Na wynos: Prowadzący Eric Kavanagh omawia kwestie bezpieczeństwa i uprawnień z dr Robin Bloor i IDERA Vicky Harp.
Obecnie nie jesteś zalogowany. Zaloguj się lub zarejestruj, aby zobaczyć wideo.
Eric Kavanagh: OK, panie i panowie, cześć i witamy ponownie. Jest środa, cztery wschodnie i świat technologii dla przedsiębiorstw, co oznacza kolejny raz dla Hot Technologies! W rzeczy samej. Prezentowane przez grupę Bloor, oczywiście, obsługiwane przez naszych przyjaciół z Techopedia. Dzisiejszy temat jest naprawdę fajny: „Lepiej poprosić o pozwolenie: najlepsze praktyki dotyczące prywatności i bezpieczeństwa”. To prawda, jest to trudny temat, wiele osób o nim mówi, ale jest dość poważny i Szczerze mówiąc, robi się coraz poważniejszy. Jest to poważny problem na wiele sposobów dla wielu organizacji. Rozmawialiśmy o tym i rozmawialiśmy o tym, co możesz zrobić, aby chronić swoją organizację przed nikczemnymi postaciami, które wydają się być wszędzie w tym miejscu.
Tak więc dzisiejszym prezenterem jest Vicky Harp dzwoniąca z IDERA. Oprogramowanie IDERA można zobaczyć na LinkedIn - Uwielbiam nową funkcjonalność na LinkedIn. Chociaż mogę powiedzieć, że pociągają za sznurki w określony sposób, nie pozwalając ci na dostęp do ludzi, próbując nakłonić cię do wykupienia członkostwa premium. Proszę bardzo, mamy własnego Robina Bloora, który dzwoni - jest dziś w okolicy San Diego. I naprawdę jesteś swoim moderatorem / analitykiem.
O czym więc rozmawiamy? Naruszenie danych. Właśnie wziąłem te informacje z witryny IdentityForce.com, która już jest w wyścigu. Byliśmy oczywiście w maju tego roku, a tam jest tylko mnóstwo naruszeń danych, są też naprawdę bardzo poważne Yahoo! był duży i słyszeliśmy o włamaniu do rządu USA. Właśnie zhakowano wybory we Francji.
Dzieje się to wszędzie, trwa i nie przestanie, więc jest to rzeczywistość, jak mówią, nowa rzeczywistość. Naprawdę musimy pomyśleć o sposobach egzekwowania bezpieczeństwa naszych systemów i naszych danych. Jest to proces ciągły, więc nadszedł czas, aby pomyśleć o różnych kwestiach, które wchodzą w grę. To tylko częściowa lista, ale daje to pewne spojrzenie na to, jak niepewna jest obecnie sytuacja z systemami korporacyjnymi. A przed tym występem, w naszym gawędzeniu przed show, rozmawialiśmy o ransomware, które uderzyło kogoś, kogo znam, co jest bardzo nieprzyjemne, gdy ktoś przejmuje twój iPhone i żąda pieniędzy, abyś mógł odzyskać dostęp do telefonu. Ale zdarza się, dzieje się z komputerami, dzieje się z systemami, widziałem innego dnia, dzieje się to z miliarderami z ich jachtami. Wyobraź sobie, że pewnego dnia udasz się na jacht, próbując zaimponować wszystkim znajomym, a nawet nie możesz go włączyć, ponieważ jakiś złodziej ukradł dostęp do elementów sterujących, panelu sterowania. Właśnie powiedziałem kiedyś w wywiadzie komuś, że zawsze mam ręczną regulację. Nie jestem wielkim fanem wszystkich połączonych samochodów - nawet samochody można zhakować. Wszystko, co jest podłączone do Internetu lub do sieci, którą można przeniknąć, może zostać zhakowane, cokolwiek.
Oto kilka kwestii, które należy wziąć pod uwagę, aby określić, jak poważna jest sytuacja. Systemy internetowe są obecnie wszędzie, nadal się rozprzestrzeniają. Ile osób kupuje rzeczy przez Internet? Obecnie jest tuż za dachem, dlatego Amazon jest obecnie tak potężną siłą. To dlatego, że tak wiele osób kupuje rzeczy przez Internet.
Pamiętasz więc, 15 lat temu ludzie bardzo denerwowali się wprowadzeniem swojej karty kredytowej do formularza internetowego, aby uzyskać informacje, a wtedy argumentem było: „Cóż, jeśli oddasz kartę kredytową kelnerowi w restauracja, to jest to samo. ”Nasza odpowiedź brzmi: tak, to samo, wszystkie punkty kontrolne lub punkty dostępu, ta sama rzecz, inna strona tej samej monety, na której można umieścić ludzi w niebezpieczeństwo, gdzie ktoś może wziąć twoje pieniądze lub ktoś może ci ukraść.
Wtedy IoT oczywiście rozszerza krajobraz zagrożeń - uwielbiam to słowo - o rzędy wielkości. Pomyśl o tym - z tymi wszystkimi nowymi urządzeniami na całym świecie, jeśli ktoś może włamać się do systemu, który je kontroluje, może obrócić wszystkie te boty przeciwko tobie i powodować mnóstwo problemów, więc jest to bardzo poważny problem. Obecnie mamy globalną gospodarkę, która jeszcze bardziej poszerza krajobraz zagrożeń, a ponadto masz ludzi w innych krajach, którzy mogą uzyskać dostęp do sieci w taki sam sposób, jak ty i ja, a jeśli nie wiesz, jak mówić po rosyjsku, lub w dowolnej liczbie innych języków, trudno będzie ci zrozumieć, co się dzieje, gdy włamują się do twojego systemu. Mamy więc postępy w dziedzinie sieci i wirtualizacji, to dobrze.
Ale mam tutaj po prawej stronie tego zdjęcia miecz i powód, dla którego go mam, ponieważ każdy miecz przecina obie strony. Jest to obosieczny miecz, jak mówią, i stary klisz, ale oznacza to, że miecz, który mam, może cię skrzywdzić lub może mnie skrzywdzić. Może do mnie wrócić, odbijając się od niego lub przez kogoś, kto go odbierze. To właściwie jedna z Bajek Ezopsa - często dajemy wrogom narzędzia do własnego zniszczenia. To naprawdę bardzo wciągająca historia i dotyczy kogoś, kto użył łuku i strzały i zestrzelił ptaka, a ptak zobaczył, gdy strzała się zbliżała, to pióro od jednego z jego ptasich przyjaciół było na krawędzi strzały, na odwrocie strzały, by ją poprowadzić, i pomyślał: „O rany, oto moje własne pióra, moja rodzina będzie przyzwyczajona, by mnie zdjąć”. Słyszysz to cały czas, słyszysz. statystyki o tym, że masz broń w domu, złodziej może wziąć broń. Cóż, to wszystko prawda. Tak więc, wyrzucam to jako analogię tylko do rozważenia, wszystkie te różne zmiany mają pozytywne i negatywne strony.
Mówiąc o kontenerach dla tych z Was, którzy naprawdę podążają za najnowocześniejszymi rozwiązaniami w dziedzinie przetwarzania danych w przedsiębiorstwie, kontenery są najnowszą rzeczą, najnowszym sposobem dostarczania funkcjonalności, to tak naprawdę połączenie wirtualizacji w architekturze zorientowanej na usługi, przynajmniej dla mikrousług i jej bardzo interesujące rzeczy. Z pewnością możesz zaciemnić protokoły bezpieczeństwa i protokoły aplikacji oraz dane i tak dalej, używając kontenerów, co daje ci pewien okres czasu, ale wcześniej czy później złoczyńcy to zrozumieją, i to będzie jeszcze trudniej, aby uniemożliwić im korzystanie z twoich systemów. Tak więc istnieje globalna siła robocza, która komplikuje sieć i bezpieczeństwo oraz skąd ludzie się logują.
Mamy wojny wojenne, które trwają szybko i wymagają ciągłej pracy, aby aktualizować i być na bieżąco. Ciągle słyszymy o starych przeglądarkach Microsoft Explorer, o tym, jak zostały zaatakowane i dostępne. Więc jest więcej pieniędzy, które można zarobić na hakowaniu w dzisiejszych czasach, jest cała branża, to jest coś, czego mój partner, dr Bloor, nauczył mnie osiem lat temu - zastanawiałem się, dlaczego widzimy ich tak wiele, i przypomniał ja, to cała branża zaangażowana w hackowanie. I w tym sensie narracja, która jest jednym z moich najmniej ulubionych słów na temat bezpieczeństwa, jest naprawdę bardzo nieuczciwa, ponieważ narracja pokazuje ci we wszystkich tych filmach i wszelkiego rodzaju relacjach prasowych niektóre hakowanie pokazuje jakiegoś faceta w bluzie z kapturem, siedzącego w jego piwnicy w ciemnym oświetlonym pokoju wcale tak nie jest. To wcale nie jest reprezentatywne dla rzeczywistości. Są samotni hakerzy, jest bardzo niewielu samotnych hakerów, oni tam są, powodują pewne kłopoty - nie spowodują dużych kłopotów, ale mogą zarobić mnóstwo pieniędzy. Tak więc dzieje się, gdy hakerzy wchodzą i przenikają do twojego systemu, a następnie sprzedają ten dostęp komuś innemu, kto się odwraca i sprzedaje go komuś innemu, a następnie gdzieś z drugiej strony ktoś wykorzystuje ten hack i wykorzystuje cię. Istnieją niezliczone sposoby na wykorzystanie skradzionych danych.
Nawet zastanawiałem się nad tym, jak urzekamy tą koncepcją. Widzisz ten termin wszędzie, „hakowanie wzrostu” jest dobre. Hakowanie wzrostu, wiesz, hackowanie może być dobrą rzeczą, jeśli próbujesz pracować dla dobrych facetów, aby mówić i włamać się do systemu, tak jak ciągle słyszymy o Korei Północnej i ich wystrzeliwaniu pocisków, potencjalnie zostać zhakowanym - to dobrze . Ale hakowanie jest często złą rzeczą. Więc teraz glamour to, prawie jak Robin Hood, kiedy glamour Robin Hood. A potem jest społeczeństwo bezgotówkowe, coś, co szczerze dotyczy mnie światła dziennego. Za każdym razem, gdy słyszę, myślę tylko: „Nie, proszę, nie rób tego! Proszę nie! ”Nie chcę, aby wszystkie nasze pieniądze zniknęły. To tylko niektóre kwestie, które należy rozważyć, i znowu jest to gra w kotka i myszkę; nigdy się nie zatrzyma, zawsze będą potrzebne protokoły bezpieczeństwa i zaawansowane protokoły bezpieczeństwa. I do monitorowania twoich systemów, aby nawet wiedzieć i wyczuć, kto tam jest, przy założeniu, że może to być nawet praca wewnętrzna. Tak więc, jest to ciągły problem, będzie to ciągły problem przez dłuższy czas - nie popełnijcie błędu w tym.
Dzięki temu przekażę to dr Bloorowi, który może podzielić się z nami swoimi przemyśleniami na temat zabezpieczania baz danych. Robin, zabierz to.
Robin Bloor: OK, jeden z interesujących hacków. Myślę, że zdarzyło się to około pięciu lat temu, ale w gruncie rzeczy włamano się do firmy przetwarzającej karty. I skradziono dużą liczbę szczegółów karty. Ale dla mnie interesującą rzeczą był fakt, że to była baza testowa, do której faktycznie się dostali, i prawdopodobnie tak się stało, że mieli oni duże trudności z dostaniem się do faktycznej, prawdziwej bazy danych kart przetwarzania. Ale wiesz, jak to jest z programistami, po prostu wycinają bazę danych i wrzucają ją tam. Musiałoby być o wiele więcej czujności, aby temu zapobiec. Ale jest wiele interesujących historii o hakowaniu, tworzy w jednym obszarze, jest bardzo interesującym tematem.
Więc zamierzam w ten czy inny sposób powtórzyć niektóre rzeczy, które powiedział Eric, ale łatwo jest myśleć o bezpieczeństwie danych jako o stałym celu; jest to łatwiejsze tylko dlatego, że łatwiej jest przeanalizować sytuacje statyczne, a następnie pomyśleć o wprowadzeniu obrony, obrony tam, ale tak nie jest. Jego ruchomy cel i to jedna z rzeczy, które określają całą przestrzeń bezpieczeństwa. Jest to sposób, w jaki ewoluuje cała technologia, ewoluuje również technologia złych facetów. Krótki przegląd: Kradzież danych nie jest niczym nowym, w rzeczywistości szpiegostwo danych to kradzież danych i myślę, że dzieje się to od tysięcy lat.
Największym skokiem danych w tych kategoriach było to, że Brytyjczycy złamali niemieckie kody i Amerykanie złamali japońskie kody, a w obu przypadkach znacznie skrócili wojnę. I właśnie kradli przydatne i cenne dane, było to oczywiście bardzo sprytne, ale wiesz, co się teraz dzieje, jest bardzo sprytne na wiele sposobów. Cyberprzestępczość narodziła się z Internetem i wybuchła około 2005 roku. Poszedłem i spojrzałem na wszystkie statystyki, a kiedy zacząłeś naprawdę poważnie i, w taki czy inny sposób, wyjątkowo wysokie liczby, począwszy od około 2005 roku. następnie. Zaangażowanych jest wielu graczy, rządy, firmy, grupy hakerów i osoby prywatne.
Pojechałem do Moskwy - musiało to być około pięciu lat - i spędziłem dużo czasu z facetem z Wielkiej Brytanii, który badał całą przestrzeń hakerską. I powiedział, że - i nie mam pojęcia, czy to prawda, mam tylko na to swoje słowo, ale wydaje się bardzo prawdopodobne - że w Rosji istnieje coś takiego jak Business Network, czyli grupa hakerów, wszyscy wiedzą, że wyszli z ruin KGB. Sprzedają się sami, nie tylko, mam na myśli, że jestem pewien, że rosyjski rząd ich używa, ale sprzedają się każdemu, i krążyły plotki, albo powiedział, że plotki, że różne zagraniczne rządy używają sieci biznesowej do wiarygodnej zaprzeczalności . Ci faceci mieli sieci milionów zainfekowanych komputerów, z których mogliby atakować. I mieli wszystkie narzędzia, jakie możesz sobie wyobrazić.
Tak więc ewoluowała technologia ataku i obrony. Firmy mają obowiązek dbać o swoje dane, niezależnie od tego, czy są ich właścicielami, czy nie. I to zaczyna być coraz jaśniejsze w odniesieniu do różnych przepisów, które faktycznie już obowiązują lub wchodzą w życie. I prawdopodobnie ulegnie poprawie, niektórzy w ten czy inny sposób, ktoś musi ponieść koszty hakowania w taki sposób, aby zachęcić go do zamknięcia tej możliwości. To jedna z rzeczy, które, jak sądzę, są konieczne. Jeśli chodzi o hakerów, można je zlokalizować w dowolnym miejscu. Szczególnie w twojej organizacji - okropna część genialnych hacków, o których słyszałem, wymagała otwarcia drzwi. Wiesz, ta osoba, jak sytuacja napadu na bank, prawie zawsze mawiali, że w dobrych napadach na bank jest ktoś z wewnątrz. Ale osoba z wewnątrz musi tylko przekazywać informacje, więc trudno jest je zdobyć, wiedzieć, kto to był, i tak dalej.
I może być trudno postawić ich przed wymiarem sprawiedliwości, ponieważ jeśli zostałeś zhakowany przez grupę ludzi w Mołdawii, nawet jeśli wiesz, że to ta grupa, jak sprawisz, że wokół nich wydarzy się jakieś prawne wydarzenie? Jego rodzaj, z jednej jurysdykcji do drugiej, jest sprawiedliwy, nie ma bardzo dobrego zestawu międzynarodowych ustaleń w celu wyłapania hakerów. Dzielą się technologią i informacjami; wiele z nich jest open source. Jeśli chcesz zbudować własnego wirusa, jest tam mnóstwo zestawów wirusów - całkowicie otwarte oprogramowanie. Mają znaczne zasoby, było wiele takich, które miały botnety w ponad milionie zainfekowanych urządzeń w centrach danych i na komputerach PC i tak dalej. Niektóre są dochodowymi firmami, które rozwijają się od dłuższego czasu, a potem są tam grupy rządowe, jak już wspomniałem.Jest mało prawdopodobne, jak powiedział Eric, jest mało prawdopodobne, że to zjawisko kiedykolwiek się skończy.
Jest to interesujący hack. Pomyślałem, że o tym wspomnę, ponieważ był to dość niedawny hack; stało się w zeszłym roku. W kontrakcie DAO istniała luka związana z kryptowalutą Etherium. Zostało to omówione na forum iw ciągu jednego dnia zhakowano kontrakt DAO, wykorzystując właśnie tę lukę. Odprowadzono 50 milionów dolarów eteru, co spowodowało natychmiastowy kryzys w projekcie DAO i zamknięcie go. A Etherium faktycznie walczyło, aby powstrzymać hakera przed dostępem do pieniędzy, co w pewnym sensie zmniejszyło jego wolę. Ale wierzono również - nie wiadomo na pewno - że haker faktycznie skrócił cenę eteru przed atakiem, wiedząc, że cena eteru spadnie, a tym samym osiągnie zysk w inny sposób.
I to kolejna, jeśli chcesz, strategia, z której mogą korzystać hakerzy. Jeśli mogą uszkodzić twoją cenę akcji, i wiedzą, że to robią, to wystarczy im skrócić cenę akcji i zrobić hack, więc to jest, ci faceci są sprytni, wiesz. A cena jest wręcz kradzieżą pieniędzy, zakłóceń i okupu, w tym inwestycji, w których zakłócasz i skracasz zapasy, sabotaż, kradzież tożsamości, wszelkiego rodzaju oszustwa, wyłącznie w celach reklamowych. I zwykle ma to charakter polityczny lub, oczywiście, szpiegowanie informacji, a są nawet ludzie, którzy zarabiają na życie dzięki nagrodom za błędy, które można zdobyć, próbując włamać się do Google'a, Apple'a - nawet Pentagon faktycznie daje nagrody za błędy. A ty tylko siekasz; jeśli się powiedzie, po prostu idź po nagrodę, a żadne szkody nie zostaną wyrządzone, więc to fajna rzecz, wiesz.
Równie dobrze mogę wspomnieć o zgodności i przepisach. Oprócz inicjatyw sektorowych, istnieje wiele oficjalnych przepisów: HIPAA, SOX, FISMA, FERPA i GLBA są przepisami amerykańskimi. Istnieją standardy; PCI-DSS stał się dość ogólnym standardem. A potem jest ISO 17799 na temat własności danych. Przepisy krajowe różnią się w zależności od kraju, nawet w Europie. A obecnie RODO - dane globalne, co to oznacza? Wydaje mi się, że to globalne rozporządzenie o ochronie danych - ale to wchodzi w życie w przyszłym roku. Co ciekawe, dotyczy to całego świata. Jeśli masz 5000 lub więcej klientów, o których masz dane osobowe i mieszkają w Europie, Europa faktycznie zabierze Cię do zadania, bez względu na to, czy Twoja korporacja ma siedzibę, czy gdzie działa. A kary, maksymalna kara to cztery procent rocznego dochodu, który jest po prostu ogromny, więc będzie to interesujący zwrot akcji na świecie, kiedy to wejdzie w życie.
Pomyślmy o lukach w DBMS, większość cennych danych znajduje się w bazach danych. Jest to cenne, ponieważ poświęciliśmy strasznie dużo czasu na jego udostępnienie i dobrą organizację, a to czyni go bardziej podatnym na zagrożenia, jeśli w rzeczywistości nie zastosujesz odpowiednich papierów wartościowych DBMS. Oczywiście, jeśli planujesz takie rzeczy, musisz określić, jakie wrażliwe dane są w całej organizacji, pamiętając, że dane mogą być wrażliwe z różnych powodów. Mogą to być dane klientów, ale równie dobrze mogą to być dokumenty wewnętrzne, które byłyby cenne dla celów szpiegowskich i tak dalej. Polityka bezpieczeństwa, szczególnie w odniesieniu do bezpieczeństwa dostępu - które moim zdaniem ostatnio było bardzo słabe, w nowych rozwiązaniach typu open source - szyfrowanie jest coraz częściej stosowane, ponieważ jest dość solidne.
Koszt naruszenia bezpieczeństwa, o którym większość ludzi nie wiedziała, ale jeśli spojrzysz na to, co się stało z organizacjami, które ucierpiały w wyniku naruszenia bezpieczeństwa, okazuje się, że koszt naruszenia bezpieczeństwa jest często znacznie wyższy, niż myślisz. Drugą rzeczą do przemyślenia jest powierzchnia ataku, ponieważ każde oprogramowanie w dowolnym miejscu, działające z twoimi organizacjami, stanowi powierzchnię ataku. Podobnie jak każde urządzenie, podobnie jak dane, bez względu na sposób ich przechowywania. To wszystko, powierzchnia ataku rośnie wraz z Internetem rzeczy, powierzchnia ataku prawdopodobnie się podwoi.
Wreszcie DBA i bezpieczeństwo danych. Bezpieczeństwo danych jest zwykle częścią roli DBA. Ale to także współpraca. I musi podlegać polityce korporacyjnej, w przeciwnym razie prawdopodobnie nie będzie dobrze wdrażany. Powiedziawszy to, myślę, że mogę podać piłkę.
Eric Kavanagh: W porządku, pozwól, że dam klucze Vicky. I możesz udostępnić ekran lub przejść do tych slajdów, zależy od ciebie, zabierz go.
Vicky Harp: Nie, zacznę od tych slajdów, dziękuję bardzo. Tak, tak, chciałem tylko poświęcić chwilę i się przedstawić. Im Vicky Harp. Jestem menedżerem ds. Zarządzania produktami SQL w oprogramowaniu IDERA, a dla tych, którzy mogą nas nie znać, IDERA ma wiele linii produktów, ale jestem tutaj po stronie SQL Server. I tak wykonujemy monitorowanie wydajności, zgodność bezpieczeństwa, tworzenie kopii zapasowych, narzędzia administracyjne - i to tylko ich lista. Oczywiście mówię tu o bezpieczeństwie i zgodności.
Większość tego, o czym chcę dziś rozmawiać, niekoniecznie są naszymi produktami, chociaż zamierzam pokazać kilka przykładów tego później. Chciałem porozmawiać z tobą więcej na temat bezpieczeństwa baz danych, niektórych zagrożeń w świecie bezpieczeństwa baz danych, pewnych rzeczy do przemyślenia i niektórych wstępnych pomysłów na to, na co musisz patrzeć, aby zabezpieczyć swój SQL Jak już wspomniano, bazy danych serwerów, a także aby upewnić się, że są one zgodne z ramami regulacyjnymi, które możesz podlegać. Istnieje wiele różnych przepisów; działają w różnych branżach, w różnych miejscach na całym świecie i to są rzeczy, o których warto pomyśleć.
Tak więc, chciałbym poświęcić chwilę i porozmawiać o stanie naruszenia bezpieczeństwa danych - i nie powtarzać zbyt wiele z tego, co już tutaj omówiono - ostatnio przeglądałem to badanie badań nad bezpieczeństwem Intela i myślę, że w ich całym - Około 1500 organizacji, z którymi rozmawiali - mieli średnio sześć naruszeń bezpieczeństwa, jeśli chodzi o naruszenia danych, a 68 procent z nich wymagało ujawnienia w pewnym sensie, więc wpłynęło to na cenę akcji lub musieli zrobić kredyt monitorowanie dla swoich klientów lub pracowników itp.
Niektóre interesujące inne statystyki pokazują, że podmioty wewnętrzne, które były odpowiedzialne za 43 procent z nich. Tak więc wiele osób myśli dużo o hakerach i tego rodzaju podejrzanych quasi-rządowych organizacjach lub przestępczości zorganizowanej itp., Ale podmioty wewnętrzne nadal bezpośrednio podejmują działania przeciwko swoim pracodawcom, w dość dużej części przypadków. Czasami są one trudniejsze do ochrony, ponieważ ludzie mogą mieć uzasadnione powody, aby mieć dostęp do tych danych. Około połowa z tego, 43 procent to w pewnym sensie przypadkowa strata. Na przykład w przypadku, gdy ktoś zabrał dane do domu, a następnie stracił je, co prowadzi mnie do tego trzeciego punktu, to znaczy, że 40% naruszeń dotyczyło mediów fizycznych. To są klucze USB, to są laptopy, to są rzeczywiste nośniki, które zostały nagrane na dyski fizyczne i wyjęte z budynku.
Jeśli zastanawiasz się, czy masz programistę, który ma kopię deweloperską produkcyjnej bazy danych na swoim laptopie? Następnie wsiadają do samolotu i wysiadają z samolotu, zabierają bagaż rejestrowany i ich laptop zostaje skradziony. Masz teraz naruszenie danych. Może niekoniecznie myślisz, że właśnie dlatego zabrano ten laptop, może nigdy nie pojawi się na wolności. Ale to wciąż coś, co liczy się jako naruszenie, będzie wymagało ujawnienia, będziesz miał wszystkie dalsze skutki utraty tych danych, tylko z powodu utraty tych fizycznych nośników.
Inną interesującą rzeczą jest to, że wiele osób myśli o danych kredytowych i danych kart kredytowych jako o najcenniejszych danych, ale tak naprawdę już tak nie jest. Dane są cenne, numery kart kredytowych są przydatne, ale szczerze mówiąc, liczby te zmieniają się bardzo szybko, podczas gdy dane osobowe ludzi nie są zmieniane bardzo szybko. Coś, co ten najnowszy news, stosunkowo nowy, VTech, producent zabawek, miał te zabawki, które zostały zaprojektowane dla dzieci. A ludzie mieliby imiona swoich dzieci, oni mieli informacje o tym, gdzie mieszkają dzieci, mieli imiona swoich rodziców, mieli zdjęcia dzieci. Żadne z nich nie było zaszyfrowane, ponieważ nie zostało to uznane za ważne. Ale ich hasła były szyfrowane. Cóż, kiedy nieuchronnie doszło do naruszenia, mówisz: „OK, więc mam listę imion dzieci, ich rodziców, gdzie mieszkają - wszystkie te informacje są tam i myślisz, że hasło było najcenniejszą częścią tego? ”Nie było; ludzie nie mogą zmienić tych aspektów dotyczących swoich danych osobowych, adresu itp. I dlatego informacje są w rzeczywistości bardzo cenne i należy je chronić.
Dlatego chciałem porozmawiać o niektórych rzeczach, które mają miejsce, aby przyczynić się do sposobu, w jaki obecnie dochodzi do naruszenia danych. Jednym z wielkich hotspotów, przestrzeni w tej chwili jest inżynieria społeczna. Ludzie nazywają to phishingiem, podszywaniem się pod inne osoby, itp., Gdzie ludzie uzyskują dostęp do danych, często za pośrednictwem podmiotów wewnętrznych, po prostu przekonując ich, że powinni mieć do nich dostęp. Tak więc, innego dnia mieliśmy robaka Google Docs, który się kręcił. I co by się stało - i faktycznie otrzymałem jego kopię, chociaż na szczęście nie kliknąłem jej - dostałeś od kolegi, mówiąc: „Oto link do Dokumentu Google; musisz kliknąć tę opcję, aby wyświetlić to, co właśnie Ci udostępniłem. ”Cóż, w organizacji korzystającej z Dokumentów Google, która jest bardzo konwencjonalna, będziesz otrzymywać dziesiątki takich żądań dziennie. Jeśli klikniesz go, poprosi Cię o pozwolenie na dostęp do tego dokumentu, a może powiesz: „Hej, to wygląda trochę dziwnie, ale wiesz, wygląda również legalnie, więc powinienem go kliknąć, ”, A gdy tylko to zrobiłeś, dałeś tej stronie trzeciej dostęp do wszystkich twoich dokumentów Google, a więc utworzyłeś ten link, aby ten zewnętrzny podmiot miał dostęp do wszystkich twoich dokumentów na Dysku Google. To robak było wszędzie. Uderzyło setki tysięcy ludzi w ciągu kilku godzin. Był to zasadniczo atak phishingowy, który sam Google musiał zamknąć, ponieważ był bardzo dobrze wykonany. Ludzie się w to zakochali.
Wspominam tutaj o naruszeniu SnapChat HR. To była tylko prosta sprawa, że ktoś podszywa się pod dyrektora generalnego i mówi do działu HR: „Potrzebuję cię do tego arkusza kalkulacyjnego”. I uwierzyli im, i umieścili arkusz kalkulacyjny z 700 różnymi wynagrodzeniami dla pracowników informacje, adresy domowe itp. przekazały je drugiej stronie, w rzeczywistości nie był to CEO. Teraz dane były niedostępne, a wszystkie ich osobiste, prywatne informacje były dostępne i mogły być wykorzystane. Inżynieria społeczna jest więc czymś, o czym wspominam w świecie baz danych, ponieważ jest to coś, przed czym możesz się bronić poprzez edukację, ale musisz także pamiętać, że wszędzie tam, gdzie masz kontakt z twoją technologią, i jeśli polegasz na ich dobrym osądzie, aby zapobiec awarii, pytasz ich o wiele.
Ludzie popełniają błędy, ludzie klikają rzeczy, których nie powinni mieć, ludzie wpadają w sprytne ruiny. Możesz bardzo się starać, aby ich przed tym zabezpieczyć, ale nie jest wystarczająco silny, musisz spróbować ograniczyć przypadkowe udostępnianie tych informacji w systemach baz danych. Inną rzeczą, o której chciałem wspomnieć, o której oczywiście dużo mówiliśmy, jest oprogramowanie ransomware, botnety, wirusy - wszystkie te różne zautomatyzowane sposoby. Uważam więc, że ważne jest, aby zrozumieć oprogramowanie ransomware, ponieważ naprawdę zmienia ono model zysków atakujących. W przypadku, gdy mówisz o naruszeniu, muszą one w pewnym sensie wyodrębnić dane, mieć je dla siebie i z nich skorzystać. A jeśli twoje dane są niejasne, jeśli są zaszyfrowane, jeśli są specyficzne dla branży, być może nie mają dla nich żadnej wartości.
Do tego momentu ludzie mogli uważać, że to była dla nich ochrona: „Nie muszę się chronić przed naruszeniem danych, ponieważ jeśli zamierzają dostać się do mojego systemu, wszystko, co będą mieć, to im studio fotograficzne Mam listę osób, które będą przychodzić w jakie dni w przyszłym roku. Kogo to obchodzi? ”Okazuje się, że zależy ci na tym; przechowujesz te informacje, które są kluczowe dla Twojej firmy. Korzystając z oprogramowania ransomware, atakujący powie: „Cóż, nikt inny nie da mi na to pieniędzy, ale ty to zrobisz”. Wykorzystują więc fakt, że nie muszą nawet pobierać danych, nie muszą nawet mają naruszenie, muszą tylko użyć narzędzi bezpieczeństwa obraźliwie przeciwko tobie. Dostają się do twojej bazy danych, szyfrują jej zawartość, a następnie mówią: „OK, mamy hasło, a ty będziesz musiał zapłacić nam 5000 $, aby je zdobyć, bo inaczej nie masz już tych danych. ”
I ludzie płacą; muszą to zrobić. Kilka miesięcy temu MongoDB miał ogromny problem. Sądzę, że w styczniu ransomware trafiło, jak sądzę, do ponad miliona baz danych MongoDB, które mają publicznie w Internecie, w oparciu o niektóre ustawienia domyślne. A jeszcze gorsze jest to, że ludzie płacą, więc inne organizacje przychodzą i ponownie szyfrują lub twierdzą, że były tymi, które pierwotnie je zaszyfrowały, więc kiedy zapłaciłeś swoje pieniądze, i myślę, że w takim przypadku były prosząc o coś w rodzaju 500 $, ludzie powiedzieliby: „OK, zapłaciłbym więcej, aby zapłacić badaczowi za przybycie tutaj, aby pomóc mi zrozumieć, co poszło nie tak. Po prostu zapłacę 500 $. ”I nawet nie zapłacili go właściwemu aktorowi, więc zostali wypełnieni dziesięcioma różnymi organizacjami mówiącymi:„ Mamy hasło ”lub„ Mamy sposób, aby odblokować twoje dane okupu ” . ”Musisz zapłacić wszystkie, aby możliwe, że zadziała.
Były też przypadki, w których autorzy oprogramowania ransomware mieli błędy, to znaczy, nie mówili o tym, że jest to sytuacja całkowicie nadbudowa, więc nawet po zaatakowaniu, nawet po zapłaceniu, nie ma gwarancji, że dostaniesz wszystkie swoje z powrotem danych, niektóre z nich są również skomplikowane przez uzbrojone narzędzia InfoSec. Tak więc Shadow Brokers to grupa, która wyciekła narzędzia z NSA. Były to narzędzia zaprojektowane przez podmiot rządowy do celów szpiegostwa i faktycznie działające przeciwko innym podmiotom rządowym. Niektóre z nich były naprawdę głośnymi atakami typu zero-day, które w zasadzie powodują, że znane protokoły bezpieczeństwa po prostu odchodzą na bok. I tak na przykład w jednym z ostatnich zrzutów Shadow Brokers wystąpiła poważna luka w protokole SMB.
I tak te narzędzia, które tu się pojawią, mogą w ciągu kilku godzin naprawdę zmienić twoją grę pod względem powierzchni ataku. Więc ilekroć myślę o tym, to coś, co na poziomie organizacyjnym, bezpieczeństwo InfoSec jest jego własną funkcją, należy to potraktować poważnie. Ilekroć mówimy o bazach danych, mogę to trochę usunąć, niekoniecznie musisz jako administrator bazy danych mieć pełne zrozumienie tego, co dzieje się z Shadow Brokers w tym tygodniu, ale musisz mieć świadomość, że wszystkie się zmieniają , rzeczy się dzieją, a więc stopień, w jakim trzymasz swoją domenę szczelną i bezpieczną, to naprawdę pomoże ci w przypadku, gdy coś zostanie zgrane spod ciebie.
Chciałem więc poświęcić chwilę tutaj, zanim zacznę mówić o SQL Server, aby faktycznie odbyć trochę otwartej dyskusji z naszymi panelistami na temat niektórych kwestii związanych z bezpieczeństwem bazy danych. Doszedłem więc do tego, że o niektórych rzeczach, o których wspominaliśmy, chciałem porozmawiać o iniekcji SQL jako wektorze. Tak więc jest to wstrzykiwanie SQL, oczywiście sposób, w jaki ludzie wstawiają polecenia do systemu bazy danych poprzez rodzaj nieprawidłowego wprowadzania danych.
Eric Kavanagh: Tak, właściwie spotkałem faceta - myślę, że to było w bazie sił powietrznych Andrews - jakieś pięć lat temu, konsultanta, z którym rozmawiałem z nim na korytarzu, a my po prostu dzieliliśmy się historiami wojennymi - bez zamierzonej gry słów - i on wspomniał, że został przyprowadzony przez kogoś do konsultacji z dość wysokim rangą członkiem wojska, a facet zapytał go: „Skąd wiemy, że jesteś dobry w tym, co robisz?” i to i tamto. I kiedy z nimi rozmawiał, użył na swoim komputerze, dostał się do sieci, użył zastrzyku SQL, aby dostać się do rejestru dla tej bazy i dla tych ludzi. I znalazł osoby, z którymi rozmawia, i pokazał mu swoje na swojej maszynie! A facet powiedział: „Jak to zrobiłeś?” On powiedział: „No cóż, użyłem zastrzyku SQL”.
Więc to było zaledwie pięć lat temu i było to w bazie lotniczej, prawda? Tak więc, pod względem oszustwa, ta rzecz jest nadal bardzo realna i można jej używać z naprawdę przerażającymi efektami. Chodzi mi o to, że ciekawi mnie historia wojenna Robina na ten temat, ale wszystkie te techniki są nadal aktualne. Są nadal używane w wielu przypadkach, a chodzi o edukację, prawda?
Robin Bloor: No tak. Tak, można bronić się przed wstrzyknięciem SQL, wykonując pracę. Łatwo jest zrozumieć, dlaczego kiedy pomysł został wymyślony i po raz pierwszy rozpowszechniony, łatwo zrozumieć, dlaczego był tak cholernie skuteczny, ponieważ można po prostu umieścić go w polu wejściowym na stronie internetowej i poprosić o zwrócenie danych za Ciebie lub uzyskanie aby usunąć dane z bazy danych lub cokolwiek innego - możesz po prostu wstrzyknąć kod SQL, aby to zrobić. Ale to, co mnie zainteresowało, to to, że wiesz, że musiałbyś zrobić trochę parsowania, każdej wprowadzonej części danych, ale całkiem możliwe jest zauważenie, że ktoś próbuje to zrobić. I to jest naprawdę, myślę, że to jest naprawdę, ponieważ ludzie wciąż to robią, mam na myśli to, że to naprawdę dziwne, że nie było łatwego sposobu na walkę z tym. Wiesz, że wszyscy mogliby z łatwością korzystać, to znaczy, o ile wiem, nie było, Vicky, prawda?
Vicky Harp: Cóż, właściwie niektóre rozwiązania zakładników, takie jak SQL Azure, myślę, że mają całkiem dobre metody wykrywania oparte na uczeniu maszynowym. Prawdopodobnie to, co zobaczymy w przyszłości, jest próbą wymyślenia jednego rozmiaru dla wszystkich. Myślę, że odpowiedź brzmi: nie ma jednego rozmiaru dla wszystkich, ale mamy maszyny, które mogą dowiedzieć się, jaki jest twój rozmiar i upewnić się, że do niego pasujesz, prawda? A jeśli masz fałszywie pozytywny wynik, to dlatego, że faktycznie robisz coś niezwykłego, to nie dlatego, że musiałeś przejść i starannie zidentyfikować wszystko, co może zrobić Twoja aplikacja.
Myślę, że jednym z powodów, dla których jest tak bardzo płodny, jest fakt, że ludzie nadal polegają na aplikacjach innych firm oraz aplikacjach niezależnych dostawców oprogramowania, które z czasem ulegają zatarciu.Mówisz więc o organizacji, która kupiła aplikację inżynierską napisaną w 2001 roku. I nie zaktualizowała jej, ponieważ od tamtej pory nie zaszły żadne duże zmiany funkcjonalne, a jej pierwotny autor był w pewnym sensie, nie był inżynierem , nie byli ekspertami od bezpieczeństwa baz danych, nie robili rzeczy we właściwy sposób w aplikacji i kończyli jako wektor. Rozumiem, że - myślę, że było to docelowe naruszenie danych, naprawdę duże - wektor ataku nastąpił przez jednego z ich dostawców klimatyzacji, prawda? Tak więc problem z tymi stronami trzecimi możesz, jeśli posiadasz własny sklep deweloperski, możesz mieć niektóre z tych zasad, robiąc to ogólnie za każdym razem. Jako organizacja możesz mieć setki, a nawet tysiące aplikacji z różnymi profilami. Myślę, że właśnie tam pojawi się uczenie maszynowe i zacznij nam bardzo pomagać.
Moja historia wojenna była edukacyjna. Widziałem atak iniekcji SQL, a czymś, co nigdy mi się nie przydarzyło, to użycie zwykłego czytelnego SQL. Robię te rzeczy zwane zaciemnionymi kartami świątecznymi P SQL; Lubię to zrobić, aby ten SQL wyglądał tak myląco, jak to możliwe. Pojawił się zaciemniony konkurs na kod C ++, który trwa już od dziesięcioleci, i taki sam pomysł. Tak więc, tak naprawdę otrzymałeś zastrzyk SQL, który był w otwartym polu łańcucha, zamknął łańcuch, wstawił średnik, a następnie wprowadził polecenie exec, które następnie miało szereg liczb, a następnie w zasadzie używało polecenie rzutowania, aby rzutować te liczby na binarne, a następnie rzutować te z kolei na wartości postaci, a następnie wykonać to. Więc nie jest tak, że zobaczysz coś, co mówi: „Usuń start z tabeli produkcyjnej”, tak naprawdę było wypełnione polami numerycznymi, co znacznie utrudniało dostrzeżenie. I nawet kiedy to zobaczyłeś, aby zidentyfikować, co się działo, potrzeba było kilku prawdziwych zdjęć SQL, aby móc zorientować się, co się dzieje, do tego czasu oczywiście praca została już wykonana.
Robin Bloor: Jedną z rzeczy, które są po prostu fenomenem w całym świecie hakerów, jest to, że jeśli ktoś znajdzie słabość i zdarzy się, że jest to oprogramowanie, które zostało ogólnie sprzedane, wiesz, jednym z pierwszych problemów jest hasło do bazy danych że dano ci, gdy baza danych została zainstalowana, wiele baz danych w rzeczywistości była tylko domyślna. I wiele DBA po prostu nigdy tego nie zmieniło, dlatego mógłbyś wtedy dostać się do sieci; możesz po prostu spróbować tego hasła, a jeśli zadziała, to właśnie wygrałeś na loterii. Ciekawe jest to, że wszystkie te informacje są bardzo wydajnie i skutecznie rozpowszechniane wśród społeczności hakujących na stronach Darknet. I oni wiedzą. Tak więc, oni mogą właściwie sprawdzić, co tam jest, znaleźć kilka przypadków i po prostu automatycznie rzucić na to exploitem hakerskim, i są w środku. I to jest, myślę, że wiele osób, które są przynajmniej na peryferiach z tego wszystkiego, nie rozumiem, jak szybko sieć hakerska reaguje na podatność.
Vicky Harp: Tak, to faktycznie porusza kolejną rzecz, o której chciałem wspomnieć, zanim przejdę dalej, a mianowicie takie upychanie poświadczeń, które pojawia się bardzo często, a mianowicie to, że kiedy twoje dane uwierzytelniające zostały skradzione komuś w dowolnym miejscu, w dowolnym momencie w witrynie, te poświadczenia będą próbowane do ponownego wykorzystania we wszystkich obszarach. Tak więc, jeśli używasz zduplikowanych haseł, powiedzmy, jeśli twoi użytkownicy nawet, powiedzmy to w ten sposób, ktoś może być w stanie uzyskać dostęp za pośrednictwem czegoś, co wydaje się być całkowicie prawidłowym zestawem poświadczeń. Powiedzmy, że użyłem tego samego hasła w Amazon i moim banku, a także na forum i że oprogramowanie forum zostało zhakowane, no cóż, mają moją nazwę użytkownika i hasło. Następnie mogą użyć tej samej nazwy użytkownika w Amazon lub użyć jej w banku. A jeśli chodzi o bank, był to całkowicie prawidłowy login. Teraz możesz podejmować nikczemne działania dzięki całkowicie autoryzowanemu dostępowi.
Tak więc ten rodzaj powraca do tego, co mówiłem o wewnętrznych naruszeniach i wewnętrznych zastosowaniach. Jeśli masz osoby w Twojej organizacji, które używają tego samego hasła do dostępu wewnętrznego, co do dostępu zewnętrznego, masz możliwość, że ktoś przyjdzie i podszywa się pod ciebie przez naruszenie w innej witrynie, o której nawet nie wiesz. Dane te są rozpowszechniane bardzo szybko. Są listy, myślę, że ostatnie ładunek „zostałem oskarżony” przez Troya Hunta, powiedział, że ma pół miliarda referencji, co oznacza - jeśli weźmie się pod uwagę liczbę ludzi na planecie - to naprawdę duża liczba poświadczeń, które zostały udostępnione do ich wypełnienia.
Więc zamierzam trochę głębiej porozmawiać o bezpieczeństwie SQL Server. Teraz chcę powiedzieć, że nie zamierzam dać ci wszystkiego, co musisz wiedzieć, aby zabezpieczyć SQL Server w ciągu następnych 20 minut; to wydaje się być dość wysokim zamówieniem. Tak więc, aby rozpocząć, chcę powiedzieć, że istnieją grupy online i zasoby online, które z pewnością możesz Google, są książki, są dokumenty dotyczące najlepszych praktyk w Microsoft, jest wirtualny rozdział dotyczący bezpieczeństwa dla profesjonalnych współpracowników w SQL Server, są na security.pass.org i mają, jak sądzę, comiesięczne webcasty i nagrania webcastów, aby w pewnym sensie omówić prawdziwe, dogłębne sposoby zabezpieczenia SQL Server. Ale to są niektóre rzeczy, o których ja, rozmawiając z wami jako specjalistami ds. Danych, jako specjalistami IT, jako DBA, chcę, abyście wiedzieli, że powinniście wiedzieć o zabezpieczeniach SQL Server.
Pierwszy to bezpieczeństwo fizyczne. Tak jak powiedziałem wcześniej, kradzież fizycznych nośników jest nadal niezwykle powszechna. I tak scenariusz, który podałem z maszyną deweloperską, z kopią twojej bazy danych na maszynie deweloperskiej, która została skradziona - jest to niezwykle powszechny wektor, to wektor, którego powinieneś być świadomy i spróbować podjąć działania przeciwko. Dotyczy to również bezpieczeństwa tworzenia kopii zapasowych, więc za każdym razem, gdy tworzysz kopię zapasową danych, musisz wykonać kopię zapasową w postaci zaszyfrowanej, musisz wykonać kopię zapasową w bezpiecznej lokalizacji. Wiele razy te dane, które były naprawdę chronione w bazie danych, gdy tylko zaczęły się wydostawać na peryferie, na maszyny deweloperskie, na maszyny testowe, trochę mniej uważamy na łatanie, dostajemy trochę mniej uważaj na ludzi, którzy mają do niego dostęp. Następną rzeczą, którą wiesz, masz niezaszyfrowane kopie zapasowe bazy danych przechowywane w publicznym udziale w Twojej organizacji, dostępne do wykorzystania przez wiele różnych osób. Pomyśl o bezpieczeństwie fizycznym i po prostu, czy ktoś może podejść i po prostu włożyć klucz USB do twojego serwera? Nie powinieneś na to pozwalać.
Kolejny element, o którym chciałbym pomyśleć, to bezpieczeństwo platformy, więc aktualny system operacyjny, najnowsze łaty. To bardzo męczące, gdy ludzie mówią o pozostaniu na starszych wersjach systemu Windows, starszych wersjach SQL Server, myśląc, że jedynym kosztem w grze jest koszt aktualizacji licencji, co nie jest prawdą. Jesteśmy z bezpieczeństwem, to strumień, który wciąż schodzi ze wzgórza, a wraz z upływem czasu pojawia się więcej exploitów. Microsoft w tym przypadku i inne grupy, w zależności od przypadku, zaktualizują do pewnego stopnia starsze systemy, a ostatecznie przestaną być obsługiwane i nie będą ich już aktualizować, ponieważ jest to po prostu niekończący się proces konserwacji.
Tak więc musisz mieć obsługiwany system operacyjny i być na bieżąco ze swoimi poprawkami, a ostatnio odkryliśmy, jak w przypadku Shadow Brokers, w niektórych przypadkach Microsoft może mieć wgląd w nadchodzące poważne naruszenia bezpieczeństwa, zanim zostaną wykonane. publiczne, przed ujawnieniem, więc nie pozwól, aby wszystkie zostały zakręcone. Raczej nie biorę przestoju, raczej czekam i czytam każdy z nich i decyduję. Możesz nie wiedzieć, jaka jest jego wartość, dopóki kilka tygodni później nie dowiesz się, dlaczego ta łatka się pojawiła. Bądź więc na bieżąco.
Powinieneś mieć skonfigurowaną zaporę ogniową. To było szokujące w przypadku naruszenia SNB, ile osób korzystało ze starszych wersji SQL Server z zaporą całkowicie otwartą dla Internetu, dzięki czemu każdy mógł wejść i zrobić wszystko, co chciał z ich serwerami. Powinieneś używać zapory ogniowej. Fakt, że od czasu do czasu musisz skonfigurować reguły lub wprowadzić wyjątki od sposobu, w jaki prowadzisz działalność, jest w porządku. Musisz kontrolować obszar w swoich systemach baz danych - czy instalujesz na tym samym komputerze usługi lub serwery WWW, takie jak IIS? Udostępniasz to samo miejsce na dysku, współużytkujesz to samo miejsce pamięci co bazy danych i prywatne dane? Staraj się tego nie robić, staraj się go izolować, zmniejszaj powierzchnię, abyś nie musiał się tak bardzo martwić o to, aby wszystko było bezpiecznie na górze bazy danych. Możesz je fizycznie oddzielić, platformę, oddzielić je, dać sobie trochę spokoju.
Nie powinieneś mieć superadministratorów biegających wszędzie i mających dostęp do wszystkich twoich danych. Konta administratora systemu operacyjnego niekoniecznie muszą mieć dostęp do Twojej bazy danych lub do bazowych danych w bazie danych za pomocą szyfrowania, o czym dobrze mówić za minutę. Dostęp do plików bazy danych również musisz ograniczyć. To głupie, jeśli powiem, że ktoś nie może uzyskać dostępu do tych baz danych za pośrednictwem bazy danych; Sam SQL Server nie pozwoli im na dostęp do niego, ale jeśli potem będą mogli go obejść, weź kopię rzeczywistego pliku MDF, przenieś go po prostu, dołącz do własnego SQL Servera, naprawdę nie osiągnąłeś bardzo wiele.
Szyfrowanie, więc szyfrowanie to ten słynny dwustronny miecz. Istnieje wiele różnych poziomów szyfrowania, które można wykonać na poziomie systemu operacyjnego, a współczesny sposób robienia rzeczy dla SQL i Windows to funkcja BitLocker, a na poziomie bazy danych nazywana jest TDE lub przezroczystym szyfrowaniem danych. Są to więc oba sposoby na utrzymanie szyfrowania danych w spoczynku. Jeśli chcesz, aby Twoje dane były zaszyfrowane bardziej kompleksowo, możesz to zrobić zaszyfrowanym - przepraszam, mam pewien krok naprzód. Możesz wykonywać zaszyfrowane połączenia, aby za każdym razem, gdy są przesyłane, nadal były szyfrowane, aby jeśli ktoś nasłuchiwał lub miał kogoś w środku ataku, masz pewną ochronę tych danych za pośrednictwem przewodu. Twoje kopie zapasowe muszą być zaszyfrowane, jak powiedziałem, mogą być dostępne dla innych, a następnie, jeśli chcesz, aby były szyfrowane w pamięci, a podczas użytkowania mamy szyfrowanie kolumn, a następnie SQL 2016 ma pojęcie „zawsze szyfrowane” gdzie jest faktycznie zaszyfrowany na dysku, w pamięci, na przewodzie, aż do aplikacji, która faktycznie korzysta z danych.
Teraz całe to szyfrowanie nie jest darmowe: jest tam narzut procesora, czasem jest szyfrowanie kolumn i zawsze zawsze szyfrowana skrzynia, ma to wpływ na wydajność pod względem możliwości wyszukiwania danych. Jednak to szyfrowanie, jeśli jest właściwie zestawione, oznacza to, że jeśli ktoś miałby uzyskać dostęp do twoich danych, szkody są znacznie zmniejszone, ponieważ były w stanie je uzyskać, a następnie nie są w stanie nic z tym zrobić. Jednak w ten sposób działa również oprogramowanie ransomware, polegające na tym, że ktoś wchodzi i włącza te elementy za pomocą własnego certyfikatu lub hasła i nie masz do niego dostępu. Dlatego ważne jest, aby upewnić się, że to robisz i masz do tego dostęp, ale nie dajesz tego, otwarty dla innych i atakujących.
A potem zasady bezpieczeństwa - nie zamierzam omawiać tego punktu, ale upewnij się, że nie każdy użytkownik działa w SQL Server jako superadministrator. Twoi programiści mogą tego chcieć, inni użytkownicy mogą tego chcieć - są sfrustrowani faktem, że proszą o dostęp do poszczególnych elementów - ale musisz być ostrożny, a nawet jeśli może to być bardziej skomplikowane, dawaj dostęp do obiektów i baz danych i schematy, które są ważne dla bieżącej pracy, i jest to szczególny przypadek, być może oznacza to specjalny login, niekoniecznie oznacza podniesienie uprawnień dla przeciętnego użytkownika sprawy.
A potem są kwestie zgodności z przepisami, które pasują do tego, a niektóre przypadki mogą w gruncie rzeczy pójść na swój własny sposób - tak jak HIPAA, SOX, PCI - są wszystkie te różne względy. A kiedy przejdziesz kontrolę, będziesz musiał wykazać, że podejmujesz działania, aby zachować zgodność z tym. I tak jest wiele do śledzenia, powiedziałbym, że jako lista rzeczy do zrobienia DBA, próbujesz zapewnić konfigurację fizycznego szyfrowania bezpieczeństwa, próbujesz upewnić się, że dostęp do tych danych jest kontrolowany dla twoich celów zgodności , upewniając się, że wrażliwe kolumny, które wiesz, jakie są, gdzie są, do których należy szyfrować i oglądać dostęp. I upewniając się, że konfiguracje są zgodne z wytycznymi prawnymi, którym podlegasz. I musisz to wszystko aktualizować, ponieważ wszystko się zmienia.
Jest więc wiele do zrobienia, więc gdybym miał to zostawić, powiedziałbym, że idź. Ale jest do tego wiele różnych narzędzi, więc jeśli mogę w ciągu ostatnich kilku minut, chciałbym pokazać wam niektóre narzędzia, które mamy w tym celu w IDERA. Dwoma, o których chciałem dziś mówić, są SQL Secure i SQL Compliance Manager. SQL Secure to nasze narzędzie pomagające w identyfikacji rodzajów luk w konfiguracji. Twoje zasady bezpieczeństwa, uprawnienia użytkownika, konfiguracje powierzchni. I ma szablony, które pomogą Ci dostosować się do różnych ram regulacyjnych. To samo w sobie, ta ostatnia linijka, może być powodem, dla którego ludzie powinni to rozważyć. Ponieważ przeczytanie tych różnych przepisów i określenie, co one oznaczają, PCI, a następnie przeniesienie ich do mojego SQL Servera w moim sklepie, to dużo pracy. To jest coś, za co możesz zapłacić dużo pieniędzy na konsultacje; poszliśmy i przeprowadziliśmy te konsultacje, pracowaliśmy z różnymi firmami audytorskimi itp., aby opracować, jakie są te szablony - coś, co prawdopodobnie przejdzie kontrolę, jeśli takie istnieją. Następnie możesz użyć tych szablonów i zobaczyć je w swoim środowisku.
Mamy również inne, siostrzane narzędzie w postaci SQL Compliance Manager, i tutaj SQL Secure dotyczy ustawień konfiguracyjnych. SQL Compliance Manager polega na sprawdzeniu, co zostało zrobione przez kogo, kiedy. Tak więc jego kontrola, więc pozwala monitorować aktywność w miarę jej występowania oraz pozwala wykrywać i śledzić, kto uzyskuje dostęp do rzeczy. Czy ktoś, którego prototypowy przykład był celebrytą, został przyjęty do twojego szpitala, czy ktoś szukał informacji z ciekawości? Czy mieli ku temu powód? Możesz spojrzeć na historię audytu i zobaczyć, co się dzieje, kto miał dostęp do tych zapisów. I możesz zidentyfikować, że ma to narzędzia, które pomogą Ci zidentyfikować poufne kolumny, więc niekoniecznie musisz przeczytać i zrobić to wszystko sam.
Więc jeśli mogę, zamierzam pokazać wam kilka z tych narzędzi tutaj w ciągu ostatnich kilku minut - i proszę nie uważać tego za dogłębne demo. Jestem menedżerem produktu, a nie inżynierem sprzedaży, więc pokażę wam niektóre rzeczy, które moim zdaniem są istotne w tej dyskusji. To jest nasz bezpieczny produkt SQL. Jak widać tutaj, mam coś w rodzaju tej karty raportu wysokiego poziomu. Wydaje mi się, że to wczoraj. I pokazuje mi niektóre rzeczy, które nie są poprawnie skonfigurowane i niektóre rzeczy, które są poprawnie skonfigurowane. Można więc zobaczyć sporo ponad 100 różnych kontroli, które tutaj przeprowadziliśmy. Widzę, że moje szyfrowanie kopii zapasowych na kopiach zapasowych, które robiłem, nie używałem szyfrowania kopii zapasowych. Moje konto SA, wyraźnie nazwane „konto SA”, nie zostało wyłączone ani nie zmieniono jego nazwy. Rola serwera publicznego ma uprawnienia, więc to wszystko, co chciałbym zmienić.
Mam tutaj skonfigurowane zasady, więc jeśli chciałbym założyć nowe zasady, aby zastosować je do moich serwerów, mamy wszystkie te wbudowane zasady. Dlatego używam istniejącego szablonu zasad i widać, że mam CIS, HIPAA, PCI, SR i wciąż jesteśmy w trakcie ciągłego dodawania dodatkowych zasad, w zależności od potrzeb ludzi w terenie. Możesz także utworzyć nową polisę, więc jeśli wiesz, czego szuka Twój audytor, możesz ją utworzyć samodzielnie. A potem, kiedy to zrobisz, możesz wybrać spośród wszystkich tych różnych ustawień, które musisz ustawić, w niektórych przypadkach masz jakieś - pozwól mi wrócić i znaleźć jedno z gotowych. Jest to wygodne, mogę wybrać, powiedzmy, HIPAA - mam już HIPAA, mój zły - PCI, a następnie, gdy klikam tutaj, faktycznie widzę zewnętrzne odniesienie do części przepisu, że to jest związany z. To pomoże ci później, gdy będziesz próbował dowiedzieć się, dlaczego to ustawiam? Dlaczego próbuję na to spojrzeć? Z jaką sekcją jest to związane?
To również ma fajne narzędzie, ponieważ pozwala ci wchodzić i przeglądać użytkowników, więc jedną z trudnych rzeczy w odkrywaniu twoich ról jest to, że tak naprawdę zamierzam się tutaj przyjrzeć. Więc jeśli pokażę uprawnienia dla mojego, zobaczmy, wybierzmy tutaj użytkownika. Pokaż uprawnienia. Widzę przypisane uprawnienia dla tego serwera, ale potem mogę kliknąć tutaj i obliczyć efektywne uprawnienia, a to da mi pełną listę opartą na, więc w tym przypadku jest to administrator, więc nie jest to takie ekscytujące, ale mógłbym przejrzyj i wybierz różnych użytkowników i zobacz, jakie są ich skuteczne uprawnienia, na podstawie wszystkich różnych grup, do których mogą należeć. Jeśli kiedykolwiek spróbujesz to zrobić samodzielnie, może to być trochę kłopotliwe, aby dowiedzieć się, OK, ten użytkownik jest członkiem tych grup i dlatego ma dostęp do tych rzeczy za pośrednictwem grup itp.
Tak więc sposób, w jaki ten produkt działa, polega na wykonywaniu migawek, więc naprawdę nie jest to bardzo trudny proces regularnego robienia migawek z serwera, a następnie przechowuje te migawki z czasem, aby można było porównać zmiany. Nie jest to więc ciągłe monitorowanie w tradycyjnym sensie przypominającym narzędzie do monitorowania wydajności; jest to coś, co możesz ustawić, aby uruchamiało się raz na noc, raz na tydzień - jakkolwiek często uważasz, że jest to ważne - aby wtedy, kiedy robisz analizę i robisz trochę więcej, faktycznie pracujesz w ramach naszego narzędzia. Nie łączysz się zbyt często z serwerem, więc jest to całkiem miłe, małe narzędzie do pracy w celu uzyskania zgodności z tego rodzaju ustawieniami statycznymi.
Drugim narzędziem, które chcę wam pokazać, jest nasze narzędzie Compliance Manager. Compliance Manager będzie monitorować w sposób bardziej ciągły. I zobaczy, kto robi to, co robi na twoim serwerze, i pozwoli ci to rzucić okiem. Tak więc, co zrobiłem tutaj, w ciągu ostatnich kilku godzin, faktycznie próbowałem stworzyć pewne małe problemy. Więc tutaj mam pytanie, czy to problem, czy nie, mogę o tym wiedzieć, ktoś faktycznie utworzył login i dodał go do roli serwera. Więc jeśli wejdę i popatrzę na to, widzę ... Chyba nie mogę kliknąć tam prawym przyciskiem myszy, widzę, co się dzieje.To jest mój pulpit nawigacyjny i widzę, że trochę wcześniej nie udało mi się zalogować. Miałem mnóstwo działań związanych z bezpieczeństwem, działalności DBL.
Pozwólcie, że przejdę do moich wydarzeń kontrolnych i spojrzę. Tutaj mam zdarzenia inspekcji pogrupowane według kategorii i obiektu docelowego, więc jeśli przyjrzę się temu bezpieczeństwu wcześniej, zobaczę DemoNewUser, pojawiło się to logowanie do serwera. I widzę, że login SA utworzył to konto DemoNewUser tutaj, o 14:42. A potem widzę, że z kolei dodaj login do serwera, ten DemoNewUser został dodany do grupy administracyjnej serwera, zostali oni dodani do grupy administratorów instalacji, zostali dodani do grupy sysadmin. Tak więc wydarzyło się coś, o czym chciałbym wiedzieć. Mam również skonfigurowane tak, aby wrażliwe kolumny w moich tabelach były śledzone, dzięki czemu mogę zobaczyć, kto miał do nich dostęp.
Oto kilka wybranych, które pojawiły się na moim stole osobowym, z Adventure Works. I mogę rzucić okiem i zobaczyć, że użytkownik SA w tabeli Adventure Works wybrał pierwszą dziesiątkę od osoby kropki. Więc może w mojej organizacji nie chcę, aby ludzie wybierali gwiazdki od osoby kropki osoby, lub oczekuję, że zrobią to tylko niektórzy użytkownicy, więc zobaczę to tutaj. Tak więc, czego potrzebujesz w zakresie kontroli, możemy to skonfigurować w oparciu o ramy, a to jest nieco bardziej intensywne narzędzie. Korzysta ze śledzenia SQL lub zdarzeń SQLX, w zależności od wersji. I jest to coś, co będzie musiało mieć trochę miejsca na serwerze, aby pomieścić, ale jest to jedna z tych rzeczy, coś w rodzaju ubezpieczenia, co jest miłe, gdybyśmy nie musieli mieć ubezpieczenia samochodu - byłby to koszt, którego nie chcielibyśmy musisz wziąć - ale jeśli masz serwer, na którym musisz śledzić, kto co robi, być może będziesz musiał mieć trochę więcej miejsca i takie narzędzie, aby to zrobić. Bez względu na to, czy korzystasz z naszego narzędzia, czy sam go wdrażasz, ostatecznie będziesz odpowiedzialny za posiadanie tych informacji do celów zgodności z przepisami.
Tak jak powiedziałem, nie dogłębne demo, tylko krótkie, krótkie podsumowanie. Chciałem też pokazać szybkie, małe bezpłatne narzędzie w postaci tego wyszukiwania kolumn SQL, które można wykorzystać do zidentyfikowania, które kolumny w twoim środowisku wydają się być poufnymi informacjami. Mamy więc kilka konfiguracji wyszukiwania, w których szuka różnych nazw kolumn, które często zawierają poufne dane, a następnie mam całą ich listę, która została zidentyfikowana. Mam ich 120, a następnie wyeksportowałem je tutaj, aby móc z nich skorzystać, powiedzieć, chodźmy sprawdzić i upewnić się, że śledzę dostęp do drugiego imienia, jednej osoby kropki lub stawki podatku od sprzedaży itp.
Wiem, że pod koniec naszego czasu było już dobrze. I to wszystko, co musiałem ci pokazać, więc masz jakieś pytania?
Eric Kavanagh: Mam dla ciebie kilka dobrych. Pozwól mi przewinąć to tutaj. Jeden z uczestników zadał naprawdę dobre pytanie. Jednym z nich jest pytanie o podatek od wydajności, więc wiem, że różni się on w zależności od rozwiązania, ale czy masz ogólne pojęcie o tym, czym jest podatek od wydajności za korzystanie z narzędzi bezpieczeństwa IDERA?
Vicky Harp: Tak więc, jak powiedziałem, w SQL Secure jest bardzo niski, po prostu od czasu do czasu będę robił migawki. I nawet jeśli działasz dość często, otrzymuje statyczne informacje o ustawieniach, a więc jest bardzo niski, prawie nieistotny. Jeśli chodzi o Compliance Managera, jest to:
Eric Kavanagh: Jak jeden procent?
Vicky Harp: Gdybym musiał podać liczbę procentową, tak, byłby to jeden procent lub mniej. Podstawowe informacje na temat kolejności korzystania z SSMS, przechodzenia do karty bezpieczeństwa i rozwijania. Po stronie zgodności jest znacznie wyższy - dlatego powiedziałem, że potrzebuje trochę rezerwy - jest to coś w rodzaju znacznie przekraczającego to, co masz pod względem monitorowania wydajności. Teraz nie chcę odstraszyć ludzi od tego, sztuczka związana z monitorowaniem zgodności, a jeśli jego kontrola polega na upewnieniu się, że kontrolujesz tylko to, co zamierzasz podjąć. Więc kiedy odfiltrujesz i powiesz: „Hej, chcę wiedzieć, kiedy ludzie uzyskują dostęp do tych konkretnych tabel, i chcę wiedzieć, kiedy ludzie uzyskują dostęp, podejmują te konkretne działania”, to będzie zależało od tego, jak często są to rzeczy i ile danych generujesz. Jeśli powiesz: „Chcę, aby pełny SQL każdego zaznaczenia, które kiedykolwiek zdarzyło się w którejkolwiek z tych tabel”, będzie to prawdopodobnie gigabajty i gigabajty danych, które muszą zostać przeanalizowane przez przechowywany program SQL Server, przeniesione do naszego produktu itp. .
Jeśli ograniczysz to do - będzie to również więcej informacji, niż prawdopodobnie możesz sobie z tym poradzić. Jeśli możesz sprowadzić to do mniejszego zestawu, abyś otrzymywał kilkaset wydarzeń dziennie, to jest to oczywiście znacznie mniej. Tak naprawdę, pod pewnymi względami, skys limit. Jeśli włączysz wszystkie ustawienia we wszystkich funkcjach monitorowania wszystkiego, to tak, będzie to 50-procentowy spadek wydajności. Ale jeśli zamierzasz zmienić go w bardziej umiarkowany, uważany za poziom, może wybrałbym gałkę oczną 10 procent? To naprawdę jedna z tych rzeczy, które będą bardzo zależne od obciążenia pracą.
Eric Kavanagh: Tak, jasne. Pojawia się kolejne pytanie dotyczące sprzętu. A potem są dostawcy sprzętu, którzy wchodzą do gry i naprawdę współpracują z dostawcami oprogramowania, a ja odpowiedziałem przez okno pytań i odpowiedzi. Znam jeden szczególny przypadek, w którym Cloudera współpracowała z Intelem, gdzie Intel dokonał w nich ogromnej inwestycji, a częścią rachunku było to, że Cloudera uzyska wczesny dostęp do projektowania układów, a tym samym będzie w stanie zapewnić bezpieczeństwo na poziomie układu architektura, która robi wrażenie. Niemniej jednak jest to coś, co się wydostanie i nadal może być wykorzystywane przez obie strony. Czy znasz jakieś trendy lub tendencje dostawców sprzętu do współpracy z dostawcami oprogramowania w zakresie protokołu bezpieczeństwa?
Vicky Harp: Tak, tak naprawdę uważam, że Microsoft współpracował, aby mieć trochę pamięci na niektóre prace szyfrujące na oddzielnych układach scalonych na płytach głównych, które są oddzielone od twojej głównej pamięci, więc niektóre z tych rzeczy jest fizycznie oddzielony. I wierzę, że tak naprawdę to było coś, co przyszło od Microsoftu pod względem wysłania się do dostawców, aby powiedzieć: „Czy możemy wymyślić sposób, aby to zrobić, w zasadzie jego nieadresowalną pamięć, nie mogę przez przepełnienie bufora dostać się do tej pamięci , ponieważ w pewnym sensie jej nawet tam nie ma, więc wiem, że coś takiego się dzieje ”.
Eric Kavanagh: Tak.
Vicky Harp: Najprawdopodobniej będą to naprawdę duzi sprzedawcy.
Eric Kavanagh: Tak. Jestem ciekawy, aby na to uważać, a może Robin, jeśli masz krótką sekundę, będę ciekawy, jakie są twoje doświadczenia na przestrzeni lat, ponieważ ponownie, jeśli chodzi o sprzęt, pod względem faktycznej nauki o materiałach, które wkładasz w to, co wkładasz razem od strony dostawcy, informacje te mogą przejść na obie strony, a teoretycznie idziemy na obie strony dość szybko, więc czy jest jakiś sposób na bardziej ostrożne korzystanie ze sprzętu, z perspektywy projektowania do zwiększenia bezpieczeństwa? Co myślisz? Robin, jesteś niemy?
Robin Bloor: Tak tak. Przepraszam, jestem tutaj; Zastanawiam się tylko nad pytaniem. Szczerze mówiąc, nie mam opinii, to obszar, na który nie spojrzałem głęboko, więc jestem pewien, że mogę wymyślić opinię, ale tak naprawdę nie wiem. Wolę rzeczy bezpieczne w oprogramowaniu, tak po prostu gram.
Eric Kavanagh: Tak. Cóż, ludzie, spaliliśmy się przez godzinę i przebieramy tutaj. Ogromne podziękowania dla Vicky Harp za jej czas i uwagę - za cały twój czas i uwagę; Dziękujemy za przybycie do tych rzeczy. To ważna sprawa; w najbliższym czasie nie zniknie. Jest to gra w kotka i myszkę, która będzie się ciągle poruszać. Byli też wdzięczni za to, że niektóre firmy tam są, koncentrując się na zapewnieniu bezpieczeństwa, ale jak Vicky nawet wspomniała i mówiła trochę o swojej prezentacji, w końcu jej ludzie w organizacjach, którzy muszą bardzo uważnie o tym pomyśleć ataki phishingowe, tego rodzaju inżynieria społeczna i trzymaj się swoich laptopów - nie zostawiaj tego w kawiarni! Zmień hasło, zapoznaj się z podstawami, a dostaniesz się tam w 80 procentach.
W związku z tym ludzie zamierzali was pożegnać, raz jeszcze dziękuję za poświęcony czas i uwagę. Do zobaczenia następnym razem, uważaj. PA pa.
Vicky Harp: Cześć, dziękuję.