Ära võtma: Host Eric Kavanagh arutab dr Robin Bloori ja IDERA Vicky Harpiga turvalisust ja õigusi.
Te pole praegu sisse logitud. Video nägemiseks logige sisse või registreeruge.
Eric Kavanagh: OK, daamid ja härrad, tere ja tervitame teid taas. See on kolmapäev, neli idaosa ja kogu ettevõtlustehnoloogia maailmas, mis tähendab taas kord Hot Technologiesi jaoks! Jah, tõesti. Esineb loomulikult Bloori rühm, meie Techopedia sõprade toel. Tänane teema on tõeliselt lahe: „Parem küsi luba: privaatsuse ja turvalisuse parimad tavad.“ Tõsi, see on selline raske teema, paljud inimesed räägivad seda, kuid see on üsna tõsine teema ja see muutub tõepoolest iga päevaga tõsisemalt, ausalt öeldes. See on paljude organisatsioonide jaoks mitmel viisil tõsine probleem. Me rääkisime sellest ja kavatsesime rääkida sellest, mida saate teha oma organisatsiooni kaitsmiseks nende ebameeldivate tegelaste eest, kes tänapäeval näivad olevat kõikjal.
Nii et tänane saatejuht on Vicky Harp, kes helistab IDERA-st. IDERA tarkvara näete saidil LinkedIn - ma armastan LinkedIni uut funktsionaalsust. Ehkki ma võin öelda, et nad tõmbavad teatud viisil mingeid stringe, mitte ei lase teil inimestel juurde pääseda, üritavad teid neid premium-liikmelisusi ostma. Seal, kus sa käid, on meil oma Robin Bloor, kes helistavad tänapäeval San Diegos. Ja teie kui moderaator / analüütik.
Mis me siis räägime? Andmete rikkumised. Võtsin just selle teabe saidilt IdentityForce.com, see on juba võistlustele väljas. Kui see aasta oli muidugi mai ja seal on vaid üks hulk andmerikkumisi, on neid tõesti tohutult palju, muidugi Yahoo! oli suur ja kuulsime muidugi USA valitsuse häkkimisest. Prantsuse valimised olid just häkkinud.
See toimub kõikjal, jätkub ja ei peatu, nii et see on reaalsus, see on uus reaalsus, nagu öeldakse. Peame tõesti mõtlema oma süsteemide ja andmete turvalisuse tagamise võimaluste üle. Ja see on pidev protsess, nii et on just õige aeg mõelda läbi kõik erinevad küsimused, mis mängu tulevad. See on vaid osaline loetelu, kuid see annab teile ülevaate sellest, kui ebakindel olukord on tänapäeval ettevõttesüsteemide osas. Ja enne seda saadet rääkisime oma show-eelses reklaamiprogrammis lunavaraprogrammidest, mis on tabanud kedagi, keda ma tean, mis on väga ebameeldiv kogemus, kui keegi võtab teie iPhone'i üle ja nõuab teilt raha, et saaksite oma telefonile tagasi juurdepääsu. Kuid juhtub, juhtub arvutitega, juhtub süsteemidega, ma nägin just teisel päeval, kuidas see juhtub miljardäridega nende jahiga. Kujutage ette, et lähete ühel päeval oma jahi juurde, proovides kõigile oma sõpradele muljet avaldada ja te ei saa isegi seda sisse lülitada, sest mõni varas on varastanud juurdepääsu juhtnuppudele. Ma just ütlesin teisel päeval kellelegi antud intervjuus, laske käsitsi alati üle. Nagu mina, pole ma kõigi ühendatud autode suur fänn - isegi autosid saab häkkida. Häkkida saab kõike, mis on ühendatud Internetiga või ühendatud võrguga, millest on võimalik läbi tungida.
Niisiis, siin on vaid mõned punktid, mida tuleks kaaluda olukorra tõsiasja kujundamisel. Veebipõhised süsteemid on tänapäeval kõikjal, nende vohamine jätkub. Kui paljud inimesed ostavad veebist kraami? Just tänapäeval läbi katuse, see on põhjus, miks Amazon on tänapäeval nii võimas jõud. Selle põhjuseks on asjaolu, et nii paljud inimesed ostavad veebist kraami.
Niisiis, mäletate, siis toona, 15 aastat tagasi, olid inimesed päris närvis oma krediitkaardi veebivormi panemise kohta, et oma teavet hankida, ja siis oli argument: „Noh, kui annate oma krediitkaardi kelnerile restoran, siis on sama asi. ”Niisiis, meie vastus on jah, see on sama asi, seal on kõik need kontrollpunktid või pääsupunktid, sama asi, sama mündi eri küljed, kuhu saab inimesi panna ohtu, kus keegi võib teie raha ära võtta või keegi teie käest varastada.
Siis laiendab asjaomane asjade Internet muidugi suuruse järjekordadega ohtude maastikku - ma armastan seda sõna. Ma mõtlen, et mõelge sellele - kui kõik need uued seadmed on kõikjal olemas, kui keegi saab häkkida neid kontrollivaks süsteemiks, saab ta kõik need robotid teie vastu pöörata ja tekitada palju-palju probleeme, nii et see on väga tõsine probleem. Nendel päevadel on meil globaalne majandus, mis laiendab ohtude maad veelgi ja mis veelgi, teil on teistes riikides inimesi, kes saavad veebi juurde pääseda samamoodi nagu teie ja mina, ja kui te ei tea, kuidas vene keelt rääkida, või suvalises arvul teistes keeltes, on sul raske aru saada, mis juhtub, kui nad sinu süsteemi sisse häkivad. Nii et meil on võrkude loomise ja virtualiseerimise osas edusamme tehtud, see on ka hea.
Kuid mul on siin pildil paremal pool mõõk ja põhjus, miks see seal asub, on see, et iga mõõk lõikab mõlemat pidi. See on kahe teraga mõõk, nagu öeldakse, ja see on vana klišee, kuid see tähendab, et see mõõk, mis mul on, võib teid kahjustada või võib kahjustada mind. See võib minu peale tagasi tulla, kas tagasi põrgatades või sellega, et keegi võtab. See on tegelikult üks Aesops-muinasjuttudest - me anname oma vaenlastele sageli omaenda hävitamise tööriistu. See on tõesti üsna kaalukas süžee ja see on seotud kellegagi, kes kasutas vibu ja noolt ning laskis linnu maha ja lind nägi, kui nool üles tuli, see, et tema ühe kanasõbra sulgedest oli noole servas, noole tagaküljel, et seda suunata, ja ta mõtles endamisi: “Oh mees, siin see on, mu suled, mu enda perekond hakkavad mind ära võtma.” Seda juhtub kogu aeg, kuuled statistika selle kohta, et teil on majas relv, varas saab relva võtta. Noh, see on kõik tõsi. Niisiis, kui ma viskan selle välja analoogiana vaid kaalumiseks, on kõigil neil erinevatel arengutel positiivsed ja negatiivsed küljed.
Ja rääkides konteineritest neile, kes tõesti järgivad ettevõtte infotehnoloogia tipptasemel, siis konteinerid on uusim asi, uusim viis funktsionaalsuse pakkumiseks, virtualiseerimise abielu teenusele orienteeritud arhitektuuris, vähemalt mikroteenuste ja selle jaoks väga huvitav värk. Kindlasti saate konteinerite abil oma turvaprotokollid ja rakenduse protokollid ning andmed ja nii edasi segi ajada. See annab teile teatud aja jooksul ettemaksu, kuid varem või hiljem hakkavad pahad seda välja mõtlema, ja siis on veelgi raskem takistada neid teie süsteeme ära kasutamast. Nii on ka globaalne tööjõud, mis raskendab võrku ja turvalisust ning kuhu inimesed sisse logivad.
Oleme saanud brauserisõjad, mis jätkuvad kiiresti ja vajavad pidevat tööd, et värskendada ja asjadega kursis olla. Me kuuleme vanade Microsoft Exploreri brauserite kohta, kuidas neid häkkida ja seal saadaolevaid on. Niisiis, tänapäeval on häkkimise teenimiseks rohkem raha vaja kogu tööstusele, see on asi, mida mu partner dr Bloor mulle kaheksa aastat tagasi õpetas - ma mõtlesin, miks me seda nii palju näeme, ja ta tuletas meelde mina, see on kogu häkkimisega seotud tööstus. Ja selles mõttes on narratiiv, mis on üks minu kõige vähem lemmiksõnu turvalisuse kohta, tõesti väga ebaaus, sest narratiiv näitab teile kõigis nendes videotes ja igasuguses uudistekajastuses mingisuguseid häkkimisi, mis näitavad, et mõni kutt on kapuutsi all, istub tema keldris pimedas valgustatud ruumis pole see sugugi nii. See ei esinda sugugi tegelikkust. Selle üksikud häkkerid, üksikuid häkkereid on väga vähe, nad on seal väljas, põhjustades probleeme - nad ei hakka suuri probleeme tekitama, kuid nad saavad teenida palju raha. Mis juhtub, on see, et häkkerid tulevad sisse ja tungivad teie süsteemi sisse ning müüvad siis selle juurdepääsu kellelegi teisele, kes pöördub ümber ja müüb selle kellelegi teisele, ja siis kuskil allpool kasutab keegi seda häkki ja kasutab teid ära. Ja varastatud andmete ärakasutamiseks on lugematu arv viise.
Olen isegi imestanud endamisi, kuidas me seda kontseptsiooni glamuurime. Näete seda mõistet kõikjal, "kasvu häkkimine" nagu hea asi. Kasvu häkkimine, teate, häkkimine võib olla hea asi, kui proovite nii-öelda heade kuttide heaks töötada ja häkkida süsteemi, nagu me Põhja-Koreaga seoses räägime ja nende rakettide käivitamisest, potentsiaalselt häkkimisest - see on hea . Kuid häkkimine on sageli halb asi. Nii et nüüd glamuurisid seda, peaaegu nagu Robin Hood, kui me Robin Hoodit glamuurisime. Ja siis on sularahata ühiskond midagi, mis ausalt öeldes puudutab minust päevavalgust. Ma arvan, et iga kord, kui kuulen seda: “Ei, palun ärge tehke seda! Palun ära! ”Ma ei taha, et kogu meie raha kaoks. Niisiis, need on vaid mõned küsimused, mida tuleks kaaluda, ja jällegi, see on kassi ja hiire mäng; see ei peatu kunagi, alati on vaja turbeprotokolle ja turbeprotokolle. Ja oma süsteemide jälgimiseks nende kõigi teadmiseks ja tundmiseks, kes mõistavad, et see võib olla isegi sisetöö. Niisiis, see on pidev teema, see saab olema pikka aega jätkuv teema - ärge tehke selles viga.
Ja koos sellega annan selle üle Dr. Bloorile, kes saab meiega jagada mõtteid andmebaaside turvamise kohta. Robin, vii see ära.
Robin Bloor: OK, üks huvitavaid häkkereid, ma arvan, et see juhtus umbes viis aastat tagasi, kuid häkkis põhimõtteliselt kaarditöötlusettevõtet. Ja palju varastati kaardi andmeid. Kuid minu jaoks oli selle jaoks huvitav asjaolu, et tegelikult sattusid nad testi andmebaasi, ja ilmselt oli neil nii, et neil oli kaartide töötlemise tegelikku andmebaasi pääsemine väga keeruline. Kuid teate, kuidas arendajatega on, nad lihtsalt lõikavad andmebaasi ja sisestavad selle sinna. Selle peatamiseks oleks pidanud olema palju valvsam. Kuid seal on palju huvitavaid häkkivaid lugusid, see teeb ühest valdkonnast väga huvitava teema.
Nii et kavatsen ühel või teisel viisil tegelikult korrata mõnda Ericu öeldut, kuid on lihtne mõelda andmeturbele kui staatilisele sihtmärgile; see on lihtsam just seetõttu, et seda on lihtsam staatilisi olukordi analüüsida ja siis mõelda kaitsemehhanismide sisseviimisele, kaitsemehhanismidele, kuid see pole nii. Selle liikuv sihtmärk ja see on üks neist asjadest, mis määratleb kogu turvaruumi. Nii nagu kogu tehnoloogia areneb, areneb ka halbade poiste tehnoloogia. Niisiis, lühike ülevaade: andmete vargus pole midagi uut, tegelikult on andmete spionaaž andmete vargus ja ma arvan, et see toimub tuhandeid aastaid.
Suurim andmestik selles mõttes oli see, et britid purustasid Saksa koode ja ameeriklased murdsid Jaapani koode, ning mõlemal juhul lühendasid nad sõda märkimisväärselt. Ja nad varastasid lihtsalt kasulikke ja väärtuslikke andmeid, see oli muidugi väga nutikas, kuid teate, mis praegu toimub, on mitmel moel väga tark. Kübervargused sündisid Internetiga ja plahvatasid 2005. aasta paiku. Läksin ja vaatasin kõiki statistilisi andmeid ning seda, millal hakkasite alates 2005. aastast tõepoolest tõsiseltvõetavaks muutuma ja mingil või teisel moel märkimisväärselt suur number. See on lihtsalt süvenenud, kuna siis. Kaasatud on paljud mängijad, valitsused, ettevõtted, häkkerirühmad ja üksikisikud.
Ma läksin Moskvasse - see pidi olema umbes viis aastat - ja veetsin tegelikult palju aega Suurbritannia mehega, kes uuris kogu häkkimisruumi. Ja ta ütles, et - ja mul pole aimugi, kas see vastab tõele - Ive sai sellest ainult sõna, kuid see kõlab väga tõenäolisena - et Venemaal on midagi sellist, mida nimetatakse ärivõrguks, mis on häkkerite rühm, mis kõik olete teie teate, nad tulid KGB varemetest välja. Ja nad müüvad ennast, mitte ainult, ma mõtlen, et olen kindel, et Venemaa valitsus kasutab neid, aga nad müüvad end kellelegi, ja see oli kuulujutt, või ta ütles, et see oli kuulujutt, et erinevad välisriikide valitsused kasutasid ärivõrgustikku usutavaks erapooletuseks . Neil kuttidel oli miljonite ohtudega personaalarvutite võrke, millelt nad ründasid. Ja neil olid kõik tööriistad, mida võite ette kujutada.
Nii arenes välja rünnaku ja kaitse tehnoloogia. Ja ettevõtetel on kohustus hoolitseda oma andmete eest hoolimata sellest, kas nad omavad seda või mitte. Ja see, mis hakkab tegelikult juba jõus olevate või jõustuvate mitmesuguste määruste osas selgemaks saama, on selge. Ja tõenäoliselt paraneb, mõned kerega ühel või teisel viisil, keegi peab häkkimise kulud kandma nii, et nad on ajendatud seda võimalust sulgema. See on üks asju, mis on minu arvates vajalik. Nii et häkkerite kohta võivad nad asuda ükskõik kus. Eriti teie organisatsioonis - kohutavalt palju geniaalseid häkke, millest ma kuulsin, hõlmas kedagi ust. Tead, see inimene on nagu pangaröövli olukord, peaaegu alati ütlesid nad heade pangaröövide korral siseringi. Kuid siseringis on vaja ainult teavet välja anda, nii et neid on keeruline hankida, teada, kes see oli jne. Ja nii edasi.
Ja nende vastutusele võtmine võib olla keeruline, sest kui teid on Moldovas rühm inimesi häkkinud, isegi kui te teate, et see oli see grupp, kuidas te kavatsete nende ümber toimuda mingisuguseid juriidilisi sündmusi? Omalaadne, ühest jurisdiktsioonist teise, õiglane, häkkerite leidmiseks pole olemas väga head rahvusvahelisi kokkuleppeid. Nad jagavad tehnoloogiat ja teavet; suur osa sellest on avatud lähtekoodiga. Kui soovite luua oma viiruse, on seal palju viirusekomplekte - täiesti avatud lähtekoodiga. Ja neil on märkimisväärsed ressursid, paljudel on olnud botneteid enam kui miljonis andmekeskuses ja personaalarvutites ohustatud seadmes ja nii edasi. Mõned neist on kasumlikud ettevõtted, mis on juba pikka aega käinud, ja siis, nagu ma mainisin, on need valitsusgrupid.Nagu Eric ütles, on ebatõenäoline, et see nähtus kunagi lõpeb.
Niisiis, see on huvitav häkk, mida ma just mõtlesin mainida, sest see oli üsna hiljutine häkkimine; see juhtus eelmisel aastal. Etherium krüptorahaga seotud DAO leping oli haavatav. Ja seda arutati foorumil ning ühe päeva jooksul hävitati DAO leping, kasutades seda haavatavust täpselt. 50 miljonit dollarit eetris eraldati, põhjustades DAO projektis viivitamatu kriisi ja sulgedes selle. Ja Etherium võitles tegelikult selle eest, et häkkeril poleks raha juurde pääseda, ja nad vähendasid tema kulusid. Kuid usuti ka - pole kindlalt teada -, et häkker lühistas eetri hinda enne rünnakut tegelikult, teades, et eetri hind kukub kokku, ja teenis sellega muul viisil kasumit.
Ja see on veel üks stratagem, mida häkkerid saavad kasutada. Kui nad võivad teie aktsia hinda rikkuda ja nad teavad, et nad seda ka teevad, on neil vaid vaja aktsia hinda lühendada ja häkkida, nii et see on, need tüübid on nutikad, teate. Ja hind on raha täielik vargus, katkestamine ja lunaraha, sealhulgas investeeringud, kus saate varusid segada ja lühendada, sabotaaži, identiteedivargused, igasugused pettused, just reklaami huvides. Ja see kipub olema poliitiline või ilmselt teabe nuhkimine ja on isegi inimesi, kes teenivad elatist veapakkumistest, mida saate Google'i, Apple'i häkkimisega proovida - isegi Pentagon annab tõepoolest veapakkumisi. Ja sa lihtsalt hakkad; kui see õnnestub, siis lihtsalt minnakse oma auhinda välja nõudma ja kahju ei tehta, nii et see on tore asi, teate.
Sama hästi võiksin mainida vastavust ja regulatsiooni. Lisaks sektoripõhistele algatustele on USA seadusandluseks palju ametlikke määrusi: HIPAA, SOX, FISMA, FERPA ja GLBA. On olemas standardid; PCI-DSS on muutunud üsna üldiseks standardiks. Ja siis on ISO 17799 andmete omamise kohta. Riiklikud eeskirjad on riigiti erinevad, isegi Euroopas. Ja praegu seisab GDPR - globaalsed andmed, mille eest see seisab? Ülemaailmne andmekaitsemäärus, ma arvan, seisab selle eest - aga see jõustub järgmisel aastal, ütles ta. Ja huvitav on see, et see kehtib kogu maailmas. Kui teil on 5000 või enamat klienti, kelle kohta olete saanud isiklikku teavet, ja nad elavad Euroopas, siis viib Euroopa teid tegelikult tööle, olenemata sellest, kas teie ettevõtte peakontor asub või kus ta tegutseb. Ja karistused, maksimaalne karistus on neli protsenti aastasest tulust, mis on lihtsalt tohutu, nii et see oleks jõustumisel kogu maailmas huvitav keerdus.
Mõelda tuleks ka DBMS-i haavatavustele - enamik väärtuslikest andmetest asub tegelikult andmebaasides. See on väärtuslik, kuna me oleme selle kättesaadavaks tegemiseks ja korralikuks korraldamiseks kulunud tohutult palju aega ning see muudab selle haavatavamaks, kui te tegelikult ei rakenda õigeid DBMS-i väärtpabereid. Ilmselgelt, kui plaanite selliseid asju kavandada, peate tuvastama, millised on haavatavad andmed kogu organisatsioonis, pidades meeles, et andmed võivad erinevatel põhjustel olla haavatavad. See võib olla kliendiandmed, kuid samamoodi võivad olla ka sisedokumendid, mis on väärtuslikud spionaaži eesmärkidel jne. Turvapoliitika, eriti juurdepääsu turvalisuse osas - mis viimasel ajal on minu arvates olnud väga nõrk uues avatud lähtekoodiga värvis - on krüpteerimist hakanud rohkem kasutama, kuna see on üsna kivine.
Turvalisuse rikkumise maksumus, mida enamik inimesi ei teadnud, kuid kui te vaatate, mis juhtus turvarikkumisi kannatanud organisatsioonidega, selgub, et turvarikkumise hind on sageli palju suurem, kui te arvate, et see oleks. Ja siis teine asi, millele mõelda, on rünnakupind, sest mis tahes tarkvara, mis teie organisatsioonide juures töötab, kujutab endast rünnaku pinda. Tehke ükskõik millist seadet, samuti andmeid, olenemata sellest, kuidas neid hoitakse. Lõpuks, rünnakupind kasvab koos asjade internetiga, rünnakupind tõenäoliselt kahekordistub.
Lõpetuseks - DBA ja andmeturve. Andmeturve on tavaliselt osa DBA rollist. Kuid ka selle koostöö. Ja see peab alluma ettevõtte poliitikale, vastasel juhul ei rakendata seda tõenäoliselt hästi. Seda öeldes arvan, et suudan palli edasi anda.
Eric Kavanagh: Hea küll, las ma annan võtmed Vickyle. Ja saate oma ekraani jagada või liikuda nendele slaididele, see on teie otsustada, selle ära võtta.
Vicky Harp: Ei, ma alustan nende slaididega, tänan teid väga. Jah, jah, ma tahtsin lihtsalt võtta kiire hetke ja end tutvustada. Im Vicky Harp. IDERA tarkvara SQL-toodete haldur, SQL-toodete haldur ja teie jaoks, kes meist võib-olla mitte tuttavad, on IDERA-l mitmeid tootesarju, kuid räägin siin asjade SQL Serveri poole eest. Ja nii me teostame jõudluse jälgimist, turvalisuse järgimist, varundamist, haldustööriistu - ja just nende loetlemist. Ja muidugi, mida ma täna siin rääkida tahan, on turvalisus ja vastavus.
Suur osa sellest, millest ma täna rääkida tahan, ei ole tingimata meie tooted, kuigi kavatsen seda hiljem mõned näited näidata. Tahtsin sinuga lähemalt rääkida andmebaaside turvalisusest, mõnedest ohtudest andmebaaside turvalisuse maailmas praegu, mõnele asjale, mida mõelda, ja mõningatest sissejuhatavatest ideedest selle kohta, mida peate oma SQL-i turvalisuse tagamiseks vaatama Serveri andmebaasid ja veenduge ka, et need vastavad õiguslikule raamistikule, mis võib teile kehtida, nagu mainiti. Kehtestatud on palju erinevaid määrusi; nad käivad erinevates tööstusharudes, erinevates kohtades üle maailma ja need on asjad, millele tuleks mõelda.
Niisiis, ma tahaksin võtta natuke aega ja rääkida andmerikkumiste olukorrast - ja mitte korrata liiga palju siin juba arutatud - vaatasin hiljuti seda Inteli turvauuringute uuringut ja nende kogu - Ligikaudu 1500 organisatsiooni, kellega nad rääkisid - andmekaotuse rikkumiste osas oli neil keskmiselt kuus turvarikkumist ja 68 protsenti neist oli mingis mõttes avaldamist nõudnud, nii et need mõjutasid aktsia hinda või pidid nad tegema krediiti klientide või töötajate jälgimine jne
Huvitav muu statistika on see, et sisemised osalejad, kes vastutasid nendest 43 protsenti. Niisiis, paljud inimesed mõtlevad häkkerite ja selliste varjatud kvaasivalitsuslike organisatsioonide või organiseeritud kuritegevuse jms kohta väga palju, kuid sisemised osalejad võtavad siiski üsna suure osa juhtudest otse oma tööandjate vastu meetmeid. Neid on mõnikord raskem kaitsta, kuna inimestel võib olla õigustatud põhjus neile andmetele juurde pääseda. Ligikaudu pool sellest, 43 protsenti, oli mingis mõttes juhuslik kaotus. Nii näiteks juhul, kui keegi viis andmed koju ja kaotas seejärel nende andmete jälgimise, mis viib mind selle kolmanda punktini, nimelt see, et 40 protsenti rikkumistest oli ikka füüsilisse meediumisse kantud kraami. Nii, see on USB-klahvid, inimeste sülearvutid, tegelik meedium, mis põletati füüsilistele plaatidele ja viidi hoonest välja.
Kui te järele mõtlete, kas teil on arendajat, kellel on teie sülearvutis teie tootmisteabe andmebaasi dev-koopia? Siis lähevad nad lennukisse ja väljuvad lennukist ning saavad registreeritud pagasi kätte ja nende sülearvuti varastatakse. Teil on nüüd olnud andmete rikkumine. Te ei pruugi arvata, et see põhjus, miks see sülearvuti võeti, ei pruugi see kunagi ilmneda. Kuid see on ikkagi midagi, mida loetakse rikkumiseks, ja see nõuab avalikustamist, ja teil on selle teabe kaotamise kõik tagajärjed, just selle füüsilise andmekandja kaotamise tõttu.
Ja teine huvitav asi on see, et paljud inimesed arvavad, et krediidiandmed ja krediitkaardiinfo on kõige väärtuslikumad, kuid see pole tegelikult enam nii. Need andmed on väärtuslikud, krediitkaardinumbrid on kasulikud, kuid ausalt öeldes muudetakse neid numbreid väga kiiresti, samas kui inimeste isikuandmeid ei muudeta väga kiiresti. Midagi uut, suhteliselt värsket mänguasjatootja VTechi mänguasja tegid need lastele mõeldud mänguasjad. Ja inimesed tahaksid, et neil oleks oma laste nimed, neil oleks teavet selle kohta, kus lapsed elavad, neil oleks nende vanemate nimed, neil oleks lastega fotod. Ükski neist polnud krüptitud, kuna seda ei peetud oluliseks. Kuid nende paroolid olid krüptitud. Noh, kui rikkumine paratamatult juhtus, ütlete te: „OK, nii et mul on nimekiri laste nimedest, nende vanemate nimedest, kus nad elavad - kogu see teave on seal ja te arvate, et parool oli kõige väärtuslikum osa sellest? ”Seda polnud; inimesed ei saa muuta oma isikuandmete, aadressi jms aspekte. Ja nii, et teave on tegelikult väga väärtuslik ja seda tuleb kaitsta.
Niisiis, tahtsin rääkida mõningatest toimuvatest asjadest, aidata kaasa sellele, et andmerikkumised toimuvad praegu. Üks suurtest levialadest, ruumidest on praegu sotsiaaltehnoloogia. Nii kutsuvad inimesed seda andmepüügiks, kellegi teisena esinemiseks jne, kus inimesed saavad andmetele juurdepääsu, sageli sisemiste osalejate kaudu, lihtsalt veendes neid, et neil peaks olema sellele juurdepääs. Niisiis, just teisel päeval oli meil see Google Docs uss, mis ringi käis. Ja mis siis juhtuks - ja ma sain tegelikult selle koopia, kuigi õnneks ma sellel ei klõpsanud - saite ühelt kolleegilt järgmist: "Siin on Google Doci link; peate sellel klõpsama, et vaadata seda, mida ma just teiega jagasin. ”Noh, organisatsioonis, mis kasutab Google Docs-i, mis on väga tavapärane, saate päevas kümneid neid taotlusi. Kui klõpsaksite sellel, paluks see teil luba sellele dokumendile juurde pääseda ja võib-olla öeldaksite: „Kuule, see näeb natuke imelik välja, aga teate, see näeb ka legitiimne välja, nii et ma käin edasi ja klõpsake sellel, ”Ja niipea kui te seda tegite, andsite sellele kolmandale osapoolele juurdepääsu kõigile oma Google'i dokumentidele ja nii loote selle lingi, mille kaudu see väline osaleja pääseb juurde kõigile teie dokumentidele Google Drive'is. See muretses kõikjal. See tabas mõne tunniga sadu tuhandeid inimesi. Ja see oli põhimõtteliselt andmepüügirünnak, mille Google ise pidi lõpuks sulgema, kuna see viidi väga hästi läbi. Inimesed langesid selle pärast.
Mainin siin SnapChat HR rikkumist. See oli lihtsalt lihtne asi, mille kaudu keegi mõtles, et on tegevjuht, ja astub personaliosakonda, öeldes: “Ma vajan teid mulle seda arvutustabelit.” Ja nad uskusid neid ning panid töölehe, kus oli 700 erinevat töötajat. teave, nende kodused aadressid jne, toimetas selle teisele osapoolele, see polnud tegelikult tegevjuht. Nüüd olid andmed väljas ja kõigi nende töötajate isiklik, isiklik teave oli seal väljas ja kasutamiseks kättesaadav. Niisiis, sotsiaalne inseneriteadus mainib seda andmebaaside maailmas, sest see on asi, mille vastu saate proovida kaitsta hariduse kaudu, kuid peate ka lihtsalt meeles pidama, et kuskil on teie tehnoloogiaga suhtlev inimene, ja kui tuginete seisakute vältimiseks nende heale otsusele, küsite teilt palju.
Inimesed teevad vigu, inimesed klõpsavad asjadel, mis neil ei tohiks olla, inimesed kukuvad nutikate russide eest. Ja võite proovida väga kaitsta neid selle eest, kuid see pole piisavalt tugev. Peate püüdma piirata inimeste võimalust kogemata seda teavet oma andmebaasisüsteemides välja anda. Teine asi, mida ma tahtsin mainida ja millest ilmselgelt räägiti palju, on lunavara, robotid, viirused - kõik need erinevad automatiseeritud viisid. Ja see, mida minu arvates on lunavara kohta oluline mõista, on see, kas see muudab ründajate kasumimudelit tõepoolest. Kui räägite rikkumisest, peavad nad mingis mõttes andmeid hankima, omama ja kasutama. Ja kui teie andmed on ebamäärased, kui need on krüpteeritud, kui see on konkreetne valdkond, siis pole neil võib-olla selle jaoks mingit väärtust.
Kuni selle hetkeni võisid inimesed tunda, et see on nende kaitse: "Mul pole vaja end kaitsta andmete rikkumise eest, sest kui nad satuvad minu süsteemi, on neil ainult vaja, olen fotograafiastuudio. , Mul on nimekiri neist, kes järgmisel aastal järgmistel päevadel tulevad. Keda see huvitab? ”Noh, selgub vastus, kas sa hoolid sellest; salvestate selle teabe, see on teie ärikriitiline teave. Nii et ründaja ütleb lunavara abil: "Noh, keegi teine ei hakka mulle selle eest raha andma, vaid teie seda teete." Niisiis, nad võimendavad asjaolu, et nad ei pea isegi andmeid välja tooma, nad ei pea isegi kui teil on rikkumisi, peavad nad teie jaoks lihtsalt rünnakuvahendeid kasutama. Nad satuvad teie andmebaasi, nad krüpteerivad selle sisu ja ütlevad siis: "OK, meil on parool ja te peate selle parooli saamiseks meile maksma 5000 dollarit. Vastasel juhul pole teil lihtsalt neid andmeid enam. ”
Ja inimesed maksavad ära; nad leiavad, et peavad seda tegema. MongoDB-l oli mõni kuu tagasi omamoodi tohutu probleem, ma arvan, et see oli jaanuaris, kus ransomware tabas minu arust üle miljoni MongoDB andmebaasi, mis neil on Interneti kaudu avalikes kohtades, põhinedes mõnel vaikeseadistusel. Ja mis veel hullemaks tegi, on see, et inimesed maksavad ja nii tulevad muud organisatsioonid sisse ja krüpteerivad uuesti või väidavad, et on olnud need, kes selle algselt krüptisid, nii et kui te maksite oma raha, ja ma arvan, et sel juhul olid nad küsides midagi sellist nagu 500 dollarit, ütleksid inimesed: „Olgu, maksaksin rohkem kui teadlasele siia sisenemine, et aidata mul aru saada, mis valesti läks. Ma maksan lihtsalt 500 dollarit. "Ja nad maksavad isegi selle maksmist õigele näitlejale, nii et nad satuks kuhugi kümnesse erinevasse organisatsiooni, kes ütleksid neile:" Me oleme saanud parooli "või" Me saime teile tee, kuidas lukustatud andmed vabastada. . ”Ja selleks, et see tööle saada, peate maksma neile kõigile.
Seal on olnud ka juhtumeid, kus lunavaraautoritel oli vigu, ma ei rääkinud, et tegemist on ideaalselt üle parda asuva olukorraga, nii et isegi pärast selle ründamist, isegi kui olete maksnud, pole garantii, et saaksite kogu oma andmeid tagasi võttes, on osa sellest keeruline ka relvastatud InfoSeci tööriistade abil. Nii et Varjude maaklerid on rühm, kes levitab vahendeid, mis olid pärit NSA-st. Need olid valitsusüksuse poolt spionaaži jaoks välja töötatud tööriistad, mis tegelikult töötavad teiste valitsusüksuste vastu. Mõned neist on olnud tõeliselt kõrgetasemelised nullpäeva rünnakud, mis põhimõtteliselt panevad teada olevad turvaprotokollid lihtsalt kõrvale. Ja nii oli SMB-protokollis suur haavatavus näiteks ühes hiljutises Shadow Brokersi prügikastis.
Ja nii saavad need siin välja tulevad tööriistad paari tunniga tõesti teie mängu teie rünnaku pinna osas muuta. Nii et kui ma mõtlen selle peale, on see midagi sellist, et organisatsiooni tasandil on Infoseci turvalisus tema enda ülesanne, tuleb seda tõsiselt võtta. Kui ma andmebaasidest rääkisin, siis võin seda natuke maha võtta. Te ei pea andmebaasi administraatorina tingimata saama täielikku arusaamist sellest, mis sellel nädalal Varjude maakleritega toimub, kuid peate teadma, et kõik need muutuvad. , seal on asjad käimas ja seega aitab teie domeen tihedalt ja turvaliselt hoida, see aitab teid tõesti juhul, kui asjad teie alt ära rebitakse.
Niisiis, ma tahtsin siin enne SQL Serverist rääkimist asuda natuke aega, et tegelikult meie paneelimeestega natuke avatud arutelu pidada mõnes andmebaasi turvalisusega seotud kaalutlustes. Nii, et ma jõudsin selleni, mõned asjad, mida me veel maininud pole, tahtsin rääkida SQL-i süstimisest kui vektorist. Niisiis, see on SQL-i süstimine, ilmselgelt viis, kuidas inimesed sisestavad käsud andmebaasisüsteemi sisendite väära vormistamise teel.
Eric Kavanagh: Jah, tegelikult kohtusin ma ühe mehega - ma arvan, et see oli Andrewsi õhujõudude baasis - umbes viis aastat tagasi rääkisin konsultandiga, et rääkisin temaga koridoris ja me jagasime just selliseid sõjalugusid - no pun oli ette nähtud - ja ta mainis, et ta oli kellegi poolt sisse kutsutud, et pidada nõu üsna kõrge sõjaväelasega ja mees küsis temalt: "Noh, kuidas me teame, et sul on hea sellega, mida sa teed?" ja sellel ja teisel. Ja kui ta rääkis nendega, mida ta oma arvutis kasutas, siis ta oli võrku sisse saanud, kasutas ta SQL-i süsti, et pääseda selle baasi ja nende inimeste registrisse. Ja ta leidis isikud, kellega ta rääkis, ja ta näitas talle lihtsalt oma masinat! Ja tüüp oli nagu: “Kuidas sa seda tegid?” Ta vastas: “Noh, ma kasutasin SQL-i süsti.”
Nii, see on alles viis aastat tagasi ja see oli õhuväebaasis, eks? Niisiis, ma mõtlen, et kontra osas on see asi ikka väga reaalne ja seda saaks kasutada tõeliselt hirmuäratavate mõjudega. Ma mõtlen, et mul oleks uudishimulik teada saada mis tahes sõjalugudest, mis Robinil sellel teemal on, kuid kõik need tehnikad kehtivad endiselt. Neid kasutatakse ikka veel paljudel juhtudel ja see on enda harimise küsimus, eks?
Robin Bloor: Nojah. Jah, tööd on võimalik kaitsta SQL-i süstimise eest. Sellest on lihtne aru saada, miks idee leiutamisel ja esmakordsel levitamisel oli lihtne aru saada, miks see nii jumalakartlik õnnestus, sest võite selle lihtsalt veebisaidi sisestusväljale kleepida ja hankida, et see teile andmeid tagastaks või hankida see andmebaasi andmete kustutamiseks või midagi muud - selleks võite lihtsalt sisestada SQL-koodi. Kuid asi, mis mind huvitas, on see, et te teate, et peaksite iga sisestatud andmestiku natuke parsima, kuid on täiesti võimalik märgata, et keegi proovib seda teha. Ja see on tõesti, ma arvan, et see on tõepoolest see, et inimesed ikka pääsevad sellest, ma mõtlen, et see on lihtsalt väga kummaline, et selle vastu pole olnud lihtsat viisi. Tead, et kõik said seda hõlpsalt kasutada, nii palju kui ma tean, Vicky, seda pole veel olnud?
Vicky Harp: Noh, tegelikult on mõnel pantvangilahendusel, näiteks SQL Azure, minu arust olemas mõned päris head tuvastamismeetodid, mis põhinevad masinõppel. Tõenäoliselt on see, mida tulevikus näha saab, midagi sellist, mille proovimine tulla välja sobib kõigile. Ma arvan, et vastus on, et ükski suurus ei sobi kõigile, kuid meil on masinaid, mis saavad teada, milline on teie suurus, ja veenduge, et see sobib teile, eks? Ja nii, et kui teil on valepositiivne, siis sellepärast, et teete tegelikult midagi ebaharilikku, mitte sellepärast, et oleksite pidanud läbi käima ja püüdma hoolikalt tuvastada kõike, mida teie rakendus kunagi teha võib.
Ma arvan, et üks põhjusi, miks see ikka veel nii viljakas on, on see, et inimesed loodavad endiselt kolmandate osapoolte rakendustele ning ISV-de ja nende taotlused aja jooksul raputatakse.Räägite siis organisatsioonist, mis on ostnud insenerirakenduse, mis kirjutati 2001. aastal. Ja nad pole seda uuendanud, sest sellest ajast alates pole suuri funktsionaalseid muudatusi tehtud ja selle algne autor oli omamoodi, et nad olid insenerid , neil on andmebaasi turbeekspert, nad ei teinud rakenduses asju õigesti ja nad olid vektoriks. Minu arusaam on - ma arvan, et see oli tõeliselt suur Target'i andmete rikkumine - rünnakuvektor oli toimunud ühe nende kliimaseadmete tarnija kaudu, eks? Niisiis, nende kolmandate osapoolte probleem võib teil olla, kui teil on oma arenduspood, mõned neist reeglitest, tehes seda üldjoontes igal ajal. Organisatsioonina võib teil töötada kõigi erinevate profiilidega sadu või isegi tuhandeid rakendusi. Arvan, et just siin tuleb masinõpe ja hakkab meid palju aitama.
Minu sõjalugu oli hariv elamine. Sain näha SQL-i süstimisrünnakut ja midagi sellist, mida minu jaoks polnud kunagi varem juhtunud, on see, et kasutatakse lihtsasti loetavat SQL-i. Teen neid asju, mida nimetatakse hävinud P SQL puhkusekaartideks; Mulle meeldib teha, teete selle SQL-i võimalikult segaseks. Seal hävinud C ++ koodikonkurss toimub juba aastakümneid ja seda sama ideed. Nii et tegelikult saite SQL-i süstimise, mis asus avatud stringiväljal, see sulges stringi, pani semikooloni ja pani siis käsu exec sisse, millel oli siis numbriseeria ja siis kasutas see põhimõtteliselt casting käsk nende numbrite binaarseks moodustamiseks ja seejärel casting need omakorda tähemärgiväärtusteks ja seejärel selle käivitamine. Nii, see pole nii, nagu te nägite midagi, mis ütles: „Kustuta käivitamine tootmistabelist”, see oli tegelikult sisestatud numbriväljadesse, mis muutis selle nägemise palju raskemaks. Ja isegi kui te seda nägite, siis toimuva tuvastamiseks kulus reaalseid SQL-pilte, et aru saada, mis toimub, selleks ajaks oli töö muidugi juba tehtud.
Robin Bloor: Ja üks asi, mis on terves häkkimismaailmas lihtsalt nähtus, on see, et kui keegi leiab nõrkuse ja see juhtub olema tükk tarkvara, mis on üldiselt müüdud, siis teate, üks varasemaid probleeme on andmebaasi parool et teile anti andmebaasi installimisel, oli tegelikult palju andmebaase lihtsalt vaikimisi. Ja paljud DBA-d lihtsalt ei muutnud seda kunagi ja seetõttu võis teil siis õnnestuda võrku sattuda; võiksite lihtsalt parooli proovida ja kui see toimiks, siis võitsite just loterii. Ja huvitav on see, et kogu see teave on väga tõhusalt ja mõjusalt levitatav darkneti veebisaitide häkkimiskogukondade vahel. Ja nad teavad. Niisiis, nad saavad seal palju teha midagi, leida paar juhtumit ja lihtsalt häkkida ära ja ära kasutada, ja nad on sinna sisse. Ja see on minu arust palju inimesi, kes on vähemalt äärealadel sellest kõigest ei saa tegelikult aru, kui kiiresti häkkimisvõrk haavatavusele reageerib.
Vicky Harp: Jah, see toob tegelikult esile veel ühe asja, mida tahtsin enne edasi liikuda mainida - see on volikirjade topimise mõiste, mis on midagi, mis on palju esile kerkinud, mis seisneb selles, et kui teie volikirjad on kellegi jaoks varastatud, siis ükskõik kus saidil, üritatakse neid volitusi kogu ulatuses uuesti kasutada. Nii et kui kasutate dubleeritud paroole, ütleme näiteks, et kui teie kasutajad lubavad seda isegi öelda, võib keegi pääseda juurde selle kaudu, mis näib olevat täiesti kehtiv mandaatide komplekt. Ütleme nii, et Ive kasutas mu sama parooli nii Amazonis kui ka minu pangas ja ka foorumis ning et selle tarkvara tarkvara häkkiti, noh, neil on minu kasutajanimi ja parool. Ja siis saavad nad sama kasutajanime kasutada ka Amazonis või kasutavad seda pangas. Ja mis panka puutub, siis see oli täiesti kehtiv sisselogimine. Nüüd saate täielikult volitatud juurdepääsu kaudu teha ebareaalseid toiminguid.
Niisiis ulatub selline liikumine tagasi selle juurde, mida ma ütlesin sisemiste rikkumiste ja sisemiste tavade kohta. Kui teil on teie organisatsioonis inimesi, kes kasutavad sisemise juurdepääsu jaoks sama parooli, mida nad kasutavad välise juurdepääsu jaoks, siis on teil võimalus, et keegi tuleb sisse ja esindab teid rikkumise tõttu mõnel teisel saidil, millest te isegi ei tea. Ja neid andmeid levitatakse väga kiiresti. Seal on nimekirju, mis arvavad, et Troy Hunt on viimased koormused, mis mulle „ette heidavad”, ütles ta, et tal on pool miljardit volikirja, mis - kui arvestada inimeste arvu planeedil - on tõesti suur arv mandaate, mis on mandaadi täitmiseks kättesaadavaks tehtud.
Niisiis, ma lähen natuke sügavamale ja räägin SQL Serveri turvalisusest. Nüüd tahan öelda, et ma ei ürita teile anda kõike, mida peate teadma oma SQL Serveri kaitsmiseks järgmise 20 minuti jooksul; see tundub natuke pikk järjekord. Nii et isegi alustamiseks tahan öelda, et võrgus on rühmi ja veebis ressursse, mida saate kindlasti Google'iks kasutada, on raamatuid, Microsofti parimate tavade dokumente, SQL Serveri professionaalsete kaastöötajate jaoks mõeldud virtuaalse turbe peatükki, nad asuvad saidil security.pass.org ja usun, et neil on igakuised veebiülekanded ja veebisaadete salvestused, et minna üle tõelisele ja põhjalikule SQL Serveri turvalisuse tagamisele. Kuid need on mõned asjad, millest ma, rääkides teile kui andmespetsialistidele, IT-spetsialistidele ja DBA-dele, tahan, et te teaksite, et peate teadma SQL Serveri turvalisuse kohta.
Esimene neist on füüsiline turvalisus. Nii nagu ma juba ütlesin, on füüsilise meedia varastamine endiselt äärmiselt tavaline. Ja see stsenaarium, mille ma andsin koos dev-masinaga, koos teie andmebaasi koopiaga dev-masinas, mis varastatakse - on eriti levinud vektor, see on vektor, mida peate teadma ja proovima selle vastu meetmeid võtta. See kehtib ka varundamise turvalisuse kohta, nii et iga kord, kui varundate oma andmeid, peate seda varundama krüptituna ja varundama turvalisesse kohta. Paljud kord olid need andmed andmebaasis tõepoolest kaitstud, niipea kui nad hakkavad minema äärealadele, arendusmasinatele, testimismasinatele, muutume lappimisega natuke vähem ettevaatlikuks, saame natuke vähem ole ettevaatlik inimeste suhtes, kellel on sellele juurdepääs. Järgmine asi, mida teate, on teil krüptimata andmebaasi varukoopiaid, mis on salvestatud teie organisatsiooni avalikule osalusele ja mida saavad kasutada paljud erinevad inimesed. Niisiis, mõelge füüsilise turvalisuse peale ja kui lihtne, siis kas keegi võib üles kõndida ja lihtsalt serverisse USB-võtme panna? Te ei tohiks seda lubada.
Järgmine üksus, mille ma peaksin teile mõtlema, on platvormi turvalisus, seega ajakohane OS, ajakohased plaastrid. On väga väsitav kuulda inimesi rääkimas Windowsi vanemates versioonides, SQL Serveri vanemates versioonides viibimisest, arvates, et ainus mängukulu on litsentsimise täienduse hind, kuid see pole nii. Oleme turvalisusega, selle oja, mis jätkub mäest alla minemast ja mida aeg edasi, seda rohkem kasutatakse ära. Sel juhul Microsofti ja vajaduse korral ka teiste rühmade jaoks ajakohastavad nad vanemaid süsteeme teatud ajani ja lõpuks jäävad nad toest välja ning nad ei hakka neid enam värskendama, kuna see on lihtsalt lõputu hooldusprotsess.
Nii et peate olema toetatud operatsioonisüsteemis ja plaastritega kursis. Oleme hiljuti leidnud, nagu näiteks Shadow Brokersi puhul, et mõnel juhul võib Microsoftil olla ülevaade eelseisvatest suurematest turvarikkumistest enne nende tegemist enne avalikustamist avalik, nii et ärge laske end kõigil korda ajada. Ma pigem ei võta seisakuid, pigem ootaksin ja loeksin neist kõik läbi ja otsustaksin. Võib-olla ei tea te selle väärtust enne, kui mõni nädal on möödunud, kui olete teada saanud, miks see plaaster tekkis. Niisiis, püsige selle peal.
Teie tulemüür peaks olema konfigureeritud. SNB rikkumises oli šokeeriv, kui paljud inimesed käitasid SQL Serveri vanemaid versioone, mille tulemüür oli täielikult avatud Internetile, nii et igaüks võis oma serveritega sisse pääseda ja teha mida iganes taheti. Peaksite kasutama tulemüüri. See, et peate aeg-ajalt reegleid konfigureerima või tegema konkreetseid erandeid teie äri ajamiseks, on mõistlik hind. Peate oma andmebaasisüsteemides pinda kontrollima - kas installite samasse arvutisse teenuseid või veebiservereid nagu IIS? Kas sama kettaruumi jagamine, sama mäluruumi jagamine andmebaaside ja privaatsete andmetega? Proovige seda mitte teha, proovige seda isoleerida, hoidke pindala väiksemaks, nii et te ei pea nii palju muretsema, et veenduda, et see kõik on andmebaasi peal turvaline. Saate neid füüsiliselt eraldada, platvormi ühendada, eraldada, anda endale natuke hingamisruumi.
Teil ei tohiks lasta kõigil ringi liikuvatel superadministraatoritel olla juurdepääsu kõigile teie andmetele. Võib-olla ei pea OS-i administraatori kontodel olema juurdepääsu teie andmebaasile või krüptimise kaudu andmebaasi alusandmetele, millest räägitakse minutiga. Ja juurdepääsu andmebaasifailidele peate ka seda piirama. See on omamoodi tobe, kui öelda, et noh, keegi ei pääse nendele andmebaasidele andmebaasi kaudu juurde; SQL Server ise ei võimalda neil sellele juurde pääseda, kuid kui nad saavad seal ringi liikuda, tehke tegelikust MDF-failist koopia, liigutage see lihtsalt üle, lisage see omaenda SQL Serverile - te pole seda tõesti palju teinud.
Krüptimine, nii et krüptimine on see kuulus kahesuunaline mõõk. Seal on palju erinevaid krüptimistasemeid, mida saate OS-i tasemel teha, ja tänapäevane viis SQL-i ja Windowsi jaoks toimida on BitLockeriga ja andmebaasi tasemel selle nimega TDE või läbipaistvaks andmete krüptimiseks. Nii on need mõlemad viisid, kuidas hoida oma andmed puhkeasendis krüptituna. Kui soovite oma andmeid krüptitult terviklikumalt hoida, saate seda teha krüptitult - vabandust, ma astusin edasi. Saate krüptitud ühendusi teha nii, et kui need on transiidil, siis ikkagi krüptitud, nii et kui keegi kuulab või on keegi mees rünnaku keskel, olete selle teabe traadiga kaitsnud. Teie varukoopiad peavad olema krüptitud, nagu ma ütlesin, et need võivad olla teistele juurdepääsetavad ja kui soovite krüptitud mällu ja kasutamise ajal, saime veergude krüptimise ja siis on SQL 2016 see mõiste „alati krüptitud”. kus see on krüptitud kettale, mällu, juhtme külge ja lõpetades rakendusega, mis andmeid tegelikult kasutab.
Nüüd pole kogu see krüpteerimine tasuta: seal on CPU üldkulud, mõnikord ka veergude krüptimine ja alati krüptitud juhtum, see mõjutab jõudlust teie võimega neid andmeid otsida. Kui see krüptimine õigesti kokku pannakse, tähendab see, et kui keegi peaks teie andmetele juurde pääsema, väheneb kahju oluliselt, sest nad suutsid selle hankida ja siis ei ole nad sellega võimelised. Kuid ka see, kuidas lunavara töötab, on see, et keegi läheb sisse ja lülitab need üksused sisse oma sertifikaadi või oma parooliga ja teil pole sellele juurdepääsu. Seega, miks on oluline veenduda, et teete seda ja teil on sellele juurdepääs, kuid te ei anna seda, olete avatud teistele ja ründajatele.
Ja siis, turvapõhimõtted - ma ei hakka seda vaeva nägema, vaid veenduge, et teil pole ühtegi kasutajat, kes töötaks SQL Serveris superadministraatorina. Teie arendajad võivad seda soovida, erinevad kasutajad võivad seda soovida - nad on pettunud, kui peate küsima juurdepääsu üksikutele üksustele -, kuid peate olema selle suhtes hoolikas ja ehkki see võib olla keerulisem, andke juurdepääs objektidele ja andmebaasidele ja skeemid, mis kehtivad käimasoleva töö jaoks, ja kui tegemist on erijuhtumiga, võib-olla tähendab see spetsiaalset sisselogimist, ei tähenda see tavakasutaja jaoks tingimata õiguste suurendamist.
Ja siis lähevad need vastavusse viivad õigusnormide järgimisega seotud kaalutlused ja mõned juhtumid tegelikult omamoodi minema - nii et HIPAA, SOX, PCI - on kõik need erinevad kaalutlused. Ja kui läbite auditi, peaksite eeldatavasti näitama, et võtate meetmeid selle järgimiseks. Ja nii, selle jälgimiseks on palju, ma ütleksin DBA ülesannete loendina, et proovite tagada turbe füüsilise krüptimise konfiguratsiooni, proovite veenduda, et nendele andmetele juurdepääsu kontrollitakse teie vastavuse tagamiseks , veendudes, et teie tundlikud veerud teaksid, mis need on, kus nad asuvad, milliseid peaksite krüpteerima ja millele juurdepääsu peaksite jälgima. Ja veenduge, et konfiguratsioonid on vastavuses teie kehtivate regulatiivsete juhistega. Ja peate seda kõike ajakohasena hoidma, kuna asjad muutuvad.
Niisiis, see on palju ära teha ja kui ma peaksin selle lihtsalt sinna jätma, ütleksin, et mine tee seda. Kuid selleks on palju erinevaid tööriistu ja nii, et kui ma võin viimastel minutitel kasutada, siis tahtsin teile näidata mõnda neist tööriistadest, mis meil IDERA-s olemas on. Ja kaks, millest ma täna rääkida tahtsin, on SQL Secure ja SQL Compliance Manager. SQL Secure on meie tööriist, mis aitab tuvastada konfiguratsiooni haavatavusi. Teie turvapoliitika, kasutaja õigused, pindala konfiguratsioonid. Ja sellel on mallid, mis aitavad teil täita erinevaid õigusraamistikke. See iseenesest, see viimane rida, võib olla põhjus, miks inimesed seda kaaluma peavad. Kuna nende erinevate eeskirjade lugemine ja nende tähenduse väljaselgitamine, teeb PCI ja seejärel selle oma poe SQL Serverini viimisega kõik tööd palju. See on midagi, mille eest võiksite maksta palju konsultatsiooniraha; oleme seda konsulteerimist teinud ja teinud, oleme teinud koostööd erinevate audiitorfirmadega jne, et välja mõelda, millised need mallid on - mis võib auditi läbi viia, kui need on paigas. Ja siis saate neid malle kasutada ja neid oma keskkonnas näha.
Meil on ka teine, omamoodi sõsarriist SQL Compliance Manager näol ja see on koht, kus SQL Secure räägib konfiguratsiooniseadetest. SQL-i vastavushalduri eesmärk on näha, mida ja millal tegi. Niisiis, selle auditeerimine, see võimaldab teil jälgida tegevust selle toimumisena ning võimaldada teil tuvastada ja jälgida, kes pääseb juurde asjadele. Kas keegi, kelle prototüüpiline näide oli kuulsus, kontrolliti teie haiglasse, kas keegi käis ja otsis nende teavet lihtsalt uudishimu pärast? Kas neil oli põhjust seda teha? Võite heita pilgu auditeerimise ajaloole ja vaadata, mis toimus, kes neile dokumentidele pääses. Ja saate tuvastada, et sellel on tööriistad, mis aitavad tundlikke veerge tuvastada, nii et te ei pea tingimata kõike ise läbi lugema ja tegema.
Seega, kui ma saan, näitan teile siin mõne viimase minutiga mõnda neist tööriistadest - ja palun ärge pidage seda põhjalikuks demoks. Olen tootejuht, mitte müügiinsener, seega näitan teile mõnda asja, mis minu arvates on selle arutelu jaoks asjakohane. Niisiis, see on meie SQL Secure toode. Ja nagu siin näete, sai Ive just selle kõrgetasemelise raportikaardi. Ma jooksin seda, ma arvan, eile. Ja see näitab mulle mõnda, mis pole õigesti seadistatud, ja mõnda, mis on õigesti seadistatud. Niisiis, siin on näha üsna palju - enam kui 100 erinevat kontrolli, mida siin oleme teinud. Ja ma näen, et varukoopiate krüptimine varukoopiatega, mida ma tegin, ei teinud ma varukoopiate krüptimist. Minu SA-kontot, mille nimi on otsesõnu “SA-konto”, ei keelata ega ümber nimeta. Avaliku serveri rollil on luba, nii et need on kõik asjad, mida võiksin soovitada muuta.
Ive said oma poliitika siin paika panna, nii et kui ma soovin luua oma serveritele uue poliitika, siis on meil kõik need sisseehitatud põhimõtted olemas. Niisiis, ma kasutan olemasolevat poliitika malli ja näete, et mul on olemas TIS, HIPAA, PCI, SR ja me jätkame pidevalt täiendavate poliitikate lisamist, mis põhineb asjadel, mida inimesed valdkonnas vajavad. Ja saate luua ka uue poliitika, nii et kui teate, mida teie audiitor otsib, saate selle ise luua. Ja siis, kui teete seda, saate kõigi nende erinevate sätete hulgast valida, mis teil peab olema seatud, mõnel juhul teil on mõni - laske mul minna tagasi ja leida üks eelvalmis seadetest. See on mugav, võin valida näiteks HIPAA - mul on juba HIPAA, minu halb - PCI, ja siis, kui siin ringi klõpsan, näen tegelikult välist ristviidet selle määruse jaotisele, mis see on seotud. See aitab teil hiljem, kui proovite aru saada, miks ma seda määran? Miks ma üritan seda vaadata? Mis jaotisega see on seotud?
Sellel on ka tore tööriist, kuna see võimaldab teil sisse logida ja oma kasutajaid sirvida, nii et üks keerulisi asju teie kasutajate rollide uurimisel on see, et tegelikult hakkan siin seda vaatama. Niisiis, kui ma näitan oma õigusi, siis vaatame, laseme siin kasutaja valida. Kuva õigused. Ma näen selle serveri jaoks määratud õigusi, kuid siis saan siin klõpsata ja arvutada tegelikud õigused ning anda mulle täieliku loendi, mis põhineb, nii et antud juhul on see administraator, nii et see pole nii põnev, aga ma võiksin minge läbi ja valige erinevad kasutajad ning vaadake, millised on nende tegelikud õigused kõigi erinevate rühmade põhjal, kuhu nad võivad kuuluda. Kui proovite seda kunagi omaette teha, võib see aru saada, et tegelikult on natuke vaeva, OK, see kasutaja on nende gruppide liige ja seetõttu on neil nendele rühmadele juurdepääs jne.
Selle toote tööpõhimõtteks on see, et see võtab hetktõmmiseid, nii et see pole tegelikult eriti keeruline protsess, mis teeb regulaarselt serverist hetktõmmist ja seejärel hoiab see neid pilte aja jooksul, et saaksite muudatustega võrrelda. Niisiis, see ei ole pidev jälgimine traditsioonilises mõttes nagu jõudluse jälgimise tööriist; see on midagi, mille olete võinud seadistada käitamiseks üks kord öösel, üks kord nädalas - kui sageli arvate siiski kehtivat - nii, et kui te teete analüüsi ja teete natuke rohkem, siis töötate tegelikult ainult meie tööriista sees. Kui te ei ühenda oma serveriga nii palju tagasi, siis on see selline kena väike tööriist, millega töötada selliste staatiliste sätetega vastavusse viimiseks.
Teine tööriist, mida ma teile näidata tahan, on meie tööriist Compliance Manager. Vastavushaldur jälgib pidevalt. Ja see näeb, kes teevad teie serveris seda, mis võimaldab teil seda heita pilgu peale. Niisiis, mida Ive siin viimase paari tunni jooksul tegi, üritas Ive tegelikult tekitada väheseid probleeme. Niisiis, siin ma sain aru, kas see on probleem või mitte, ma võiksin sellest teada saada, keegi on tegelikult sisselogimise loonud ja lisanud selle serverirolli. Niisiis, kui ma lähen sisse ja vaatan seda, siis näen - ma ei saa vist sinna paremklõpsu - näen toimuvat.Niisiis, see on minu armatuurlaud ja ma näen, et mul oli täna veidi varem mitu ebaõnnestunud sisselogimist. Mul oli hunnik turvategevust, DBL-i tegevust.
Niisiis, lubage mul minna üle oma auditiüritustele ja heita pilk. Siin jagunesid minu auditisündmused kategooriate ja sihtobjektide kaupa rühmitatud, nii et kui ma vaatan seda turvalisust varasematelt, näen DemoNewUserit, tekkis see serveri sisselogimine. Ja ma näen, et sisselogimise SA lõi selle DemoNewUseri konto siin, kell 14:42. Ja siis näen, et omakorda lisage sisselogimine serverisse, see DemoNewUser lisati serveri administraatorirühma, nad lisati setup admin gruppi, nad lisati sysadmin gruppi. Niisiis, on juhtunud midagi sellist, millest tahaksin teada. Olen ka selle üles seadnud, et minu tabelite tundlikke veerge jälgitaks, nii et näen, kes on sellele juurde pääsenud.
Niisiis, siin sain ma paar seiklust, mis on toimunud minu isiklikul laual - Adventure Works. Ja ma võin vaadata ja näha, et Adventure Worksi tabeli kasutaja SA valis ühe inimese seast kümme parimat tähte. Nii et võib-olla ei taha ma oma organisatsioonis, et inimesed valiksid tähed ühe inimese seast, või ootan, et seda teeksid ainult teatud kasutajad, ja näen siin seda. Niisiis - mida te oma auditeerimise jaoks vajate, saame selle üles seada raamistiku põhjal ja see on natuke rohkem intensiivne tööriist. See kasutab sõltuvalt versioonist SQL Trace'i või SQLX-i sündmusi. Ja see on midagi, mille jaoks peate serveris olema ruumi, et mahutada, kuid see on üks neist asjadest, selline nagu kindlustus, mis on tore, kui meil ei peaks olema autokindlustust - see oleks kulu, mida me ei tahaks. peate võtma - aga kui teil on server, kus peate jälgima, kes mida teete, siis võib-olla peaks teil olema selle jaoks natuke lisaruumi ja selline tööriist. Ükskõik, kas kasutate meie tööriista või ise seda veeretate, vastutate selle teabe valdamise eest õigusnormide järgimise eest.
Nii nagu ma ütlesin, mitte põhjalik demo, vaid kiire, väike kokkuvõte. Samuti soovisin teile selle SQL-i veeruotsingu vormis näidata kiiret, väikest tasuta tööriista, mille abil saate tuvastada, millised veerud teie keskkonnas tunduvad tundlikku teavet. Niisiis, meil on arvukalt otsingukonfiguratsioone, kus otsitakse veergude erinevaid nimesid, mis tavaliselt sisaldavad tundlikke andmeid, ja siis sain Ive selle kogu tuvastatud loetelu. Ive sain neist 120 ja eksportisin need siis siia, et saaksin neid kasutada, öeldes: lähme vaatame ja veenduge, et jälgin juurdepääsu keskmisele nimele, ühele inimesele punktiga isikule või käibemaksu määrale jne.
Ma tean, et jõudsime siia kohe oma aja lõpuks. Ja see on kõik, mida ma tegelikult pidin teile näitama, seega on minul küsimusi?
Eric Kavanagh: Mul on teile paar head. Las ma kerin seda siin üles. Üks kohalolijatest esitas tõesti hea küsimuse. Üks neist küsib jõudlusmaksu kohta, nii et ma tean, et see varieerub lahenduselt, kuid kas teil on üldist ettekujutust, mis on tulemustasu IDERA turberiistade kasutamise eest?
Vicky Harp: Niisiis, nagu ma ütlesin, on SQL Secure sellel väga madal, võtab lihtsalt aeg-ajalt hetktõmmiseid. Ja isegi kui olete üsna sageli jooksnud, saab see seadetest staatilist teavet ja seetõttu on see väga madal, peaaegu tühine. Vastavushalduri mõttes on see -
Eric Kavanagh: Nagu üks protsent?
Vicky Harp: Kui ma peaksin andma protsendinumbri, jah, see oleks üks protsent või väiksem. Selle põhiteave SSMS-i kasutamise järjekorra, turvalisuse vahekaardile minemise ja asjade laiendamise kohta. Nõuetele vastavuse poole pealt on selle palju kõrgem - see on põhjus, miks ma ütlesin, et vajab pisut ruumi -, nagu see, mis on jõudluse jälgimise osas kaugelt üle selle, mis teil on. Nüüd ei taha ma inimesi sellest eemale peletada, see on trikk nõuetele vastavuse jälgimisega ja kui selle auditeerimine on kindel, et auditeerite ainult seda, mille nimel kavatsete tegutseda. Niisiis, kui olete filtreeritud, et öelda: "Hei, ma tahan teada, millal inimesed pääsevad neile konkreetsetele tabelitele juurde, ja ma tahan teada, millal inimesed neile juurdepääsu saavad, neid konkreetseid toiminguid tegema", siis põhineb see sellel, kui sageli need asjad on. toimuvat ja kui palju andmeid te genereerite. Kui ütlete: "Ma soovin, et iga valiku täielik SQL, mis kunagi juhtub ükskõik millises nendes tabelites, oleks see tõenäoliselt gigabaiti ja gigabaiti andmeid, mida tuleb analüüsida SQL Serveri poolt salvestatud andmetega, kolida meie tootele jne." .
Kui hoiate seda all - see on ka rohkem teavet, kui võiksite tõenäoliselt käsitleda. Kui saaksite selle väiksema komplekti alla viia, nii et saaksite päevas paarsada üritust, siis on see ilmselgelt palju madalam. Nii et tõesti, mõnes mõttes on sky the limit. Kui lülitate kõigi jälgimiste jaoks kõik sätted sisse, siis jah, see saab olema 50-protsendiline jõudlus. Aga kui sa muudad selle mõnevõrra mõõdukamaks, kaalutletud tasemele, siis oleksin võib-olla silmamunast 10 protsenti? See on tõepoolest üks nendest asjadest, millest sõltub väga palju teie töökoormus.
Eric Kavanagh: Jaa, muidugi. Seal on veel üks küsimus riistvara kohta. Ja siis, kui riistvara müüjad mängu astuvad ja tegelikult tarkvaratootjatega koostööd teevad, vastasin küsimuste ja vastuste akna kaudu. Ma tean ühte konkreetset juhtumit, kus Cloudera tegi koostööd Inteliga, kus Intel tegi neisse tohutu investeeringu, ja osa arvutusest oli see, et Cloudera saaks varakult juurdepääsu kiibi kujundamisele ja saaks seega turvalisuse hajutada selle kiibi tasemele. arhitektuur, mis on päris muljetavaldav. Kuid sellegipoolest jõuab see midagi sinna välja ja seda saavad mõlemad pooled ikkagi ära kasutada. Kas teate riistvaratoodete müüjate suundumusi või kalduvusi turvaprotokolli osas tarkvaratarnijatega koostööd tegema?
Vicky Harp: Jah, ma tõesti usun, et Microsoft on teinud koostööd selleks, et osa krüptimistööde mäluruumist, näiteks mõnede krüptimistööde jaoks, toimuks emaplaatidel eraldi kiipidel, mis on teie põhimälust eraldi, nii et osa sellest kraamist on füüsiliselt eraldatud. Ja ma usun, et tegelikult tuli see Microsoftilt müüjate poole pöördumise kaudu öelda: „Kas me suudame välja pakkuda viisi, kuidas see, põhimõtteliselt selle aadressita mälu, ma selle puhvervoo ületäitumise kaudu sellesse mällu saada , kuna seda pole mõnes mõttes isegi seal, nii et ma tean, et osa sellest juhtub. "
Eric Kavanagh: Jah.
Vicky Harp: Tõenäoliselt on see ilmselt tõeliselt suured müüjad.
Eric Kavanagh: Jah. Mul on seda uudishimulik vaadata ja võib-olla Robin, kui teil on kiire sekund, oleks mul huvitav teada teie aastatepikkust kogemust, sest jällegi, nii riistvara kui ka tegeliku materjaliteaduse osas, mis läheb sellesse, mida te panite koos müüja poolelt võiks see teave minna mõlemale poolele ja teoreetiliselt läheme mõlemale poole üsna kiiresti, nii et kas on mingit viisi riistvara hoolikamalt kasutada, disaini seisukohast turvalisuse tugevdamiseks? Mida sa arvad? Robin, kas sa oled vaigistatud?
Robin Bloor: Ja ja. Vabandust, ma olen siin; Ma mõtlen lihtsalt küsimusele. Ausalt öeldes pole mul arvamust tulnud, see on valdkond, mida ma pole eriti põhjalikult uurinud, nii et ma olen selline, et teate, ma võin arvamuse koostada, kuid ma ei tea seda tegelikult. Ma eelistan, et asjad oleksid tarkvaras kindlad, põhimõtteliselt just see, mida ma mängin.
Eric Kavanagh: Jah. Noh, inimesed, oleme tund aega läbi põlenud ja vahetame siin. Suured tänud Vicky Harpile aja ja tähelepanu eest - kogu teie aja ja tähelepanu eest; hindame, et näitasite neid asju. See on suur asi; see ei kao kiiresti. See on kassi ja hiire mäng, mis kavatseb pidevalt edasi minna ja edasi minna. Ja nad olid tänulikud, et mõned ettevõtted on seal väljas, keskendudes turvalisuse võimaldamisele, kuid kuna Vicky isegi oma ettekandes osutas ja rääkis sellest natuke, siis päeva lõpus ütlesid organisatsiooni töötajad, kes peavad nendele väga hoolikalt järele mõtlema andmepüügirünnakud, selline sotsiaalne insener, ja hoidke oma sülearvuteid - ärge jätke seda kohvikusse! Muutke oma parool, tehke põhitõed ja te saate sinna 80 protsenti teest.
Sellega kavatsesid inimesed hüvasti jätta, tänada veel kord teie aja ja tähelepanu eest. Võtke järgmine kord hästi järele, hoolitsege. Headaega.
Vicky Harp: Hei, tänan.