Od zamestnancov Techopedia, 27. októbra 2016
Jedlo so sebou: Host Eric Kavanagh diskutuje o bezpečnosti databázy s Robinom Bloorom, Dezom Blanchfieldom a Ignacio Rodriguezom IDERA.
Momentálne nie ste prihlásení. Ak chcete vidieť video, prihláste sa alebo sa zaregistrujte.
Eric Kavanagh: Dobrý deň, vítam vás znova v spoločnosti Hot Technologies. Volám sa Eric Kavanagh; Dnes budem vaším hostiteľom webového vysielania a je to horúca téma a nikdy to nebude horúca téma. Toto je horúca téma teraz, úprimne povedané, všetkých porušení, o ktorých počujeme, a môžem vám zaručiť, že to nikdy nezmizne. Dnešná téma, presný názov seriálu, ktorý by som mal povedať, je „Nová normálna: Nakladanie s realitou nezabezpečeného sveta.“ To je presne to, s čím sa zaoberáme.
Máme tvojho hostiteľa, skutočne tvojho, práve tam. Pred niekoľkými rokmi by som vám mal pravdepodobne aktualizovať svoju fotografiu; to bolo 2010. Čas letí. Pošlite mi e-mail s, ak chcete urobiť nejaké návrhy. Toto je náš štandardný „horúci“ list pre Hot Technologies. Účelom tejto show je skutočne definovať konkrétny priestor. Dnes teda, samozrejme, hovoríme o bezpečnosti. Berieme na to veľmi zaujímavý uhol, v skutočnosti s našimi priateľmi z IDERA.
A zdôrazním, že vy ako členovia nášho publika hráte v programe významnú úlohu. Prosím, nehanbite sa. Pošlite nám kedykoľvek otázku a ak budeme mať dosť času, zaradíme ju do otázok a odpovedí. Dnes máme online tri ľudí, Dr. Robin Bloor, Dez Blanchfield a Ignacio Rodriguez, ktorý volá z nezverejneného miesta. Takže v prvom rade, Robin, si prvý moderátor. Podám ti kľúče. Vziať to preč.
Robin Bloor: Dobre, vďaka za to, Eric. Zabezpečenie databázy - myslím, že by sme mohli povedať, že pravdepodobnosť, že najcennejšie údaje, ktorým v skutočnosti každá spoločnosť predsedá, je v databáze. Existuje teda celá séria bezpečnostných vecí, o ktorých by sme mohli hovoriť. Ale myslel som si, že budem hovoriť o téme zabezpečenia databázy. Nechcem nič zobrať z prezentácie, ktorú Ignacio chystá.
Začnime teda tým, že bezpečnosť údajov je ľahké považovať za statický cieľ, ale nie je to tak. Je to pohyblivý cieľ. Je to také dôležité pochopiť v tom zmysle, že IT prostredia väčšiny ľudí, najmä IT prostredia veľkých spoločností, sa neustále menia. A pretože sa neustále menia, útočná plocha, oblasti, v ktorých sa niekto môže snažiť akýmkoľvek spôsobom zvnútra alebo zvonka narušiť bezpečnosť údajov, sa neustále mení. A keď urobíte niečo podobné, inovujete databázu, nemáte potuchy, či ste si práve sami vytvorili zraniteľnosť. Ale nie ste si vedomí a nikdy sa o tom dozviete, až kým sa nestane niečo mizerné.
K dispozícii je stručný prehľad o bezpečnosti údajov. V prvom rade krádež údajov nie je ničím novým a zameriavajú sa na hodnotné údaje. Spravidla je ľahké pre organizáciu zistiť, aké sú údaje, ktoré potrebujú na čo najväčšiu ochranu. Zaujímavé je, že prvý, alebo to, čo by sme mohli tvrdiť, že je prvým počítačom, bol postavený britskou spravodajskou službou počas druhej svetovej vojny s jedným cieľom, a to ukradnúť údaje z nemeckej komunikácie.
Krádež údajov je teda súčasťou IT odvetvia už od začiatku. Po narodení internetu to bolo oveľa vážnejšie. Pozeral som sa do denníka o počte porušení údajov, ku ktorým došlo rok čo rok. A toto číslo narástlo nad 100 do roku 2005 a odvtedy sa každý rok zhoršuje.
Odcudzuje sa väčšie množstvo údajov a odohráva sa väčší počet hackov. A to sú hacky, ktoré sú hlásené. Dochádza k veľmi veľkému počtu incidentov, keď spoločnosť nikdy nehovorí nič, pretože nie je nič, čo by ju donútilo niečo povedať. Vďaka tomu je narušenie údajov tiché. V hackerskom podnikaní je veľa hráčov: vlády, podniky, hackerské skupiny, jednotlivci.
Jedna vec, ktorú si myslím, že je zaujímavé spomenúť, keď som išiel do Moskvy, si myslím, že to bolo asi pred štyrmi rokmi, bola to konferencia o softvéri v Moskve, hovoril som s novinárom, ktorý sa špecializoval na oblasť hackovania údajov. A tvrdil - a som si istý, že má pravdu, ale neviem o ňom nič iné ako o tom, že je to jediný človek, ktorý ma o ňom niekedy zmienil, ale - existuje ruská firma s názvom Ruská obchodná sieť, pravdepodobne má ruskú meno, ale myslím si, že je to jeho anglický preklad, ktorý sa vlastne prenajíma.
Takže ak ste veľká organizácia kdekoľvek na svete a chcete urobiť niečo, čo poškodí vašu konkurenciu, môžete týchto ľudí najať. A ak si najmete týchto ľudí, získate veľmi pravdepodobné odmietnutie toho, kto bol za hackom. Pretože ak sa zistí, kto je za hackom, bude to znamenať, že to urobil pravdepodobne niekto v Rusku. A nebude to vyzerať, akoby ste sa pokúšali poškodiť konkurenta. A verím, že ruská obchodná sieť bola vládami najatá, aby urobili veci, ako je hack do bánk, aby sa pokúsili zistiť, ako sa pohybujú teroristické peniaze. A to sa dá s pravdepodobnou popierateľnosťou vládami, ktoré nikdy nepriznajú, že to skutočne urobili.
Technológia útoku a obrany sa vyvíja. Kedysi dávno som chodil do Chaos klubu. Bolo to miesto v Nemecku, kde ste sa mohli zaregistrovať, a jednoducho sledovať rozhovory rôznych ľudí a vidieť, čo bolo k dispozícii. A urobil som to, keď som sa pozeral na bezpečnostnú technológiu, myslím, že okolo roku 2005. A urobil som to len preto, aby som zistil, čo sa vtedy deje a čo ma ohromilo, bol počet vírusov, kde v podstate išlo o open-source systém. Chodil som ďalej a ľudia, ktorí napísali vírusy alebo rozšírené vírusy, tam len nalepili kód, aby ho mohol použiť niekto. A v tom čase sa mi stalo, že hackeri môžu byť veľmi, veľmi inteligentní, ale je tu strašne veľa hackerov, ktorí nie sú vôbec inteligentní, ale používajú inteligentné nástroje. A niektoré z týchto nástrojov sú mimoriadne inteligentné.
A posledný bod tu: podniky majú povinnosť starať sa o svoje údaje, či už ich vlastnia alebo nie. A myslím si, že sa to stáva čoraz viac uvedomelým, ako to bývalo. A povedzme, pre firmu je stále drahšie, aby sa skutočne podrobila hacku. Pokiaľ ide o hackerov, môžu byť umiestnené kdekoľvek, možno ich bude ťažké postaviť pred súd, aj keď sú správne identifikovaní. Mnohí z nich sú veľmi kvalifikovaní. Značné zdroje, majú botnety všade. Verilo sa, že nedávny útok DDoS pochádza z viac ako miliardy zariadení. Neviem, či je to pravda alebo či je to iba reportér používajúci okrúhle číslo, ale určite bol použitý veľký počet robotických zariadení na útok na sieť DNS. Niektoré ziskové podniky, existujú vládne skupiny, existuje ekonomická vojna, existuje kybernetická vojna, všetko sa tam deje a je nepravdepodobné, myslím si, že sme v presvedčení hovorili, že sa nikdy neskončí.
Dodržiavanie predpisov a nariadenia - skutočne existuje veľa vecí. Viete, že existuje veľa iniciatív zameraných na dodržiavanie právnych predpisov, viete - farmaceutický sektor alebo bankový sektor alebo zdravotníctvo - môžu mať konkrétne iniciatívy, ktoré môžu ľudia sledovať, rôzne druhy osvedčených postupov. Existuje však aj veľa úradných predpisov, ktoré vzhľadom na zákon sú trestané za každého, kto porušuje zákon. Príkladmi USA sú HIPAA, SOX, FISMA, FERPA, GLBA. Existujú určité štandardy, PCI-DSS je štandardom pre kartové spoločnosti. ISO / IEC 17799 je založená na pokuse získať spoločnú normu. Toto je vlastníctvo údajov. Vnútroštátne právne predpisy sa v jednotlivých krajinách líšia, dokonca aj v Európe, alebo by sa malo povedať, najmä v Európe, kde je to veľmi mätúce. A existuje GDPR, globálne nariadenie o ochrane údajov, o ktorom sa v súčasnosti rokuje medzi Európou a Spojenými štátmi americkými, aby sa pokúsilo harmonizovať právne predpisy, pretože je ich toľko, obyčajne, aké sú, v skutočnosti medzinárodné, a potom existujú cloudové služby, ktoré by ste mohli nemyslite si, že vaše údaje boli medzinárodné, ale hneď ako ste sa dostali do cloudu, stali sa medzinárodnými, pretože sa presunuli z vašej krajiny. Ide teda o súbor nariadení, o ktorých sa takým spôsobom rokuje o ochrane údajov. A väčšina z toho súvisí s údajmi jednotlivca, ktoré samozrejme zahŕňajú takmer všetky údaje o totožnosti.
Mali by ste myslieť na: zraniteľné miesta v databáze. Existuje zoznam slabých miest, ktoré sú známe a hlásené predajcami databáz, keď sú objavené a opravené čo najrýchlejšie, takže všetko existuje. Existujú veci, ktoré sa ho týkajú, pokiaľ ide o identifikáciu zraniteľných údajov. Jeden z najväčších a najúspešnejších hackov v oblasti platobných údajov sa uskutočnil spoločnosti spracúvajúcej platby. To sa následne prevzalo, pretože ak sa tak nestalo, muselo ísť do likvidácie, ale údaje neboli ukradnuté z žiadnej z prevádzkových databáz. Dáta boli ukradnuté z testovacej databázy. Stalo sa tak, že vývojári práve vzali podskupinu údajov, ktoré boli skutočnými údajmi, a použili ich bez akejkoľvek ochrany v testovacej databáze. Testovacia databáza bola hacknutá a bolo z nej odobratých veľa osobných osobných údajov.
Existuje bezpečnostná politika, najmä v súvislosti s bezpečnosťou prístupu k databázam, kto môže čítať, kto môže písať, kto môže udeľovať povolenia, a niekto z toho môže obísť? Potom to samozrejme umožňujú šifrovania z databáz. Existujú náklady na narušenie bezpečnosti. Neviem, či je to bežná prax v organizáciách, ale viem, že niektorí, napríklad, velitelia bezpečnostných služieb, sa snažia poskytnúť výkonným predstaviteľom nejakú predstavu o tom, aké sú náklady na narušenie bezpečnosti skôr, ako sa stane skôr ako potom. Musia to urobiť, aby sa ubezpečili, že dostanú správny rozpočet, aby mohli obhajovať organizáciu.
A potom útočná plocha. Zdá sa, že útočná plocha neustále rastie. Zdá sa, že rok čo rok útočná plocha narastá. V súhrne je rozsah ďalším bodom, ale bezpečnosť údajov je zvyčajne súčasťou úlohy DBA. Bezpečnosť údajov je však tiež spoločnou činnosťou. Ak zabezpečujete bezpečnosť, musíte mať úplnú predstavu o bezpečnostných ochranných opatreniach pre celú organizáciu. V tejto súvislosti musí existovať podniková politika. Ak neexistujú firemné zásady, jednoducho skončíte s postupnými riešeniami. Viete, gumička a plast, druh pokusov o zastavenie bezpečnosti.
Preto si myslím, že odovzdávam Dezovi, ktorý vám pravdepodobne dá rôzne vojnové príbehy.
Eric Kavanagh: Zober to preč, Dez.
Dez Blanchfield: Ďakujem, Robin. Vždy je ťažké postupovať. Idem k tomu z opačného konca spektra, len aby, daj nám zmysel rozsahu výzvy, ktorej čelíte a prečo by sme mali robiť viac, než len sedieť a venovať tomu pozornosť, Výzvou, ktorú teraz vidíme s mierkou a množstvom a objemom, rýchlosťou, akou sa tieto veci dejú, je to, že to, čo teraz počúvam okolo miesta s množstvom CXO, nielen s CIO, ale určite CIO sú tí, ktorí sa zúčastňujú na mieste, kde sa Buck zastaví, je to, že považujú porušenie údajov a rýchlo sa stanú normou. Je to niečo, čo takmer očakávajú. Takže sa na to pozerajú z hľadiska: „Dobre, dobre, keď sa dostaneme do porušenia - ak nie - keď sa dostaneme do porušenia, čo s tým musíme urobiť?“ A potom sa začnú rozhovory, čo robia v tradičných okrajových prostrediach a smerovačoch, prepínačoch, serveroch, detekcii narušenia, kontrole narušenia? Čo robia v samotných systémoch? Čo robia s údajmi? A potom sa všetko vráti k tomu, čo urobili so svojimi databázami.
Dovoľte mi len dotknúť sa niekoľkých príkladov niektorých z týchto vecí, ktoré zachytili veľa fantázie ľudí, a potom si ich podrobne rozoberiem. Takže sme v správach počuli, že Yahoo - pravdepodobne najväčší počet, ktorý ľudia počuli, je asi pol milióna, ale v skutočnosti sa ukazuje, že je to neoficiálne skôr ako miliarda - počul som výstredné množstvo troch miliárd, ale to je takmer polovica svetovej populácie, takže si myslím, že je to trochu vysoké. Ale nechal som si to overiť od mnohých ľudí v príslušných priestoroch, ktorí sa domnievajú, že existuje viac ako miliarda záznamov, ktoré boli porušené z Yahoo. A to je len ohromujúce číslo. Teraz niektorí hráči vyzerajú a myslia si, dobre, sú to len účty s webmailom, žiadny veľký problém, ale potom pridávate skutočnosť, že veľa z týchto účtov s webmailom a podivne vysoké číslo, vyššie, ako som predpokladal, sú skutočne platené účty. Na tomto mieste ľudia vkladajú podrobnosti o svojej kreditnej karte a platia za odstránenie reklám, pretože sa ich dočkajú reklám, a tak si za 4 alebo 5 dolárov mesačne chcú kúpiť webmail a službu cloudového úložiska, ktorá nemá reklamy., a ja som jedným z nich a mám to medzi tromi rôznymi poskytovateľmi, do ktorých vkladám svoju kreditnú kartu.
Takže potom je výzvou trochu viac pozornosti, pretože to nie je len niečo, čo je tam vonku, ako jedno riadok, ktorý hovorí: „No, Yahoo stratil, povedzme, 500 až 1 000 miliónov účtov, “ 1 000 miliónov Znie to veľmi veľké a webové účty, ale podrobnosti o kreditnej karte, krstné meno, priezvisko, e-mailová adresa, dátum narodenia, kreditná karta, číslo PIN, čokoľvek chcete, heslá a potom sa stáva oveľa desivejšou koncepciou. A zase mi ľudia hovoria: „Áno, ale je to len webová služba, je to len webmail, žiadny veľký problém.“ A potom hovorím: „Áno, dobre, že účet Yahoo sa možno použil aj v peňažných službách Yahoo na nákup. a predávať akcie. “Potom to bude zaujímavejšie. A keď sa do toho pustíte, uvedomíte si, že to je vlastne viac ako len mamičky a oteckovia doma a tínedžeri s účtami správ, to je vlastne niečo, čo ľudia robia pri obchodných transakciách.
To je jeden koniec spektra. Druhým koncom spektra je, že veľmi malý všeobecný lekár, poskytovateľ zdravotnej starostlivosti v Austrálii, ukradol asi 1 000 záznamov. Bola to vnútorná práca, niekto odišiel, boli len zvedaví, vyšli zo dverí, v tomto prípade to bola 3, 5-palcová disketa. Bolo to pred chvíľou - ale môžete povedať éru médií - ale boli na starej technológii. Ukázalo sa však, že dôvod, prečo vzali údaje, bol len zvedavý na to, kto tam bol. Pretože v tomto malom meste, ktoré bolo našim hlavným mestom, bolo dosť ľudí, boli politici. Zaujímalo sa o to, kto tam bol a kde boli ich životy, a všetky tieto informácie. Takže s veľmi malým narušením údajov, ktoré sa uskutočnilo interne, sa značne veľký počet politikov v detailoch austrálskej vlády údajne nachádzal na verejnosti.
Máme na zváženie dva rôzne konce spektra. Teraz je realita len taká, že tieto veci sú dosť ohromujúce a mám sklíčko, na ktoré tu veľmi rýchlo skočíme. Existuje niekoľko webových stránok, ktoré obsahujú zoznam všetkých druhov údajov, ale tento konkrétny je od bezpečnostného špecialistu, ktorý mal webovú stránku, na ktorej môžete ísť a vyhľadať svoju e-mailovú adresu alebo vaše meno, a ukáže vám každý incident údajov za posledných 15 rokov sa mu podarilo dostať sa do rúk a potom načítať do databázy a overiť, a to vám povie, či ste boli zastavení, ako je tento termín. Ale keď začnete pozerať na niektoré z týchto čísel a táto snímka obrazovky nebola aktualizovaná s jeho najnovšou verziou, ktorá obsahuje pár, napríklad Yahoo. Ale len tu premýšľajte o druhoch služieb. Máme Myspace, máme LinkedIn, Adobe. Adobe je zaujímavý, pretože ľudia vyzerajú a myslia si, čo vlastne Adobe znamená? Väčšina z nás, ktorí sťahujú Adobe Reader nejakej formy, mnohí z nás kúpili produkty Adobe kreditnou kartou, čo je 152 miliónov ľudí.
Teraz, k Robinovej poznámke, to sú veľmi veľké čísla, je ľahké sa nimi premôcť. Čo sa stane, keď máte 359 miliónov účtov, ktoré boli porušené? Je tu pár vecí. Robin zdôraznil skutočnosť, že tieto údaje sú vždy v databáze nejakej formy. To je tu kritická správa. Takmer nikto na tejto planéte, o ktorom viem, ktorý prevádzkuje systém akejkoľvek formy, ho neukladá do databázy. Čo je však zaujímavé, v tejto databáze sú tri rôzne typy údajov. Existujú veci súvisiace s bezpečnosťou, ako sú používateľské mená a heslá, ktoré sú zvyčajne šifrované, ale vždy existuje veľa príkladov, kde nie sú. O ich profile a skutočných údajoch, ktoré vytvárali, existujú skutočné informácie o zákazníkoch, či už ide o zdravotný záznam alebo o e-mail alebo okamžitú správu. A potom je tu skutočná integrovaná logika, takže by to mohli byť uložené procedúry, mohlo by to byť celé množstvo pravidiel, ak to + a potom +. A vždy je to len text ASCII uviaznutý v databáze, veľmi málo ľudí tam sedí a myslia si: „No, toto sú obchodné pravidlá, takto sa naše údaje pohybujú a kontrolujú, mali by sme to potenciálne šifrovať, keď sú v pokoji a keď sú v pohyb to možno dešifrujeme a uchováme v pamäti, “ale v ideálnom prípade by to tiež malo byť.
K tomuto kľúčovému bodu sa však vracia to, že všetky tieto údaje sú v databáze nejakej formy a častejšie ako nie je zameraný, iba historicky, na smerovače a prepínače a servery a dokonca aj na úložisko, a nie vždy na databáze na zadný koniec. Pretože si myslíme, že máme pokrytý okraj siete a je to typický starý, taký druh, žijúci na hrade a okolo neho dáte priekopu a dúfate, že zlí chlapci nebudú byť schopný plávať. Ale potom zrazu zlí chlapci vymysleli, ako vyrobiť predĺžené rebríky a hodiť ich cez priekopu, vyliezť cez priekopu a vyliezť na steny. A zrazu je tvoj priekopa takmer zbytočná.
Takže sme teraz v situácii, keď sú organizácie v doháňaní. Podľa môjho názoru doslova prechádzajú všetkými systémami, a určite mojou skúsenosťou, že to nie sú vždy len tieto jednorožce webových stránok, ako sa na ne často odvolávame, častejšie ako nie, sú porušované tradičné podnikové organizácie. A nemusíte mať veľa fantázie, aby ste zistili, kto sú. Existujú webové stránky, ako napríklad web s názvom pastebin.net, a ak idete na pastebin.net a zadáte iba zoznam e-mailov alebo zoznam hesiel, skončí sa každý deň stovkami tisícov záznamov, ktoré sa budú pridávať tam, kde ľudia uvádzajú zoznam príkladov údajov o mimochodom, až tisíc záznamov mena, priezviska, údajov o kreditnej karte, používateľského mena, hesla, dešifrovaných hesiel. Kde ľudia môžu tento zoznam chytiť, ísť a overiť ich tri alebo štyri a rozhodnúť sa, že áno, chcem si tento zoznam kúpiť a zvyčajne existuje nejaká forma mechanizmu, ktorý poskytuje nejakú anonymnú bránu osobe, ktorá údaje predáva.
Teraz je zaujímavé, že keď si pridružený podnikateľ uvedomí, že to dokážu, nepotrebuje toľko fantázie, aby si uvedomil, že ak utratíte 1 000 USD za kúpu jedného z týchto zoznamov, čo je s tým prvou vecou? Nepôjdete a neskúšate sledovať účty, vložíte ich kópiu späť na adresu pastbin.net a predáte dve kópie za každú 1 000 dolárov a získate zisk 1 000 USD. A to sú deti, ktoré to robia. Na celom svete sú niektoré mimoriadne veľké profesijné organizácie, ktoré to robia na živobytie. Existujú dokonca aj štáty, ktoré útočia na iné štáty. Viete, veľa sa hovorí o Amerike útočiacej na Čínu, o Číne útočiacej na Ameriku, nie je to také jednoduché, ale určite existujú vládne organizácie, ktoré porušujú systémy, ktoré sú vždy poháňané databázami. Nejde iba o malé organizácie, ale aj o krajiny verzus krajiny. To nás privádza späť k otázke, kde sú uložené údaje? Je to v databáze. Aké kontrolné mechanizmy a mechanizmy existujú? Alebo nie vždy sú šifrované a ak sú šifrované, nie sú to vždy všetky údaje, možno je to len heslo, ktoré je solené a šifrované.
A okolo toho máme celý rad problémov s tým, čo je v týchto údajoch a ako poskytujeme prístup k údajom a súlad so SOX. Takže ak uvažujete o správe majetku alebo bankovníctve, máte organizácie, ktoré sa obávajú výziev poverenia; máte organizácie, ktoré sa obávajú dodržiavania predpisov v podnikovom priestore; máte vládne požiadavky a regulačné požiadavky; teraz máte scenáre, v ktorých máme pripravené databázy; máme databázy v dátových centrách tretích strán; máme databázy umiestnené v cloudových prostrediach, takže jeho cloudové prostredia nie sú vždy v krajine. A tak sa to stáva čoraz väčšou výzvou, a to nielen z hľadiska čistého zabezpečenia, ale nielen z toho, ako sa stretneme s rôznymi úrovňami dodržiavania? Nielen normy HIPAA a ISO, ale doslova tucty a desiatky a desiatky z nich na štátnej, národnej a globálnej úrovni prekračujú hranice. Ak obchodujete s Austráliou, nemôžete presunúť vládne údaje. Žiadne austrálske súkromné údaje nemôžu opustiť krajinu. Ak ste v Nemecku, je to ešte prísnejšie. A viem, že Amerika sa v tomto veľmi rýchlo pohybuje z rôznych dôvodov.
Ale znova ma to privádza k tejto celej výzve, ako viete, čo sa deje vo vašej databáze, ako ju monitorujete, ako poviete, kto robí to, čo v databáze, kto má pohľady na rôzne tabuľky a riadky, stĺpce a polia? Kedy ho čítajú, ako často ho čítajú a kto ho sleduje? A myslím si, že to ma privádza k poslednému bodu predtým, ako dnes odovzdám nášmu hosťovi, ktorý nám pomôže hovoriť o tom, ako tento problém vyriešime. Chcem však nechať túto myšlienku a to znamená, že veľká pozornosť je venovaná nákladom na podnikanie a nákladom na organizáciu. A dnes sa nebudeme zaoberať týmto bodom podrobne, ale chcem to len nechať v našich mysliach na premýšľanie a to je to, že existuje odhad približne medzi 135 USD a 585 USD na záznam, ktorý sa má po porušení vyčistiť. Investícia do zabezpečenia okolo smerovačov, prepínačov a serverov je teda dobrá a dobrá a brány firewall, ale koľko ste investovali do zabezpečenia svojej databázy?
Je to však falošná ekonomika a keď sa nedávno došlo k porušeniu Yahoo a mám ho v dobrej autorite, je to zhruba miliarda účtov, nie 500 miliónov. Keď Verizon kúpil organizáciu za niečo ako 4, 3 miliardy, hneď ako došlo k porušeniu, požiadali o späť miliardu dolárov alebo zľavu. Teraz, keď urobíte matematiku a hovoríte, že došlo k porušeniu zhruba miliardy záznamov, zľava 1 miliarda dolárov, odhad 135 až 535 dolárov na vyčistenie záznamu sa teraz stáva 1 dolárov. Čo je opäť frašku. Čistenie miliárd záznamov sa nestane 1 dolárom. Na 1 dolár na záznam vyčistiť milión záznamov za porušenie tejto veľkosti. Pre tento druh nákladov nemôžete ani vydať tlačovú správu. A tak sa vždy zameriavame na vnútorné výzvy.
Myslím si však, že je to jedna z vecí, a preto nás vyzýva, aby sme to brali veľmi vážne na databázovej úrovni, a preto je to veľmi dôležitá téma, o ktorej máme hovoriť, a preto nikdy nehovoríme o ľudských mýto. Čo je to ľudské mýto, ktoré nám v tom vzniklo? A urobím jeden príklad skôr, ako sa rýchlo zabalím. LinkedIn: v roku 2012 bol systém LinkedIn hacknutý. Existuje niekoľko vektorov a ja sa do toho nebudem venovať. A boli ukradnuté stovky miliónov účtov. Ľudia hovoria o 160-nepárnych miliónoch, ale v skutočnosti je to omnoho väčšie číslo, môže to byť až 240 miliónov. Toto porušenie však bolo oznámené až začiatkom tohto roka. To sú štyri roky, čo sú tam stovky miliónov záznamov ľudí. Teraz niektorí ľudia platili za služby s kreditnými kartami a iní ľudia s bezplatnými účtami. Je to zaujímavé pre LinkedIn, pretože nielenže získali prístup k podrobnostiam vášho účtu, ak ste boli porušený, ale získali tiež prístup k všetkým vašim profilovým informáciám. Takže s kým ste boli pripojení a všetky prepojenia, ktoré ste mali, a typy pracovných miest, ktoré mali a aké zručnosti mali a ako dlho pracovali v spoločnostiach a všetky tieto informácie a ich kontaktné údaje.
Zamyslite sa teda nad výzvou, ktorú máme pri zabezpečovaní údajov v týchto databázach a pri zabezpečovaní a riadení samotných databázových systémov a o vlive dopadu, pričom ľudská daň z týchto údajov je tam štyri roky. A pravdepodobnosť, že sa niekto môže objaviť na dovolenke niekde v juhovýchodnej Ázii a tam majú svoje údaje štyri roky. A niekto si možno kúpil auto alebo získal pôžičku na bývanie alebo si kúpil desať telefónov v priebehu roka na kreditných kartách, kde na týchto údajoch vytvoril falošný identifikátor, ktorý tam bol štyri roky - pretože aj údaje z LinkedIn vám poskytli dostatok informácií vytvorte si bankový účet a falošné ID - a dostanete sa do lietadla, chodíte na dovolenku, pristávate a ste uvrhnutí do väzenia. A prečo si uvrhnutý do väzenia? No, pretože ste si ukradli ID. Niekto vytvoril falošný identifikátor a konal ako vy a stovky tisíc dolárov a robili to štyri roky a vy ste o ňom ani nevedeli. Pretože je to tam, stalo sa to.
Takže si myslím, že nás to privádza k tejto hlavnej výzve, ako vieme, čo sa deje v našich databázach, ako ich sledujeme, ako ich monitorujeme? A teším sa, až budem počuť, ako naši priatelia v spoločnosti IDERA prišli s riešením, ako to vyriešiť. A s tým odovzdám.
Eric Kavanagh: Dobre, Ignacio, podlaha je na vás.
Ignacio Rodriguez: Dobre. Vitajte všetkých. Volám sa Ignacio Rodriguez, lepšie známy ako Iggy. Som s IDERA a produktovým manažérom bezpečnostných produktov. Naozaj dobré témy, ktoré sme práve prebrali, a skutočne sa musíme starať o porušenie údajov. Potrebujeme prísnejšie bezpečnostné politiky, musíme identifikovať zraniteľné miesta a posúdiť úrovne bezpečnosti, riadiť oprávnenia používateľov, kontrolovať bezpečnosť servera a dodržiavať audity. Vykonával som audit v mojej minulosti, väčšinou na strane Oracle. Niečo som urobil na serveri SQL Server a robil som ich pomocou nástrojov alebo, v zásade, domácich skriptov, čo bolo skvelé, ale musíte vytvoriť úložisko a uistiť sa, že úložisko je bezpečné, a neustále musím udržiavať skripty so zmenami od audítorov., čo máš.
Takže v nástrojoch, keby som vedel, že IDERA bola tam a mala nástroj, viac by som si to kúpil. Ale v každom prípade budeme hovoriť o Secure. Je to jeden z našich produktov v našej rade bezpečnostných produktov a v podstate to je, že sa pozeráme na bezpečnostné politiky a mapujeme ich do regulačných smerníc. Môžete zobraziť úplnú históriu nastavení servera SQL a môžete v podstate urobiť aj základnú líniu týchto nastavení a potom ich porovnať s budúcimi zmenami. Ste schopní vytvoriť snímku, ktorá je základnou líniou vašich nastavení, a potom môžete sledovať, či sa niektoré z týchto vecí zmenili, a tiež upozorniť, ak sa zmenia.
Jednou z vecí, ktoré robíme dobre, je predchádzať bezpečnostným rizikám a ich porušovaniu. Karta bezpečnostného prehľadu vám poskytuje pohľad na najvyššie bezpečnostné chyby na serveroch a potom je každá bezpečnostná kontrola kategorizovaná ako vysoké, stredné alebo nízke riziko. Teraz je možné všetky tieto kategórie alebo bezpečnostné kontroly zmeniť. Povedzme, že ak máte nejaké ovládacie prvky a používate niektorú zo šablón, ktoré máme a vy sa rozhodnete, naše ovládacie prvky skutočne naznačujú alebo chcú, že táto zraniteľnosť nie je v skutočnosti vysoká, ale stredná alebo naopak. Môžete mať niektoré, ktoré sú označené ako stredné, ale vo vašej organizácii sú ovládacie prvky, ktoré ich chcete označiť, alebo ich považujú za vysoké, všetky tieto nastavenia sú konfigurovateľné používateľom.
Ďalším kritickým problémom, ktorý musíme preskúmať, je identifikácia slabých miest. Pochopenie, kto má prístup k čomu a identifikovať každé z účinných práv používateľa vo všetkých objektoch SQL Server. Pomocou tohto nástroja sa budeme môcť venovať a pozerať sa na práva všetkých objektov servera SQL Server a čoskoro uvidíme snímku obrazovky. Taktiež hlásime a analyzujeme oprávnenia používateľov, skupín a rolí. Jednou z ďalších funkcií je poskytovanie podrobných správ o bezpečnostných rizikách. Máme pripravené správy a obsahujú flexibilné parametre, pomocou ktorých môžete vytvárať typy správ a zobrazovať údaje, ktoré požadujú audítori, správcovia bezpečnosti a manažéri.
Ako som už spomenul, môžeme tiež porovnávať zmeny zabezpečenia, rizika a konfigurácie v priebehu času. A to sú snímky. A tieto snímky je možné nakonfigurovať, pokiaľ ich chcete robiť - mesačne, štvrťročne, ročne - ktoré je možné naplánovať v rámci nástroja. A opäť môžete robiť porovnania, aby ste zistili, čo sa zmenilo a čo je na tom pekné, ak by ste mali porušenie, mohli by ste vytvoriť snímku po jej oprave, urobiť porovnanie a zistili by ste, že došlo k vysokej úrovni. riziko spojené s predchádzajúcim snímkom a potom nahlásením, v skutočnosti sa v nasledujúcom snímke skutočne zobrazí, keď bolo opravené, že už nejde o problém. Je to dobrý audítorský nástroj, ktorý by ste mohli dať audítorovi, správa, ktorú by ste mohli dať audítorom a povedať: „Pozrite, toto riziko sme mali, zmiernili sme to a teraz to už nie je riziko.“ A opäť, ja Ak ste sa zmienili so snímkami, môžete varovať, keď sa zmení konfigurácia, a ak sa konfigurácia zmení a zistí sa, že predstavujú nové riziko, budete o tom tiež informovaní.
S našou zabezpečenou architektúrou SQL Server dostávame nejaké otázky a ja chcem urobiť opravu na snímke, kde sa hovorí „Zbierka Service“. Nemáme žiadne služby, malo to byť „Management and Collection Server. „Máme konzolu a potom náš server pre správu a zhromažďovanie a máme zachytenie bez agentov, ktoré pôjde do databáz, ktoré boli zaregistrované, a zhromažďuje údaje prostredníctvom úloh. A máme úložisko SQL Server a spolupracujeme so službami SQL Server Reporting Services, aby sme naplánovali prehľady a vytvorili aj vlastné zostavy. Teraz na karte bezpečnostných správ je to prvá obrazovka, ktorá sa zobrazí po spustení SQL Secure. Ľahko uvidíte, ktoré kritické položky ste zistili. A opäť máme výšiny, médiá a minimá. A potom máme tiež politiky, ktoré sú v spojení s konkrétnymi bezpečnostnými kontrolami. Máme šablónu HIPAA; máme šablóny IDERA Security Level 1, 2 a 3; máme pokyny týkajúce sa PCI. Toto sú všetky šablóny, ktoré môžete použiť, a znova si môžete vytvoriť svoju vlastnú šablónu na základe vašich vlastných ovládacích prvkov. A opäť sú modifikovateľné. Môžete si vytvoriť svoj vlastný. Akákoľvek z existujúcich šablón sa môže použiť ako základná línia, potom ich môžete podľa potreby upravovať.
Jednou z príjemných vecí je zistiť, kto má povolenie. A s touto obrazovkou tu uvidíme, aké sú prihlásenie SQL Server v podniku, a budete si môcť zobraziť všetky priradené a efektívne práva a oprávnenia v databáze servera na úrovni objektu. Robíme to tu. Budete môcť znova vybrať databázy alebo servery a potom si budete môcť vytiahnuť prehľad povolení servera SQL. Takže vidieť, kto má čo k čomu má prístup. Ďalšou príjemnou vlastnosťou je, že budete môcť porovnávať nastavenia zabezpečenia. Povedzme, že ste mali štandardné nastavenia, ktoré bolo potrebné nastaviť vo vašom podniku. Potom budete môcť vykonať porovnanie všetkých svojich serverov a zistiť, aké nastavenia boli nastavené na ostatných serveroch v podniku.
Opäť platí, že šablóny politík sú niektoré zo šablón, ktoré máme. V podstate znova použijete jeden z nich a vytvorte si vlastný. Môžete si vytvoriť svoju vlastnú politiku, ako vidíte tu. Použite jednu zo šablón a môžete ich podľa potreby upravovať. Sme tiež schopní zobraziť efektívne práva servera SQL Server. Týmto sa overí a preukáže, že povolenia sú správne nastavené pre používateľov a role. Opäť môžete ísť von a pozrieť sa a vidieť a overiť, či sú povolenia správne nastavené pre používateľov a role. Potom s prístupovými právami k objektom SQL Server potom môžete prehľadávať a analyzovať strom objektov SQL Server nadol zo serverovej úrovne na role a koncové body na úrovni objektu. A okamžite si môžete pozrieť priradené a efektívne zdedené povolenia a vlastnosti súvisiace s bezpečnosťou na úrovni objektu. Získate tak dobrý prehľad o prístupoch, ktoré máte k svojim databázovým objektom a ktoré k nim majú prístup.
Máme opäť svoje správy, ktoré máme. Sú to prehľady v konzervách, máme niekoľko, z ktorých si môžete vybrať, aby ste mohli robiť svoje prehľady. Mnohé z nich je možné prispôsobiť alebo môžete mať svoje zákaznícke prehľady a používať ich v spojení so službami vytvárania prehľadov a odtiaľ si budete môcť vytvárať vlastné vlastné prehľady. Teraz je porovnanie snímok, myslím, že je to celkom skvelá vlastnosť, kam môžete ísť von a porovnať svoje snímky, ktoré ste urobili, a pozrieť sa, či v počte nie sú nejaké rozdiely. Pridali sa nejaké objekty, zmenili sa povolenia, všetko, čo by sme mohli vidieť, aké zmeny boli vykonané medzi rôznymi snímkami. Niektorí ľudia sa na ne budú pozerať mesačne - každý mesiac urobia snímku a potom každý mesiac vykonajú porovnanie, aby zistili, či sa niečo zmenilo. A ak nebolo nič, čo by malo byť zmenené, všetko, čo išlo na stretnutia kontroly zmien, a vidíte, že niektoré povolenia boli zmenené, môžete sa vrátiť a pozrieť sa, čo sa stalo. Toto je celkom pekná funkcia, kde môžete znova porovnať všetko, čo je predmetom auditu v rámci snímky.
Potom vaše porovnávacie hodnotenie. Toto je ďalšia pekná funkcia, ktorú máme tam, kam môžete ísť, pozrieť sa na hodnotenia a potom ich porovnať a všimnúť si, že tu uvedené porovnanie malo účet SA, ktorý nebol v tomto nedávnom snímku, ktorý som urobil, zakázaný - je to je teraz opravený. Je to celkom pekné, že môžete preukázať, že, dobre, máme určité riziko, že ich identifikoval nástroj, a teraz sme tieto riziká zmiernili. A opäť je to dobrá správa, ktorá ukazuje audítorom, že v skutočnosti sa tieto riziká zmiernili a je o ne postarané.
Stručne povedané, bezpečnosť databázy je kritická a myslím si, že mnohokrát sa pozeráme na porušenia, ktoré pochádzajú z externých zdrojov, a niekedy nevenujeme príliš veľkú pozornosť vnútorným porušeniam, a to sú niektoré z vecí, ktoré treba dávať pozor. A Secure vám tam pomôže, aby ste sa uistili, že neexistujú žiadne privilégiá, ktoré nemusia byť priradené. Viete, uistite sa, že všetky tieto zabezpečenia sú správne nastavené na účty. Uistite sa, že vaše účty SA majú heslá. Skontroluje sa tiež, či boli vaše šifrovacie kľúče vyvezené? Len niekoľko rôznych vecí, ktoré kontrolujeme, a upozorníme vás na skutočnosť, či sa vyskytol problém a na akej úrovni. Potrebujeme nástroj, veľa odborníkov potrebuje nástroje na správu a monitorovanie oprávnení na prístup k databázam a skutočne sa zameriavame na poskytnutie rozsiahlej schopnosti na riadenie oprávnení na databázu a sledovanie činností prístupu a na zmiernenie rizika porušenia.
Teraz je ďalšou súčasťou našich bezpečnostných produktov to, že existuje WebEx, ktorý bol pokrytý, a časť prezentácie, o ktorej sme hovorili predtým, boli údaje. Viete, kto má prístup k čomu, čo máte, a to je náš nástroj na správu súladu s SQL. Na tomto nástroji je zaznamenaný webový program, ktorý vám umožní sledovať, kto pristupuje k akým tabuľkám, k akým stĺpcom, môžete identifikovať tabuľky, ktoré majú citlivé stĺpce, pokiaľ ide o dátum narodenia, informácie o pacientovi, tieto typy tabuliek a skutočne zistiť, kto má prístup k týmto informáciám a či k nim majú prístup.
Eric Kavanagh: Dobre, tak sa poďme pustiť do otázok, myslím, tu. Možno, Dez, zahodím ti to prvý a Robin, zazvoní, ako môžeš.
Dez Blanchfield: Áno, svrbel som, aby som si položil otázku z druhého a tretieho snímky. Aký je typický prípad použitia tohto nástroja? Kto sú najbežnejšie typy používateľov, ktorých vidíte a ktorí to prijímajú a zavádzajú do hry? A na pozadí toho, typický typ prípadového modelu, ako sa to darí? Ako sa implementuje?
Ignacio Rodriguez: Dobre, typický prípad použitia, ktorý máme, sú DBA, ktorým bola pridelená zodpovednosť za riadenie prístupu k databáze, ktorý zaisťuje, aby všetky povolenia boli nastavené tak, ako musia byť, a potom sledovali ich štandardy. na mieste. Viete, tieto určité používateľské účty môžu mať prístup iba k týmto konkrétnym tabuľkám atď. A čo s tým robia, je ubezpečenie sa, že tieto normy boli stanovené a že tieto normy sa časom nezmenili. A to je jedna z veľkých vecí, ktorú ľudia používajú, je sledovať a identifikovať, či sa vykonávajú nejaké zmeny, o ktorých nie sú známe.
Dez Blanchfield: Pretože sú strašidelní, však? Je to, že by ste mohli mať, povedzme, strategický dokument, máte politiky, ktoré sú oporou, pod ktorým máte súlad a správu, a dodržiavate politiky, dodržiavate vládu a dostane zelenú a potom zrazu o mesiac neskôr niekto zavádza zmenu a z nejakého dôvodu neprejde tou istou doskou na kontrolu zmien alebo procesom zmeny, alebo čokoľvek by to mohlo byť, alebo sa projekt práve posunul ďalej a nikto nevie.
Máte nejaké príklady, ktoré môžete zdieľať - a ja viem, samozrejme, nie vždy to, čo zdieľate, pretože klienti sa o to trochu starajú, takže nemusíme nutne pomenovať mená - ale dajte nám príklad toho, kde vy Možno ste to videli v skutočnosti, viete, organizácia to zaviedla bez toho, aby si to uvedomila, a práve našli niečo a uvedomili si: „Páni, stálo to za to desaťkrát, práve sme našli niečo, čo sme si neuvedomili.“ nejaký príklad, keď to ľudia implementovali a potom zistili, že mali väčší problém alebo skutočný problém, ktorý si neuvedomili, že ho mali, a potom sa okamžite dostanete na zoznam vianočných kariet?
Ignacio Rodriguez: Myslím si, že najväčšou vecou, ktorú sme videli alebo oznámili, je to, čo som práve spomenul, pokiaľ ide o prístup, ktorý niekto mal. Existujú vývojári a keď implementovali nástroj, skutočne si neuvedomili, že množstvo X týchto vývojárov malo taký prístup do databázy a prístup k určitým objektom. Ďalšou vecou sú účty určené len na čítanie. Existovali nejaké účty iba na čítanie, ktoré mali, zistili, že tieto účty len na čítanie sú v skutočnosti, mali vložené údaje a tiež oprávnenia na mazanie. To je miesto, kde sme videli určité výhody pre používateľov. Veľkou vecou, o ktorej sme počuli, že sa ľuďom páči, je, že sú schopní sledovať zmeny a zabezpečiť, aby sa im nič nedotklo.
Dez Blanchfield: Robin zdôraznil, že máte scenáre, ktoré ľudia často neuvažujú, však? Keď sa tešíme, tak si myslíme, že vieme, že ak robíme všetko v súlade s pravidlami, a ja zistím, a som si istý, že to tiež vidíte - povedzte mi, ak s tým nesúhlasíte - organizácie sa zameriavajú tak najmä pokiaľ ide o vypracovanie stratégie a politiky a súlad a správu vecí verejných, KPI a podávanie správ, že o nich často rozhodnú, nemyslia na odľahlé veci. A Robin mal skutočne skvelý príklad, ktorý mu môžem ukradnúť - prepáčte Robinovi, ale príkladom je druhý čas, keď je živá kópia databázy, snímka a vložená do vývojového testu, však? Robíme dev, robíme testy, robíme UAT, robíme systémovú integráciu, všetko také veci a potom teraz robíme veľa testov zhody. Test UAT, SIT má v skutočnosti často súčasť na dodržiavanie predpisov, v ktorej iba zabezpečujeme, že je všetko zdravé a bezpečné, ale nie každý to robí. Tento príklad, ktorý Robin dal s kópiou živej kópie databázy, bol testovaný s vývojovým prostredím, aby zistil, či stále funguje so živými údajmi. Veľmi málo spoločností si sadne a myslia si: „Stáva sa to, alebo je to možné?“ Vždy sa zameriavajú na produkciu. Ako vyzerá implementačná cesta? Hovoríme o dňoch, týždňoch, mesiacoch? Ako vyzerá pravidelné nasadenie v prípade organizácie priemernej veľkosti?
Ignacio Rodriguez: Dni. Nie sú to ani dni, myslím, je to len pár dní. Práve sme pridali funkciu, v ktorej sme schopní zaregistrovať veľa serverov. Namiesto toho, aby ste tam museli pracovať v nástroji a povedať, že ste mali 150 serverov, museli ste tam ísť individuálne a zaregistrovať servery - teraz to nemusíte robiť. Vytvoríte súbor CSV a my ho automaticky odstránime a nezachovávame ho kvôli obavám o bezpečnosť. Ale to je ďalšia vec, ktorú musíme vziať do úvahy, je to, že tam budete mať súbor CSV s používateľským menom / heslom.
Robíme to, že sme to automaticky, odstránime to znova, ale máte možnosť. Ak tam chcete ísť individuálne a zaregistrovať ich a nechcete riskovať, môžete tak urobiť. Ak však chcete použiť súbor CSV, umiestniť ho na bezpečné miesto, nasmerovať aplikáciu na toto miesto, tento súbor CSV spustí a po dokončení sa automaticky nastaví na odstránenie tohto súboru. A pôjde to a skontrolujte, či je súbor odstránený. Najdlhšou tyčou v piesku, ktorú sme mali pri implementácii, bola registrácia skutočných serverov.
Dez Blanchfield: Dobre. Teraz ste hovorili o správach. Môžete nám poskytnúť trochu podrobnejšie informácie a nahliadnuť do toho, čo prichádza vopred, pokiaľ ide o podávanie správ, myslím, že objavná zložka sa zameriava na to, čo je tam, a podáva správy o ňom, súčasný stav národa, čo prichádza vopred, postavené a predpečené, pokiaľ ide o správy o súčasnom stave dodržiavania predpisov a bezpečnosti, a ako ľahko sa dajú rozšíriť? Ako na nich stavať?
Ignacio Rodriguez: Dobre. Niektoré správy, ktoré máme, máme správy, ktoré sa zaoberajú naprieč servermi, kontrolami prihlásenia, filtrami zberu údajov, históriou činnosti a potom správami o hodnotení rizika. A tiež podozrivé účty Windows. Je ich veľa, veľa tu. Pozrite si podozrivé prihlásenia SQL, prihlasovanie na server a mapovanie používateľov, oprávnenia používateľov, všetky oprávnenia používateľov, role serverov, databázové role, určité množstvo chýb, ktoré máme alebo správy o autentifikácii v kombinovanom režime, hosťovacie databázy, zraniteľnosť OS prostredníctvom XPS, rozšírené postupy, a potom zraniteľné pevné úlohy. Toto sú niektoré správy, ktoré máme.
Dez Blanchfield: A spomenuli ste, že sú dosť významné a ich množstvo, čo je logické. Ako ľahké je pre mňa to prispôsobiť? Ak spustím správu a dostanem tento skvelý veľký graf, ale chcem zobrať niektoré kúsky, ktoré ma naozaj nezaujímajú, a pridať niekoľko ďalších funkcií, je tu autor správy, existuje nejaké rozhranie a nástroj na konfiguráciu a prispôsobenie alebo dokonca vytvorenie ďalšej správy od začiatku?
Ignacio Rodriguez: Potom by sme nasmerovali používateľov, aby na to používali službu Microsoft SQL Report Services, a máme veľa zákazníkov, ktorí niektoré správy skutočne vezmú, upravia a naplánujú ich kedykoľvek budú chcieť. Niektorí z nich chcú tieto správy vidieť mesačne alebo týždenne a vezmú informácie, ktoré máme, presunú ich do služby Reporting Services a odtiaľ to urobia. S naším nástrojom nie je integrovaný nástroj na vytváranie prehľadov, ale využívame služby Reporting Services.
Dez Blanchfield: Myslím si, že je to jedna z najväčších výziev s týmito nástrojmi. Môžete sa tam dostať a nájsť veci, ale potom musíte byť schopní to vytiahnuť a nahlásiť to ľuďom, ktorí nemusia byť nevyhnutne DBA a systémovými inžiniermi. Podľa mojich skúseností sa vyskytuje zaujímavá úloha, a to je, viete, rizikoví úradníci vždy v organizáciách a že prevažne pôsobili v okolí a úplne iný rozsah rizík, aké sme nedávno videli, zatiaľ čo teraz s údajmi porušenia sa stávajú nielen vecou, ale skutočnou vlnou tsunami, CRO sa zmenila z bytia, viete, na ľudské zdroje a dodržiavanie predpisov a zameranie sa na zdravie a bezpečnosť pri práci na počítačové riziko. Viete, narušenie, hackovanie, bezpečnosť - oveľa viac technickej. A je to zaujímavé, pretože existuje veľa CRO, ktoré pochádzajú z rodokmeňu MBA a nie z technického rodokmenu, takže si musia obísť hlavy, čo to znamená pre prechod medzi počítačovým rizikom, ktoré sa presúva na CRO, atď. Veľkou vecou, ktorú chcú, je len informovanie o zviditeľnení.
Môžete nám povedať niečo o umiestnení, pokiaľ ide o dodržiavanie predpisov? Je zrejmé, že jednou z veľkých silných stránok je, že vidíte, čo sa deje, môžete to sledovať, môžete sa učiť, môžete o tom informovať, môžete na to reagovať, môžete dokonca niektoré veci vylúčiť. Hlavnou výzvou je súlad s riadením. Existujú kľúčové časti, ktoré zámerne súvisia s existujúcimi požiadavkami na dodržiavanie predpisov alebo s dodržiavaním predpisov v priemysle, ako je PCI, alebo s podobnými údajmi v súčasnosti, alebo je to niečo, čo sa dostáva z plánu? Zapadá to do rámca podobných štandardov COBIT, ITIL a ISO? Ak použijeme tento nástroj, dá nám to sériu kontrol a vyvážení, ktoré sa hodia do týchto rámcov, alebo ako ich zabudujeme do týchto rámcov? Kde je pozícia s takýmito vecami?
Ignacio Rodriguez: Áno, máme šablóny, ktoré dodávame spolu s týmto nástrojom. A opäť sa dostávame k bodu, kde prehodnocujeme naše šablóny a pridáme ich a čoskoro príde viac. FISMA, FINRA, niektoré ďalšie šablóny, ktoré máme, a zvyčajne tieto šablóny kontrolujeme a hľadáme, čo sa zmenilo, čo musíme pridať? A skutočne sa chceme dostať k bodu, keď, viete, sa bezpečnostné požiadavky trochu zmenili, takže sa pozeráme na spôsob, ako to rozšíriť za chodu. Na to sa v budúcnosti pozeráme.
Ale práve teraz sa zaoberáme možnosťou vytvorenia šablón a možnosti získať šablóny z webových stránok; môžete si ich stiahnuť. A takto to riešime - riešime ich pomocou šablón a v budúcnosti tu hľadáme spôsoby, ako to ľahko a rýchlo rozšíriť. Pretože keď som robil audit, viete, veci sa menia. Audítor príde jeden mesiac a ďalší mesiac chcú vidieť niečo iné. Potom je to jedna z výziev nástrojov, je schopná vykonať tieto zmeny a dostať to, čo potrebujete, a to je druh, kam sa chceme dostať.
Dez Blanchfield: Myslím, že problém audítora sa pravidelne mení vzhľadom na skutočnosť, že svet sa pohybuje rýchlejšie. A raz za čas, požiadavka z hľadiska auditu by podľa mojich skúseností bola iba čistým obchodným dodržiavaním a potom sa stala technickou zhodnosťou a teraz je to prevádzková zhoda. A sú tu všetky tieto, viete, každý deň sa niekto objaví a nielen vás merajú na operáciách ISO 9006 a 9002, ale pozerajú sa na všetky druhy vecí. A teraz vidím, že séria 38 000 sa v ISO stáva veľkou záležitosťou. Viem si predstaviť, že to bude čoraz náročnejšie. Chystám sa odovzdať Robinovi, pretože rozširujem šírku pásma.
Ďakujem veľmi pekne za to, a určite budem tráviť viac času poznaním, pretože som si vlastne neuvedomil, že to vlastne bolo dosť hlboké. Takže, ďakujem, Ignacio, idem teraz k Robinovi. Skvelá prezentácia, ďakujem. Robin, naproti tebe.
Robin Bloor: Dobre Iggy, zavolám ti Iggy, ak je to v poriadku. Čo ma znepokojuje a myslím si, že vo svetle niektorých vecí, ktoré Dez uviedol vo svojej prezentácii, sa deje strašne veľa, že musíte povedať, že ľudia sa o údaje naozaj nestarajú. Viete, najmä pokiaľ ide o skutočnosť, že vidíte iba časť ľadovca a pravdepodobne sa toho veľa nedeje. Zaujíma ma váš názor na to, koľko zákazníkov, ktorých poznáte, alebo potenciálnych zákazníkov, ktorých poznáte, majú takú úroveň ochrany, akú ponúkate, nielen tým, ale aj technológiu prístupu k údajom? Myslím tým, kto je tam dobre vybavený na to, aby sa vysporiadal s touto hrozbou?
Ignacio Rodriguez: Kto je riadne vybavený? Chcem tým povedať, veľa zákazníkov, o ktorých sme sa skutočne nezaoberali. Niektoré z nich už mali, ale tá veľká vec sa snaží držať krok s tým a snaží sa ich udržiavať a zabezpečiť. Veľkým problémom, ktorý sme videli, je - a dokonca aj ja, keď som robil zhodu, je - ak by ste spustili vaše skripty, urobili by ste to raz za štvrťrok, keď by prišli audítori a našli ste problém. Hádajte, čo je, už je neskoro, audituje sa, audítori sú tu, chcú svoju správu, nahlásia to. A potom buď dostaneme známku, alebo nám bolo povedané, hej, musíme tieto problémy napraviť, a to je miesto, kam by to malo prísť. Bolo by to skôr proaktívnejšou vecou, kde nájdete svoje riziko a zmierňujete riziko, a to je čo naši zákazníci hľadajú. Spôsob, ako byť proaktívny, na rozdiel od toho, aby bol reaktívny, keď audítori prídu a zistia, že niektoré prístupy nie sú tam, kde by mali byť, iní ľudia majú administratívne oprávnenie a nemali by ich mať, tieto druhy vecí. A to je miesto, kde sme videli veľa spätných väzieb od ľudí, ktorým sa tento nástroj páči a používajú ich.
Robin Bloor: Dobre, mám ďalšiu otázku, ktorá je v istom zmysle očividná, ale som len zvedavá. Koľko ľudí k vám skutočne príde v dôsledku hacku? Tam, kde viete, podnikáte, nie preto, že sa pozreli na svoje prostredie a zistili, že je potrebné ich zabezpečiť oveľa organizovanejším spôsobom, ale v skutočnosti ste tam jednoducho preto, že už utrpeli niektoré z bolesť.
Ignacio Rodriguez: V mojom čase tu v IDERA som ho nevidel. Aby som bol úprimný k vám, väčšina interakcií, s ktorými som sa stretol so zákazníkmi, s ktorými som sa podieľala, sa skôr teší a snaží sa začať auditovať a začala skúmať privilégiá atď. Ako som povedal, ja sám som nezažil vo svojom čase tu, že sme mali niekoho, kto prišiel po porušení, o ktorom viem.
Robin Bloor: Oh, to je zaujímavé. Myslel by som si, že by ich bolo aspoň pár. V skutočnosti sa na to pozerám, ale tiež k tomu pridávam všetky zložitosti, ktoré skutočne zabezpečujú údaje v rámci podniku vo všetkých smeroch a pri každej vykonávanej činnosti. Ponúkate poradenstvo priamo na pomoc ľuďom? Myslím, že je jasné, že si môžete kúpiť nástroje, ale podľa mojich skúseností ľudia často kupujú sofistikované nástroje a používajú ich veľmi zle. Ponúkate konkrétne poradenstvo - čo robiť, kto trénovať a podobné veci?
Ignacio Rodriguez: Existujú niektoré služby, ktoré by ste mohli, pokiaľ ide o podporné služby, umožňovať niektoré z nich. Pokiaľ však ide o poradenstvo, neposkytujeme žiadne poradenské služby, ale školenie, viete, ako používať nástroje a podobné veci, z ktorých niektoré by sa riešili s úrovňou podpory. Sama o sebe však nemáme oddelenie služieb, ktoré by vyšlo a urobilo by to.
Robin Bloor: Dobre. Pokiaľ ide o databázu, ktorú pokrývate, prezentácia tu uvádza iba server Microsoft SQL Server - robíte aj spoločnosť Oracle?
Ignacio Rodriguez: Najprv sa chystáme expandovať do oblasti Oracle pomocou Compliance Manager. S tým začneme s projektom, takže sa chystáme rozšíriť túto záležitosť na Oracle.
Robin Bloor: A pravdepodobne pôjdete inam?
Ignacio Rodriguez: Áno, to je niečo, na čo sa musíme pozrieť v cestovných mapách a zistiť, aké sú veci, ale to je niektoré z vecí, ktoré zvažujeme, je to, na čo musíme útočiť aj ďalšie databázové platformy.
Robin Bloor: Tiež som sa zaujímal o rozdelenie, nemám k tomu nijaký predstieraný obraz, ale pokiaľ ide o nasadenie, koľko z toho sa v skutočnosti používa v cloude alebo je takmer všetko v prevádzke ?
Ignacio Rodriguez: Všetko v prevádzke. Pozeráme sa na rozšírenie Secure aj na Azure, áno.
Robin Bloor: To bola otázka Azure, ešte nie ste, ale idete tam, dáva to zmysel.
Ignacio Rodriguez: Áno, ideme tam veľmi skoro.
Dr. Robin Bloor: Áno, dobre, chápem od Microsoftu to, že s Microsoft SQL Serverom v Azure je strašne veľa práce. Ak sa vám páči, stáva sa kľúčovou súčasťou toho, čo ponúkajú. Ďalšia otázka, o ktorú sa veľmi zaujímam - nie je to technická otázka, je to skôr otázka, ako na to, ako sa zapojiť - kto je za to kupujúci? Oslovuje vás oddelenie IT alebo vás oslovujú organizácie občianskej spoločnosti alebo je to iná skupina ľudí? Ak sa uvažuje o niečom takom, je to súčasťou pozerania sa na celý rad vecí na zabezpečenie životného prostredia? Aká je tam situácia?
Ignacio Rodriguez: Je to zmes. Máme CSO, koľkokrát sa tím predaja podarí osloviť a porozprávať sa s DBA. A potom boli dohody DBA opäť poverené zavedením určitého druhu postupov auditu. Potom odtiaľ vyhodnotia nástroje a podajú správu o reťazci a urobia rozhodnutie o tom, ktorú časť si chcú kúpiť. Ale je to zmiešaná taška, kto nás bude kontaktovať.
Robin Bloor: Dobre. Myslím, že sa teraz vrátim Ericovi, pretože sme tak nejako urobili hodinu, ale môžu tu byť nejaké otázky pre publikum. Eric?
Eric Kavanagh: Áno, určite sme tu prežili veľa dobrého obsahu. Tu je jedna skutočne dobrá otázka, ktorú vám dám od jedného z účastníkov. Hovorí o blockchainu ao tom, o čom hovoríte, a pýta sa, existuje nejaký spôsob, ako migrovať časť databázy SQL iba na čítanie na niečo podobné tomu, čo blockchain ponúka? Je to trochu ťažké.
Ignacio Rodriguez: Áno, budem k tebe úprimný, na to nemám odpoveď.
Eric Kavanagh: Zahodím to Robinovi. Neviem, či ste počuli túto otázku, Robin, ale on sa len pýta, existuje spôsob, ako migrovať časť databázy SQL iba na čítanie na niečo podobné tomu, čo ponúka blockchain? Čo si o tom myslíš?
Robin Bloor: Je to podobné, ako keby ste migrovali databázu, migrujete aj databázovú prevádzku. Do toho je zapojená celá zložitosť. Neurobili by ste to však z iného dôvodu, než aby boli dáta nedotknuteľné. Pretože blockchain bude mať pomalší prístup, takže viete, že ak je rýchlosť vaša vec - a je to takmer vždy - - potom by ste to neurobili. Ak by ste však chceli niektorým ľuďom, ktorí robia niečo také, poskytnúť nejaký šifrovaný prístup k určitej časti kódu, mohli by ste to urobiť, ale musíte mať veľmi dobrý dôvod. Je oveľa pravdepodobnejšie, že ho necháte na mieste a zaistíte ho tam, kde je.
Dez Blanchfield: Áno, súhlasím s tým, ak môžem rýchlo zvážiť. Myslím si, že výzva blockchainu, dokonca aj blockchainu, ktorý je verejne prístupný, sa používa na bitcoinoch - je ťažké ho škálovať nad rámec, akési štyri transakcie za minútu v úplne distribuovanej móde. Nie je to tak kvôli výzve na výpočet, aj keď je to tam, celé uzly len ťažko dokážu držať krok s objemmi databáz, ktoré sa pohybujú dozadu a dopredu a s množstvom kopírovaných údajov, pretože teraz je to koncert, nielen megs.
Ale tiež si myslím, že kľúčovou výzvou je potreba zmeniť architektúru aplikácie, pretože v databáze ide predovšetkým o to, aby sa všetko presunulo do centrálneho umiestnenia a máte tento typ typu klient-server. Blockchain je inverzia; ide o distribuované kópie. Je to viac ako BitTorrent v mnohých ohľadoch, a to znamená, že veľa kópií je mimo tých istých údajov. A viete, rovnako ako Cassandra a databázy v pamäti, kde ich distribuujete a veľa serverov vám môže poskytnúť kópie rovnakých údajov z distribuovaného indexu. Myslím si, že dve kľúčové časti, ako ste povedali, Robin, sú: jedna, ak ju chcete zaistiť a ubezpečiť sa, že ju nemožno ukradnúť alebo hacknúť, je to skvelé, ale ešte to nie je nevyhnutne transakčná platforma a my Už som to zažil s bitcoinovým projektom. Teoreticky to však vyriešili iní. Ale aj architektonicky veľa aplikácií tam nevie, ako sa pýtať a čítať z blockchainu.
Je tu ešte veľa práce. Ale myslím si, že kľúčovým bodom tejto otázky je, ak môžem, dôvod jej presunutia do blockchainu, myslím si, že otázka, ktorú si kladieme, je, môžete z databázy odstrániť dáta a vložiť ich do nejakej podoby, ktorá je bezpečnejšie? And the answer is, you can leave it in the database and just encrypt it. There are plenty of technologies now. Just encrypt the data at rest or in motion. There's no reason why you can't have encrypted data in memory and in the database on disk, which is a far simpler challenge because you don't have a single architectural change. Invariably most database platforms, it's actually just a feature that gets enabled.
Eric Kavanagh: Yeah, we do have one last question I'll throw over to you, Iggy. It's a pretty good one. From an SLA and capacity planning perspective, what kind of tax is there by using your system? In other words, any additional latency or throughput overhead if, in a production database system, someone wants to involve IDERA's technology here?
Ignacio Rodriguez: We really don't see much of an impact. Again, it's an agentless product and it all depends on, as I mentioned before, the snapshots. Secure is based on snapshots. It'll go out there and actually create a job that will go out there based on the intervals that you have selected. Either you want to do it, again, weekly, daily, monthly. It'll go out there and execute that job and then collect the data from the instances. At that point then the load then comes back to the management and collection services, once you start doing the comparisons and all that, the load on the database doesn't play a part in that. All that load is now on the management and collection server, as far as doing the comparisons and all of the reporting and all that. The only time you hit the database is always when it's doing the actual snapshotting. And we have not had really any reports of it really being detrimental to the production environments.
Eric Kavanagh: Yeah, that's a really good point that you make there. Basically you can just set how many ever snapshots you take, what that interval of time is, and depending on what that may happen to be, but that's very intelligent architecture. That's good stuff, man. Well you guys are out on the frontlines trying to protect us from all of those hackers we talked about in the first 25 minutes of the show. And they are out there, folks, make no mistake.
Well, listen, we will post a link to this webcast, the archives, at our site insideanalysis.com. You can find stuff on SlideShare, you can find it on YouTube. And folks, good stuff. Thanks for your time, Iggy, I love your nickname, by the way. With that we'll bid you farewell, folks. Ďakujem vám veľmi pekne za čas a pozornosť. We'll catch up to you next time. Bye bye.
