácie, pričom treba pamätať na to, že údaje môžu byť zraniteľné z rôznych dôvodov. Môžu to byť údaje o zákazníkoch, ale mohli by to byť aj interné dokumenty, ktoré by boli užitočné pre špionážne účely atď. Bezpečnostná politika, najmä v súvislosti s bezpečnosťou prístupu - ktorá je podľa môjho názoru v posledných časoch veľmi slabá, v nových veciach s otvoreným zdrojom - sa šifrovanie začína viac používať, pretože je celkom solídne.
Náklady na porušenie bezpečnosti, väčšina ľudí nevedela, ale ak sa skutočne pozriete na to, čo sa stalo s organizáciami, ktoré utrpeli narušenie bezpečnosti, ukázalo sa, že náklady na narušenie bezpečnosti sú často oveľa vyššie, ako si myslíte, že by bolo, A potom ďalšia vec, na ktorú treba myslieť, je útočná plocha, pretože akýkoľvek softvér kdekoľvek, ktorý beží spolu s vašimi organizáciami, predstavuje útočnú plochu. Urobte to aj so všetkými zariadeniami, rovnako ako s údajmi bez ohľadu na to, ako sú uložené. Je to všetko, útočná plocha rastie s internetom vecí, útočná plocha sa pravdepodobne zdvojnásobí.
A konečne, DBA a bezpečnosť údajov. Bezpečnosť údajov je zvyčajne súčasťou úlohy DBA. Je to však aj spolupráca. A musí podliehať podnikovej politike, inak to pravdepodobne nebude implementované dobre. Po tom, čo som povedal, si myslím, že môžem prejsť loptu.
Eric Kavanagh: Dobre, dovoľte mi dať kľúče Vickymu. A môžete zdieľať svoju obrazovku alebo prejsť na tieto snímky, je len na vás, odneste ju.
Vicky Harp: Nie, začnem s týmito snímkami, ďakujem veľmi pekne. Áno, chcel som sa len rýchlo venovať a predstaviť sa. Som Vicky Harp. Som manažér, produktový manažment pre produkty SQL v softvéri IDERA a pre tých z vás, ktorí s nami nemusia byť oboznámení, má IDERA niekoľko produktových radov, ale tu hovorím za veci SQL Server. A tak vykonávame monitorovanie výkonu, dodržiavanie zabezpečenia, zálohovanie, nástroje na správu - a je to len ich zoznam. A samozrejme o tom, o čom dnes hovorím, je bezpečnosť a súlad.
Prevažnú časť toho, o čom dnes chcem hovoriť, nie sú nevyhnutne naše výrobky, aj keď to chcem uviesť neskôr. Chcel som sa s vami porozprávať viac o bezpečnosti databáz, o niektorých hrozbách vo svete bezpečnosti databáz, o niektorých veciach, na ktoré treba myslieť, a o niektorých úvodných nápadoch, na čo sa musíte zamerať, aby ste si zabezpečili svoj SQL Ako bolo uvedené, serverové databázy a tiež uistite sa, že sú v súlade s regulačným rámcom, na ktorý sa môžete vzťahovať. Existuje veľa rôznych nariadení; idú na rôzne priemyselné odvetvia, rôzne miesta na celom svete a to sú veci, na ktoré treba myslieť.
Chcel by som sa teda venovať chvíľke a hovoriť o stave porušenia údajov - a neopakovať príliš veľa z toho, o čom sa tu už hovorilo - nedávno som preskúmal túto štúdiu bezpečnostného výskumu spoločnosti Intel a aj cez ňu - myslím, že Približne 1500 organizácií, s ktorými hovorili - mali v priemere šesť porušení bezpečnosti, pokiaľ ide o porušenia údajov, a 68 percent z nich vyžadovalo zverejnenie v určitom zmysle, takže ovplyvnili cenu akcií alebo museli vykonať nejaký úver monitorovanie ich zákazníkov alebo zamestnancov atď.
Ďalšími zaujímavými štatistikami sú interní aktéri, ktorí boli zodpovední za 43% z nich. Mnoho ľudí si preto myslí veľa o hackeroch a týchto druhoch temných kvázi vládnych organizácií alebo organizovanom zločine atď., Ale vo veľkej miere prípadov interní aktéri stále priamo konajú proti svojim zamestnávateľom. A to je niekedy ťažšie chrániť pred, pretože ľudia môžu mať legitímne dôvody na prístup k týmto údajom. Približne polovica z toho, 43 percent, bola v istom zmysle náhodná. Napríklad v prípade, keď niekto vzal údaje domov, a potom stratil prehľad o týchto údajoch, čo ma vedie k tomuto tretiemu bodu, ktorý spočíva v tom, že do fyzických médií sa stále vzťahovalo 40% prípadov porušenia. Takže, to sú USB kľúče, to sú notebooky ľudí, to sú skutočné médiá, ktoré boli vypálené na fyzické disky a vytiahnuté z budovy.
Ak uvažujete o tom, máte vývojára, ktorý má na svojom notebooku kópiu svojej produkčnej databázy? Potom idú do lietadla a vystúpia z lietadla, dostanú zapísanú batožinu a ich notebook je ukradnutý. Teraz ste porušili údaje. Nemusíte si nevyhnutne myslieť, že to je dôvod, prečo bol tento laptop prevzatý, a nemusí sa nikdy objaviť vo voľnej prírode. Ale to je stále niečo, čo sa považuje za porušenie, bude si to vyžadovať zverejnenie, budete mať všetky následky následkov straty týchto údajov, len kvôli strate tohto fyzického média.
A ďalšia zaujímavá vec je, že veľa ľudí uvažuje o úverových údajoch a informáciách o kreditných kartách ako o najcennejších, ale už to tak nie je. Tieto údaje sú cenné, čísla kreditných kariet sú užitočné, ale úprimne povedané, tieto čísla sa menia veľmi rýchlo, zatiaľ čo osobné údaje ľudí sa veľmi rýchlo nemenia. Niečo, čo najnovšie správy, relatívne najnovšie, VTech, výrobca hračiek, mal tieto hračky určené pre deti. A ľudia by mali, mali by mená svojich detí, mali by informácie o tom, kde deti žijú, mali mená svojich rodičov, mali fotografie detí. Nič z toho nebolo šifrované, pretože sa to nepovažovalo za dôležité. Avšak ich heslá boli zašifrované. Keď sa porušenie nevyhnutne stalo, hovoríte: „Dobre, takže mám zoznam detských mien, mien ich rodičov, kde žijú - všetky tieto informácie sú tam, a vy si myslíte, že heslo bola to najcennejšia časť? “Nebolo to; ľudia nemôžu zmeniť tieto aspekty týkajúce sa ich osobných údajov, adresy atď. A preto sú informácie skutočne veľmi cenné a je potrebné ich chrániť.
Chcel som teda hovoriť o niektorých veciach, ktoré sa práve odohrávajú, a prispieť tak k tomu, že v súčasnosti dochádza k porušovaniu údajov. Jednou z veľkých hotspotov je práve sociálne inžinierstvo. Ľudia to tak nazývajú phishing, predstieranie identity atď., Kde ľudia získavajú prístup k údajom, často prostredníctvom interných aktérov, a to len tým, že ich presvedčia, že k nim majú mať prístup. Zrovna tak sme mali tento červ Google Docs, ktorý sa obchádzal. A čo by sa stalo - a skutočne som dostal jeho kópiu, našťastie som na ňu neklikol - dostali ste e-mail od kolegu a povedali: „Toto je odkaz na dokument Google; musíte kliknúť na toto, aby ste videli, čo som s vami zdieľal. “No, v organizácii, ktorá používa Dokumenty Google, to je veľmi bežné, dostanete desiatky týchto žiadostí denne. Ak naň kliknete, požiada vás o povolenie na prístup k tomuto dokumentu a možno by ste povedali: „Hej, vyzerá to trochu čudne, ale viete, vyzerá to rovnako legitímne, kliknite na ňu, “a akonáhle ste tak urobili, dávali ste tejto tretej strane prístup ku všetkým svojim dokumentom Google, a tak ste vytvorili tento odkaz, aby tento externý aktér mal prístup ku všetkým vašim dokumentom na Disku Google. To sa červilo všade. Zasiahlo stovky tisíc ľudí za niekoľko hodín. A to bol v podstate útok phishingu, ktorý musel Google sám vypnúť, pretože bol veľmi dobre vykonaný. Ľudia padli za to.
Spomínam tu porušenie HR SnapChat. Bola to jednoduchá záležitosť, keď niekto odoslal e-mail, vydával sa za generálneho riaditeľa, poslal e-mail na oddelenie ľudských zdrojov a povedal: „Potrebujem, aby ste mi poslali túto tabuľku.“ A oni im uverili a dali tabuľku so 700 rôznymi zamestnancami. „informácie o kompenzáciách, ich domovské adresy atď. ich zaslali e-mailom tejto druhej strane, v skutočnosti to nebol generálny riaditeľ. Teraz boli údaje mimo a všetky osobné a súkromné informácie ich zamestnancov boli tam a boli k dispozícii na využitie. Takže sociálne inžinierstvo je niečo, o čom hovorím vo svete databáz, pretože je to niečo, proti čomu sa môžete snažiť ubrániť prostredníctvom vzdelávania, ale musíte si len pamätať na to, že všade, kde máte osobu, ktorá interaguje s vašou technológiou, a Ak sa spoliehate na ich dobrý úsudok, aby ste zabránili výpadku, žiadate veľa z nich.
Ľudia robia chyby, ľudia klikajú na veci, ktoré by nemali mať, ľudia padajú na šikovné lsti. A môžete ich veľmi ťažko chrániť pred nimi, ale nie je to dosť silné, musíte sa pokúsiť obmedziť schopnosť ľudí náhodne rozdávať tieto informácie vo vašich databázových systémoch. Ďalšou vecou, ktorú som chcel spomenúť, že samozrejme veľa hovoríme, je ransomware, botnety, vírusy - všetky tieto rôzne automatizované spôsoby. A preto si myslím, že o ransomware je dôležité pochopiť, že to skutočne mení model zisku pre útočníkov. V prípade, že hovoríte o priestupku, musia nejakým spôsobom extrahovať údaje, mať ich pre seba a využiť ich. A ak sú vaše dáta nejasné, ak sú šifrované, alebo ak je to špecifické pre dané odvetvie, pravdepodobne preň nemajú žiadnu hodnotu.
Až do tohto bodu mohli mať ľudia pocit, že to bola ochrana pre nich: „Nepotrebujem sa chrániť pred narušením údajov, pretože ak sa dostanú do môjho systému, všetko, čo majú, budú mať je, že som fotografické štúdio, mám zoznam toho, kto príde v aké dni na budúci rok. Koho to zaujíma? “Ukázalo sa, že odpoveďou je, že vám záleží; ukladáte tieto informácie, sú to vaše obchodné informácie. Preto útočník pomocou ransomwaru povie: „No, nikto iný mi za to nebude dávať peniaze, ale budete.“ Využívajú skutočnosť, že údaje nemusia ani dostať, ale nie Nemusíte dokonca porušovať pravidlá, iba proti vám musia používať bezpečnostné nástroje. Dostanú sa do vašej databázy, zašifrujú jej obsah a potom hovoria: „Dobre, máme heslo a vy nám budete musieť zaplatiť 5 000 dolárov, aby ste dostali toto heslo, inak jednoducho nemáte tieto údaje už. “
A ľudia platia; zistia, že to musia urobiť. MongoDB mal pred niekoľkými mesiacmi taký obrovský problém, myslím, že to bolo v januári, keď ransomware zasiahlo, myslím, viac ako milión databáz MongoDB, ktoré majú na internete na základe niektorých predvolených nastavení. A čo je ešte horšie, je to, že ľudia platili, a tak do nej vstúpili ďalšie organizácie a znovu zašifrovali alebo tvrdili, že to boli tí, ktorí ich pôvodne šifrovali, takže keď ste zaplatili svoje peniaze, v tomto prípade si myslím, že boli ľudia požadujú niečo ako 500 dolárov a povedali: „Dobre, zaplatím viac ako zaplatím výskumnému pracovníkovi, aby sem prišiel, aby mi pomohol zistiť, čo sa stalo. Ja len zaplatím 500 dolárov. “A ani to neplatili správnemu hercovi, takže by sa hromadili s desiatimi rôznymi organizáciami, ktoré im hovoria:„ Máme heslo, “alebo„ Máme dostal si spôsob, ako odomknúť svoje výkupné. “A vy by ste ich museli zaplatiť, aby ste ich mohli uviesť do prevádzky.
Existujú tiež prípady, keď autori ransomwaru mali chyby, tým myslím, že nehovoríme o tom, že by to bola dokonale nadpriemerná situácia, takže ani po útoku, ani po zaplatení neexistuje žiadna záruka, že ste vrátime všetky vaše údaje späť, niektoré z nich sú tiež komplikované zbraňovými nástrojmi InfoSec. Takže tieňové sprostredkovatelia sú skupinou, ktorá uniká z nástrojov, ktoré boli od NSA. Boli to nástroje, ktoré navrhol vládny subjekt na účely špionáže a ktoré skutočne pôsobili proti iným vládnym subjektom. Niektoré z nich boli skutočne vysokoprofilovými nultými útokmi, ktoré v podstate spôsobujú, že známe bezpečnostné protokoly zanikajú. Napríklad v jednom z posledných výpisov Shadow Brokers bola hlavná zraniteľnosť v protokole SMB.
A tak tieto nástroje, ktoré tu vyjdú, môžu za pár hodín skutočne zmeniť hru, pokiaľ ide o vašu útočnú plochu. Takže kedykoľvek o tom premýšľam, je to niečo, čo na organizačnej úrovni predstavuje bezpečnosť InfoSec vlastnou funkciou, ktorú treba brať vážne. Kedykoľvek hovoríme o databázach, môžem to trochu zobrať, nemusíte mať nevyhnutne ako správca databázy úplné pochopenie toho, čo sa deje s Shadow Brokers tento týždeň, ale musíte si uvedomiť, že všetko z toho sa posúvajú, existujú veci, ktoré sa vyvíjajú, a preto miera, v ktorej si udržujete svoju vlastnú doménu pevne a bezpečne, vám skutočne pomôže v prípade, že sa veci roztrhnú zdola.
Chcel som sa teda chvíľu venovať, než som sa začal venovať špecificky otázkam o serveri SQL Server, aby som mal trochu otvorenú diskusiu s našimi panelistami o niektorých aspektoch týkajúcich sa bezpečnosti databázy. Takže som sa dostal k tomuto bodu, niektoré z vecí, ktoré sme nespomínali, som chcel hovoriť o injekcii SQL ako o vektore. Toto je injekcia SQL, samozrejme, je to spôsob, akým ľudia vkladajú príkazy do databázového systému, a to tak, že nesprávne vstupujú.
Eric Kavanagh: Áno, skutočne som sa stretol s chlapom - myslím, že to bolo na základni Andrews Air Force - asi pred piatimi rokmi, konzultantom, s ktorým som s ním hovoril na chodbe, a my sme sa len tak trochu delili o vojnové príbehy - žiadna slovná hračka nebola určená - a spomenul, že ho priviezol niekto, aby sa poradil s pomerne vysokopostaveným členom armády, a ten sa ho opýtal: „Dobre, ako vieme, že v tom, čo robíš, dobre?“ A toto a to, A keď hovoril s nimi, ktoré používal vo svojom počítači, dostal sa do siete, pomocou injekcie SQL sa dostal do e-mailového registra pre túto základňu a pre týchto ľudí. A našiel e-mail osoby, s ktorou hovorí, a práve mu ukázal svoj e-mail na svojom počítači! A ten chlap bol ako: „Ako si to urobil?“ Povedal: „No, použil som SQL injekciu.“
Takže to bolo len pred piatimi rokmi a bolo to na základni leteckých síl, však? Myslím tým teda, čo sa týka kontextu, táto vec je stále veľmi reálna a mohla by sa použiť so skutočne hroznými účinkami. Myslím, že by som bol zvedavý na všetky vojnové príbehy, ktoré má Robin na túto tému, ale všetky tieto techniky sú stále platné. V mnohých prípadoch sa stále používajú a je to otázka vzdelávania sa, však?
Robin Bloor: Áno, áno. Áno, je možné sa brániť proti SQL injekcii vykonaním práce. Je ľahké pochopiť, prečo, keď bol nápad vynájdený a prvýkrát sa množil, je ľahké pochopiť, prečo bol taký zatraceně úspešný, pretože ste ho mohli jednoducho vložiť do vstupného poľa na webovej stránke a prinútiť ho, aby vám vrátil údaje, alebo odstrániť údaje z databázy alebo čokoľvek - stačí na to vložiť kód SQL. Ale to, čo ma zaujímalo, je to, že viete, mali by ste urobiť trochu analýzy všetkých údajov, ktoré boli vložené, ale je celkom možné zistiť, že sa niekto pokúša urobiť. A je to naozaj, myslím si, že je to naozaj preto, lebo ľudia s tým stále prechádzajú, myslím, že je to naozaj čudné, že neexistuje jednoduchý spôsob, ako proti tomu bojovať. Vieš, že každý mohol ľahko použiť, myslím, že pokiaľ viem, tak tam nebol, Vicky?
Vicky Harp: No, vlastne niektoré z rukojemníckych riešení, ako napríklad SQL Azure, si myslím, že existujú veľmi dobré metódy detekcie, ktoré sú založené na strojovom učení. To je pravdepodobne to, čo uvidíme v budúcnosti. Je to niečo, čo sa snaží prísť so všetkými univerzálnymi rozmermi. Myslím si, že odpoveď znie, že nie je vhodná pre všetky veľkosti, ale máme stroje, ktoré sa dokážu naučiť, aká je vaša veľkosť, a uistite sa, že sa k nej hodíte, však? A tak, že ak máte falošne pozitívny výsledok, je to preto, že skutočne robíte niečo neobvyklé, nie je to preto, že ste museli prejsť a starostlivo identifikovať všetko, čo by vaša aplikácia mohla kedy urobiť.
Myslím si, že jedným z dôvodov, prečo je to stále tak plodné, je to, že ľudia sa stále spoliehajú na aplikácie tretích strán a aplikácie od poskytovateľov internetových služieb a tie sa postupom času rozplývajú. Takže hovoríte o organizácii, ktorá si kúpila inžiniersku aplikáciu, ktorá bola napísaná v roku 2001. A neaktualizovali ju, pretože odvtedy nenastali žiadne zásadné funkčné zmeny, a jej pôvodný autor bol taký, neboli inžiniermi, neboli odborníkmi na bezpečnosť databáz, nerobili veci správnym spôsobom v aplikácii a skončili ako vektor. Chápem, že - myslím, že to bolo porušenie cieľových údajov, skutočne veľké -, že útokový vektor bol prostredníctvom jedného z ich dodávateľov klimatizácií, však? Takže problém s týmito tretími stranami môže byť, ak vlastníte svoj vlastný vývojový obchod, môžete mať niektoré z týchto pravidiel zavedené, pričom ich robíte všeobecne kedykoľvek. Ako organizácia môžete mať spustené stovky alebo tisíce aplikácií so všetkými rôznymi profilmi. Myslím, že to je miesto, kde sa strojové učenie chystá prísť a začať nám veľa pomáhať.
Môj vojnový príbeh bol vzdelávací život. Musím vidieť útok SQL injekcie a niečo, čo sa mi nikdy nestalo, je to, že používa obyčajný čitateľný SQL. Robím tieto veci nazývané zahmlené P SQL prázdninové karty; Páči sa mi to, urobíte to tak, aby SQL vyzeralo čo najviac mätúce. Sú tu nejasné súťaže o kód C ++, ktoré prebiehajú už desaťročia, a je to niečo podobné. Takže to, čo ste vlastne dostali, bola SQL injekcia, ktorá bola v poli otvoreného reťazca, zavrela reťazec, vložila bodkočiarku a potom vložila príkaz exec, ktorý mal potom sériu čísel a potom v podstate používalo príkaz casting na obsadenie týchto čísel do binárneho formátu a následné ich odovzdanie na hodnoty znakov a následné vykonanie. Nie je to tak, že by ste videli niečo, čo hovorí: „Odstrániť spustenie z výrobnej tabuľky“, bolo to vlastne vyplnené do číselných polí, vďaka ktorým bolo oveľa ťažšie vidieť. A aj keď ste to videli, aby ste zistili, čo sa deje, trvalo niekoľko skutočných snímok SQL, aby sme vedeli zistiť, čo sa deje, do ktorého času sa už práca samozrejme vykonala.
Robin Bloor: A jedna z vecí, ktorá je len fenoménom v celom hackerskom svete, je to, že ak niekto nájde slabinu a stane sa v časti softvéru, ktorý sa všeobecne predáva, viete, jedným z prvých problémov je heslo databázy, ktoré ste dostali pri inštalácii databázy, veľa databáz bolo v skutočnosti iba predvolené. A veľa DBA to nikdy nikdy nezmenilo, a preto sa vám podarilo dostať sa do siete; toto heslo by ste si mohli skúsiť vyskúšať a ak by to fungovalo, dobre by ste vyhrali v lotérii. Zaujímavé je, že všetky tieto informácie sú veľmi efektívne a efektívne distribuované medzi hackerskými komunitami na webových stránkach darknet. A vedia. Takže môžu do značnej miery robiť to, čo je tam, nájsť pár príkladov a jednoducho na to automaticky vyhodiť nejaké hackerské vykorisťovanie, a sú tam. Myslím, že to je veľa ľudí, ktorí sú aspoň na na periférii toho všetkého nechápem, ako rýchlo hackerská sieť reaguje na zraniteľnosť.
Vicky Harp: Áno, to vlastne vynára ďalšiu vec, ktorú som chcel spomenúť skôr, ako sa pohnem, čo je táto predstava o vycpávke poverovacích údajov, čo je niečo, čo sa veľa objavuje, to znamená, že akonáhle sú vaše poverenia ukradnuté niekomu inému, na ktoromkoľvek mieste sa tieto poverenia pokúsia opätovne použiť plošne. Ak teda používate duplicitné heslá, povedzme, že ak sú vaši používatelia dokonca, povedzme to takto, niekto by mohol mať prístup prostredníctvom toho, čo sa javí ako úplne platná sada poverení. Povedzme, že som použil svoje rovnaké heslo v Amazone av mojej banke, ako aj na fóre a že softvér fóra bol napadnutý hackerom, takže majú moje používateľské meno a moje heslo. Potom môžu v Amazone používať rovnaké meno používateľa alebo ho môžu používať v banke. Pokiaľ ide o banku, išlo o úplne platné prihlásenie. Teraz môžete prostredníctvom úplne autorizovaného prístupu podniknúť nepríjemné kroky.
Takže tento druh sa vracia opäť k tomu, čo som hovoril o vnútorných porušeniach a vnútorných zvyklostiach. Ak máte vo svojej organizácii ľudí, ktorí používajú interné heslo s rovnakým heslom, aké používajú pre externý prístup, máte možnosť, že niekto príde a vydá sa za vás pri porušení pravidiel na niektorom inom webe, ktorý nepoužívate o tom ani neviem. A tieto údaje sa šíria veľmi rýchlo. Existujú zoznamy, ktoré si myslím, že posledné zaťaženie, ktoré „som bol zastavený“ Troyom Huntom, povedal, že má pol miliardu kreditov, čo je - ak vezmete do úvahy počet ľudí na planéte - to je skutočne veľké množstvo poverení, ktoré boli sprístupnené na plnenie poverovacích údajov.
Takže pôjdem o krok ďalej a hovorím o bezpečnosti servera SQL. Teraz chcem povedať, že sa nebudem snažiť poskytnúť vám všetko, čo potrebujete vedieť na zabezpečenie servera SQL v priebehu nasledujúcich 20 minút; zdá sa, že je to vysoký poriadok. Takže, ak chcete začať, chcem povedať, že existujú skupiny online a zdroje online, ktoré môžete, samozrejme, Google, existujú knihy, dokumenty Microsoft o osvedčených postupoch v spoločnosti Microsoft, virtuálna kapitola zabezpečenia pre profesionálnych spolupracovníkov na serveri SQL Server, sú na security.pass.org a verím, že majú mesačné webcasty a nahrávky webcastov, aby prešli skutočnou hĺbkou toho, ako vykonať SQL Server security. Ale to sú niektoré z vecí, ktoré s vami hovorím ako odborníci na údaje, ako odborníci v oblasti IT, ako spoločnosti DBA, chcem, aby ste vedeli, čo potrebujete vedieť o zabezpečení servera SQL.
Prvým je fyzické zabezpečenie. Ako som už povedal, kradnutie fyzických médií je stále veľmi bežné. A scenár, ktorý som dal spolu s počítačom dev, s kópiou vašej databázy na počítači s počítačom, ktorý sa ukradne - to je veľmi bežný vektor, to je vektor, ktorý musíte poznať a snažiť sa proti nemu konať. Platí to aj pre zabezpečenie zálohovania, takže vždy, keď zálohujete svoje údaje, musíte ich zálohovať šifrovane, musíte ich zálohovať na bezpečné miesto. Mnohokrát boli tieto údaje, ktoré boli v databáze skutočne chránené, hneď ako sa začnú dostať na periférne miesta, na devné stroje, na testovacie stroje, trochu menej opatrne sme venovali patchovaniu, trochu menej pozor na ľudí, ktorí k nim majú prístup. Ďalšiu vec, ktorú viete, máte nezašifrované zálohy databázy uložené na verejnom zdieľaní vo vašej organizácii, ktoré je možné využívať od mnohých rôznych ľudí. Takže, premýšľajte o fyzickej bezpečnosti a rovnako jednoduché ako môže niekto ísť hore a len vložiť kľúč USB na váš server? Nemali by ste to dovoliť.
Ďalšou položkou, o ktorej by som chcel premýšľať, je zabezpečenie platforiem, teda moderný operačný systém, najaktuálnejšie patche. Je veľmi únavné počuť ľudí, ktorí hovoria o pobyte na starších verziách systému Windows, starších verziách servera SQL Server, pričom si myslia, že jedinou cenou v hre sú náklady na aktualizáciu licencií, čo nie je pravda. Sme s bezpečnosťou, je to potok, ktorý neustále klesá z kopca, a ako plynie čas, nájde sa ďalšie využitie. Microsoft v tomto prípade a prípadne aj ďalšie skupiny aktualizujú staršie systémy do určitej miery a nakoniec prestanú byť podporované a už ich nebudú aktualizovať, pretože je to len nekonečný proces údržbu.
Preto musíte byť na podporovanom OS a musíte byť informovaní o svojich opravách. Nedávno sme zistili, ako v prípade služby Shadow Brokers. V niektorých prípadoch môže mať spoločnosť Microsoft pred nimi informácie o pripravovaných závažných narušeniach zabezpečenia. pred zverejnením, takže sa nenechajte vytrhnúť z prevádzky. Radšej by som nemal mať prestoje, radšej by som čakal, prečítal si každú z nich a rozhodol sa. Možno nebudete vedieť, aká je jej hodnota až po niekoľkých týždňoch po zistení príčiny tejto náplasti. Takže zostaňte nad tým.
Mali by ste mať nakonfigurovaný firewall. V prípade porušenia protokolu SNB bolo šokujúce, koľko ľudí používalo staršie verzie servera SQL Server s bránou firewall úplne otvorenou pre internet, takže sa ktokoľvek mohol na serveroch dostať a robiť, čo chceli. Mali by ste používať bránu firewall. Skutočnosť, že musíte občas nakonfigurovať pravidlá alebo urobiť konkrétne výnimky pre spôsob, akým podnikáte, je v poriadku. Musíte ovládať povrchovú plochu vo svojich databázových systémoch - inštalujete služby alebo webové servery, ako je IIS, na ten istý počítač? Zdieľate rovnaké miesto na disku, zdieľate rovnaké miesto v pamäti ako vaše databázy a vaše súkromné údaje? Snažte sa to nerobiť, skúste to izolovať, udržujte plochu menšiu, aby ste sa nemuseli obávať toho, či je všetko v hornej časti databázy bezpečné. Môžete ich fyzicky oddeliť, platformu, oddeliť ich, dať si trochu oddychovej miestnosti.
Nemali by ste mať všadeprítomných super správcov, ktorí by mali prístup k všetkým vašim údajom. Účty administrátora OS nemusia nevyhnutne potrebovať prístup k vašej databáze alebo k základným údajom v databáze prostredníctvom šifrovania, o ktorom budeme hovoriť za minútu. A prístup k databázovým súborom musíte tiež obmedziť. Bolo by to hlúpe, keby ste povedali, že niekto nemá prístup k týmto databázam prostredníctvom databázy; SQL Server sám im nedovolí prístup k nemu, ale ak potom dokážu ísť, zobrať kópiu skutočného súboru MDF, jednoducho ho presunúť, pripojiť ho k svojmu vlastnému serveru SQL, skutočne ste to veľmi nedokončili moc.
Šifrovanie, takže šifrovanie je ten slávny obojsmerný meč. Existuje veľa rôznych úrovní šifrovania, ktoré môžete robiť na úrovni OS a súčasný spôsob, ako robiť veci pre SQL a Windows, je s BitLocker a na úrovni databázy sa nazýva TDE alebo transparentné šifrovanie údajov. Toto sú dva spôsoby, ako udržať vaše dáta v kľude v šifrovanom stave. Ak chcete, aby vaše dáta boli šifrované komplexnejšie, môžete to urobiť šifrované - prepáčte, ja som však trochu pokročila. Môžete vykonávať šifrované pripojenia, takže vždy, keď je v prevádzke, stále sú šifrované, takže ak niekto počúva alebo má uprostred útoku nejaký človek, máte cez tieto káble určitú ochranu. Vaše zálohy musia byť šifrované, ako som už povedal, môžu byť prístupné ostatným a potom, ak chcete, aby sa šifrovalo v pamäti a počas používania, máme šifrovanie stĺpcov a potom SQL 2016 má tento pojem „vždy zašifrované “, ak je to skutočne šifrované na disku, v pamäti, na kábli, až po aplikáciu, ktorá údaje skutočne využíva.
Teraz nie je všetko toto šifrovanie bezplatné: Je tu réžia procesora, niekedy existuje šifrovanie stĺpcov a vždy šifrovaný prípad, čo má vplyv na výkonnosť, pokiaľ ide o schopnosť vyhľadávať údaje. Avšak toto šifrovanie, ak je správne zostavené, znamená to, že ak by niekto mal získať prístup k vašim údajom, poškodenie sa výrazne zníži, pretože sa im podarilo získať a potom s tým nemôže nič urobiť. Týmto spôsobom však ransomware funguje aj to, že niekto vstúpi a zapne tieto položky so svojím vlastným certifikátom alebo vlastným heslom a nemáte k nim prístup. Preto je dôležité sa ubezpečiť, že to robíte, a máte k tomu prístup, ale nedávate to otvoreným prístupom pre ostatných a útočníkov.
A potom, bezpečnostné zásady - nebudem sa venovať tejto otázke, ale uistite sa, že nemáte všetkých používateľov bežiacich na serveri SQL Server ako superadministrátora. Vaši vývojári to môžu chcieť, rôzni používatelia to môžu chcieť - sú frustrovaní tým, že musia požiadať o prístup k jednotlivým položkám - musíte sa však o to usilovne usilovať, aj keď to môže byť komplikovanejšie, poskytnúť prístup k objektom a databázy a schémy, ktoré sú platné pre prebiehajúcu prácu, a existuje špeciálny prípad, možno to znamená špeciálne prihlásenie, pre priemerného používateľa prípadu to nevyhnutne neznamená zvýšenie práv.
A potom sú tu úvahy o dodržiavaní regulačných predpisov, ktoré do toho zapadajú, a niektoré prípady by sa v skutočnosti mohli ísť vlastným spôsobom - takže existuje HIPAA, SOX, PCI - sú tu všetky tieto rôzne úvahy. A keď prechádzate auditom, bude sa od vás očakávať, že preukážete, že podnikáte kroky, aby ste boli v súlade s týmto. A to je veľa, čo by som mal sledovať. Povedal by som, že ako zoznam úloh DBA sa snažíte zaistiť bezpečnú konfiguráciu fyzického šifrovania. Snažíte sa zabezpečiť, aby bol prístup k týmto údajom auditovaný. na zabezpečenie súladu s vašimi citlivými stĺpcami, aby ste vedeli, aké sú, kde sú, do ktorých by ste mali šifrovať a sledovať prístup. A uistite sa, že konfigurácie sú v súlade s regulačnými pokynmi, ktorým podliehate. A toto musíte neustále aktualizovať, pretože sa veci menia.
Takže je toho veľa čo robiť, a tak keby som to nechal práve tam, povedal by som, že to urobím. Ale existuje veľa rôznych nástrojov na to, a tak, ak môžem, v posledných niekoľkých minútach, chcel som vám ukázať niektoré nástroje, ktoré máme v spoločnosti IDERA na to. A tie dva, o ktorých som dnes chcel hovoriť, sú SQL Secure a SQL Compliance Manager. SQL Secure je náš nástroj, ktorý pomáha identifikovať druhy slabých miest konfigurácie. Vaše bezpečnostné zásady, vaše používateľské oprávnenia, konfigurácie vašej oblasti. A má šablóny, ktoré vám pomôžu dodržiavať rôzne regulačné rámce. To samo osebe, tento posledný riadok, by mohol byť dôvodom pre to, aby to ľudia zvážili. Pretože prečítanie týchto rôznych nariadení a identifikácia toho, čo to znamená, PCI, a následné presmerovanie na môj server SQL v mojom obchode, je veľa práce. To je niečo, za čo by ste mohli zaplatiť veľa poradenských peňazí; Šli sme a urobili sme toto poradenstvo, spolupracovali sme s rôznymi audítorskými spoločnosťami atď., aby sme prišli s tým, čo sú tieto šablóny - niečo, čo pravdepodobne prejde auditom, ak budú zavedené. Potom môžete tieto šablóny použiť a zobraziť ich vo svojom prostredí.
Máme tiež ďalší druh sesterského nástroja vo forme správcu súladu so štandardom SQL. Tu je SQL Secure o nastaveniach konfigurácie. SQL Compliance Manager je o tom, čo sa stalo, kto, kedy. Je to audit, takže vám umožňuje sledovať aktivitu v čase, keď k nej dochádza, a umožňuje vám zistiť a sledovať, kto má prístup k veciam. Bol niekto, prototypovým príkladom, ako je celebrita, skontrolovaná vo vašej nemocnici, chodil niekto a hľadal informácie, len zo zvedavosti? Mali na to dôvod? Môžete sa pozrieť na históriu auditov a zistiť, čo sa deje, kto k týmto záznamom pristupoval. A môžete zistiť, že to má nástroje, ktoré vám pomôžu identifikovať citlivé stĺpce, takže nemusíte nutne prečítať a urobiť všetko sami.
Takže, ak môžem, budem pokračovať a ukážem vám niektoré z týchto nástrojov tu v posledných niekoľkých minútach - a nepovažujte to prosím za hĺbkové demo. Som produktový manažér, nie predajný technik, preto vám ukážem niektoré z vecí, ktoré považujem za relevantné pre túto diskusiu. Toto je náš produkt SQL Secure. A ako vidíte tu, mám druh tejto karty na vysokej úrovni. Myslím, že som to včera spustil. A ukazuje mi niektoré veci, ktoré nie sú nastavené správne a niektoré veci, ktoré sú nastavené správne. Takže vidíte, že tu máme dosť viac ako 100 rôznych kontrol. A vidím, že moje záložné šifrovanie na zálohách, ktoré som robil, nepoužíval som záložné šifrovanie. Môj účet SA, výslovne nazvaný „účet SA“, nie je deaktivovaný ani premenovaný. Rola verejného servera má povolenie, takže toto sú všetko veci, na ktoré by som sa pravdepodobne chcel pozrieť.
Mám tu nastavenú politiku, takže ak by som chcel vytvoriť novú politiku, ktorá by sa vzťahovala na moje servery, máme všetky tieto vstavané politiky. Takže použijem existujúcu šablónu politiky a vidíte, že mám CIS, HIPAA, PCI, SR a pokračujem. V skutočnosti práve prebiehame ďalšie pridávanie ďalších politík na základe vecí, ktoré ľudia potrebujú v teréne., Môžete tiež vytvoriť novú politiku, takže ak viete, čo audítor hľadá, môžete si ho vytvoriť sami. A potom, keď to urobíte, môžete si vybrať zo všetkých týchto rôznych nastavení, ktoré to, čo musíte nastaviť, v niektorých prípadoch máte nejaké - nechaj ma vrátiť sa a nájsť jedno z predpripravených. To je výhodné, môžem si vybrať, povedzme, HIPAA - už mám HIPAA, môj zlý - PCI, a potom, keď kliknem sem, v skutočnosti vidím externý krížový odkaz na časť časti s tým súvisí. Takže vám to neskôr pomôže, keď sa snažíte zistiť, prečo to nastavujem? Prečo sa to snažím pozrieť? S ktorou časťou sa to týka?
Je to tiež pekný nástroj, ktorý vám umožní vstúpiť a prehľadávať vašich používateľov, takže jednou z ošemetných vecí pri skúmaní vašich používateľských rolí je to, že sa tu v skutočnosti pozriem. Takže, ak ukážem povolenie pre moje, uvidíme sa, poďme si vybrať užívateľa tu. Zobraziť povolenia. Vidím pridelené povolenia pre tento server, ale potom môžem kliknúť sem a vypočítať efektívne povolenia. Poskytne mi úplný zoznam založený na, takže v tomto prípade je to administrátor, takže to nie je také vzrušujúce, ale Mohol by som prejsť a vybrať rôznych používateľov a zistiť, aké sú ich účinné povolenia, na základe všetkých rôznych skupín, do ktorých môžu patriť. Ak sa to niekedy pokúsite urobiť sami, môže to byť vlastne trochu nepríjemné, zistiť, OK, tento používateľ je členom týchto skupín, a preto má prístup k týmto veciam prostredníctvom skupín atď.
Tak, ako tento produkt funguje, je to snímanie snímok, takže v skutočnosti to nie je príliš zložitý proces pravidelného snímania snímky servera a potom tieto snímky priebežne uchováva, takže môžete porovnávať zmeny. Nejde teda o nepretržité monitorovanie v tradičnom zmysle slova ako o nástroj na monitorovanie výkonnosti; toto je niečo, čo ste mohli nastaviť na spustenie raz za noc, raz za týždeň - hoci často si myslíte, že je platné - takže potom, kedykoľvek robíte analýzu a robíte trochu viac, v skutočnosti ste len pracujeme v rámci nášho nástroja. Nepripájate sa späť k serveru toľko, takže je to celkom pekný malý nástroj, s ktorým môžete pracovať, aby ste dosiahli súlad s týmito druhmi statických nastavení.
Ďalším nástrojom, ktorý vám chcem ukázať, je náš nástroj Compliance Manager. Compliance Manager bude monitorovať kontinuálnejším spôsobom. A uvidí, kto robí to, čo na vašom serveri, a umožní vám to sa na to pozrieť. Takže to, čo som tu urobil, za posledných pár hodín som sa vlastne pokúsil spôsobiť nejaké malé problémy. Takže tu mám, či je to problém, alebo nie, možno o tom viem, niekto skutočne vytvoril prihlasovacie údaje a pridal ho do role servera. Takže, ak pôjdem dovnútra a pozriem sa na to, vidím - myslím, že tam nemôžem kliknúť pravým tlačidlom myši, vidím, čo sa tu deje. Toto je môj dashboard a vidím, že som dnes mal o niekoľko neúspešných prihlásení trochu skôr. Mal som veľa bezpečnostných aktivít, činnosti DBL.
Dovoľte mi teda prejsť na svoje audítorské udalosti a pozrieť sa. Tu mám svoje audítorské udalosti zoskupené podľa kategórie a cieľového objektu, takže ak sa pozriem na toto zabezpečenie z predchádzajúceho obdobia, vidím DemoNewUser, došlo k tomuto prihláseniu na vytvorenie servera. A vidím, že login SA vytvoril tento účet DemoNewUser, tu o 14:42. A potom vidím, že zase pridajte prihlasovacie údaje na server, tento DemoNewUser bol pridaný do skupiny správcov serverov, boli pridané do setup admin group, boli pridaní do skupiny sysadmin. To je niečo, o čom by som chcel vedieť, že sa stalo. Tiež som ho nastavil tak, aby sa sledovali citlivé stĺpce v mojich tabuľkách, aby som videl, kto k nemu pristupuje.
Takže tu mám pár vybraných, ktoré sa vyskytli na stole mojej osoby, z dielne Adventure Works. A môžem sa pozrieť a uvidíme, že užívateľ SA v tabuľke Adventure Works urobil desať najlepších hviezd od osoby dot osoby. Takže možno v mojej organizácii nechcem, aby ľudia robili výber hviezd od osoby dot osoby, alebo očakávam, že tak urobia iba niektorí používatelia, a tak sa to tu uvidím. Takže to, čo potrebujete v súvislosti s auditom, môžeme nastaviť na základe rámca a je to trochu viac intenzívny nástroj. Používa SQL Trace alebo SQLX udalosti, v závislosti od verzie. A je to niečo, čo budete musieť mať na svojom serveri nejakú svetlú výšku, ale je to jedna z tých vecí, niečo ako poistenie, čo je pekné, keby sme nemuseli mať poistenie vozidla - bolo by to náklady, ktoré by sme nemuseli brať - ale ak máte server, na ktorom je potrebné sledovať, kto čo robí, možno budete musieť mať trochu extra priestor a podobný nástroj. Či už používate náš nástroj alebo ho rozširujete sami, v konečnom dôsledku budete zodpovední za to, že budete mať tieto informácie na účely súladu s predpismi.
Ako som už povedal, nejde o podrobnú ukážku, iba o stručné a malé zhrnutie. Chcel som vám tiež ukázať rýchly, malý bezplatný nástroj vo forme tohto SQL Column Search, čo je niečo, čo môžete použiť na identifikáciu toho, ktoré stĺpce vo vašom prostredí sa zdajú byť citlivými informáciami. Máme teda niekoľko konfigurácií vyhľadávania, v ktorých hľadá rôzne názvy stĺpcov, ktoré bežne obsahujú citlivé údaje, a potom mám celý zoznam identifikovaných stĺpcov. Mám ich 120 a potom som ich vyviezol sem, aby som ich mohol využiť na to, aby som im povedal, poďme sa pozrieť a ubezpečím sa, že sledujem prístup k prostrednému menu, jednej osobe dot osoby alebo daň z obratu sadzba atď.
Viem, že sme na konci našej doby. A to je všetko, čo som vám musel ukázať, takže máte nejaké otázky?
Eric Kavanagh: Mám pre vás pár dobrých. Dovoľte mi to posunúť sem hore. Jeden z účastníkov pýtal naozaj dobrú otázku. Jeden z nich sa pýta na daň z výkonu, takže viem, že sa líši od riešenia k riešeniu, ale máte všeobecnú predstavu o tom, čo je daň z výkonu pri používaní bezpečnostných nástrojov IDERA?
Vicky Harp: Takže, v SQL Secure, ako som už povedal, je to veľmi málo, len si vezme pár občasných snímok. A aj keď ste bežali dosť často, získavajú statické informácie o nastaveniach, a preto sú veľmi nízke, takmer zanedbateľné. Pokiaľ ide o Compliance Manager, je to-
Eric Kavanagh: Rovnako ako jedno percento?
Vicky Harp: Keby som mal dať percentuálne číslo, áno, bolo by to jedno percento alebo nižšie. Ide o základné informácie o poradí používania SSMS a prechode na kartu zabezpečenia a rozširovanie vecí. Pokiaľ ide o dodržiavanie predpisov, je to oveľa vyššie - preto som povedal, že potrebuje trochu priestoru - je to trochu nad rámec toho, čo máte z hľadiska monitorovania výkonnosti. Teraz nechcem odradiť ľudí od toho, trik s monitorovaním dodržiavania predpisov a ak je to audit, uistite sa, že auditujete iba to, na čo budete konať. Akonáhle teda odfiltrujete a poviete: „Hej, chcem vedieť, kedy ľudia majú prístup k týmto konkrétnym tabuľkám, a chcem vedieť, kedykoľvek ľudia majú prístup, podniknúť tieto konkrétne kroky, “ potom bude vychádzať z toho, ako často sú tieto veci a koľko údajov generujete. Ak poviete: „Chcem úplný text SQL každého výberu, ktorý sa kedy stane v ktorejkoľvek z týchto tabuliek, “ bude to pravdepodobne gigabajty a gigabajty údajov, ktoré musia byť analyzované uloženým serverom SQL Server, presunuté do nášho produktu, atď.
Ak to podržíte na úrovni - bude to tiež viac informácií, ako by ste sa pravdepodobne mohli zaoberať. Ak by ste to mohli zobrať na menšiu množinu, aby ste dostali pár stoviek udalostí za deň, potom je to samozrejme oveľa nižšie. Takže, v niektorých ohľadoch, obloha je limit. Ak zapnete všetky nastavenia pre všetky kontroly pre všetko, potom áno, bude to 50% výkon hit. Ale ak sa chystáte urobiť z toho miernejší, považovaný za level, možno by som očné gule mal 10 percent? Je to skutočne jedna z tých vecí, ktorá bude veľmi závisieť od vašej pracovnej záťaže.
Eric Kavanagh: Áno, správne. Existuje ďalšia otázka týkajúca sa hardvéru. A potom prichádzajú do hry dodávatelia hardvéru a skutočne spolupracujú s dodávateľmi softvéru a ja som odpovedal cez okno Otázky a odpovede. Viem o jednom konkrétnom prípade, keď spoločnosť Cloudera spolupracovala s spoločnosťou Intel, kde do nich spoločnosť Intel investovala obrovské investície, a súčasťou počtu bolo to, že spoločnosť Cloudera získala skorý prístup k návrhu čipov, a tak bola schopná upiecť bezpečnosť na úroveň čipov architektúra, čo je celkom pôsobivé. Ale je to niečo, čo sa tam dostane, a stále ho môžu využívať obe strany. Poznáte nejaké trendy alebo tendencie výrobcov hardvéru spolupracovať s dodávateľmi softvéru na protokole zabezpečenia?
Vicky Harp: Áno, vlastne verím, že Microsoft spolupracoval, aby získal nejaké, napríklad, pamäťové miesto pre niektoré šifrovacie práce, sa vlastne deje na samostatných čipoch na základných doskách, ktoré sú oddelené od vašej hlavnej pamäte, takže niektoré z toho je hmotne oddelené. A verím, že to bolo vlastne niečo, čo prišlo od spoločnosti Microsoft, pokiaľ ide o predajcov, ktorí povedali: „Môžeme prísť na spôsob, ako to urobiť, v podstate je to neadresovateľná pamäť, nemôžem sa pretečením vyrovnávacej pamäte dostať k túto pamäť, pretože v určitom zmysle to ani nie je, takže viem, že sa niečo také deje. ““
Eric Kavanagh: Áno.
Vicky Harp: Pravdepodobne to budú skutočne veľkí predajcovia.
Eric Kavanagh: Áno. Som zvedavý na to pozerať, a možno Robin, ak máte krátku sekundu, bol by som zvedavý poznať vaše skúsenosti v priebehu rokov, pretože opäť, pokiaľ ide o hardvér, z hľadiska skutočnej vedy o materiáloch, ktorá ide na to, čo dáte dokopy zo strany dodávateľa, by tieto informácie mohli ísť na obe strany a teoreticky by sme šli na obe strany pomerne rýchlo, takže existuje nejaký spôsob, ako hardvér používať opatrnejšie, z hľadiska dizajnu, aby sa posilnila bezpečnosť? Co si myslis? Robin, si na mute?
Robin Bloor: Áno, áno. Prepáčte, som tu; Len rozmýšľam nad otázkou. Aby som bol úprimný, nemám názor, je to oblasť, na ktorú som sa nedíval do značnej hĺbky, takže som tak trochu, viete, dokážem vymyslieť názor, ale naozaj neviem. V softvéri preferujem bezpečné veci, v podstate to je spôsob, akým hrám.
Eric Kavanagh: Áno. Ľudia, vyhoreli sme hodinu a tu sme sa zmenili. Ďakujem Vicky Harpovej za jej čas a pozornosť - za všetok svoj čas a pozornosť; vážime si, že ste sa ukázali na tieto veci. Je to veľká vec; už to skoro nezmizne. Je to hra s mačkou a myšou, ktorá bude ďalej chodiť a chodiť. A tak sme vďační, že niektoré spoločnosti sú tam, zamerané na zabezpečenie bezpečnosti, ale ako sa Vicky vo svojej prezentácii dokonca zmieňovala a trochu o nej hovorila, na konci dňa sú to ľudia v organizáciách, ktorí musia myslieť veľmi opatrne o týchto phishingových útokoch, o tomto druhu sociálneho inžinierstva a držte sa svojich prenosných počítačov - nenechávajte ho v kaviarni! Zmeňte si heslo, urobte základy a dostanete tam 80 percent cesty.
Takže, s tým, ľudia, sa s vami rozlúčime, ešte raz vám ďakujem za čas a pozornosť. Nabudúce vás dobehneme, dajte si pozor. Zbohom.
Vicky Harp: Ahoj, ďakujem.
