Przez Techopedia Staff, 10 maja 2017 r
Na wynos: Gospodarz Eric Kavanagh omawia kwestie bezpieczeństwa i uprawnień z dr Robin Bloor i Vicky Harp IDERA.
Obecnie nie jesteś zalogowany. Zaloguj się lub zarejestruj, aby zobaczyć wideo.
Eric Kavanagh: OK, panie i panowie, cześć i witamy ponownie. Jest środa, cztery wschodnie i świat technologii dla przedsiębiorstw, co oznacza, że nadszedł czas na Hot Technologies! W rzeczy samej. Prezentowane przez grupę Bloor, oczywiście, obsługiwane przez naszych przyjaciół z Techopedia. Dzisiejszy temat jest naprawdę fajny: „Lepiej zapytać o pozwolenie: najlepsze praktyki dotyczące prywatności i bezpieczeństwa”. Zgadza się, to dość trudny temat, wiele osób o nim mówi, ale jest dość poważny i Szczerze mówiąc, robi się coraz poważniejszy. Jest to poważny problem na wiele sposobów dla wielu organizacji. Porozmawiamy o tym i porozmawiamy o tym, co możesz zrobić, aby chronić swoją organizację przed nikczemnymi postaciami, które wydają się być wszędzie w tym miejscu.
Tak więc dzisiejszym prezenterem jest Vicky Harp dzwoniąca z IDERA. Oprogramowanie IDERA można zobaczyć na LinkedIn - Uwielbiam nową funkcjonalność na LinkedIn. Chociaż mogę powiedzieć, że pociągają za sznurki w określony sposób, nie pozwalając ci na dostęp do ludzi, próbując nakłonić cię do wykupienia członkostwa premium. Proszę bardzo, mamy własnego Robina Bloora, który dzwoni - jest obecnie w okolicy San Diego. I naprawdę jesteś swoim moderatorem / analitykiem.
O czym więc rozmawiamy? Naruszenie danych. Właśnie wziąłem te informacje z IdentityForce.com, już jechałem na wyścigi. Jesteśmy oczywiście w maju tego roku i jest tylko mnóstwo naruszeń danych, są też naprawdę poważne, Yahoo! był duży i słyszeliśmy o włamaniu do rządu USA. Właśnie zhakowano wybory we Francji.
To się dzieje wszędzie, trwa i nie przestanie, więc to jest rzeczywistość, jak mówią, nowa rzeczywistość. Naprawdę musimy pomyśleć o sposobach egzekwowania bezpieczeństwa naszych systemów i naszych danych. Jest to proces ciągły, więc nadszedł czas, aby pomyśleć o różnych problemach, które wchodzą w grę. To tylko częściowa lista, ale daje to pewne spojrzenie na to, jak niepewna jest obecnie sytuacja z systemami korporacyjnymi. A przed tym występem, w naszym gawędzeniu przed show, rozmawialiśmy o ransomware, które uderzyło kogoś, kogo znam, co jest bardzo nieprzyjemne, gdy ktoś przejmuje twój iPhone i żąda pieniędzy, abyś mógł odzyskać dostęp do telefonu. Ale zdarza się, dzieje się z komputerami, dzieje się z systemami, widziałem innego dnia, dzieje się to z miliarderami z ich jachtami. Wyobraź sobie, że pewnego dnia udasz się na jacht, próbując zaimponować wszystkim znajomym, a nawet nie możesz go włączyć, ponieważ jakiś złodziej ukradł dostęp do elementów sterujących, panelu sterowania. Właśnie powiedziałem kiedyś w wywiadzie komuś, że zawsze mam ręczną regulację. Nie jestem wielkim fanem wszystkich połączonych samochodów - nawet samochody można zhakować. Wszystko, co jest podłączone do Internetu lub do sieci, którą można przeniknąć, może zostać zhakowane, cokolwiek.
Oto kilka kwestii, które należy wziąć pod uwagę, aby sformułować kontekst tego, jak poważna jest sytuacja. Systemy internetowe są obecnie wszędzie, nadal się rozprzestrzeniają. Ile osób kupuje rzeczy przez Internet? Teraz jest już tylko przez dach, dlatego Amazon jest obecnie tak potężną siłą. To dlatego, że tak wiele osób kupuje rzeczy przez Internet.
Pamiętasz więc, 15 lat temu ludzie bardzo denerwowali się wprowadzeniem swojej karty kredytowej do formularza internetowego, aby uzyskać informacje, a wtedy argumentem było: „Cóż, jeśli oddasz kartę kredytową kelnerowi w restauracja, to jest to samo. ”Nasza odpowiedź brzmi: tak, to samo, wszystkie punkty kontrolne lub punkty dostępu, ta sama rzecz, inna strona tej samej monety, na której można umieścić ludzi w niebezpieczeństwo, gdzie ktoś może wziąć twoje pieniądze lub ktoś może ci ukraść.
Wtedy IoT oczywiście rozszerza krajobraz zagrożeń - uwielbiam to słowo - o rzędy wielkości. Pomyśl o tym - z tymi wszystkimi nowymi urządzeniami na całym świecie, jeśli ktoś może włamać się do systemu, który je kontroluje, może obrócić wszystkie te boty przeciwko tobie i powodować mnóstwo problemów, więc to bardzo poważny problem. Obecnie mamy globalną gospodarkę, która jeszcze bardziej poszerza krajobraz zagrożeń, a ponadto masz ludzi w innych krajach, którzy mogą uzyskać dostęp do sieci w taki sam sposób, jak my i ja, a jeśli nie wiesz, jak mówić po rosyjsku lub dowolną liczbę innych języków, trudno będzie ci zrozumieć, co się dzieje, gdy włamią się do twojego systemu. Mamy więc postęp w dziedzinie sieci i wirtualizacji, więc to dobrze.
Ale mam tutaj po prawej stronie tego zdjęcia miecz i powód, dla którego go mam, ponieważ każdy miecz przecina obie strony. Jak mówią, jest to obosieczny miecz i stary klisz, ale oznacza, że miecz, który mam, może cię skrzywdzić lub może mnie skrzywdzić. Może do mnie wrócić, odbijając się od niego lub przez kogoś, kto go odbierze. To właściwie jedna z Bajek Ezopa - często dajemy wrogom narzędzia do własnego zniszczenia. To naprawdę fascynująca historia i dotyczy kogoś, kto użył łuku i strzały i zestrzelił ptaka, a ptak zobaczył, gdy strzała się zbliżała, to pióro jednego z jego ptasich przyjaciół było na krawędzi strzały, na odwrocie strzały, by ją poprowadzić, i pomyślał: „O rany, oto moje własne pióra, moja rodzina będzie przyzwyczajona, by mnie zdjąć”. Słyszysz to cały czas, słyszysz. statystyki o tym, że masz broń w domu, złodziej może wziąć broń. Cóż, to wszystko prawda. Rzucam więc to na analogię, aby wziąć pod uwagę, że wszystkie te różne zmiany mają pozytywne i negatywne strony.
Mówiąc o kontenerach dla tych z Was, którzy naprawdę podążają za najnowocześniejszymi systemami obliczeniowymi dla przedsiębiorstw, kontenery są najnowszą rzeczą, najnowszym sposobem dostarczania funkcjonalności, to tak naprawdę połączenie wirtualizacji w architekturze zorientowanej na usługi, przynajmniej dla mikrousług i to bardzo interesujące rzeczy. Z pewnością możesz zaciemnić swoje protokoły bezpieczeństwa i protokoły aplikacji oraz dane i tak dalej, używając kontenerów, co daje ci pewien okres czasu, ale wcześniej czy później złoczyńcy to zrozumieją, i wtedy będzie jeszcze trudniej uniemożliwić im korzystanie z twoich systemów. Tak więc istnieje globalna siła robocza, która komplikuje sieć i bezpieczeństwo oraz skąd ludzie się logują.
Mamy wojny przeglądarek, które trwają szybko i wymagają ciągłej pracy, aby aktualizować i być na bieżąco. Ciągle słyszymy o starych przeglądarkach Microsoft Explorer, o tym, jak zostały zaatakowane i dostępne. Więc w dzisiejszych czasach hakowanie wymaga więcej pieniędzy, jest cała branża, tego nauczył mnie mój partner, dr Bloor, osiem lat temu - zastanawiałem się, dlaczego tak wiele tego widzimy, i przypomniał ja, to cały przemysł zaangażowany w hackowanie. I w tym sensie narracja, która jest jednym z moich najmniej ulubionych słów na temat bezpieczeństwa, jest naprawdę bardzo nieuczciwa, ponieważ narracja pokazuje wszystkie te filmy i wszelkiego rodzaju relacje prasowe, niektóre hakowanie pokazują jakiegoś faceta w bluzie z kapturem, siedzącego w jego piwnicy w ciemnym oświetlonym pokoju wcale tak nie jest. To wcale nie jest reprezentatywne dla rzeczywistości. To samotni hakerzy, jest bardzo niewielu samotnych hakerów, oni tam są, powodują pewne problemy - nie spowodują dużych problemów, ale mogą zarobić mnóstwo pieniędzy. Tak więc dzieje się, gdy hakerzy wchodzą i przenikają do twojego systemu, a następnie sprzedają ten dostęp komuś innemu, kto się odwraca i sprzedaje go komuś innemu, a następnie gdzieś z drugiej strony ktoś wykorzystuje ten hack i wykorzystuje cię. Istnieją niezliczone sposoby na wykorzystanie skradzionych danych.
Zastanawiałem się nawet, jak upiększamy tę koncepcję. Widzisz ten termin wszędzie, „hackowanie wzrostu”, jakby to była dobra rzecz. Hakowanie wzrostu, wiesz, hackowanie może być dobrą rzeczą, jeśli próbujesz pracować dla dobrych facetów, aby mówić i włamać się do systemu, tak jak wciąż słyszymy o Korei Północnej i ich wystrzeliwaniu pocisków, potencjalnie być zhakowanym - Dobre. Ale hakowanie jest często złą rzeczą. Więc teraz glamurujemy to, prawie jak Robin Hood, kiedy gloryfikowaliśmy Robin Hood. A potem jest społeczeństwo bezgotówkowe, coś, co szczerze mówiąc, dotyczy mnie światła dziennego. Za każdym razem, gdy słyszę, myślę tylko: „Nie, proszę nie rób tego! Proszę nie! ”Nie chcę, aby wszystkie nasze pieniądze zniknęły. To tylko niektóre kwestie do rozważenia, i znowu jest to gra w kotka i myszkę; nigdy się nie zatrzyma, zawsze będą potrzebne protokoły bezpieczeństwa i zaawansowane protokoły bezpieczeństwa. I do monitorowania twoich systemów, aby nawet wiedzieć i wyczuć, kto tam jest, przy czym zrozumienie może być nawet pracą wewnętrzną. Jest to więc problem ciągły, będzie to problem ciągły przez dłuższy czas - nie popełnijcie błędu.
I po tym przekażę to dr Bloorowi, który może podzielić się z nami swoimi przemyśleniami na temat zabezpieczania baz danych. Robin, zabierz to.
Robin Bloor: OK, jeden z interesujących hacków, myślę, że to miało miejsce około pięciu lat temu, ale w gruncie rzeczy włamano się do firmy przetwarzającej karty. I skradziono dużą liczbę szczegółów karty. Ale dla mnie interesującą rzeczą był fakt, że to była baza testowa, do której faktycznie się dostali, i prawdopodobnie tak się stało, że mieli oni duże trudności z dostaniem się do faktycznej, prawdziwej bazy danych kart przetwarzania. Ale wiesz, jak to jest z programistami, po prostu wycinają bazę danych i wrzucają ją tam. Musiałoby być o wiele więcej czujności, aby temu zapobiec. Ale jest wiele interesujących historii o hakowaniu, tworzy w jednym obszarze, jest bardzo interesującym tematem.
Tak więc zamierzam w ten czy inny sposób powtórzyć niektóre rzeczy, które powiedział Eric, ale łatwo jest myśleć o bezpieczeństwie danych jako o stałym celu; jest to łatwiejsze tylko dlatego, że łatwiej jest analizować sytuacje statyczne, a następnie pomyśleć o wprowadzeniu obrony, obrony tam, ale tak nie jest. Jest ruchomym celem i jest to jedna z rzeczy, które określają całą przestrzeń bezpieczeństwa. Jest to sposób, w jaki ewoluuje cała technologia, ewoluuje również technologia złych facetów. Krótki przegląd: Kradzież danych nie jest niczym nowym, w rzeczywistości szpiegostwo danych to kradzież danych i myślę, że dzieje się to od tysięcy lat.
Największym skokiem danych w tych kategoriach było to, że Brytyjczycy złamali niemieckie kody i Amerykanie złamali japońskie kody, a w obu przypadkach znacznie skrócili wojnę. I właśnie kradli przydatne i cenne dane, było to oczywiście bardzo sprytne, ale wiesz, co się teraz dzieje, jest bardzo sprytne na wiele sposobów. Cyberprzestępczość narodziła się z Internetem i wybuchła około 2005 roku. Poszedłem i spojrzałem na wszystkie statystyki, a kiedy zacząłeś być naprawdę poważny i, w ten czy inny sposób, wyjątkowo wysoki odsetek, począwszy od około 2005 roku. następnie. Zaangażowanych jest wielu graczy, rządy, firmy, grupy hakerów i osoby prywatne.
Pojechałem do Moskwy - musiało to być około pięciu lat - i spędziłem dużo czasu z facetem z Wielkiej Brytanii, który bada całą przestrzeń hakerską. I powiedział, że - i nie mam pojęcia, czy to prawda, mam tylko na to swoje słowo, ale wydaje się bardzo prawdopodobne - że w Rosji istnieje coś takiego jak Business Network, która jest grupą hakerów, którzy są wszyscy no wiesz, wyszli z ruin KGB. I sprzedają się sami, nie tylko, jestem pewien, że rosyjski rząd ich używa, ale sprzedają się każdemu, i podobno plotki, albo powiedział, że to plotki, że różne zagraniczne rządy korzystają z sieci biznesowej możliwa zaprzeczalność. Ci faceci mieli sieci milionów zainfekowanych komputerów, z których mogliby atakować. I mieli wszystkie narzędzia, jakie możesz sobie wyobrazić.
Tak więc ewoluowała technologia ataku i obrony. Firmy mają obowiązek dbać o swoje dane, niezależnie od tego, czy są ich właścicielami, czy nie. I to zaczyna być coraz jaśniejsze w odniesieniu do różnych przepisów, które faktycznie już obowiązują lub wchodzą w życie. I prawdopodobnie ulegnie poprawie, ktoś jest w taki czy inny sposób, ktoś musi ponieść koszty hakowania w taki sposób, aby zachęcić go do zamknięcia tej możliwości. To jedna z rzeczy, które, jak sądzę, są konieczne. Jeśli chodzi o hakerów, można je zlokalizować w dowolnym miejscu. Szczególnie w twojej organizacji - okropna część genialnych hacków, o których słyszałem, wymagała otwarcia drzwi. Wiesz, ta osoba, to jest jak napad na bank, prawie zawsze mówili, że w dobrych napadach na bank jest ktoś z wewnątrz. Ale osoba poufna musi tylko przekazywać informacje, więc trudno jest je zdobyć, wiedzieć, kto to był, i tak dalej.
I może być trudno postawić ich przed wymiarem sprawiedliwości, ponieważ jeśli zostałeś zhakowany przez grupę ludzi w Mołdawii, nawet jeśli wiesz, że to ta grupa, jak sprawisz, że wokół nich wydarzy się jakieś prawne wydarzenie? To jest rodzaj, z jednej jurysdykcji do drugiej, po prostu nie ma zbyt dobrego zestawu międzynarodowych ustaleń w celu wyłapania hakerów. Dzielą się technologią i informacjami; wiele z nich jest open source. Jeśli chcesz zbudować własnego wirusa, jest tam mnóstwo zestawów wirusów - całkowicie otwarte oprogramowanie. Mają znaczne zasoby, było wiele takich, które miały botnety w ponad milionie zainfekowanych urządzeń w centrach danych i na komputerach PC i tak dalej. Niektóre są dochodowymi firmami, które rozwijają się od dłuższego czasu, a potem są grupy rządowe, jak już wspomniałem. Jest mało prawdopodobne, jak powiedział Eric, jest mało prawdopodobne, że to zjawisko kiedykolwiek się skończy.
Jest to więc interesujący hack, o którym pomyślałem, że wspomnę o nim, ponieważ był to całkiem nowy hack; stało się w zeszłym roku. W kontrakcie DAO istniała luka związana z kryptowalutą Etherium. Zostało to omówione na forum iw ciągu jednego dnia zhakowano kontrakt DAO, wykorzystując właśnie tę lukę. Odprowadzono 50 milionów dolarów eteru, co spowodowało natychmiastowy kryzys w projekcie DAO i zamknięcie go. A Etherium faktycznie walczyło, aby powstrzymać hakera przed dostępem do pieniędzy, co w pewnym sensie zmniejszyło jego wolę. Ale wierzono również - nie wiadomo na pewno - że haker faktycznie skrócił cenę eteru przed atakiem, wiedząc, że cena eteru spadnie, a tym samym osiągnie zysk w inny sposób.
To kolejna, jeśli chcesz, strategia, z której mogą korzystać hakerzy. Jeśli mogą uszkodzić twoją cenę akcji i wiedzą, że to zrobią, to konieczne jest tylko, że skrócą cenę akcji i zrobią hack, więc to trochę, ci faceci są sprytni, wiesz. A cena jest wręcz kradzieżą pieniędzy, zakłóceń i okupu, w tym inwestycji, w których zakłócasz i skracasz zapasy, sabotaż, kradzież tożsamości, wszelkiego rodzaju oszustwa, wyłącznie w celach reklamowych. I ma to zazwyczaj charakter polityczny lub, oczywiście, szpiegowanie informacji, a są nawet ludzie, którzy zarabiają na życie dzięki nagrodom za błędy, które można zdobyć, próbując włamać się do Google'a, Apple'a, Facebooka - nawet Pentagon, faktycznie daje nagrody za błędy. A ty tylko siekasz; jeśli się powiedzie, po prostu idź po nagrodę i nie wyrządzisz żadnych szkód, więc to fajna rzecz.
Równie dobrze mogę wspomnieć o zgodności i przepisach. Oprócz inicjatyw sektorowych istnieje wiele oficjalnych przepisów: HIPAA, SOX, FISMA, FERPA i GLBA są przepisami amerykańskimi. Istnieją standardy; PCI-DSS stał się dość ogólnym standardem. Jest też ISO 17799 na temat własności danych. Przepisy krajowe różnią się w zależności od kraju, nawet w Europie. A obecnie RODO - dane globalne, co to oznacza? Wydaje mi się, że to globalne rozporządzenie o ochronie danych - ale to wchodzi w życie w przyszłym roku. Co ciekawe, dotyczy to całego świata. Jeśli masz 5000 lub więcej klientów, o których masz dane osobowe i mieszkają w Europie, Europa faktycznie zabierze Cię do zadania, bez względu na to, czy Twoja korporacja ma siedzibę, czy gdzie działa. A kary, maksymalna kara wynosi cztery procent rocznego dochodu, który jest po prostu ogromny, więc będzie to interesujący zwrot akcji na świecie, kiedy to wejdzie w życie.
Pomyślmy o lukach w DBMS, większość cennych danych znajduje się w bazach danych. Jest to cenne, ponieważ poświęciliśmy strasznie dużo czasu na jego udostępnienie i uporządkowanie, a to czyni go bardziej podatnym na zagrożenia, jeśli nie zastosujesz odpowiednich papierów wartościowych DBMS. Oczywiście, jeśli planujesz takie rzeczy, musisz określić, jakie wrażliwe dane są w całej organizacji, pamiętając, że dane mogą być wrażliwe z różnych powodów. Mogą to być dane klientów, ale równie dobrze mogą to być dokumenty wewnętrzne, które byłyby cenne dla celów szpiegowskich i tak dalej. Polityka bezpieczeństwa, szczególnie w odniesieniu do bezpieczeństwa dostępu - które moim zdaniem ostatnio było bardzo słabe, w nowych rozwiązaniach typu open source - szyfrowanie jest coraz częściej stosowane, ponieważ jest dość solidne.
Koszt naruszenia bezpieczeństwa, o którym większość ludzi nie wiedziała, ale jeśli spojrzysz na to, co się stało z organizacjami, które ucierpiały w wyniku naruszenia bezpieczeństwa, okazuje się, że koszt naruszenia bezpieczeństwa jest często znacznie wyższy niż myślisz, że byłby . Drugą rzeczą do przemyślenia jest powierzchnia ataku, ponieważ każde oprogramowanie w dowolnym miejscu, działające z twoimi organizacjami, stanowi powierzchnię ataku. Podobnie jak każde urządzenie, podobnie jak dane, bez względu na sposób ich przechowywania. To wszystko, powierzchnia ataku rośnie wraz z Internetem rzeczy, powierzchnia ataku prawdopodobnie się podwoi.
Wreszcie DBA i bezpieczeństwo danych. Bezpieczeństwo danych jest zwykle częścią roli DBA. Ale to także współpraca. I musi podlegać polityce korporacyjnej, w przeciwnym razie prawdopodobnie nie zostanie dobrze wdrożony. Powiedziawszy to, myślę, że mogę podać piłkę.
Eric Kavanagh: Dobra, daję klucze Vicky. I możesz udostępnić ekran lub przejść do tych slajdów, to zależy od ciebie, zabierz go.
Vicky Harp: Nie, zacznę od tych slajdów, bardzo dziękuję. Tak, tak, chciałem tylko poświęcić chwilę i się przedstawić. Jestem Vicky Harp. Jestem menedżerem ds. Zarządzania produktami SQL w oprogramowaniu IDERA, a dla tych z was, którzy mogą nas nie znać, IDERA ma wiele linii produktów, ale jestem tutaj po stronie SQL Server. I tak wykonujemy monitorowanie wydajności, zgodność bezpieczeństwa, tworzenie kopii zapasowych, narzędzia administracyjne - i to tylko ich lista. Oczywiście mówię tu o bezpieczeństwie i zgodności.
Większość tego, o czym chcę dziś mówić, niekoniecznie są naszymi produktami, chociaż zamierzam pokazać kilka przykładów tego później. Chciałem porozmawiać z tobą więcej na temat bezpieczeństwa baz danych, niektórych zagrożeń w świecie bezpieczeństwa baz danych, pewnych rzeczy do przemyślenia i niektórych wstępnych pomysłów na to, na co musisz patrzeć, aby zabezpieczyć swój SQL Jak już wspomniano, bazy danych serwerów, a także aby upewnić się, że są one zgodne z ramami regulacyjnymi, które możesz podlegać. Istnieje wiele różnych przepisów; działają w różnych branżach, w różnych miejscach na całym świecie i to są rzeczy, o których warto pomyśleć.
Tak więc, chciałbym poświęcić chwilę i porozmawiać o stanie naruszenia bezpieczeństwa danych - i nie powtarzać zbyt wiele z tego, co już tutaj omówiono - ostatnio przeglądałem to badanie badań nad bezpieczeństwem Intela i myślę, że w ich całym - Około 1500 organizacji, z którymi rozmawiali - mieli średnio sześć naruszeń bezpieczeństwa, jeśli chodzi o naruszenia danych, a 68 procent z nich wymagało ujawnienia w pewnym sensie, więc wpłynęło to na cenę akcji lub musieli zrobić kredyt monitorowanie dla swoich klientów lub pracowników itp.
Niektóre interesujące inne statystyki pokazują, że podmioty wewnętrzne, które były odpowiedzialne za 43 procent z nich. Tak więc wiele osób myśli dużo o hakerach i tego rodzaju podejrzanych quasi-rządowych organizacjach lub przestępczości zorganizowanej itp., Ale podmioty wewnętrzne nadal bezpośrednio podejmują działania przeciwko swoim pracodawcom, w dość dużej części przypadków. Czasami są one trudniejsze do ochrony, ponieważ ludzie mogą mieć uzasadnione powody, aby mieć dostęp do tych danych. Około połowa z nich, 43 procent, była w pewnym sensie przypadkową stratą. Na przykład w przypadku, gdy ktoś zabrał dane do domu, a następnie stracił je, co prowadzi mnie do tego trzeciego punktu, to znaczy, że 40% naruszeń dotyczyło mediów fizycznych. To są klucze USB, laptopy ludzi, to są rzeczywiste nośniki, które zostały nagrane na dyski fizyczne i wyjęte z budynku.
Jeśli zastanawiasz się, czy masz programistę, który ma kopię deweloperską produkcyjnej bazy danych na swoim laptopie? Następnie wsiadają do samolotu i wysiadają z samolotu, zabierają bagaż rejestrowany i ich laptop zostaje skradziony. Masz teraz naruszenie danych. Może niekoniecznie myślisz, że właśnie dlatego zabrano ten laptop, może nigdy nie pojawi się na wolności. Ale to wciąż coś, co liczy się jako naruszenie, będzie wymagało ujawnienia, będziesz miał wszystkie dalsze skutki utraty tych danych, tylko z powodu utraty fizycznych nośników.
Inną interesującą rzeczą jest to, że wiele osób myśli o danych kredytowych i kartach kredytowych jako o najcenniejszych danych, ale tak naprawdę już tak nie jest. Dane są cenne, numery kart kredytowych są przydatne, ale szczerze mówiąc, liczby te zmieniają się bardzo szybko, podczas gdy dane osobowe ludzi nie zmieniają się bardzo szybko. Coś, co ten najnowszy news, stosunkowo nowy, VTech, producent zabawek, miał te zabawki, które zostały zaprojektowane dla dzieci. I ludzie, mieliby imiona swoich dzieci, mieliby informacje o tym, gdzie mieszkają, mieli imiona swoich rodziców, mieli zdjęcia dzieci. Nic z tego nie było zaszyfrowane, ponieważ nie zostało to uznane za ważne. Ale ich hasła były szyfrowane. Cóż, kiedy nieuchronnie doszło do naruszenia, mówisz: „OK, więc mam listę imion dzieci, imion ich rodziców, gdzie mieszkają - wszystkie te informacje są tam i myślisz, że hasło była to najcenniejsza część tego? ”Nie było; ludzie nie mogą zmieniać tych aspektów dotyczących swoich danych osobowych, adresu itp. Dzięki temu informacje są w rzeczywistości bardzo cenne i należy je chronić.
Dlatego chciałem porozmawiać o niektórych rzeczach, które mają miejsce, aby przyczynić się do sposobu, w jaki obecnie dochodzi do naruszenia danych. Jednym z wielkich hotspotów, przestrzeni w tej chwili jest inżynieria społeczna. Ludzie nazywają to phishingiem, podszywanie się pod inne osoby itp., W którym ludzie uzyskują dostęp do danych, często za pośrednictwem podmiotów wewnętrznych, po prostu przekonując ich, że powinni mieć do nich dostęp. Tak więc, innego dnia mieliśmy robaka Google Docs, który się kręcił. I co by się stało - i faktycznie otrzymałem jego kopię, chociaż na szczęście jej nie kliknąłem - otrzymywałeś wiadomość e-mail od kolegi, mówiąc: „Oto link do Dokumentów Google; musisz kliknąć tę opcję, aby wyświetlić to, co właśnie Ci udostępniłem. ”Cóż, w organizacji korzystającej z Dokumentów Google jest to bardzo konwencjonalne, otrzymujesz dziesiątki takich żądań dziennie. Gdybyś go kliknął, poprosiłby cię o pozwolenie na dostęp do tego dokumentu, a może powiedziałbyś: „Hej, to wygląda trochę dziwnie, ale wiesz, wygląda również legalnie, więc pójdę dalej i kliknij go ”, a gdy tylko to zrobiłeś, dałeś tej stronie trzeciej dostęp do wszystkich dokumentów Google, a więc utworzyłeś ten link, aby ten zewnętrzny podmiot miał dostęp do wszystkich twoich dokumentów na Dysku Google. To robak było wszędzie. Uderzyło setki tysięcy ludzi w ciągu kilku godzin. Był to zasadniczo atak phishingowy, który sam Google musiał zamknąć, ponieważ był bardzo dobrze wykonany. Ludzie się w to zakochali.
Wspominam tutaj o naruszeniu SnapChat HR. To była prosta sprawa, że ktoś wyśle e-maila, podszywając się pod dyrektora generalnego, e-mailem do działu HR, mówiąc: „Potrzebuję, abyś przysłał mi ten arkusz kalkulacyjny”. I uwierzyli im, i umieścili arkusz kalkulacyjny z 700 różnymi pracownikami „informacje o rekompensatach, ich adresy domowe itp. wysłały e-mailem do tej drugiej strony, tak naprawdę to nie był CEO. Teraz dane były niedostępne, a wszystkie osobiste, prywatne informacje ich pracowników były dostępne i mogły być wykorzystane. Inżynieria społeczna jest więc czymś, o czym wspominam w świecie baz danych, ponieważ jest to coś, przed czym możesz się bronić poprzez edukację, ale musisz także pamiętać, że wszędzie tam, gdzie masz kontakt z twoją technologią, i jeśli polegasz na ich dobrym osądzie, aby zapobiec awarii, pytasz ich o wiele.
Ludzie popełniają błędy, ludzie klikają rzeczy, których nie powinni mieć, ludzie wpadają w sprytne runy. Możesz bardzo się starać, aby ich przed tym zabezpieczyć, ale nie jest wystarczająco silny, musisz spróbować ograniczyć możliwość przypadkowego ujawnienia tych informacji w systemach baz danych. Inną rzeczą, o której chciałem wspomnieć, że oczywiście dużo mówimy, jest oprogramowanie ransomware, botnety, wirusy - wszystkie te różne zautomatyzowane sposoby. Uważam, że ważne jest, aby zrozumieć oprogramowanie ransomware, ponieważ naprawdę zmienia ono model zysków atakujących. W przypadku, gdy mówisz o naruszeniu, muszą one w pewnym sensie wyodrębnić dane, mieć je dla siebie i z nich skorzystać. A jeśli twoje dane są niejasne, jeśli są zaszyfrowane, jeśli są specyficzne dla branży, być może nie mają dla nich żadnej wartości.
Do tego momentu ludzie mogli uważać, że to dla nich ochrona: „Nie muszę się chronić przed naruszeniem danych, ponieważ jeśli zamierzają dostać się do mojego systemu, wszystko, co będą mieli to jestem studio fotograficzne, mam listę, kto przyjdzie w jakie dni w przyszłym roku. Kogo to obchodzi? ”Okazuje się, że zależy ci na tym; przechowujesz te informacje, są to informacje o znaczeniu krytycznym dla Twojej firmy. Korzystając z oprogramowania ransomware, atakujący powie: „Cóż, nikt inny nie da mi na to pieniędzy, ale ty to zrobisz”. Wykorzystują więc fakt, że nie muszą nawet pobierać danych, nie nawet muszą mieć naruszenie, muszą po prostu używać narzędzi bezpieczeństwa obraźliwie przeciwko tobie. Dostają się do twojej bazy danych, szyfrują jej zawartość, a następnie mówią: „OK, mamy hasło, a będziesz musiał zapłacić nam 5000 $, aby uzyskać to hasło, w przeciwnym razie po prostu go nie masz te dane już ”.
I ludzie płacą; muszą to zrobić. Kilka miesięcy temu MongoDB miał ogromny problem. Sądzę, że w styczniu ransomware trafiło, jak sądzę, do ponad miliona baz danych MongoDB, które mają publicznie w Internecie, w oparciu o niektóre ustawienia domyślne. A jeszcze gorsze jest to, że ludzie płacą, więc inne organizacje przychodzą i ponownie szyfrują lub twierdzą, że były tymi, które pierwotnie je zaszyfrowały, więc kiedy zapłaciłeś swoje pieniądze, i myślę, że w takim przypadku były prosząc o coś w rodzaju 500 $, ludzie powiedzieliby: „OK, zapłaciłbym więcej, aby zapłacić badaczowi za przybycie tutaj, aby pomóc mi zrozumieć, co poszło nie tak. Zapłacę tylko 500 $. ”I nawet nie płacili właściwemu aktorowi, więc kupowali dziesięciu różnych organizacji, mówiąc im:„ Mamy hasło ”lub„ Mamy masz sposób, aby odblokować dane z okupu. ”I musiałbyś zapłacić za nie wszystkie, aby móc je uruchomić.
Zdarzały się również przypadki, w których autorzy oprogramowania ransomware mieli błędy, to znaczy, nie mówimy o tym, że jest to sytuacja całkowicie nadbudowa, więc nawet po ataku, nawet po zapłaceniu, nie ma gwarancji, że jesteś w celu odzyskania wszystkich danych, niektóre z nich komplikują również uzbrojone narzędzia InfoSec. Tak więc Shadow Brokers to grupa, która wyciekła narzędzia z NSA. Były to narzędzia zaprojektowane przez podmiot rządowy do celów szpiegostwa i faktycznie działające przeciwko innym podmiotom rządowym. Niektóre z nich były naprawdę głośnymi atakami typu zero-day, które w zasadzie powodują, że znane protokoły bezpieczeństwa po prostu odchodzą na bok. I tak na przykład w jednym z ostatnich zrzutów Shadow Brokers była poważna luka w protokole SMB.
I tak te narzędzia, które tu się pojawią, mogą w ciągu kilku godzin naprawdę zmienić twoją grę pod względem powierzchni ataku. Więc kiedy myślę o tym, jest to coś, co na poziomie organizacyjnym, bezpieczeństwo InfoSec jest jego własną funkcją, którą należy potraktować poważnie. Ilekroć mówimy o bazach danych, mogę to trochę zdjąć, niekoniecznie jako administrator bazy danych musisz mieć pełną wiedzę o tym, co dzieje się z Shadow Brokers w tym tygodniu, ale musisz mieć świadomość, że wszyscy z nich się zmieniają, rzeczy się dzieją, a więc stopień, w jakim trzymasz swoją domenę szczelną i bezpieczną, to naprawdę pomoże ci w przypadku, gdy coś zostanie zerwane spod ciebie.
Chciałem więc poświęcić chwilę tutaj, zanim zacznę mówić o SQL Server, aby faktycznie odbyć trochę otwartej dyskusji z naszymi panelistami na temat niektórych kwestii związanych z bezpieczeństwem bazy danych. Doszedłem więc do tego, że niektóre rzeczy, o których nie wspomnieliśmy, chciałem mówić o iniekcji SQL jako wektorze. Tak więc jest to wstrzykiwanie SQL, oczywiście sposób, w jaki ludzie wstawiają polecenia do systemu bazy danych poprzez rodzaj zniekształcania danych wejściowych.
Eric Kavanagh: Tak, właściwie spotkałem faceta - myślę, że to było w bazie sił powietrznych Andrews - jakieś pięć lat temu, konsultanta, z którym rozmawiałem z nim na korytarzu, a my po prostu dzieliliśmy się historiami wojennymi - żadna gra słów nie była zamierzona - i wspomniał, że został przyprowadzony przez kogoś do konsultacji z dość wysokim rangą członkiem wojska, a facet zapytał go: „Skąd wiemy, że jesteś dobry w tym, co robisz?” I to i tamto . A kiedy rozmawiał z nimi, którego używał na swoim komputerze, wszedł do sieci, użył zastrzyku SQL, aby dostać się do rejestru e-mail dla tej bazy i dla tych ludzi. I znalazł e-mail osoby, z którą rozmawia, i pokazał mu swój e-mail na swoim komputerze! A facet powiedział: „Jak to zrobiłeś?” On powiedział: „No cóż, użyłem zastrzyku SQL”.
Więc to było zaledwie pięć lat temu i było to w bazie lotniczej, prawda? Tak więc pod względem kontekstu ta rzecz jest nadal bardzo realna i można jej używać z naprawdę przerażającymi efektami. Chciałbym wiedzieć o wszelkich historiach wojennych, które Robin ma na ten temat, ale wszystkie te techniki są nadal aktualne. Nadal są używane w wielu przypadkach i chodzi o edukację, prawda?
Robin Bloor: Cóż, tak. Tak, można bronić się przed wstrzyknięciem SQL, wykonując pracę. Łatwo jest zrozumieć, dlaczego kiedy pomysł został wymyślony i po raz pierwszy rozpowszechniony, łatwo zrozumieć, dlaczego był tak cholernie skuteczny, ponieważ można go po prostu umieścić w polu wprowadzania na stronie internetowej i poprosić o zwrócenie danych lub aby usunąć dane z bazy danych lub cokolwiek innego - możesz po prostu wstrzyknąć kod SQL, aby to zrobić. Ale to, co mnie zainteresowało, to to, że wiesz, że musiałbyś zrobić trochę parsowania, każdej wprowadzonej części danych, ale całkiem możliwe jest zauważenie, że ktoś próbuje to zrobić. I to jest naprawdę, myślę, że to jest naprawdę, ponieważ ludzie wciąż nie mogą tego zrobić, to znaczy, że to naprawdę dziwne, że nie było łatwego sposobu na walkę z tym. Wiesz, że wszyscy mogliby z łatwością korzystać, to znaczy, o ile wiem, Vicky tam nie było?
Vicky Harp: Właściwie niektóre rozwiązania zakładników, takie jak SQL Azure, myślę, że mają całkiem dobre metody wykrywania oparte na uczeniu maszynowym. Prawdopodobnie właśnie to zobaczymy w przyszłości, jest to coś, co próbuje wymyślić jeden rozmiar dla wszystkich. Myślę, że odpowiedź brzmi: nie ma jednego rozmiaru dla wszystkich, ale mamy maszyny, które mogą dowiedzieć się, jaki jest twój rozmiar i upewnić się, że do niego pasujesz, prawda? A jeśli masz fałszywie pozytywny wynik, to dlatego, że faktycznie robisz coś niezwykłego, to nie dlatego, że musiałeś przejść i starannie zidentyfikować wszystko, co Twoja aplikacja może kiedykolwiek zrobić.
Myślę, że jednym z powodów, dla których jest tak bardzo płodny, jest fakt, że ludzie nadal polegają na aplikacjach innych firm oraz aplikacjach niezależnych dostawców oprogramowania, które z czasem ulegają zatarciu. Mówisz więc o organizacji, która kupiła aplikację inżynierską napisaną w 2001 roku. Nie zaktualizowali jej, ponieważ od tego czasu nie wprowadzono żadnych istotnych zmian funkcjonalnych, a jej pierwotny autor był w pewnym sensie, nie byli inżynierem, nie byli ekspertami w zakresie bezpieczeństwa baz danych, nie robili rzeczy we właściwy sposób i kończą jako wektor. Rozumiem, że - myślę, że było to docelowe naruszenie danych, naprawdę duże - wektor ataku nastąpił przez jednego z ich dostawców klimatyzacji, prawda? Tak więc problem z tymi stronami trzecimi możesz, jeśli posiadasz własny sklep deweloperski, możesz mieć niektóre z tych zasad, robiąc to ogólnie za każdym razem. Jako organizacja możesz mieć setki, a nawet tysiące aplikacji z różnymi profilami. Myślę, że właśnie tam pojawi się uczenie maszynowe i zacznij nam bardzo pomagać.
Moja historia wojenna była edukacyjna. Widziałem atak iniekcji SQL, a czymś, co nigdy mi się nie przydarzyło, to użycie zwykłego czytelnego SQL. Robię te rzeczy zwane zaciemnionymi kartami świątecznymi P SQL; Lubię to zrobić, aby ten SQL wyglądał tak myląco, jak to możliwe. Istnieje zaciemniony konkurs kodu C ++, który trwa już od dziesięcioleci, i to jest ten sam pomysł. Tak więc, tak naprawdę otrzymałeś zastrzyk SQL, który był w otwartym polu łańcucha, zamknął łańcuch, wstawił średnik, a następnie wprowadził polecenie exec, które następnie miało szereg liczb, a następnie w zasadzie używało polecenie rzutowania, aby rzutować te liczby na binarne, a następnie rzutować te z kolei na wartości postaci, a następnie wykonać to. Więc nie jest tak, że musisz zobaczyć coś, co mówi: „Usuń start z tabeli produkcyjnej”, tak naprawdę było wypełnione polami numerycznymi, co znacznie utrudniało dostrzeżenie. I nawet kiedy to zobaczyłeś, aby zidentyfikować, co się działo, potrzeba było kilku prawdziwych zdjęć SQL, aby móc zorientować się, co się dzieje, do tego czasu oczywiście praca została już wykonana.
Robin Bloor: Jedną z rzeczy, które są po prostu fenomenem w całym świecie hakerów, jest to, że jeśli ktoś znajdzie słabość i znajdzie się w oprogramowaniu, które zostało ogólnie sprzedane, wiesz, jednym z pierwszych problemów jest hasło do bazy danych, które otrzymałeś podczas instalacji bazy danych, wiele baz danych w rzeczywistości było tylko domyślnymi. I wiele DBA po prostu nigdy tego nie zmieniło, dlatego mógłbyś wtedy dostać się do sieci; możesz po prostu spróbować tego hasła, a jeśli zadziała, to właśnie wygrałeś na loterii. Ciekawe jest to, że wszystkie te informacje są bardzo wydajnie i skutecznie rozpowszechniane wśród społeczności hakujących na stronach Darknet. I oni wiedzą. Tak więc mogą właściwie sprawdzić, co tam jest, znaleźć kilka przykładów i po prostu automatycznie rzucić na to exploitem hakerskim, i są w to. I myślę, że to wiele osób, które są przynajmniej na na obrzeżach tego wszystkiego, tak naprawdę nie rozumiem, jak szybko sieć hakerska reaguje na podatność.
Vicky Harp: Tak, to rzeczywiście porusza kolejną rzecz, o której chciałem wspomnieć, zanim przejdę dalej, a mianowicie takie upychanie poświadczeń, które pojawia się bardzo często, a mianowicie to, że kiedy ktoś skradził wasze poświadczenia komuś innemu, w dowolnej witrynie, te dane uwierzytelniające będą próbowane do ponownego wykorzystania we wszystkich obszarach. Tak więc, jeśli używasz zduplikowanych haseł, powiedzmy, jeśli nawet Twoi użytkownicy są, powiedzmy to w ten sposób, ktoś może uzyskać dostęp za pośrednictwem czegoś, co wydaje się być całkowicie prawidłowym zestawem poświadczeń. Powiedzmy, że użyłem tego samego hasła w Amazon i w moim banku, a także na forum i że oprogramowanie forum zostało zhakowane, no cóż, mają moją nazwę użytkownika i hasło. Następnie mogą użyć tej samej nazwy użytkownika w Amazon lub użyć jej w banku. A jeśli chodzi o bank, był to całkowicie prawidłowy login. Teraz możesz podejmować nikczemne działania dzięki całkowicie autoryzowanemu dostępowi.
Tak więc ten rodzaj powraca do tego, co mówiłem o wewnętrznych naruszeniach i wewnętrznych zastosowaniach. Jeśli w Twojej organizacji są osoby używające tego samego hasła do dostępu wewnętrznego, co do dostępu zewnętrznego, masz możliwość, że ktoś przyjdzie i podszywa się pod ciebie przez naruszenie w innej witrynie, którą nie podałeś nawet o tym wiem. Dane te są rozpowszechniane bardzo szybko. Są listy, myślę, że ostatnie ładunek do „zostania mną” przez Troya Hunta, powiedział, że ma pół miliarda referencji, co oznacza - jeśli wziąć pod uwagę liczbę ludzi na planecie - to jest naprawdę duża liczba poświadczeń, które zostały udostępnione do ich wypełnienia.
Więc zamierzam trochę głębiej porozmawiać o bezpieczeństwie SQL Server. Teraz chcę powiedzieć, że nie zamierzam dać ci wszystkiego, co musisz wiedzieć, aby zabezpieczyć SQL Server w ciągu następnych 20 minut; to wydaje się trochę wysokim zamówieniem. Tak więc, aby zacząć, chcę powiedzieć, że istnieją grupy online i zasoby online, które z pewnością możesz zrobić w Google, są książki, są dokumenty dotyczące najlepszych praktyk w Microsoft, jest wirtualny rozdział dotyczący bezpieczeństwa dla profesjonalnych współpracowników w SQL Server, są na security.pass.org i, jak sądzę, mają comiesięczne webcasty i nagrania webcastów, aby w pewnym sensie omówić prawdziwe, dogłębne sposoby zabezpieczenia SQL Server. Ale to są niektóre rzeczy, o których ja, rozmawiając z wami jako specjalistami ds. Danych, jako specjalistami IT, jako DBA, chcę, abyście wiedzieli, że powinniście wiedzieć o zabezpieczeniach SQL Server.
Pierwszy to bezpieczeństwo fizyczne. Tak jak powiedziałem wcześniej, kradzież fizycznych nośników jest nadal niezwykle powszechna. I tak scenariusz, który podałem z maszyną deweloperską, z kopią twojej bazy danych na maszynie deweloperskiej, która zostaje skradziona - to niezwykle powszechny wektor, wektor, o którym musisz wiedzieć i próbować podjąć działania. Dotyczy to również bezpieczeństwa tworzenia kopii zapasowych, więc za każdym razem, gdy tworzysz kopię zapasową danych, musisz wykonać kopię zapasową w postaci zaszyfrowanej, musisz wykonać kopię zapasową w bezpiecznej lokalizacji. Wiele razy te dane, które były naprawdę chronione w bazie danych, gdy tylko zaczęły się wydostawać na peryferie, na maszyny deweloperskie, na maszyny testowe, trochę mniej uważamy na łatanie, dostajemy trochę mniej uważaj na ludzi, którzy mają do niego dostęp. Następną rzeczą, którą wiesz, są niezaszyfrowane kopie zapasowe baz danych przechowywane w publicznym udziale w Twojej organizacji, dostępne do wykorzystania przez wiele różnych osób. Pomyśl o bezpieczeństwie fizycznym i po prostu, czy ktoś może podejść i po prostu włożyć klucz USB do twojego serwera? Nie powinieneś na to pozwalać.
Kolejny element, o którym chciałbym pomyśleć, to bezpieczeństwo platformy, więc aktualny system operacyjny, najnowsze łaty. To bardzo męczące, gdy ludzie mówią o pozostaniu na starszych wersjach systemu Windows, starszych wersjach SQL Server, myśląc, że jedynym kosztem w grze jest koszt aktualizacji licencji, co nie jest prawdą. Jesteśmy bezpieczni, to strumień, który wciąż schodzi ze wzgórza, a wraz z upływem czasu pojawia się więcej exploitów. Microsoft w tym przypadku i inne grupy, w zależności od przypadku, zaktualizują do pewnego stopnia starsze systemy, a ostatecznie przestaną być obsługiwane i nie będą ich już aktualizować, ponieważ jest to po prostu niekończący się proces konserwacja.
Tak więc musisz mieć obsługiwany system operacyjny i być na bieżąco ze swoimi poprawkami, a niedawno odkryliśmy, że w przypadku Shadow Brokers, w niektórych przypadkach Microsoft może mieć wgląd w nadchodzące poważne naruszenia bezpieczeństwa, przed nimi upublicznione przed ujawnieniem, więc nie pozwól, aby wszystko wyszło z porządku. Wolę nie robić przestojów, wolę poczekać i przeczytać każdy z nich i zdecydować. Możesz nie wiedzieć, jaka jest jego wartość, dopóki kilka tygodni później nie dowiesz się, dlaczego ta łatka się pojawiła. Bądź więc na bieżąco.
Powinieneś mieć skonfigurowaną zaporę ogniową. To było szokujące w przypadku naruszenia SNB, ile osób korzystało ze starszych wersji SQL Server z zaporą całkowicie otwartą dla Internetu, dzięki czemu każdy mógł wejść i zrobić wszystko, co chciał z ich serwerami. Powinieneś używać zapory ogniowej. Fakt, że od czasu do czasu musisz skonfigurować reguły lub wprowadzić wyjątki od sposobu prowadzenia działalności, jest OK. Musisz kontrolować obszar w swoich systemach baz danych - czy instalujesz na tym samym komputerze usługi lub serwery WWW, takie jak IIS? Udostępniasz to samo miejsce na dysku, współużytkujesz to samo miejsce pamięci co bazy danych i prywatne dane? Staraj się tego nie robić, staraj się go izolować, zmniejszaj powierzchnię, abyś nie musiał się tak bardzo martwić o to, aby wszystko było bezpiecznie na górze bazy danych. Możesz je fizycznie oddzielić, platformę, oddzielić je, dać sobie trochę spokoju.
Nie powinieneś mieć superadministratorów biegających wszędzie i mających dostęp do wszystkich twoich danych. Konta administratora systemu operacyjnego niekoniecznie muszą mieć dostęp do bazy danych lub do bazowych danych w bazie danych za pomocą szyfrowania, o czym porozmawiamy za chwilę. Dostęp do plików bazy danych również musisz ograniczyć. To głupie, jeśli powiesz, że ktoś nie może uzyskać dostępu do tych baz danych za pośrednictwem bazy danych; Sam SQL Server nie pozwoli im uzyskać do niego dostępu, ale jeśli potem będą mogli się obejść, weź kopię rzeczywistego pliku MDF, przenieś go po prostu, dołącz do własnego SQL Servera, tak naprawdę nie osiągnąłeś zbyt wiele wiele.
Szyfrowanie, więc szyfrowanie to ten słynny dwustronny miecz. Istnieje wiele różnych poziomów szyfrowania, które można wykonać na poziomie systemu operacyjnego, a współczesny sposób wykonywania zadań w SQL i Windows to funkcja BitLocker, a na poziomie bazy danych nazywa się to TDE lub przezroczystym szyfrowaniem danych. Są to więc oba sposoby na utrzymanie szyfrowania danych w spoczynku. Jeśli chcesz, aby Twoje dane były zaszyfrowane bardziej kompleksowo, możesz to zrobić zaszyfrowanym - przepraszam, w pewnym sensie zrobiłem krok naprzód. Możesz wykonywać zaszyfrowane połączenia, aby za każdym razem, gdy są one w transporcie, były nadal szyfrowane, tak więc jeśli ktoś nasłuchuje lub ma kogoś w środku ataku, masz pewną ochronę tych danych za pośrednictwem przewodu. Twoje kopie zapasowe muszą być szyfrowane, jak powiedziałem, mogą być dostępne dla innych, a następnie, jeśli chcesz, aby były szyfrowane w pamięci, a podczas użytkowania mamy szyfrowanie kolumn, a następnie SQL 2016 ma pojęcie „zawsze szyfrowane ”, gdzie jest faktycznie szyfrowane na dysku, w pamięci, w kablu, aż do aplikacji, która faktycznie korzysta z danych.
Teraz całe to szyfrowanie nie jest bezpłatne: jest narzut procesora, czasem szyfrowanie kolumn i zawsze zaszyfrowany przypadek, ma wpływ na wydajność pod względem możliwości wyszukiwania danych. Jednak to szyfrowanie, jeśli jest właściwie zestawione, oznacza to, że jeśli ktoś uzyska dostęp do twoich danych, szkody zostaną znacznie zmniejszone, ponieważ były w stanie je uzyskać, a następnie nie są w stanie nic z tym zrobić. Jednak w ten sposób działa również oprogramowanie ransomware, polegające na tym, że ktoś wchodzi i włącza te elementy za pomocą własnego certyfikatu lub hasła i nie masz do niego dostępu. Dlatego ważne jest, aby upewnić się, że to robisz i masz do tego dostęp, ale nie dajesz tego, otwarty dla innych i atakujących.
A potem zasady bezpieczeństwa - nie będę się tym zajmować, ale upewnij się, że nie każdy użytkownik działa w SQL Server jako superadministrator. Twoi programiści mogą tego chcieć, inni użytkownicy mogą tego chcieć - są sfrustrowani faktem, że proszą o dostęp do poszczególnych elementów - ale musisz być ostrożny, a nawet jeśli może to być bardziej skomplikowane, dawaj dostęp do obiektów i bazy danych i schematy, które są ważne dla bieżącej pracy, i istnieje szczególny przypadek, być może oznacza to specjalny login, niekoniecznie oznacza podniesienie uprawnień dla przeciętnego użytkownika sprawy.
I są też względy zgodności z przepisami, które pasują do tego, a niektóre przypadki mogą w pewnym sensie pójść na swój sposób - więc są HIPAA, SOX, PCI - są wszystkie te różne względy. A kiedy przejdziesz audyt, będziesz musiał wykazać, że podejmujesz działania, aby zachować zgodność z tym. Tak więc, jest wiele do śledzenia, powiedziałbym, że jako lista rzeczy do zrobienia DBA, próbujesz zapewnić konfigurację bezpieczeństwa fizycznego szyfrowania, próbujesz upewnić się, że dostęp do tych danych jest kontrolowany dla celów zgodności, upewniając się, że wrażliwe kolumny, że wiesz, jakie są, gdzie są, do których należy szyfrować i oglądać dostęp. I upewniając się, że konfiguracje są zgodne z wytycznymi prawnymi, którym podlegasz. I musisz to wszystko aktualizować, ponieważ wszystko się zmienia.
Jest więc wiele do zrobienia, więc gdybym miał to zostawić, powiedziałbym, że idź. Ale jest na to wiele różnych narzędzi, więc jeśli mogę w ciągu ostatnich kilku minut, chciałbym pokazać wam niektóre z narzędzi, które mamy do tego w IDERA. Dwoma, o których chciałem dziś mówić, są SQL Secure i SQL Compliance Manager. SQL Secure to nasze narzędzie pomagające w identyfikacji rodzajów luk w konfiguracji. Twoje zasady bezpieczeństwa, uprawnienia użytkownika, konfiguracje powierzchni. I ma szablony, które pomogą Ci dostosować się do różnych ram regulacyjnych. To samo w sobie, ta ostatnia linijka, może być powodem, dla którego ludzie powinni to rozważyć. Ponieważ przeczytanie tych różnych przepisów i określenie ich znaczenia, PCI, a następnie przeniesienie ich do mojego SQL Servera w moim sklepie, to dużo pracy. To jest coś, za co możesz zapłacić dużo pieniędzy na konsultacje; poszliśmy i przeprowadziliśmy to konsultacje, współpracowaliśmy z różnymi firmami audytorskimi itp., aby opracować, jakie są te szablony - coś, co prawdopodobnie przejdzie kontrolę, jeśli takie istnieją. Następnie możesz użyć tych szablonów i zobaczyć je w swoim środowisku.
Mamy również inne, siostrzane narzędzie w postaci SQL Compliance Manager, i tutaj SQL Secure dotyczy ustawień konfiguracyjnych. SQL Compliance Manager polega na sprawdzeniu, co zostało zrobione przez kogo, kiedy. Audytuje więc pozwala monitorować aktywność w trakcie jej trwania oraz pozwala wykryć i śledzić, kto ma dostęp do rzeczy. Czy ktoś, którego prototypowy przykład był celebrytą, został przyjęty do twojego szpitala, czy ktoś szukał informacji z ciekawości? Czy mieli ku temu powód? Możesz spojrzeć na historię audytu i zobaczyć, co się dzieje, kto miał dostęp do tych zapisów. I możesz zidentyfikować, że ma to narzędzia, które pomogą Ci zidentyfikować poufne kolumny, więc niekoniecznie musisz przeczytać i zrobić to wszystko sam.
Więc jeśli mogę, zamierzam pokazać wam niektóre z tych narzędzi tutaj w ciągu ostatnich kilku minut - i proszę nie uważać tego za dogłębne demo. Jestem menedżerem produktu, a nie inżynierem sprzedaży, więc pokażę wam niektóre rzeczy, które moim zdaniem są istotne w tej dyskusji. To jest nasz produkt SQL Secure. Jak widać tutaj, mam coś w rodzaju tej karty raportu wysokiego poziomu. Wydaje mi się, że to wczoraj. I pokazuje mi niektóre rzeczy, które nie są poprawnie skonfigurowane i niektóre rzeczy, które są poprawnie skonfigurowane. Widać więc, że przeprowadziliśmy tutaj ponad 100 różnych kontroli. Widzę, że moje szyfrowanie kopii zapasowych na kopiach zapasowych, które robiłem, nie używałem szyfrowania kopii zapasowych. Moje konto SA, wyraźnie nazwane „konto SA”, nie zostało wyłączone ani nie zmieniono jego nazwy. Rola serwera publicznego ma uprawnienia, więc to wszystko, co chciałbym zmienić.
Mam tutaj skonfigurowane zasady, więc jeśli chcę skonfigurować nowe zasady, aby zastosować je do moich serwerów, mamy wszystkie te wbudowane zasady. Tak więc użyję istniejącego szablonu zasad i zobaczysz, że mam CIS, HIPAA, PCI, SR i wciąż jesteśmy w trakcie ciągłego dodawania dodatkowych zasad, w zależności od potrzeb ludzi w terenie . Możesz także utworzyć nową polisę, więc jeśli wiesz, czego szuka Twój audytor, możesz ją utworzyć samodzielnie. A potem, kiedy to zrobisz, możesz wybrać spośród wszystkich tych różnych ustawień, które musisz ustawić, w niektórych przypadkach masz jakieś - pozwól mi wrócić i znaleźć jedno z gotowych. Jest to wygodne, mogę wybrać, powiedzmy, HIPAA - mam już HIPAA, mój zły - PCI, a następnie, klikając tutaj, faktycznie widzę zewnętrzne odsyłacz do sekcji przepis, z którym jest to związane. Pomoże ci to później, kiedy będziesz próbował dowiedzieć się, dlaczego to ustawiam? Dlaczego próbuję na to spojrzeć? Z jaką sekcją jest to związane?
To również ma fajne narzędzie, ponieważ pozwala ci wchodzić i przeglądać użytkowników, więc jedną z trudnych rzeczy w eksplorowaniu twoich ról jest to, że tak naprawdę zamierzam się tutaj przyjrzeć. Więc jeśli pokażę uprawnienia dla mojego, zobaczmy, wybierzmy tutaj użytkownika. Pokaż uprawnienia. Widzę przypisane uprawnienia dla tego serwera, ale potem mogę kliknąć tutaj i obliczyć efektywne uprawnienia, a to da mi pełną listę opartą na, więc w tym przypadku jest to administrator, więc nie jest to takie ekscytujące, ale Mógłbym przejrzeć i wybrać różnych użytkowników i zobaczyć, jakie są ich skuteczne uprawnienia, na podstawie wszystkich różnych grup, do których mogą należeć. Jeśli kiedykolwiek spróbujesz to zrobić samodzielnie, może to być trochę kłopotliwe, aby dowiedzieć się, OK, ten użytkownik jest członkiem tych grup i dlatego ma dostęp do tych rzeczy za pośrednictwem grup itp.
Tak więc sposób, w jaki ten produkt działa, polega na wykonywaniu migawek, więc naprawdę nie jest to bardzo trudny proces regularnego wykonywania migawki serwera, a następnie przechowuje te migawki z czasem, aby można było porównać zmiany. Nie jest to więc ciągłe monitorowanie w tradycyjnym sensie przypominającym narzędzie do monitorowania wydajności; jest to coś, co możesz ustawić, aby uruchamiało się raz na noc, raz na tydzień - jakkolwiek często uważasz, że jest to ważne - aby wtedy, kiedy robisz analizę i robisz trochę więcej, faktycznie po prostu działa w ramach naszego narzędzia. Nie łączysz się tak często z serwerem, więc jest to całkiem miłe, małe narzędzie do pracy w celu uzyskania zgodności z tego rodzaju ustawieniami statycznymi.
Drugim narzędziem, które chcę wam pokazać, jest nasze narzędzie Compliance Manager. Compliance Manager będzie monitorować w sposób bardziej ciągły. I zobaczy, kto robi to, co robi na twoim serwerze, i pozwoli ci to rzucić okiem. Tak więc, co zrobiłem tutaj, w ciągu ostatnich kilku godzin, faktycznie próbowałem stworzyć kilka małych problemów. Więc tutaj mam pytanie, czy to problem, czy nie, mógłbym o tym wiedzieć, ktoś faktycznie utworzył login i dodał go do roli serwera. Więc jeśli wejdę i popatrzę na to, widzę … Chyba nie mogę kliknąć prawym przyciskiem myszy, widzę, co się dzieje. To jest mój pulpit nawigacyjny i widzę, że trochę wcześniej nie udało mi się zalogować. Miałem mnóstwo działań związanych z bezpieczeństwem, działalności DBL.
Pozwólcie, że przejdę do moich wydarzeń kontrolnych i spojrzę. Tutaj mam zdarzenia inspekcji pogrupowane według kategorii i obiektu docelowego, więc jeśli przyjrzę się temu zabezpieczeniu wcześniej, zobaczę DemoNewUser, pojawiło się to logowanie do serwera. I widzę, że login SA utworzył to konto DemoNewUser tutaj, o 14:42 A potem widzę, że z kolei dodaj login do serwera, ten DemoNewUser został dodany do grupy administratorów serwerów, zostali dodani do skonfiguruj grupę administracyjną, zostały dodane do grupy sysadmin. Tak więc chciałbym wiedzieć, że to się stało. Mam również skonfigurowane tak, aby wrażliwe kolumny w moich tabelach były śledzone, dzięki czemu mogę zobaczyć, kto miał do nich dostęp.
Oto kilka wybranych, które pojawiły się na moim stole osobowym, z Adventure Works. I mogę rzucić okiem i zobaczyć, że użytkownik SA w tabeli Adventure Works wybrał pierwszą dziesiątkę od osoby kropki. Może więc w mojej organizacji nie chcę, aby ludzie wybierali gwiazdki od osoby kropka osoba, lub oczekuję, że zrobią to tylko niektórzy użytkownicy, więc zobaczę to tutaj. Tak więc, czego potrzebujesz w zakresie kontroli, możemy to skonfigurować w oparciu o ramy, a to jest nieco bardziej intensywne narzędzie. Korzysta ze śledzenia SQL lub zdarzeń SQLX, w zależności od wersji. I jest to coś, co musisz mieć trochę miejsca na serwerze, aby pomieścić, ale jest to jedna z tych rzeczy, coś w rodzaju ubezpieczenia, co jest miłe, gdybyśmy nie musieli mieć ubezpieczenia samochodu - byłby to koszt, którego nie musielibyśmy ponosić - ale jeśli masz serwer, na którym musisz śledzić, kto co robi, być może będziesz musiał mieć trochę więcej miejsca i takie narzędzie, aby to zrobić. Bez względu na to, czy korzystasz z naszego narzędzia, czy samodzielnie go wdrażasz, ostatecznie będziesz odpowiedzialny za posiadanie tych informacji do celów zgodności z przepisami.
Tak jak powiedziałem, nie dogłębne demo, tylko krótkie, krótkie podsumowanie. Chciałem też pokazać szybkie, małe bezpłatne narzędzie w postaci tego wyszukiwania kolumn SQL, które można wykorzystać do zidentyfikowania, które kolumny w twoim środowisku wydają się być poufnymi informacjami. Mamy więc wiele konfiguracji wyszukiwania, w których szuka różnych nazw kolumn, które często zawierają poufne dane, a następnie mam całą ich listę, która została zidentyfikowana. Mam ich 120, a następnie wyeksportowałem je tutaj, aby móc z nich skorzystać, aby powiedzieć, chodźmy sprawdzić i upewnić się, że śledzę dostęp do drugiego imienia, jednej osoby kropki lub podatku od sprzedaży stawka itp.
Wiem, że zbliżamy się do końca naszego czasu. I to wszystko, co musiałem ci pokazać, więc masz jakieś pytania?
Eric Kavanagh: Mam dla ciebie kilka dobrych. Pozwól mi przewinąć to tutaj. Jeden z uczestników zadał naprawdę dobre pytanie. Jednym z nich jest pytanie o podatek od wydajności, więc wiem, że różni się on w zależności od rozwiązania, ale czy masz ogólne pojęcie o tym, czym jest podatek od wydajności za korzystanie z narzędzi bezpieczeństwa IDERA?
Vicky Harp: Tak więc, jak powiedziałem, w SQL Secure jest bardzo niska, po prostu od czasu do czasu zrobię kilka migawek. I nawet jeśli działasz dość często, otrzymuje statyczne informacje o ustawieniach, a więc jest bardzo niski, prawie nieistotny. Jeśli chodzi o Compliance Managera, jest to:
Eric Kavanagh: Jak jeden procent?
Vicky Harp: Gdybym musiał podać liczbę procentową, tak, byłby to jeden procent lub mniej. To podstawowe informacje na temat kolejności korzystania z SSMS, przechodzenia do karty bezpieczeństwa i rozszerzania. Po stronie zgodności jest znacznie wyższa - dlatego powiedziałem, że potrzebuje trochę rezerwy - to coś w rodzaju znacznie przekraczającego to, co masz pod względem monitorowania wydajności. Teraz nie chcę odstraszyć ludzi od tego, sztuczka z monitorowaniem zgodności, a jeśli to kontrola, to upewnienie się, że kontrolujesz tylko to, co zamierzasz podjąć. Więc kiedy odfiltrujesz i powiesz: „Hej, chcę wiedzieć, kiedy ludzie uzyskują dostęp do tych konkretnych tabel, i chcę wiedzieć, kiedy ludzie uzyskują dostęp, podejmują te konkretne działania”, to będzie zależało od tego, jak często są to rzeczy i ile danych generujesz. Jeśli powiesz: „Chcę, aby pełny tekst każdego zaznaczenia, który kiedykolwiek zdarzy się w którejkolwiek z tych tabel”, będzie prawdopodobnie gigabajtami i gigabajtami danych, które muszą zostać przeanalizowane przez przechowywany program SQL Server, przeniesionymi do naszego produktu, itp.
Jeśli ograniczysz to do… będzie to również więcej informacji, niż prawdopodobnie możesz sobie z tym poradzić. Jeśli możesz sprowadzić go do mniejszego zestawu, aby uzyskać kilkaset wydarzeń dziennie, to oczywiście jest znacznie niższa. Tak więc naprawdę, pod pewnymi względami, niebo jest granicą. Jeśli włączysz wszystkie ustawienia we wszystkich funkcjach monitorowania wszystkiego, to tak, będzie to 50-procentowy spadek wydajności. Ale jeśli zamierzasz zmienić go na bardziej umiarkowany, uważany za poziom, może wybrałbym gałkę oczną 10 procent? To naprawdę jedna z tych rzeczy, które będą bardzo zależne od obciążenia pracą.
Eric Kavanagh: Tak, racja. Jest jeszcze jedno pytanie dotyczące sprzętu. A potem do gry wchodzą dostawcy sprzętu i naprawdę współpracują z dostawcami oprogramowania, a ja odpowiedziałem przez okno pytań i odpowiedzi. Znam jeden szczególny przypadek, w którym Cloudera współpracowała z Intelem, gdzie Intel dokonał w nich ogromnej inwestycji, a częścią rachunku było to, że Cloudera uzyska wczesny dostęp do projektowania układów, a tym samym będzie w stanie zapewnić bezpieczeństwo na poziomie układu architektura, która robi wrażenie. Niemniej jednak jest to coś, co się wydostanie i nadal może być wykorzystywane przez obie strony. Czy znasz jakieś trendy lub tendencje dostawców sprzętu do współpracy z dostawcami oprogramowania w zakresie protokołu bezpieczeństwa?
Vicky Harp: Tak, tak naprawdę uważam, że Microsoft współpracował, aby mieć trochę pamięci na niektóre prace szyfrowania na oddzielnych układach scalonych na płytach głównych, które są oddzielone od pamięci głównej, więc niektóre tych rzeczy jest fizycznie oddzielony. I wierzę, że tak naprawdę to było coś, co przyszło od Microsoftu pod względem wysłania się do dostawców, aby powiedzieć: „Czy możemy wymyślić sposób, aby to zrobić, w zasadzie jest to pamięć nieadresowalna, nie mogę przez przepełnienie bufora dostać się do to wspomnienie, ponieważ w pewnym sensie nawet go nie ma, więc wiem, że niektóre z nich mają miejsce. ”
Eric Kavanagh: Tak.
Vicky Harp: Prawdopodobnie będą to naprawdę duzi sprzedawcy.
Eric Kavanagh: Tak. Jestem ciekawy, aby na to uważać, a może Robin, jeśli masz krótką sekundę, byłbym ciekawy, jakie są twoje doświadczenia na przestrzeni lat, ponieważ znowu, jeśli chodzi o sprzęt, pod względem faktycznej nauki materiałowej do tego, co łączycie ze strony dostawcy, informacje te mogą przejść na obie strony, a teoretycznie idziemy na obie strony dość szybko, więc czy jest jakiś sposób na bardziej ostrożne korzystanie ze sprzętu, z perspektywy projektowania do zwiększenia bezpieczeństwa? Co myślisz? Robin, jesteś niemy?
Robin Bloor: Tak, tak. Przepraszam, jestem tutaj; Zastanawiam się tylko nad pytaniem. Szczerze mówiąc, nie mam opinii, to obszar, na który nie przyjrzałem się dogłębnie, więc jestem pewien, że mogę wymyślić opinię, ale tak naprawdę nie wiem. Wolę bezpieczeństwo w oprogramowaniu, tak po prostu gram.
Eric Kavanagh: Tak. Cóż, ludzie, spaliliśmy się przez godzinę i przebieramy się tutaj. Ogromne podziękowania dla Vicky Harp za jej czas i uwagę - za cały twój czas i uwagę; Dziękujemy za przybycie do tych rzeczy. To ważna sprawa; w najbliższym czasie nie zniknie. To gra w kotka i myszkę, która będzie się ciągle poruszać. Dlatego jesteśmy wdzięczni za to, że niektóre firmy są tam, skupione na zapewnieniu bezpieczeństwa, ale jak Vicky nawet wspomniała i mówiła o tym trochę w swojej prezentacji, pod koniec dnia ludzie w organizacjach muszą bardzo uważnie myśleć o tych atakach phishingowych, tego rodzaju inżynierii społecznej i trzymaj się swoich laptopów - nie zostawiaj tego w kawiarni! Zmień hasło, zapoznaj się z podstawami, a dostaniesz się tam w 80 procentach.
Tak więc, ludzie, pożegnamy was, jeszcze raz dziękujemy za poświęcony czas i uwagę. Spotkamy się następnym razem, uważaj. PA pa.
Vicky Harp: Cześć, dziękuję.
