Przez Techopedia Staff, 27 października 2016 r
Na wynos: gospodarz Eric Kavanagh omawia bezpieczeństwo bazy danych z Robin Bloor, Dez Blanchfield i Ignacio Rodriguez z IDERA.
Obecnie nie jesteś zalogowany. Zaloguj się lub zarejestruj, aby zobaczyć wideo.
Eric Kavanagh: Witam ponownie w Hot Technologies. Nazywam się Eric Kavanagh; Będę dziś gospodarzem webcastu i jest to gorący temat i nigdy nie będzie gorącym tematem. To jest teraz gorący temat z powodu, szczerze mówiąc, wszystkich naruszeń, o których słyszymy, i mogę zagwarantować, że nigdy nie zniknie. Zatem dzisiejszy temat, dokładny tytuł programu, który powinienem powiedzieć, brzmi: „Nowa normalność: radzenie sobie z rzeczywistością niezabezpieczonego świata”. Właśnie z tym mamy do czynienia.
Mamy twojego gospodarza, naprawdę twojego, właśnie tam. Kilka lat temu, pamiętajcie, prawdopodobnie powinienem zaktualizować swoje zdjęcie; to był rok 2010. Czas płynie. Wyślij mi e-mail, jeśli chcesz coś zasugerować. To jest nasz standardowy „gorący” slajd dla Hot Technologies. Celem tego pokazu jest naprawdę zdefiniowanie konkretnej przestrzeni. Oczywiście dzisiaj mówimy o bezpieczeństwie. Podchodzimy do tego bardzo interesująco z naszymi przyjaciółmi z IDERA.
Zwrócę uwagę, że jako członkowie naszej publiczności odgrywacie znaczącą rolę w programie. Proszę, nie wstydź się. Wyślij nam pytanie w dowolnym momencie, a jeśli będziemy mieć na to wystarczająco dużo czasu, ustawimy je w kolejce na pytania i odpowiedzi. Dzisiaj mamy trzech ludzi online: dr Robin Bloor, Dez Blanchfield i Ignacio Rodriguez, którzy dzwonią z nieznanej lokalizacji. Po pierwsze, Robin, jesteś pierwszym prezenterem. Dam ci klucze. Zabierz to.
Dr Robin Bloor: Dobra, dzięki za to, Eric. Zabezpieczanie bazy danych - przypuszczam, że moglibyśmy powiedzieć, że prawdopodobieństwo, że najcenniejsze dane, którym faktycznie przewodzi każda firma, znajduje się w bazie danych. Jest więc cała seria kwestii bezpieczeństwa, o których moglibyśmy porozmawiać. Ale pomyślałem, że zrobię to na temat zabezpieczenia bazy danych. Nie chcę niczego zabierać z prezentacji, którą da Ignacio.
Zacznijmy więc od tego, że bezpieczeństwo danych jest łatwym celem, ale tak nie jest. To ruchomy cel. Jest to w pewnym sensie ważne, aby zrozumieć, że środowiska informatyczne większości ludzi, szczególnie środowiska informatyczne dużych firm, cały czas się zmieniają. A ponieważ cały czas się zmieniają, powierzchnia ataku, obszary, w których ktoś może próbować w taki czy inny sposób, od wewnątrz lub z zewnątrz, w celu naruszenia bezpieczeństwa danych, zmienia się cały czas. A kiedy robisz coś takiego, aktualizujesz bazę danych, nie masz pojęcia, czy po prostu stworzyłeś dla siebie jakąś lukę. Ale nie jesteś tego świadomy i może się nigdy nie dowiesz, dopóki nie wydarzy się coś kiepskiego.
Krótki przegląd bezpieczeństwa danych. Przede wszystkim kradzież danych nie jest niczym nowym, a cenne dane są ukierunkowane. Zwykle łatwo jest ustalić dla organizacji, na jakich danych potrzebują największej ochrony. Ciekawym faktem jest to, że pierwszy, lub to, co moglibyśmy twierdzić, że był pierwszym komputerem, został zbudowany przez brytyjski wywiad podczas drugiej wojny światowej, mając na uwadze jeden cel, a mianowicie kradzież danych z niemieckiej komunikacji.
Więc kradzież danych jest częścią branży IT od samego początku. Z narodzinami Internetu stało się znacznie poważniejsze. Patrzyłem na dziennik liczby naruszeń danych, które miały miejsce rok po roku. Liczba ta gwałtownie wzrosła do 100 w 2005 r. I od tego momentu z każdym rokiem jest coraz gorzej.
Większe ilości kradzionych danych i większa liczba włamań. I to są zgłaszane włamania. Istnieje bardzo duża liczba incydentów, w których firma nigdy nic nie mówi, ponieważ nic nie zmusza jej do powiedzenia czegokolwiek. Dzięki temu naruszenie danych jest ciche. W hackerskim biznesie jest wielu graczy: rządy, firmy, grupy hakerów, osoby fizyczne.
Jedną rzecz, o której myślę, że warto wspomnieć, kiedy pojechałem do Moskwy, myślę, że to było jakieś cztery lata temu, była to konferencja programowa w Moskwie, rozmawiałem z dziennikarzem specjalizującym się w hakowaniu danych. I twierdził - i jestem pewien, że ma rację, ale nie znam tego inaczej niż on jest jedyną osobą, która mi o tym wspominała, ale - istnieje rosyjski biznes o nazwie The Russian Business Network, prawdopodobnie ma rosyjski nazwa, ale myślę, że jest to angielskie tłumaczenie, które faktycznie wynajęto do włamania.
Więc jeśli jesteś dużą organizacją w dowolnym miejscu na świecie i chcesz zrobić coś, aby zaszkodzić konkurencji, możesz zatrudnić tych ludzi. A jeśli zatrudnisz tych ludzi, zyskasz bardzo wiarygodną zaprzeczenie, kto stoi za włamaniem. Ponieważ jeśli w ogóle zostanie odkryte, kto stoi za włamaniem, wskaże, że prawdopodobnie zrobił to ktoś w Rosji. I to nie będzie wyglądać, jakbyś próbował uszkodzić konkurenta. I wierzę, że rosyjska sieć biznesowa została faktycznie zatrudniona przez rządy w celu włamania się do banków w celu sprawdzenia, w jaki sposób przemieszczają się pieniądze terrorystyczne. I dzieje się tak z prawdopodobną zaprzeczeniem ze strony rządów, które nigdy nie przyznają, że faktycznie to zrobiły.
Ewoluuje technologia ataku i obrony. Dawno temu chodziłem do klubu Chaos. To była strona w Niemczech, w której można było się zarejestrować i śledzić rozmowy różnych osób i sprawdzać, co jest dostępne. I zrobiłem to, kiedy patrzyłem na technologię bezpieczeństwa, myślę około 2005 roku. Zrobiłem to, aby zobaczyć, co się wtedy dzieje, a rzeczą, która mnie zadziwiła, była liczba wirusów, w których był to w zasadzie system open source Mówiłem dalej, a ludzie, którzy pisali wirusy lub ulepszone wirusy, po prostu wstawiali tam kod, aby każdy mógł z niego korzystać. I wtedy przyszło mi do głowy, że hakerzy mogą być bardzo, bardzo sprytni, ale jest strasznie dużo hakerów, którzy niekoniecznie są w ogóle sprytni, ale używają inteligentnych narzędzi. Niektóre z tych narzędzi są wyjątkowo inteligentne.
I ostatni punkt tutaj: firmy mają obowiązek dbania o swoje dane, niezależnie od tego, czy są ich właścicielami, czy nie. I myślę, że staje się to coraz bardziej urzeczywistniane niż kiedyś. I staje się coraz bardziej, powiedzmy, drogie, aby firma faktycznie przeszła hack. Jeśli chodzi o hakerów, mogą znajdować się w dowolnym miejscu, a nawet mogą być postawieni przed wymiarem sprawiedliwości, nawet jeśli są odpowiednio zidentyfikowani. Wielu z nich jest bardzo wykwalifikowanych. Znaczne zasoby, mają wszędzie botnety. Uważa się, że ostatni atak DDoS pochodzi z ponad miliarda urządzeń. Nie wiem, czy to prawda, czy to tylko reporter używający okrągłej liczby, ale z pewnością duża liczba robotów została wykorzystana do ataku na sieć DNS. Niektóre dochodowe firmy, są grupy rządowe, jest wojna gospodarcza, jest cyberwarfare, wszystko się tam dzieje i jest mało prawdopodobne, myślę, że mówiliśmy na początku, że raczej nigdy się nie skończy.
Zgodność i przepisy - istnieje wiele rzeczy, które faktycznie się dzieją. Wiesz, istnieje wiele inicjatyw dotyczących zgodności, które są oparte na sektorach - sektor farmaceutyczny lub bankowy lub sektor opieki zdrowotnej - mogą mieć konkretne inicjatywy, które ludzie mogą zastosować, różne rodzaje najlepszych praktyk. Ale istnieje również wiele oficjalnych przepisów, które, ponieważ są prawem, wiążą się z karami za każdego, kto narusza prawo. Przykładami w USA są HIPAA, SOX, FISMA, FERPA, GLBA. Istnieją pewne standardy, PCI-DSS jest standardem dla firm oferujących karty. ISO / IEC 17799 opiera się na próbie uzyskania wspólnego standardu. To jest własność danych. Przepisy krajowe różnią się w zależności od kraju, nawet w Europie, a może należy to powiedzieć, szczególnie w Europie, gdzie jest to bardzo mylące. I istnieje RODO, globalne rozporządzenie o ochronie danych, które jest obecnie negocjowane między Europą a Stanami Zjednoczonymi, aby spróbować zharmonizować przepisy, ponieważ jest ich tak wiele, ponieważ są one w rzeczywistości międzynarodowe, a następnie są usługi w chmurze, które możesz nie sądzę, że Twoje dane były międzynarodowe, ale stały się międzynarodowe, gdy tylko znalazłeś się w chmurze, ponieważ wyjechały z twojego kraju. Są to zatem przepisy regulowane w taki czy inny sposób w celu ochrony danych. I większość ma to związek z danymi osoby, która oczywiście obejmuje prawie wszystkie dane tożsamości.
Rzeczy do przemyślenia: luki w bazie danych. Istnieje lista luk znanych i zgłaszanych przez dostawców baz danych, gdy zostaną one wykryte i załatane tak szybko, jak to możliwe, więc to wszystko. Są rzeczy, które się z tym wiążą w zakresie identyfikowania wrażliwych danych. Jeden z największych i najbardziej udanych ataków hakerskich na dane dotyczące płatności został wykonany przez firmę przetwarzającą płatności. Zostało to później przejęte, ponieważ musiałoby zostać zlikwidowane, gdyby tego nie zrobiło, ale dane nie zostały skradzione z żadnej z operacyjnych baz danych. Dane zostały skradzione z testowej bazy danych. Tak się złożyło, że programiści właśnie wzięli podzbiór danych, które były prawdziwymi danymi i wykorzystali je, bez żadnej ochrony, w testowej bazie danych. Testowa baza danych została zhakowana i zabrano z niej okropne dane osobowe ludzi.
Polityka bezpieczeństwa, szczególnie w odniesieniu do bezpieczeństwa dostępu w odniesieniu do baz danych, kto może czytać, kto może pisać, kto może udzielać uprawnień, czy jest jakiś sposób, aby ktokolwiek mógł to obejść? Oczywiście są na to szyfrowane bazy danych. Naruszenie bezpieczeństwa kosztuje. Nie wiem, czy to standardowa praktyka w organizacjach, ale wiem, że niektórzy, na przykład, szefowie ds. Bezpieczeństwa starają się przekazać kierownictwu pewne pojęcie o tym, jaki jest rzeczywiście koszt naruszenia bezpieczeństwa, zanim to nastąpi. Muszą to zrobić, aby mieć pewność, że otrzymają odpowiedni budżet, aby móc bronić organizacji.
A potem powierzchnia ataku. Powierzchnia ataku wydaje się cały czas rosnąć. Z roku na rok wydaje się, że powierzchnia ataku rośnie. Podsumowując, zasięg jest kolejnym punktem, ale bezpieczeństwo danych jest zwykle częścią roli DBA. Ale bezpieczeństwo danych jest także działaniem opartym na współpracy. Musisz mieć, jeśli robisz bezpieczeństwo, musisz mieć pełny obraz zabezpieczeń dla całej organizacji. I w tym musi być polityka korporacyjna. Jeśli nie ma zasad korporacyjnych, po prostu otrzymujesz częściowe rozwiązania. Wiesz, gumka i plastik, jakby, próbują powstrzymać bezpieczeństwo.
Powiedziawszy to, myślę, że przekażę Dezowi, który prawdopodobnie opowie wam różne historie wojenne.
Eric Kavanagh: Zabierz to, Dez.
Dez Blanchfield: Dziękuję Robin. Jest to zawsze trudny akt do naśladowania. Przyjdę do tego z przeciwległego końca spektrum, aby, jak sądzę, dać nam poczucie skali wyzwania, przed którym stoisz, i dlaczego powinniśmy robić więcej niż tylko usiąść i zwrócić na to uwagę . Wyzwanie, które widzimy teraz, wraz ze skalą, ilością i głośnością, szybkością, z jaką te rzeczy się dzieją, polega na tym, że słyszę to w tym miejscu z dużą ilością CXO, nie tylko CIO, ale na pewno Dyrektorzy IT są tymi, którzy biorą udział tam, gdzie kończy się zapłata, ponieważ uważają, że naruszenia danych szybko stają się normą. Jest to coś, czego prawie się spodziewają. Więc patrzą na to z punktu widzenia: „Okej, cóż, kiedy zostaniemy złamani - a nie jeśli - kiedy zostaniemy naruszeni, co powinniśmy z tym zrobić?”. A potem zaczynają się rozmowy, co robią w tradycyjnych środowiskach brzegowych i routerach, przełącznikach, serwerach, wykrywaniu włamań, inspekcji włamań? Co robią w samych systemach? Co oni robią z danymi? A potem wszystko wraca do tego, co zrobili ze swoimi bazami danych.
Pozwolę sobie tylko dotknąć kilku przykładów niektórych z tych rzeczy, które pobudziły wyobraźnię wielu ludzi, a następnie przejdę do, w pewnym sensie, trochę ich rozbić. Słyszeliśmy w wiadomościach, że Yahoo - prawdopodobnie największa liczba, jaką słyszeli ludzie, to około pół miliona, ale tak naprawdę okazuje się, że jest to nieoficjalnie bardziej jak miliard - słyszałem dziwną liczbę trzech miliardów, ale to prawie połowa światowej populacji, więc myślę, że to trochę za dużo. Ale zweryfikowałem to od wielu ludzi w odpowiednich miejscach, którzy uważają, że z Yahoo zostało naruszonych nieco ponad miliard płyt. A to tylko zadziwiająca liczba. Teraz niektórzy gracze wyglądają i myślą, cóż, to tylko konta poczty internetowej, nic wielkiego, ale dodajesz fakt, że wiele z tych kont poczty internetowej i zadziwiająco wysoka liczba, wyższa niż się spodziewałem, są faktycznie kontami płatnymi. To tam ludzie umieszczają dane swojej karty kredytowej i płacą za usunięcie reklam, ponieważ mają dość reklam, a więc 4 lub 5 USD miesięcznie są gotowi kupić pocztę internetową i usługę przechowywania w chmurze, która nie zawiera reklam i jestem jednym z nich, i mam to u trzech różnych dostawców, do których podłączam swoją kartę kredytową.
Tak więc wyzwanie staje się nieco bardziej przyciągające uwagę, ponieważ nie jest to po prostu coś, co jest jednym z marginesów powiedzenia: „No cóż, Yahoo stracił, powiedzmy, od 500 milionów do 1 000 milionów kont”, 1 000 milionów czyni to brzmią bardzo duże i konta poczty internetowej, ale dane karty kredytowej, imię, nazwisko, adres e-mail, data urodzenia, karta kredytowa, numer PIN, cokolwiek chcesz, hasła, a potem staje się znacznie bardziej przerażająca koncepcja. I znowu ludzie mówią do mnie: „Tak, ale to tylko usługa internetowa, to tylko poczta internetowa, nic wielkiego”. A potem mówię: „Tak, cóż, konto Yahoo mogło być również używane w usługach pieniężnych Yahoo do zakupu i sprzedawać akcje. ”To staje się bardziej interesujące. A kiedy zaczynasz wnikać w to, zdajesz sobie sprawę, że tak, to właściwie coś więcej niż tylko mama i tata w domu oraz nastolatki z kontami do przesyłania wiadomości, w rzeczywistości ludzie robią transakcje biznesowe.
To jeden koniec spektrum. Drugi koniec spektrum polega na tym, że bardzo mała, ogólna praktyka, dostawca usług zdrowotnych w Australii skradziono około 1000 rekordów. Była praca wewnętrzna, ktoś zostawił, byli po prostu ciekawi, wyszli z drzwi, w tym przypadku była to dyskietka 3, 5 cala. To było trochę dawno temu - ale można powiedzieć epokę mediów - ale były one oparte na starej technologii. Okazało się jednak, że powodem, dla którego pobrali dane, było to, że po prostu byli ciekawi, kto tam jest. Ponieważ mieli dość dużo ludzi w tym małym miasteczku, które było naszą stolicą kraju, którzy byli politykami. Byli zainteresowani tym, kto tam jest i gdzie jest ich życie, i wszystkimi tego rodzaju informacjami. Tak więc przy bardzo niewielkim naruszeniu danych, które zostało popełnione wewnętrznie, znaczna liczba polityków w danych rządu australijskiego podobno była publicznie znana.
Mamy do rozważenia dwa różne końce spektrum. Teraz rzeczywistość jest taka, że skala tych rzeczy jest po prostu oszałamiająca i mam zjeżdżalnię, do której przeskoczymy bardzo, bardzo szybko. Istnieje kilka stron internetowych z listą wszelkiego rodzaju danych, ale ta konkretna strona pochodzi od specjalisty ds. Bezpieczeństwa, który miał witrynę, na której można znaleźć adres e-mail lub imię i nazwisko, i pokaże każdy przypadek danych naruszyć w ciągu ostatnich 15 lat, że udało mu się zdobyć, a następnie załadować do bazy danych i zweryfikować, a dowiesz się, czy zostałeś zabity, jak to się nazywa. Ale kiedy zaczniesz patrzeć na niektóre z tych liczb i ten zrzut ekranu nie został zaktualizowany do jego najnowszej wersji, która obejmuje kilka, takich jak Yahoo. Ale pomyśl tylko o rodzajach usług tutaj. Mamy Myspace, mamy LinkedIn, Adobe. Adobe jest interesujące, ponieważ ludzie patrzą i myślą, cóż, co oznacza Adobe? Większość z nas, którzy pobierają Adobe Reader w jakiejś formie, wielu z nas kupiło produkty Adobe za pomocą karty kredytowej, to jest 152 miliony ludzi.
Otóż, do wcześniejszego punktu Robina, są to bardzo duże liczby, łatwo ich przytłoczyć. Co się stanie, gdy masz 359 milionów kont, które zostały naruszone? Cóż, jest kilka rzeczy. Robin podkreślił fakt, że dane te są niezmiennie w jakiejś formie bazy danych. To jest krytyczna wiadomość tutaj. Prawie nikt na tej planecie, o której wiem, że obsługuje system w dowolnej formie, nie przechowuje go w bazie danych. Co ciekawe, w bazie danych znajdują się trzy różne typy danych. Istnieją rzeczy związane z bezpieczeństwem, takie jak nazwy użytkowników i hasła, które zwykle są szyfrowane, ale niezmiennie istnieje wiele przykładów, w których nie są. Wokół ich profilu znajdują się rzeczywiste informacje o klientach i dane, które tworzyli, niezależnie od tego, czy jest to dokumentacja medyczna, czy wiadomość e-mail lub wiadomość błyskawiczna. I jest jeszcze rzeczywista wbudowana logika, więc mogą to być procedury składowane, może to być cała masa reguł, jeśli + to + to + tamto. I niezmiennie to tylko tekst ASCII utknął w bazie danych, bardzo niewiele osób siedzi tam i myśli: „Cóż, to są reguły biznesowe, w ten sposób nasze dane są przenoszone i kontrolowane, powinniśmy potencjalnie zaszyfrować to, gdy jest w spoczynku i kiedy jest w motion może go odszyfrowujemy i zachowujemy w pamięci ”, ale idealnie powinno być.
Ale wraca do tego kluczowego punktu, że wszystkie te dane są w jakiejś formie w bazie danych i najczęściej historycznie koncentrowano się na routerach i przełącznikach i serwerach, a nawet na pamięci masowej, a nie zawsze na bazie danych w zaplecze. Ponieważ uważamy, że mamy zasięg sieci i jest to coś w rodzaju typowego, starego, jakby mieszka w zamku, a ty otaczasz go fosą i masz nadzieję, że źli nie zamierzają umieć pływać. Ale wtedy nagle złoczyńcy wymyślili, jak zrobić dłuższe drabiny, zrzucić je przez fosę i wspiąć się na fosę i wspiąć się po ścianach. I nagle twoja fosa jest prawie bezużyteczna.
Jesteśmy teraz w scenariuszu, w którym organizacje są w trybie doganiania w sprincie. Moim zdaniem dosłownie biegają we wszystkich systemach, a na pewno z mojego doświadczenia, ponieważ nie zawsze są to tylko te jednorożce internetowe, jak często je nazywamy, częściej niż tradycyjne organizacje przedsiębiorstw, które są naruszane. I nie musisz mieć dużej wyobraźni, aby dowiedzieć się, kim oni są. Istnieją strony takie jak pastebin.net, a jeśli przejdziesz do pastebin.net i po prostu wpiszesz listę e-mail lub listę haseł, otrzymasz setki tysięcy wpisów dziennie, które są dodawane, gdzie ludzie wymieniają przykładowe zestawy danych nawiasem mówiąc, do tysiąca rekordów imienia, nazwiska, danych karty kredytowej, nazwy użytkownika, hasła, odszyfrowanych haseł. Tam, gdzie ludzie mogą pobrać tę listę, przejdź i zweryfikuj trzy lub cztery z nich i zdecyduj, że tak, chcę kupić tę listę, a zwykle istnieje jakiś mechanizm zapewniający anonimową bramę osobie sprzedającej dane.
Ciekawe jest to, że gdy przedsiębiorca afiliacyjny zda sobie sprawę, że może to zrobić, nie trzeba wiele wyobraźni, aby zdać sobie sprawę, że jeśli wydasz 1000 USD na zakup jednej z tych list, co zrobisz z tym pierwszym? Nie wchodzisz i nie próbujesz śledzić kont, odkładasz kopię z powrotem na pastbin.net i sprzedajesz dwie kopie za 1000 USD każda i osiągasz zysk 1000 USD. A to robią dzieci. Istnieje kilka bardzo dużych organizacji zawodowych na całym świecie, które utrzymują się z tego. Są nawet narody stanowe, które atakują inne stany. Wiesz, dużo mówi się o Ameryce atakującej Chiny, Chinach atakującej Amerykę, to nie jest takie proste, ale zdecydowanie są organizacje rządowe, które naruszają systemy, które niezmiennie zasilane są przez bazy danych. To nie tylko przypadek małych organizacji, ale także kraje kontra kraje. To prowadzi nas z powrotem do kwestii, gdzie przechowywane są dane? Jest w bazie danych. Jakie są tam kontrole i mechanizmy? Lub niezmiennie nie są szyfrowane, a jeśli są szyfrowane, nie zawsze są to wszystkie dane, może to tylko hasło, które jest solone i szyfrowane.
I wokół tego mamy szereg wyzwań związanych z zawartością tych danych i sposobem zapewniania dostępu do danych i zgodności z SOX. Więc jeśli myślisz o zarządzaniu majątkiem lub bankowości, masz organizacje, które martwią się wyzwaniem związanym z wiarygodnością; masz organizacje, które martwią się o zgodność w przestrzeni korporacyjnej; spełniasz wymagania rządowe i regulacyjne; masz teraz scenariusze, w których mamy lokalne bazy danych; mamy bazy danych w zewnętrznych centrach danych; mamy bazy danych umieszczone w środowiskach chmurowych, więc ich środowiska chmurowe niezmiennie nie zawsze są dostępne w danym kraju. A zatem staje się to coraz większym wyzwaniem, nie tylko z punktu widzenia bezpieczeństwa, nie dajmy się zhakować, ale także, w jaki sposób możemy spełnić wszystkie różne poziomy zgodności? Nie tylko normy HIPAA i ISO, ale istnieją dosłownie dziesiątki i dziesiątki tych na poziomie państwowym, krajowym i globalnym, które przekraczają granice. Jeśli prowadzisz interesy z Australią, nie możesz przenosić danych rządowych. Żadne australijskie prywatne dane nie mogą opuścić kraju. Jeśli jesteś w Niemczech, jest to nawet bardziej rygorystyczne. Wiem też, że Ameryka bardzo szybko idzie w tym kierunku z wielu powodów.
Ale ponownie sprowadza mnie do tego całego wyzwania: skąd wiesz, co dzieje się w bazie danych, jak to monitorujesz, jak powiedzieć, kto robi to w bazie danych, kto ma widoki różnych tabel i wierszy oraz kolumn i pól, kiedy je czytają, jak często je czytają i kto je śledzi? I myślę, że to prowadzi mnie do ostatniego punktu, zanim przekażę dziś naszemu gościowi, który pomoże nam porozmawiać o tym, jak rozwiązać ten problem. Ale chcę zostawić nam tę jedną myśl, to znaczy, duży nacisk kładziony jest na koszty dla firmy i koszty dla organizacji. I nie zamierzamy dzisiaj szczegółowo omawiać tego punktu, ale chcę tylko zostawić to w naszych myślach do zastanowienia się, a mianowicie szacuje się, że w przybliżeniu od 135 USD do 585 USD za rekord do wyczyszczenia po naruszeniu. Więc inwestycja w bezpieczeństwo wokół routerów, przełączników i serwerów jest dobra i zapora ogniowa, ale ile zainwestowałeś w bezpieczeństwo bazy danych?
Ale to fałszywa ekonomia, a kiedy niedawno doszło do naruszenia Yahoo, a ja mam dobrą władzę, to około miliarda kont, a nie 500 milionów. Kiedy Verizon kupił organizację za około 4, 3 miliarda, gdy tylko doszło do naruszenia, poprosili o zwrot miliarda dolarów lub rabat. Teraz, jeśli wykonasz matematykę i powiesz, że naruszono około miliarda rekordów, rabat w wysokości miliarda dolarów, szacunkowe kwoty od 135 do 535 USD za oczyszczenie rekordu wynoszą teraz 1 USD. Co znowu jest farsą. Oczyszczenie miliarda płyt nie kosztuje 1 USD. 1 USD za rekord, aby wyczyścić miliard rekordów za naruszenie tego rozmiaru. Nie można nawet opublikować komunikatu prasowego za tego rodzaju koszty. Dlatego zawsze koncentrujemy się na wewnętrznych wyzwaniach.
Ale myślę, że jedną z rzeczy jest to, że bardzo poważnie podchodzimy do tego na poziomie bazy danych, dlatego jest to bardzo, bardzo ważny temat, o którym musimy rozmawiać, i dlatego nigdy nie rozmawiamy o człowieku myto. Jaką ofiarę ponosimy w związku z tym? I wezmę jeden przykład, zanim szybko zakończę. LinkedIn: w 2012 roku zhakowano system LinkedIn. Było wiele wektorów i nie będę w to wchodził. I skradziono setki milionów kont. Ludzie mówią, że około 160 milionów, ale w rzeczywistości jest to znacznie większa liczba, może być nawet około 240 milionów. Ale naruszenie to zostało ogłoszone dopiero na początku tego roku. To cztery lata, kiedy istnieją setki milionów rekordów ludzi. Teraz niektórzy ludzie płacą za usługi kartami kredytowymi, a niektórzy mają bezpłatne konta. Ale LinkedIn jest interesujące, ponieważ nie tylko uzyskał on dostęp do danych Twojego konta, jeśli zostałeś naruszony, ale także dostęp do wszystkich informacji z Twojego profilu. Tak więc, z kim byłeś połączony i jakie posiadałeś kontakty oraz jakie rodzaje pracy mieli i jakie mieli umiejętności, a także jak długo pracowali w firmach i wszystkie tego rodzaju informacje oraz ich dane kontaktowe.
Zastanówmy się zatem nad wyzwaniem związanym z zabezpieczeniem danych w tych bazach danych oraz zabezpieczeniem samych systemów baz danych i zarządzaniem nimi, a także nad przepływem danych, a liczba ludzi gromadzonych przez te dane istniała przez cztery lata. I prawdopodobieństwo, że ktoś przyjdzie na wakacje gdzieś w Azji Południowo-Wschodniej i mają tam swoje dane od czterech lat. I ktoś mógł kupić samochód, uzyskać kredyt mieszkaniowy lub dziesięć telefonów w ciągu roku na kartach kredytowych, gdzie stworzyli fałszywy dowód tożsamości na danych, które były tam przez cztery lata - ponieważ nawet dane LinkedIn dały ci wystarczającą ilość informacji, aby załóż konto bankowe i fałszywy dowód tożsamości - i wsiadasz do samolotu, jedziesz na wakacje, lądujesz i zostajesz wtrącony do więzienia. A dlaczego jesteś wtrącony do więzienia? Ponieważ skradziono ci dowód tożsamości. Ktoś stworzył fałszywy dowód tożsamości i zachowywał się jak ty i setki tysięcy dolarów, robili to przez cztery lata, a ty nawet o tym nie wiedziałeś. Ponieważ tam jest, po prostu się stało.
Myślę więc, że prowadzi nas to tego podstawowego wyzwania, skąd wiemy, co dzieje się w naszych bazach danych, jak to śledzimy, jak monitorujemy? Z niecierpliwością czekam na wiadomość, jak nasi przyjaciele z IDERA znaleźli rozwiązanie tego problemu. I z tym oddam.
Eric Kavanagh: Dobra, Ignacio, podłoga jest twoja.
Ignacio Rodriguez: W porządku. Witajcie wszyscy. Nazywam się Ignacio Rodriguez, lepiej znany jako Iggy. Jestem z IDERA i menedżerem produktu ds. Bezpieczeństwa. Naprawdę dobre tematy, które właśnie omówiliśmy i naprawdę musimy się martwić o naruszenia danych. Musimy mieć zaostrzone zasady bezpieczeństwa, musimy identyfikować słabe punkty i oceniać poziomy bezpieczeństwa, kontrolować uprawnienia użytkowników, kontrolować bezpieczeństwo serwera i przestrzegać audytów. W swojej przeszłej historii przeprowadzałem audyt, głównie po stronie Wyroczni. Zrobiłem trochę na SQL Server i robiłem je za pomocą narzędzi lub, w zasadzie, własnych skryptów, co było świetne, ale musisz utworzyć repozytorium i upewnić się, że repozytorium jest bezpieczne, stale utrzymując skrypty ze zmianami od audytorów, co masz.
Tak więc w przypadku narzędzi, gdybym wiedział, że IDERA tam jest i ma narzędzie, bardziej niż prawdopodobne, że je kupiłbym. Ale w każdym razie będziemy rozmawiać o Bezpiecznym. Jest to jeden z naszych produktów z linii produktów związanych z bezpieczeństwem, a przede wszystkim analizujemy zasady bezpieczeństwa i mapujemy je na wytyczne prawne. Możesz wyświetlić pełną historię ustawień SQL Server, a także możesz zasadniczo wykonać linię bazową tych ustawień, a następnie porównać je z przyszłymi zmianami. Możesz utworzyć migawkę, która jest linią bazową twoich ustawień, a następnie możesz śledzić, czy którekolwiek z tych rzeczy zostały zmienione, a także otrzymywać powiadomienia, jeśli zostaną zmienione.
Jedną z rzeczy, które robimy dobrze, jest zapobieganie zagrożeniom bezpieczeństwa i naruszeniom. Karta raportu bezpieczeństwa zawiera przegląd najważniejszych luk w zabezpieczeniach serwerów, a następnie każda kontrola bezpieczeństwa jest klasyfikowana jako ryzyko wysokie, średnie lub niskie. Teraz, w przypadku tych kategorii lub kontroli bezpieczeństwa, można je wszystkie zmodyfikować. Powiedzmy, że jeśli masz jakieś elementy sterujące i korzystasz z jednego z szablonów, które mamy, a Ty decydujesz, cóż, nasze elementy sterujące naprawdę wskazują lub chcą, aby ta podatność nie była tak naprawdę wysoka, ale średnia lub odwrotnie. Możesz mieć niektóre, które są oznaczone jako średnie, ale w Twojej organizacji kontrolki, które chcesz je oznaczyć, lub uznają je za wysokie, wszystkie te ustawienia są konfigurowane przez użytkownika.
Kolejnym kluczowym problemem, na który musimy spojrzeć, jest identyfikacja luk. Zrozumienie, kto ma dostęp do tego i identyfikacja każdego z efektywnych uprawnień użytkownika we wszystkich obiektach SQL Server. Dzięki temu narzędziu będziemy mogli przejść przez przegląd praw do wszystkich obiektów SQL Server i wkrótce zobaczymy zrzut ekranu tego. Raportujemy również i analizujemy uprawnienia użytkowników, grup i ról. Jedną z pozostałych funkcji jest dostarczanie szczegółowych raportów o zagrożeniach bezpieczeństwa. Mamy gotowe raporty i zawierają elastyczne parametry do tworzenia typów raportów i wyświetlania danych wymaganych przez audytorów, pracowników ochrony i kierowników.
Jak wspomniałem, możemy również porównywać zmiany bezpieczeństwa, ryzyka i konfiguracji w czasie. A to z migawkami. Migawki te można skonfigurować w zakresie, w jakim chcesz je wykonywać - miesięcznie, kwartalnie, corocznie - które można zaplanować w narzędziu. I znowu, możesz robić porównania, aby zobaczyć, co się zmieniło, a co jest miłego w tym, że jeśli miałeś naruszenie, możesz stworzyć migawkę po tym, jak to zostało poprawione, zrobić porównanie, a zobaczysz, że był wysoki poziom ryzyko związane z poprzednią migawką, a następnie raportem, w następnej migawce widać po poprawieniu, że nie jest to już problemem. To dobre narzędzie do audytu, które możesz przekazać audytorowi, raport, który możesz przekazać audytorom i powiedzieć: „Spójrz, mieliśmy to ryzyko, złagodziliśmy je, a teraz to już nie jest ryzyko”. I znowu, ja wspomniane w migawkach możesz powiadomić o zmianie konfiguracji, a jeśli konfiguracja zostanie zmieniona i zostaną wykryte, co stanowi nowe ryzyko, zostaniesz o tym powiadomiony.
Dostajemy pytania dotyczące naszej architektury SQL Server z Secure, i chcę wprowadzić poprawkę do slajdu, w którym jest napisane „Usługa windykacji”. Nie mamy żadnych usług, powinna to być „Serwer zarządzania i windykacji”. „Mamy naszą konsolę, a następnie nasz serwer zarządzania i gromadzenia danych. Mamy przechwytywanie bez agentów, które trafi do zarejestrowanych baz danych i zgromadzi dane za pośrednictwem zadań. Mamy repozytorium SQL Server i współpracujemy z SQL Server Reporting Services w celu planowania raportów i tworzenia raportów niestandardowych. Teraz na karcie raportu bezpieczeństwa jest to pierwszy ekran, który zobaczysz po uruchomieniu SQL Secure. Łatwo zobaczysz, które krytyczne przedmioty wykryłeś. I znowu mamy wzloty, wady i wady. A następnie mamy zasady, które są zgodne z poszczególnymi kontrolami bezpieczeństwa. Mamy szablon HIPAA; mamy szablony IDERA Poziom bezpieczeństwa 1, 2 i 3; mamy wytyczne PCI. Są to wszystkie szablony, których możesz użyć, i ponownie możesz utworzyć własny szablon, również na podstawie własnych elementów sterujących. I znowu można je modyfikować. Możesz stworzyć swój własny. Dowolny z istniejących szablonów można wykorzystać jako linię bazową, a następnie można zmodyfikować je według własnych upodobań.
Jedną z przyjemnych rzeczy jest sprawdzenie, kto ma uprawnienia. Dzięki temu ekranowi będziemy mogli zobaczyć, jakie są loginy SQL Server w przedsiębiorstwie, i będzie można przeglądać wszystkie przypisane i skuteczne prawa i uprawnienia w bazie danych serwera na poziomie obiektu. Robimy to tutaj. Będziesz mógł ponownie wybrać bazy danych lub serwery, a następnie pobrać raport uprawnień SQL Server. Dzięki temu mogę zobaczyć, kto ma dostęp do czego. Kolejną przydatną funkcją jest porównanie ustawień zabezpieczeń. Załóżmy, że masz standardowe ustawienia, które musiały zostać ustawione w całym przedsiębiorstwie. Następnie możesz porównać wszystkie swoje serwery i sprawdzić, jakie ustawienia zostały ustawione na innych serwerach w przedsiębiorstwie.
Ponownie, szablony zasad, to niektóre z szablonów, które mamy. Zasadniczo ponownie używasz jednego z nich, tworzysz własny. Możesz stworzyć własną polisę, jak pokazano tutaj. Użyj jednego z szablonów i możesz je zmodyfikować w razie potrzeby. Jesteśmy również w stanie wyświetlić uprawnienia efektywne programu SQL Server. Pozwoli to zweryfikować i udowodnić, że uprawnienia są poprawnie ustawione dla użytkowników i ról. Ponownie możesz wyjść i sprawdzić, czy uprawnienia są poprawnie ustawione dla użytkowników i ról. Następnie za pomocą SQL Server Object Access Rights możesz przeglądać i analizować drzewo obiektów SQL Server od poziomu serwera do ról i punktów końcowych na poziomie obiektu. I możesz natychmiast wyświetlić przypisane i skuteczne odziedziczone uprawnienia i właściwości związane z bezpieczeństwem na poziomie obiektu. Zapewnia to dobry wgląd w dostęp do obiektów bazy danych i kto ma do nich dostęp.
Ponownie mamy nasze raporty, które mamy. Są to raporty w puszce, mamy kilka, z których możesz wybrać, aby wykonać raport. Wiele z nich można dostosować lub możesz mieć raporty klientów i korzystać z nich w połączeniu z usługami raportowania, a następnie tworzyć własne raporty niestandardowe. Teraz, w porównaniu z migawkami, jest to całkiem fajna funkcja, myślę, że możesz tam pójść i porównać swoje zdjęcia i sprawdzić, czy są jakieś różnice w liczbie. Czy dodano jakieś obiekty, czy zmieniły się uprawnienia, cokolwiek, co moglibyśmy zobaczyć, jakie zmiany zostały wprowadzone między różnymi migawkami. Niektóre osoby będą na nie patrzeć co miesiąc - robią co miesiąc migawkę, a następnie co miesiąc porównują, aby sprawdzić, czy coś się zmieniło. A jeśli nie było nic, co powinno zostać zmienione, wszystko, co poszło na spotkania kontroli zmian, a zobaczysz, że niektóre uprawnienia zostały zmienione, możesz wrócić, aby zobaczyć, co się wydarzyło. Jest to całkiem fajna funkcja, w której możesz ponownie porównać wszystko, co jest kontrolowane w migawce.
Następnie porównanie oceny. To kolejna miła funkcja, którą mamy, gdzie możesz wyjść i spojrzeć na oceny, a następnie dokonać ich porównania i zauważyć, że tutaj porównanie miało konto SA, które nie zostało wyłączone w tej ostatniej migawce, którą zrobiłem - to jest teraz poprawiony. Jest to całkiem miła rzecz, w której możesz pokazać, że mieliśmy pewne ryzyko, zostały one zidentyfikowane przez narzędzie, a teraz złagodziliśmy to ryzyko. I znowu, jest to dobry raport, aby pokazać audytorom, że w rzeczywistości ryzyko to zostało złagodzone i załatwione.
Podsumowując, bezpieczeństwo bazy danych ma kluczowe znaczenie i myślę, że wiele razy przyglądamy się naruszeniom pochodzącym ze źródeł zewnętrznych, a czasami tak naprawdę nie przywiązujemy zbytniej uwagi do wewnętrznych naruszeń, a to niektóre z rzeczy, które trzeba uważać. I Secure pomoże ci upewnić się, że nie ma żadnych przywilejów, które nie muszą być przypisane, wiesz, upewnij się, że wszystkie te zabezpieczenia są odpowiednio ustawione na kontach. Upewnij się, że twoje konta SA mają hasła. Sprawdza również, o ile klucze szyfrowania zostały wyeksportowane? Po prostu wiele różnych rzeczy, które sprawdzamy, a my powiadomimy Cię o tym, czy wystąpił problem i na jakim poziomie to problem. Potrzebujemy narzędzia, wielu profesjonalistów potrzebuje narzędzi do zarządzania i monitorowania uprawnień dostępu do bazy danych, a tak naprawdę patrzymy na zapewnienie szerokiej możliwości kontrolowania uprawnień do bazy danych i śledzenia działań związanych z dostępem oraz ograniczania ryzyka naruszenia.
Teraz kolejną częścią naszych produktów zabezpieczających jest to, że został objęty WebEx, a częścią prezentacji, o której mówiliśmy wcześniej, były dane. Wiesz, kto ma dostęp, co masz, i to jest nasze narzędzie SQL Compliance Manager. Na tym narzędziu jest zapisany WebEx, który pozwoli ci monitorować, kto uzyskuje dostęp do jakich tabel, do jakich kolumn, możesz zidentyfikować tabele, które mają wrażliwe kolumny, jeśli chodzi o datę urodzenia, informacje o pacjencie, te typy tabel i faktycznie zobaczyć, kto ma dostęp do tych informacji i czy są one dostępne.
Eric Kavanagh: Dobra, więc zagłębmy się w pytania, tak myślę, tutaj. Może, Dez, najpierw ci to podrzucę, a Robin włączy się, jak możesz.
Dez Blanchfield: Tak, miałem ochotę zadać pytanie z drugiego i trzeciego slajdu. Jaki jest typowy przypadek użycia tego narzędzia? Kto jest najczęściej spotykanym typem użytkowników, którzy go przyjmują i wprowadzają w życie? A z tyłu tego, typowego, w pewnym sensie, modelu przypadków użycia, jak oni sobie z tym radzą? Jak to jest realizowane?
Ignacio Rodriguez: Dobra, typowym przypadkiem, który mamy, są DBA, którym powierzono odpowiedzialność za kontrolę dostępu do bazy danych, która upewnia się, że wszystkie uprawnienia są ustawione tak, jak powinny być, a następnie śledzi i ich standardy w miejscu. Wiesz, te określone konta użytkowników mogą mieć dostęp tylko do tych konkretnych tabel itp. I robią to z upewnieniem się, że standardy te zostały ustanowione, a standardy te nie zmieniły się z czasem. I to jest jedna z wielkich rzeczy, do których ludzie go używają, to śledzenie i identyfikowanie, czy wprowadzane są jakieś zmiany, o których nie wiadomo.
Dez Blanchfield: Ponieważ są przerażające, prawda? To, że możesz mieć, powiedzmy, dokument strategiczny, masz zasady, które stanowią jego podstawę, masz zgodność i zarządzanie pod nim, i postępujesz zgodnie z polityką, przestrzegasz zasad zarządzania i dostaje zielone światło a potem nagle miesiąc później ktoś wprowadza zmianę i z jakiegoś powodu nie przechodzi ona przez tę samą komisję oceny zmian lub proces zmian, czy cokolwiek to może być, albo projekt właśnie się rozpoczął i nikt nie wie.
Czy masz jakieś przykłady, którymi możesz się podzielić - i wiem, oczywiście, że nie zawsze jest to coś, co udostępniasz, ponieważ klienci są tym trochę zaniepokojeni, więc nie musimy koniecznie wymieniać nazwisk - ale daj nam przykład, gdzie być może widziałem to właściwie, wiesz, organizacja wprowadziła to w życie, nie zdając sobie z tego sprawy, a oni po prostu coś znaleźli i zdali sobie sprawę: „Wow, było to dziesięć razy, po prostu znaleźliśmy coś, o czym nie wiedzieliśmy”. jakikolwiek przykład, w którym ludzie wdrożyli to, a następnie odkryli, że mieli większy problem lub prawdziwy problem, o którym nie zdawali sobie sprawy, że mieli, a następnie natychmiast dodawaliście do listy kart świątecznych?
Ignacio Rodriguez: Myślę, że największą rzeczą, którą widzieliśmy lub zgłosiliśmy, jest to, o czym właśnie wspomniałem, jeśli chodzi o dostęp, który ktoś miał. Są programiści, a kiedy wdrożyli to narzędzie, naprawdę nie zdawali sobie sprawy, że liczba X tych programistów miała tak duży dostęp do bazy danych i dostęp do określonych obiektów. Inną rzeczą są konta tylko do odczytu. Było kilka kont tylko do odczytu, które mieli, dowiedziałem się, że te konta tylko do odczytu są w rzeczywistości, miały również wstawianie danych i usuwanie uprawnień. Właśnie tam zauważyliśmy pewne korzyści dla użytkowników. Wielką rzeczą, którą słyszeliśmy, że ludzie lubią, jest możliwość śledzenia zmian i upewnienia się, że nic ich nie oślepi.
Dez Blanchfield: Jak podkreślił Robin, masz scenariusze, o których ludzie często się nie zastanawiają, prawda? Kiedy patrzymy w przyszłość, myślimy, wiesz, że jeśli robimy wszystko zgodnie z zasadami, a ja znajduję i jestem pewien, że też to widzisz - powiedz mi, jeśli się z tym nie zgadzasz - organizacje skupiają się na intensywnie opracowując strategię i politykę oraz zgodność i zarządzanie oraz wskaźniki KPI i sprawozdawczość, że często tak się na nich skupiają, że nie myślą o wartościach odstających. A Robin miał naprawdę świetny przykład, który mu ukradnę - przepraszam Robin - ale przykładem jest inny moment, w którym kopia bazy danych na żywo, migawka i testowanie jej, prawda? Robimy dev, robimy testy, robimy UAT, robimy integrację systemów, wszystkie tego rodzaju rzeczy, a następnie przeprowadzamy teraz szereg testów zgodności. Test deweloperski, UAT, SIT często zawiera komponent zgodności, w którym upewniamy się, że wszystko jest zdrowe i bezpieczne, ale nie wszyscy to robią. Ten przykład podany przez Robin z kopią kopii bazy danych na żywo poddanej testom w środowisku programistycznym w celu sprawdzenia, czy nadal działa z danymi na żywo. Bardzo niewiele firm siedzi i myśli: „Czy to się w ogóle dzieje, czy jest to możliwe?”. Zawsze skupiają się na produkcji. Jak wygląda podróż wdrożeniowa? Czy mówimy o dniach, tygodniach, miesiącach? Jak wygląda normalne wdrożenie dla organizacji średniej wielkości?
Ignacio Rodriguez: Dni. To nie są nawet dni, to znaczy, to tylko kilka dni. Właśnie dodaliśmy funkcję, dzięki której jesteśmy w stanie zarejestrować wiele serwerów. Zamiast wchodzić tam w narzędziu i mówić, że masz 150 serwerów, musiałeś tam wejść indywidualnie i zarejestrować serwery - teraz nie musisz tego robić. Istnieje plik CSV, który tworzysz, a my go automatycznie usuwamy i nie przechowujemy go ze względów bezpieczeństwa. Ale to kolejna rzecz, którą musimy wziąć pod uwagę: będziesz mieć plik CSV z nazwą użytkownika / hasłem.
Robimy to automatycznie, usuwamy to ponownie, ale masz taką opcję. Jeśli chcesz wejść tam indywidualnie i zarejestrować je i nie chcesz podejmować tego ryzyka, możesz to zrobić. Ale jeśli chcesz użyć pliku CSV, umieść go w bezpiecznej lokalizacji, wskaż aplikację w tej lokalizacji, uruchomi on ten plik CSV, a następnie zostanie automatycznie ustawiony, aby usunąć ten plik po zakończeniu. I pójdzie i sprawdzi, czy plik jest usunięty. Najdłuższym biegunem w piasku, jaki mieliśmy w zakresie implementacji, była rejestracja rzeczywistych serwerów.
Dez Blanchfield: OK. Teraz mówiłeś o raportach. Czy możesz podać nam trochę więcej szczegółów i wgląd w to, co wchodzi w skład pakietu, jeśli chodzi o raportowanie, tylko, jak sądzę, element odkrywczy polegający na sprawdzaniu, co tam jest i raportowaniu na ten temat, obecnym stanie narodu, co przychodzi wcześniej zbudowane i upieczone, jeśli chodzi o raporty dotyczące obecnego stanu zgodności i bezpieczeństwa, a następnie jak łatwo można je rozszerzać? Jak na nich budować?
Ignacio Rodriguez: Dobra. Niektóre z raportów, które mamy, mamy raporty dotyczące wielu serwerów, kontroli logowania, filtrów gromadzenia danych, historii aktywności, a następnie raportów oceny ryzyka. A także wszelkie podejrzane konta Windows. Jest ich tutaj wielu. Zobacz podejrzane logowanie do SQL, logowanie do serwera i mapowanie użytkowników, uprawnienia użytkownika, wszystkie uprawnienia użytkownika, role serwera, role bazy danych, pewną liczbę podatności, które mamy lub raporty uwierzytelniania w trybie mieszanym, bazy danych z obsługą gości, podatność na system operacyjny za pośrednictwem XPS, procedury rozszerzone, a następnie słabe role ustalone role. To niektóre z raportów, które mamy.
Dez Blanchfield: I wspomniałeś, że są wystarczająco znaczące, a niektóre z nich, co jest logiczne. Jak łatwo jest mi to dostosować? Jeśli uruchomię raport i otrzymam ten świetny duży wykres, ale chcę wyciągnąć kilka kawałków, które tak naprawdę mnie nie interesują, i dodać kilka innych funkcji, czy jest pisarz raportów, czy istnieje jakiś interfejs i narzędzie do konfigurowania i dostosowywania, a nawet potencjalnego tworzenia kolejnego raportu od podstaw?
Ignacio Rodriguez: Następnie polecilibyśmy użytkownikom skorzystanie z usług Microsoft SQL Report Services i mamy wielu klientów, którzy faktycznie przyjmą niektóre raporty, dostosują je i zaplanują, kiedy tylko zechcą. Niektórzy z tych facetów chcą oglądać te raporty co miesiąc lub co tydzień, a oni wezmą posiadane przez nas informacje, przeniosą je do usług raportowania, a następnie zrobią to stamtąd. Nie mamy narzędzia do tworzenia raportów zintegrowanego z naszym narzędziem, ale korzystamy z usług Reporting Services.
Dez Blanchfield: Myślę, że to jedno z największych wyzwań związanych z tymi narzędziami. Możesz tam wejść i znaleźć rzeczy, ale wtedy musisz mieć możliwość ich wyciągnięcia, zgłoś to ludziom, którzy niekoniecznie są DBA i inżynierami systemów. W moim doświadczeniu pojawia się interesująca rola, a mianowicie, że funkcjonariusze ds. Ryzyka zawsze byli w organizacjach i że przeważnie byli w pobliżu i mieli zupełnie inny zakres zagrożeń, które widzieliśmy ostatnio, a teraz z danymi naruszenia stają się nie tylko rzeczą, ale faktycznym tsunami, CRO przeszło od bycia, wiesz, HR i zgodności z normami bezpieczeństwa i higieny pracy do ryzyka cybernetycznego. Wiesz, naruszanie, hakowanie, bezpieczeństwo - o wiele bardziej techniczne. I staje się interesujący, ponieważ istnieje wiele CRO, które pochodzą z rodowodu MBA, a nie z technicznego rodowodu, więc muszą się rozejrzeć, co to znaczy dla przejścia od ryzyka cyber przejścia do CRO i tak dalej. Ale najważniejsze, że chcą tylko raportowania widoczności.
Czy możesz nam powiedzieć coś na temat pozycjonowania w odniesieniu do zgodności? Oczywiście jedną z największych zalet tego jest to, że możesz zobaczyć, co się dzieje, możesz to monitorować, możesz się uczyć, możesz to zgłosić, możesz na to zareagować, możesz nawet zapobiec niektórym rzeczom. Nadrzędnym wyzwaniem jest przestrzeganie zasad zarządzania. Czy są to kluczowe elementy, które celowo łączą się z istniejącymi wymogami dotyczącymi zgodności lub zgodności z branżą, takimi jak PCI, czy coś takiego obecnie, czy też jest to coś, co schodzi na plan? Czy wpisuje się w ramy takich standardów, jak COBIT, ITIL i ISO? Jeśli wdrożyliśmy to narzędzie, czy daje nam to serię kontroli i równowagi, które pasują do tych ram, lub jak je wbudować w te ramy? Gdzie jest pozycja z myślą o takich rzeczach?
Ignacio Rodriguez: Tak, istnieją szablony, które dostarczamy wraz z narzędziem. I znów dochodzimy do punktu, w którym ponownie oceniamy nasze szablony, będziemy dodawać i wkrótce będzie ich więcej. FISMA, FINRA, niektóre dodatkowe szablony, które mamy, i zwykle przeglądamy szablony i sprawdzamy, co się zmieniło, co musimy dodać? I tak naprawdę chcemy przejść do punktu, w którym, jak wiesz, wymagania bezpieczeństwa uległy znacznej zmianie, więc szukamy sposobu, aby uczynić to rozszerzalnym w locie. To jest coś, na co patrzymy w przyszłości.
Ale teraz zastanawiamy się nad tworzeniem szablonów i uzyskaniem szablonów ze strony internetowej; możesz je pobrać. I tak sobie z tym radzimy - obsługujemy je za pomocą szablonów i szukamy w przyszłości sposobów, aby łatwo i szybko to rozszerzyć. Ponieważ kiedy robiłem audyty, wiesz, rzeczy się zmieniają. Audytor przyjedzie za miesiąc, a za miesiąc będzie chciał zobaczyć coś innego. To jedno z wyzwań związanych z narzędziami: możliwość wprowadzenia tych zmian i uzyskania tego, czego potrzebujesz, i do tego właśnie chcemy dotrzeć.
Dez Blanchfield: Myślę, że wyzwanie audytora zmienia się regularnie w świetle faktu, że świat porusza się szybciej. I kiedyś, z mojego punktu widzenia, wymaganie z punktu widzenia audytu było po prostu czystą zgodnością handlową, a następnie stało się zgodnością techniczną, a teraz jest zgodnością operacyjną. I są te wszystkie inne, wiesz, każdego dnia, gdy ktoś się pojawia i nie mierzy cię tylko na podstawie działania ISO 9006 i 9002, patrzy na różne rzeczy. Widzę teraz, że seria 38 000 staje się również ważna w ISO. Wyobrażam sobie, że będzie to coraz trudniejsze. Zaraz przekażę Robinowi, ponieważ zwiększałem przepustowość.
Dziękuję bardzo, widzę to i zdecydowanie spędzę więcej czasu na poznawaniu tego, ponieważ tak naprawdę nie zdawałem sobie sprawy, że tak naprawdę było to tak głęboko. Dziękuję, Ignacio, idę teraz do Robina. Świetna prezentacja, dziękuję. Robin, naprzeciwko ciebie.
Dr Robin Bloor: Dobra Iggy, zadzwonię do ciebie Iggy, jeśli nie masz nic przeciwko. Co mnie dręczy i myślę, że w świetle niektórych rzeczy, które Dez powiedział w swojej prezentacji, dzieje się tam strasznie dużo rzeczy, które trzeba powiedzieć, że ludzie naprawdę nie dbają o dane. Wiesz, zwłaszcza, że sprowadza się to do tego, że widzisz tylko część góry lodowej i prawdopodobnie wiele się dzieje, o których nikt nie donosi. Interesuje mnie twoja perspektywa tego, ilu klientów, których znasz, lub potencjalnych klientów, których znasz, ma poziom ochrony, który oferujesz, nie tylko z tym, ale także technologia dostępu do danych? Mam na myśli, kto jest odpowiednio wyposażony, aby poradzić sobie z zagrożeniem, pytanie?
Ignacio Rodriguez: Kto jest odpowiednio wyposażony? Mam na myśli, że wielu klientów, z którymi tak naprawdę nie przeprowadziliśmy żadnego audytu, wiesz. Mieli już kilka, ale najważniejsze jest to, aby nadążyć za tym, utrzymać go i upewnić się. Dużym problemem, jaki widzieliśmy, jest - a nawet ja, kiedy robiłem zgodność, to - jeśli uruchamiałeś swoje skrypty, robiłbyś to raz na kwartał, kiedy przychodzili audytorzy i odkryłeś problem. Cóż, zgadnij co, jest już za późno, audyt jest tam, audytorzy tam są, chcą swojego raportu, oflagują go. A potem albo dostaniemy ocenę, albo powiedziano nam, hej, musimy naprawić te problemy, i to właśnie tam się pojawi. Byłoby to bardziej proaktywne, w którym można znaleźć swoje ryzyko i zmniejszyć ryzyko, i to jest czego szukają nasi klienci. Sposób, aby być nieco proaktywnym, a nie reaktywnym, gdy audytorzy wchodzą i dowiadują się, że niektórych dostępów nie ma tam, gdzie są, inni ludzie mają uprawnienia administracyjne i nie powinni ich mieć, tego rodzaju rzeczy. I tam otrzymaliśmy wiele opinii, że ludzie lubią to narzędzie i używają go.
Dr Robin Bloor: Dobra, mam jeszcze jedno pytanie, które jest poniekąd oczywiste, ale jestem po prostu ciekawy. Ilu ludzi faktycznie przychodzi do ciebie po włamaniu? Gdzie, wiesz, dostajesz biznes, nie dlatego, że spojrzeli na swoje środowisko i doszli do wniosku, że trzeba je zabezpieczyć w znacznie bardziej zorganizowany sposób, ale tak naprawdę jesteś tam po prostu dlatego, że już cierpieli z powodu ból.
Ignacio Rodriguez: Podczas mojego pobytu w IDERA nie widziałem żadnego. Szczerze mówiąc, większość interakcji, które miałem z klientami, z którymi byłam zaangażowana, są bardziej wyczekiwane i próbują rozpocząć audyt i zaczną patrzeć na przywileje itp. Tak jak powiedziałem, ja sam nie doświadczyłem tutaj czasu, że mieliśmy kogoś, kogo znam po naruszeniu.
Dr Robin Bloor: Och, to interesujące. Myślałbym, że byłoby ich co najmniej kilka. Właściwie patrzę na to, ale dodam do tego wszystkie zawiłości, które w rzeczywistości zapewniają bezpieczeństwo danych w całym przedsiębiorstwie pod każdym względem i przy każdej wykonywanej czynności. Czy oferujecie doradztwo bezpośrednio, aby pomóc ludziom? To znaczy, jasne jest, że można kupić narzędzia, ale z mojego doświadczenia wynika, że często ludzie kupują zaawansowane narzędzia i bardzo źle z nich korzystają. Czy oferujecie konkretne doradztwo - co robić, kogo szkolić i tym podobne?
Ignacio Rodriguez: Istnieje kilka usług, które możesz, w zakresie usług pomocniczych, które pozwolą na niektóre z nich. Ale jeśli chodzi o doradztwo, nie świadczymy żadnych usług doradczych, ale szkolenia, wiesz, jak korzystać z takich narzędzi i tego typu rzeczy, niektóre z nich zostałyby rozwiązane na poziomie wsparcia. Ale per se nie mamy działu usług, który wychodzi i to robi.
Dr Robin Bloor: OK. Jeśli chodzi o bazę danych, którą obejmujesz, prezentacja tutaj wspomina tylko o Microsoft SQL Server - czy ty również robisz Oracle?
Ignacio Rodriguez: Najpierw rozszerzymy się na obszar Oracle z Compliance Managerem. Zaczniemy od tego projekt, więc zamierzamy rozszerzyć go na Oracle.
Dr Robin Bloor: Czy prawdopodobnie pójdziesz gdzie indziej?
Ignacio Rodriguez: Tak, to jest coś, na co musimy spojrzeć w mapach drogowych i zobaczyć, jak się rzeczy mają, ale to niektóre z rzeczy, które rozważamy, to także inne platformy baz danych, które musimy zaatakować.
Dr Robin Bloor: Byłem również zainteresowany podziałem, nie mam z góry żadnego takiego obrazu, ale jeśli chodzi o wdrożenia, ile z tego faktycznie jest wdrażane w chmurze, czy jest prawie w całości na miejscu ?
Ignacio Rodriguez: Wszystko na miejscu. Chcemy rozszerzyć również Secure, aby obejmował platformę Azure, tak.
Dr Robin Bloor: To było pytanie Azure, jeszcze cię tam nie ma, ale jedziesz tam, to ma sens.
Ignacio Rodriguez: Tak, wkrótce tam pojedziemy.
Dr Robin Bloor: Tak, cóż, rozumiem od Microsoftu, że Microsoft SQL Server na platformie Azure ma strasznie dużo akcji. Staje się, jeśli chcesz, kluczową częścią tego, co oferują. Drugie pytanie, które mnie interesuje - nie ma charakteru technicznego, jest raczej pytaniem typu „jak się angażować” - kto jest tym nabywcą? Czy kontaktuje się z Tobą dział IT lub CSO, czy może jest to inna osoba? Czy rozważając coś takiego, bierze się pod uwagę całą serię rzeczy mających na celu ochronę środowiska? Jaka jest tam sytuacja?
Ignacio Rodriguez: To mieszanka. Mamy CSO, wiele razy zespół sprzedaży kontaktuje się i rozmawia z DBA. Następnie DBA zostały ponownie czarterowane przy wprowadzaniu pewnego rodzaju zasad procesu kontroli. Następnie stamtąd ocenią narzędzia i zdadzą raport z łańcucha i podejmą decyzję, którą część chcą kupić. Ale to mieszana torba, która skontaktuje się z nami.
Dr Robin Bloor: OK. Myślę, że wrócę teraz do Erica, ponieważ wykonaliśmy godzinę, ale mogą pojawić się pytania od publiczności. Eric?
Eric Kavanagh: Tak, na pewno spaliliśmy tutaj wiele dobrych treści. Oto jedno naprawdę dobre pytanie, które przedstawię wam od jednego z uczestników. Mówi o blockchain io czym mówisz, i pyta, czy jest możliwy sposób migracji części tylko do odczytu bazy danych SQL do czegoś podobnego do tego, co oferuje blockchain? To trochę trudne.
Ignacio Rodriguez: Tak, będę z tobą szczery, nie mam na to odpowiedzi.
Eric Kavanagh: Przerzucę to Robin. Nie wiem, czy słyszałeś to pytanie, Robin, ale on tylko pyta, czy istnieje sposób na migrację części tylko do odczytu bazy danych SQL do czegoś podobnego do tego, co oferuje blockchain? Co myślicie o tym?
Dr Robin Bloor: To znaczy, że jeśli zamierzasz przeprowadzić migrację bazy danych, migrujesz również ruch bazy danych. Jest w tym cały zestaw złożoności. Ale nie zrobiłbyś tego z innego powodu niż uczynienie danych nienaruszalnymi. Ponieważ dostęp do blockchaina będzie wolniejszy, więc wiesz, jeśli twoja szybkość to twoja sprawa - i prawie zawsze jest to - nie zrobiłbyś tego. Ale jeśli chcesz zapewnić, w pewnym sensie, zaszyfrowany dostęp do części tego kodu niektórym ludziom robiącym takie rzeczy, możesz to zrobić, ale musisz mieć bardzo dobry powód. O wiele bardziej prawdopodobne jest pozostawienie go tam, gdzie jest i zabezpieczenie go tam, gdzie jest.
Dez Blanchfield: Tak, zgadzam się na to, jeśli mogę szybko ważyć. Myślę, że wyzwanie związane z blockchainem, nawet publicznie dostępnym blockchainem, jest używane na bitcoinach - trudno nam go skalować poza, w przybliżeniu, cztery transakcje na minutę w sposób całkowicie rozproszony. Nie tyle ze względu na wyzwanie obliczeniowe, chociaż tam są, pełne węzły mają trudności z nadążaniem za woluminami bazy danych przesuwającymi się do tyłu i do przodu oraz ilością kopiowanych danych, ponieważ są to teraz koncerty, a nie tylko megabajty.
Myślę też, że kluczowym wyzwaniem jest zmiana architektury aplikacji, ponieważ w bazie danych chodzi przede wszystkim o przeniesienie wszystkiego do centralnej lokalizacji i masz ten model typu klient-serwer. Blockchain jest odwrotnością; chodzi o kopie rozproszone. Pod wieloma względami przypomina BitTorrent, a to dlatego, że wiele kopii zawiera te same dane. I wiesz, jak Cassandra i bazy danych w pamięci, w których je rozpowszechniasz, a wiele serwerów może dać ci kopie tych samych danych z rozproszonego indeksu. Myślę, że dwie kluczowe części, jak powiedziałeś, Robin, to: jedna, jeśli chcesz ją zabezpieczyć i upewnić się, że nie można jej skradzić ani zhakować, to świetnie, ale niekoniecznie jest to jeszcze platforma transakcyjna, a my Doświadczyłem tego z projektem bitcoin. Ale teoretycznie inni to rozwiązali. Ale pod względem architektonicznym wiele aplikacji po prostu nie wie, jak wysyłać zapytania i czytać z blockchaina.
Tam jest wiele do zrobienia. Ale myślę, że kluczową kwestią w tym pytaniu jest, jeśli tylko mogę, uzasadnienie przeniesienia go do blockchaina, myślę, że zadawane pytanie brzmi: czy możesz wyjąć dane z bazy danych i ustawić je w jakiejś formie, która więcej Ochrony? Odpowiedź brzmi: możesz zostawić go w bazie danych i po prostu zaszyfrować. Istnieje teraz wiele technologii. Po prostu szyfruj dane w spoczynku lub w ruchu. Nie ma powodu, dla którego nie można zaszyfrować danych w pamięci i bazie danych na dysku, co jest znacznie prostszym wyzwaniem, ponieważ nie ma jednej zmiany architektonicznej. Niezmiennie większość platform baz danych, w rzeczywistości jest to tylko funkcja, która zostaje włączona.
Eric Kavanagh: Tak, mamy jeszcze jedno pytanie, które ci odpowiem, Iggy. Jest całkiem niezły. Z perspektywy umowy SLA i planowania zdolności produkcyjnych, jaki rodzaj podatku wiąże się z korzystaniem z systemu? Innymi słowy, jakieś dodatkowe opóźnienia lub narzut związany z wydajnością, jeśli w systemie produkcyjnej bazy danych ktoś chce zaangażować tutaj technologię IDERA?
Ignacio Rodriguez: Naprawdę nie widzimy większego wpływu. Ponownie, jest to produkt bez agentów i wszystko zależy od, jak wspomniałem wcześniej, migawek. Bezpieczny oparty jest na migawkach. Pojawi się tam i faktycznie stworzy pracę, która będzie tam na podstawie wybranych przedziałów. Albo chcesz to zrobić ponownie, raz w tygodniu, codziennie, co miesiąc. Wyjdzie tam i wykona to zadanie, a następnie zgromadzi dane z instancji. W tym momencie ładunek wraca do usług zarządzania i gromadzenia danych, a po rozpoczęciu porównań obciążenie bazy danych nie odgrywa w tym żadnej roli. Całe to obciążenie spoczywa teraz na serwerze zarządzania i gromadzenia danych, jeśli chodzi o porównania i wszystkie raporty i tak dalej. Trafienie do bazy danych następuje tylko wtedy, gdy faktycznie wykonuje migawkę. I tak naprawdę nie mieliśmy żadnych doniesień, że naprawdę szkodzi to środowiskom produkcyjnym.
Eric Kavanagh: Tak, to naprawdę dobra uwaga, którą tu przedstawiłeś. Zasadniczo możesz po prostu ustawić, ile kiedykolwiek zrobisz migawek, jaki jest ten przedział czasu i w zależności od tego, co może się zdarzyć, ale to bardzo inteligentna architektura. To dobrze, stary. Cóż, jesteście na pierwszej linii frontu, próbując ochronić nas przed wszystkimi hakerami, o których rozmawialiśmy w pierwszych 25 minutach programu. I są tam, ludzie, nie popełnijcie błędu.
Słuchaj, opublikujemy link do tego webcastu, archiwów, na naszej stronie insideanalysis.com. Możesz znaleźć rzeczy na SlideShare, możesz je znaleźć na YouTube. I ludzie, dobre rzeczy. Przy okazji, dziękuję za poświęcony mi czas, Iggy. Uwielbiam twój nick. Dzięki temu pożegnamy się, ludzie. Dziękuję bardzo za poświęcony czas i uwagę. Spotkamy się następnym razem. PA pa.
