Винос: Ведучий Ерік Кавана обговорює безпеку та дозволи з доктором Робіном Блором та IDERA Вікі Гарпом.
На даний момент ви не ввійшли в систему. Будь ласка, увійдіть або зареєструйтесь, щоб переглянути відео.
Ерік Кавана: Добре, панове, привіт, вітайте знову. Це середа, її чотири східних та світових корпоративних технологій, що ще раз означає його час для Hot Technologies! Так, справді. Представлений групою Bloor, звичайно, на базі наших друзів з Техопедії. Сьогодні ця тема є надзвичайно цікавою: «Краще запитати дозвіл: найкращі практики щодо конфіденційності та безпеки». Це правильно, її різновид непроста тема, багато людей говорять про неї, але вона досить серйозна, і його дійсно стає все серйознішим з кожним днем, цілком відверто. Це дуже серйозне питання для багатьох організацій. Ми збиралися поговорити про це і збиралися поговорити про те, що ви можете зробити, щоб захистити свою організацію від недобрих персонажів, які, здається, є в ці дні в цілому.
Тож сьогодні ведуча - Вікі Гарп, яка телефонує з IDERA. Ви можете побачити програмне забезпечення IDERA на LinkedIn - я люблю нову функціональність на LinkedIn. Хоча я можу сказати, що вони певними способами тягнуть за собою рядки, не даючи вам доступу до людей, намагаючись змусити вас придбати ці преміальні членства. Ось, у нас є власний Robin Bloor, який сьогодні набирає номер у районі Сан-Дієго. І ваш справді як ваш модератор / аналітик.
То про що ми говоримо? Порушення даних. Я щойно взяв цю інформацію з IdentityForce.com, її вже не до перегонів. Зрештою, у травні цього року було багато точок порушення даних, звичайно, Yahoo! це було великим, і ми, звичайно, чули про злом уряду США. Ми просто зламали вибори у Франції.
Це відбувається всюди, його продовження і його не зупиняється, тому це, як кажуть, реальність, нова реальність. Нам дійсно потрібно думати про способи забезпечення безпеки наших систем та наших даних. І це триває процес, тож саме вчасно потрібно подумати над усіма різними питаннями, які вступають у гру. Це лише частковий перелік, але це дає певну точку зору наскільки складною є ситуація з підприємствами в наші дні. І перед цим шоу, у нашому попередньому показі, ми говорили про викупне програмне забезпечення, яке вдарило когось, кого я знаю, що дуже неприємно, коли хтось переймає ваш iPhone і вимагає грошей, щоб ви отримали доступ до вашого телефону. Але це буває, буває з комп’ютерами, трапляється із системами, я бачив саме днями, це відбувається з мільярдерами з їхніми яхтами. Уявіть, що одного разу ви поїдете на свою яхту, намагаючись справити враження на всіх своїх друзів, і навіть не можете її ввімкнути, тому що якийсь злодій вкрав доступ до елементів управління, панелі управління. Я щойно сказав, що днями в інтерв'ю комусь, завжди майте ручне перевизначення. Мовляв, я не великий фанат усіх підключених автомобілів - навіть автомобілі можна зламати. Все, що підключено до Інтернету або підключено до мережі, в яку можна проникнути, може бути зламана, будь-що.
Отже, ось лише кілька пунктів, які слід розглянути з точки зору того, наскільки серйозною є ситуація. В наші дні веб-системи є скрізь, вони продовжують поширюватися. Скільки людей купують речі в Інтернеті? Це просто через дах сьогодні, ось чому Амазонка є такою потужною силою в наші дні. Це тому, що так багато людей купують речі в Інтернеті.
Так, ви пам’ятаєте, тоді, 15 років тому, люди були дуже нервують, коли розміщували свою кредитну карту у веб-формі, щоб отримати їх інформацію, і тоді аргумент був: «Ну, якщо ви передасте кредитну картку офіціанту на ресторан, то те саме ». Отже, наша відповідь« так », це одне і те ж, є всі ці пункти контролю, або точки доступу, те саме, різні сторони тієї ж монети, куди людей можна поставити під загрозу, де хтось може взяти ваші гроші, або хтось може вкрасти у вас.
Тоді IoT, звичайно, розширює пейзаж загроз - я люблю це слово - на порядки. Я маю на увазі, подумайте над цим - з усіма цими новими пристроями скрізь, якщо хтось може зламати систему, яка ними керує, він може повернути всіх цих ботів проти вас і спричинити багато і багато проблем, тож це дуже серйозна проблема. В наші дні у нас є глобальна економіка, яка ще більше розширює пейзаж загроз, і ще більше, у вас є люди в інших країнах, які можуть отримати доступ до Інтернету так само, як ви і я, і якщо ви не знаєте, як розмовляти російською, або будь-яку кількість інших мов, вам буде важко зрозуміти, що відбувається, коли вони вступають у вашу систему. Тож у нас є прогрес у роботі в мережі та віртуалізації, це добре.
Але у мене на правій частині цієї картини тут меч, і причина в мене є, тому що кожен меч ріже в обидва боки. Як кажуть, це меч з двома острими, і його старе кліше, але це означає, що меч, який я маю, може завдати вам шкоди, або може завдати мені шкоди. Він може повернутися до мене, або відскакуючи назад, або хтось його бере. Це насправді одна з байок Езопа - ми часто надаємо ворогам інструменти власного знищення.Це дійсно досить переконливий сюжет і має відношення до того, хто використовував лук і стрілу і збив птицю, і птаха побачила, як стріла піднімалася, що перо у одного з її пташиних друзів було на краю стріли, на задній частині стріли, щоб направити її, і він подумав собі: "О, чоловіче, ось це, мої власні пір'я, моя власна родина буде використана для того, щоб мене збити". Це відбувається постійно, ви чуєте статистика про те, що у вас в будинку пістолет, злодій може забрати зброю. Ну, це все правда. Отже, я викидаю це там як аналогію просто зважати, усі ці різні події мають позитивні та негативні сторони.
А якщо говорити про контейнери для тих із вас, хто насправді слідкує за передовими можливостями корпоративних обчислень, контейнери - це найновіший предмет, найновіший спосіб надання функціональності, це дійсно шлюб віртуалізації в сервісно-орієнтованій архітектурі, принаймні для мікросервісів та його дуже цікаві речі. Ви, звичайно, можете заблукати свої протоколи безпеки та протоколи своїх додатків та ваші дані тощо, використовуючи контейнери, і це дає вам аванс на певний період часу, але рано чи пізно погані хлопці збираються це зрозуміти, і тоді це стане ще важче, щоб не допустити їх використання ваших систем. Отже, це глобальна робоча сила, яка ускладнює мережу та безпеку, і звідки люди входять.
Ми отримали війни в браузері, які продовжуються безперервно, і потребують постійної роботи, щоб оновлювати та залишатись над цим. Ми постійно чуємо про старі браузери Microsoft Explorer, про те, як вони були взломані та доступні там. Отже, є більше грошей, які потрібно заробляти на злому в ці дні, це ціла галузь. Це те, чого мій партнер, доктор Блур, навчив мене вісім років тому - мені було цікаво, чому ми бачимо так багато цього, і він нагадав Мене ціла галузь, що бере участь у злому. І в цьому сенсі розповідь, яка є одним з моїх найменш улюблених слів про безпеку, насправді дуже нечесна, тому що розповідь демонструє вас у всіх цих відео та будь-яких видах новин, які зломлять, вони показують якогось хлопця в балахоні, сидячи в його підвалі в темній освітленій кімнаті, це зовсім не так. Це зовсім не є реальним. Його одинокі хакери, дуже мало одиноких хакерів, вони там, вони створюють певні неприємності - вони не збираються завдавати великих проблем, але вони можуть заробити цілу купу грошей. Тож, що трапляється, - хакери заходять і проникають у вашу систему, а потім продають цей доступ комусь іншому, хто обертається і продає його комусь іншому, а потім десь вниз по лінії, хтось експлуатує цей хакер і скористається вами. І існує безліч способів скористатися викраденими даними.
Я навіть дивувався собі, як ми гламурували цю концепцію. Ви бачите цей термін скрізь, "хакерство росту", як його хороша річ. Зростання злому, ви знаєте, злом може бути хорошою справою, якщо ви намагаєтесь працювати на хороших хлопців, так би мовити, і виламуєте в систему, як ми продовжуємо чути про Північну Корею та їх запуски ракет, потенційно їх зламають - це добре . Але злому часто буває поганою справою. Тож зараз ми його гламурували, майже як Робін Гуд, коли ми гламурували Робін Гуда. І тоді є безготівкове суспільство, щось відверто стосується денного світла у мене. Все, що я думаю щоразу, коли чую це: «Ні, будь ласка, не робіть цього! Будь ласка, не! »Я не хочу, щоб усі наші гроші зникли. Отже, це лише деякі питання, які слід розглянути, і знову ж таки, це гра «коти-мишки»; його ніколи не зупинятимуться, завжди будуть необхідні протоколи безпеки та вдосконалення протоколів безпеки. І для моніторингу ваших систем навіть для того, щоб знати і відчувати, хто там, з розумінням, це може бути навіть внутрішня робота. Отже, його поточне питання, яке буде триватим протягом тривалого часу - не помиляйтесь у цьому.
І з цим я збираюся передати його доктору Блору, який може поділитися з нами деякими думками щодо забезпечення баз даних. Робін, забирай його.
Робін Блор: Гаразд, один із цікавих хак, я думаю, це сталося близько п’яти років тому, але в основному це була зламана компанія з обробки карт. І була вкрадена велика кількість реквізитів картки. Але цікавим для мене було те, що вони насправді потрапили в тестову базу даних, і, мабуть, так склалося, що вони мали великі труднощі з потраплянням у справжню, реальну базу даних карт для обробки. Але ви знаєте, як це з розробниками, вони просто зрізають базу даних, заносять її туди. Щоб зупинити це, довелося б бути набагато пильнішим. Але є багато цікавих хакерських історій, це робить в одній області, це робить дуже цікавою темою.
Тож я збираюся фактично, так чи інакше, повторити деякі речі, які сказав Ерік, але про безпеку даних легко сприймати як статичну ціль; простіше просто тому, що простіше аналізувати статичні ситуації, а потім думати про введення оборонців, захистів там, але це не так. Її рухома ціль - це одне з речей, яке визначає весь простір безпеки. Це якраз у тому, як розвивається вся технологія, розвивається і технологія поганих хлопців. Отже, короткий огляд: крадіжка даних - це нічого нового, насправді, шпигунство даних - це крадіжка даних, і це відбувається вже тисячі років.
Найбільшим перевагами даних в цих термінах були британці, які порушували німецькі коди, а американці, які порушували японські коди, і в значній мірі в обох випадках вони значно скоротили війну. І вони просто крали корисні та цінні дані, звичайно, це було дуже розумно, але ви знаєте, що зараз відбувається дуже розумно в багатьох відношеннях. Кібер-крадіжка народилася в Інтернеті і вибухнула близько 2005 року. Я пішов і подивився на всі статистичні дані, і коли ви почали отримувати дійсно серйозні і, так чи інакше, надзвичайно високі цифри, починаючи приблизно з 2005 року. тоді. Задіяно багато гравців, урядів, залучено бізнес, хакерські групи та окремих людей.
Я поїхав до Москви - це, мабуть, минуло п'ять років, - і я фактично провів багато часу з хлопцем з Великобританії, який досліджував увесь хакерський простір. І він сказав, що - і я не маю поняття, чи це правда, я лише за це отримав своє слово, але це звучить дуже ймовірно - що в Росії є щось, що називається Бізнес-мережа, яка є групою хакерів, які є усі, знайте, вони вийшли з руїн КДБ. І вони продають себе, не просто, я маю на увазі, я впевнений, що російський уряд ними користується, але вони продають себе кому-небудь, і, по чутках, він сказав, що чутки, що різні іноземні уряди використовують Бізнес-мережу для правдоподібної заперечуваності . У цих хлопців були мережі мільйонів компрометованих ПК, з яких вони могли атакувати. І вони мали всі інструменти, які ви можете собі уявити.
Отже, розвивалася технологія нападу та оборони. А підприємства зобов’язані дбати про свої дані, незалежно від того, володіють вони чи ні. І це починає набагато зрозуміліше з точки зору різних норм, які вже є чинними або набувають чинності. І, ймовірно, покращиться, хтось так чи інакше, хтось повинен нести витрати на злом таким чином, щоб вони стимулювали закрити можливість. Оце одна з речей, яка, напевно, потрібна. Тож щодо хакерів вони можуть бути розташовані де завгодно. Особливо у вашій організації - надзвичайно багато геніальних хакерів, про які я чув, залучали когось, хто відчинив двері. Ви знаєте, людина, як і ситуація з грабіжниками банку, майже завжди, як вони говорили, у добрих пограбуваннях банку, є інсайдером. Але інсайдеру потрібно лише видавати інформацію, тому їх важко дістати, знати, хто це був, і так далі, і так далі.
І може бути важко притягнути їх до відповідальності, тому що якщо ви зламали групу людей в Молдові, навіть якщо ви знаєте, що це була ця група, як ви збираєтеся зробити якийсь правовий захід навколо них? Його різновид - від однієї юрисдикції до іншої, її справедливої, не існує дуже гарного набору міжнародних домовленостей, щоб прикутувати хакерів. Вони діляться технологіями та інформацією; багато з цього є відкритим кодом. Якщо ви хочете створити свій власний вірус, то там набір вірусних наборів - повністю з відкритим кодом. І вони мають чималі ресурси, було число, у яких ботнетів було понад мільйон компрометованих пристроїв у центрах обробки даних і на ПК тощо. Деякі - це прибутковий бізнес, який тривалий час працював, а потім - урядові групи, як я вже згадував. Навряд чи, як сказав Ерік, його малоймовірне це явище ніколи не закінчиться.
Отже, це цікавий злом, який я просто подумав, що я згадаю його, бо це був досить недавній злом; це сталося минулого року. У контракті DAO була вразливість, пов’язана з криптовалютою Etherium. І це обговорювалося на форумі, і протягом дня контракт DAO був зламаний, точно використовуючи цю вразливість. 50 мільйонів доларів в ефірі було вимкнено, що спричинило негайну кризу в проекті DAO і закрило його. І Етеріум насправді боровся, щоб утримати хакера від доступу до грошей, і вони наче зменшили його забір. Але також вважалося - невідомо напевно - що хакер насправді скоротив ціну ефіру до нападу, знаючи, що ціна ефіру обвалиться, і таким чином отримав прибуток по-іншому.
І ось інша, якщо вам подобається, стратегія, яку хакери можуть використовувати. Якщо вони можуть зашкодити вашій ціні акцій, і вони знають, що вони це робитимуть, то єдине, що їм потрібно, щоб вони знизили ціну акцій і зламали, так що, такі хлопці, розумні, ви знаєте. А ціна - це відверта крадіжка грошей, зриви та викуп, включаючи інвестиції, де ви порушуєте та скорочуєте запаси, саботаж, крадіжку особистих даних, усілякі шахрайства, просто заради реклами. І це, як правило, політичне, або, очевидно, шпигунство за інформацією, і є навіть люди, які заробляють на життя з багатств помилок, які ви можете отримати, намагаючись зламати Google, Apple, - навіть Пентагон, насправді дає прихильності помилок. А ти просто рубиш; якщо його успішно, то ви просто підете і вимагаєте свій приз, і шкоди не буде зроблено, так що це приємна річ, ви знаєте.
Я можу також згадати дотримання та регулювання. Окрім галузевих ініціатив, законодавство США - це цілий ряд офіційних норм: HIPAA, SOX, FISMA, FERPA та GLBA. Є стандарти; PCI-DSS став досить загальним стандартом. І тоді ISO 17799 про право власності на дані. Національні нормативні документи відрізняються від країни, навіть у Європі. І в даний час GDPR - глобальні дані, для чого це означає? Глобальний регламент про захист даних, я думаю, він стоїть, але це набуває чинності в наступному році. І найцікавіше в ньому те, що воно застосовується в усьому світі. Якщо у вас є 5000 або більше клієнтів, у яких ви отримали особисту інформацію, і вони живуть у Європі, тоді Європа насправді візьме вас за завдання, незалежно від того, чи є ваша корпорація штаб-квартирою чи де вона працює. І штраф, максимальна сума - чотири відсотки щорічного доходу, що просто величезно, так що це буде цікавим поворотом у світі, коли це набуде чинності.
Що варто задуматися, ну, вразливості СУБД, більшість цінних даних насправді сидять у базах даних. Його цінність полягає в тому, що ми вкладаємо дуже багато часу для того, щоб зробити його доступним та добре організувати, і це робить його більш вразливим, якщо ви насправді не застосовуєте правильні цінні папери СУБД. Очевидно, що якщо ви збираєтесь планувати такі речі, вам потрібно визначити, які вразливі дані є у всій організації, маючи на увазі, що дані можуть бути вразливими з різних причин. Це можуть бути дані про клієнтів, але однаково це можуть бути і внутрішні документи, які були б цінними для шпигунських цілей тощо. Політика безпеки, особливо стосовно безпеки доступу - яка останнім часом була, на мій погляд, дуже слабкою, у нових речах із відкритим кодом - шифрування стає все більш застосованою, оскільки її досить непогано.
Більшість людей не знає про вартість порушення безпеки, але якщо ви насправді подивитесь на те, що сталося з організаціями, які зазнали порушень безпеки, виявляється, що вартість порушення безпеки часто набагато вища, ніж ви думаєте. І тоді інша річ, про яку слід задуматися, - це атака, тому що будь-який фрагмент програмного забезпечення де-небудь, що працює з вашими організаціями, представляє атаку. Як і будь-який з пристроїв, так само, як і дані, незалежно від того, як вони зберігаються. Це все, поверхня атаки зростає з Інтернетом речей, поверхня атаки, ймовірно, збільшиться вдвічі.
Отже, нарешті, DBA та безпека даних. Захист даних зазвичай є частиною ролі DBA. Але його співпраця теж. І це потрібно підпорядковувати корпоративній політиці, інакше це, мабуть, не буде добре впроваджено. Сказавши це, я думаю, що можу передати м'яч.
Ерік Кавана: Гаразд, дозвольте мені дати ключі від Вікі. І ви можете поділитися екраном або перейти до цих слайдів, залежно від вас, забрати його.
Вікі Арф: Ні, я розпочну з цих слайдів, дуже дякую. Тож, так, я просто хотіла швидкої хвилини і представити себе. Im Vicky Harp. Я менеджер, управління продуктами для продуктів SQL програмного забезпечення IDERA, і для тих із вас, хто, можливо, не знайомий з нами, IDERA має ряд ліній продуктів, але я тут кажу, що стосується речей SQL Server. Отже, ми здійснюємо моніторинг продуктивності, дотримання безпеки, резервного копіювання, інструментів адміністрування - і це лише їх перелік. І звичайно, про що я сьогодні хочу поговорити, це безпека та дотримання.
Основна частина того, про що я хочу сьогодні поговорити, - це не обов'язково наша продукція, хоча я маю намір показати деякі приклади цього пізніше. Я хотів поговорити з вами докладніше про безпеку бази даних, деякі загрози у світі безпеки бази даних, деякі речі, над якими варто задуматися, а також деякі вступні ідеї того, що вам потрібно дивитися, щоб захистити свій SQL Серверні бази даних, а також переконатися, що вони відповідають нормативно-правовій базі, яка може бути підпорядкована вам, як було зазначено. Існує безліч різних правил; вони працюють у різних галузях, різних місцях по всьому світу, і це речі, над якими потрібно думати.
Отже, я хотів би трохи зайнятись і поговорити про стан порушень даних - і не повторювати занадто багато того, що тут вже обговорювалося - я нещодавно переглядав це дослідження дослідження безпеки Intel, і все їхнє питання - я думаю 1500 організацій, з якими вони розмовляли - у них було в середньому шість порушень безпеки щодо порушення даних про втрату даних, і 68 відсотків тих, хто вимагав розголошення в певному сенсі, тому вони вплинули на ціну акцій, або їм довелося зробити кредит моніторинг за своїми клієнтами чи їхніми працівниками тощо.
Деякі інші цікаві статистичні дані - це те, що внутрішні суб'єкти, які відповідали за 43 відсотки.Так, багато людей дійсно багато думають про хакерів та подібні тінисті квазіурядові організації чи організовану злочинність тощо, але внутрішні суб'єкти все ще безпосередньо вживають заходів проти своїх роботодавців у досить високій частці випадків. І їх інколи важче захистити, оскільки люди можуть мати законні причини мати доступ до цих даних. Близько половини цього, 43 відсотки, було певним випадком втратою. Так, наприклад, у випадку, коли хтось забрав дані додому, а потім втратив інформацію про ці дані, що призводить мене до цього третього пункту, який полягає в тому, що матеріали на фізичних носіях все-таки були пов'язані з 40 відсотками порушень. Отже, ось USB-ключі, це ноутбуки народів, це фактичний носій, який було спалено на фізичні диски та вивезено з будівлі.
Якщо ви задумаєтесь, чи є у вас розробник, який має на своєму ноутбуку розроблену копію вашої виробничої бази даних? Потім вони сідають в літак і вони виходять з літака, і вони отримують зареєстрований багаж, і їхній ноутбук викрадений. Тепер у вас було порушення даних. Вам не обов'язково здається, що ось чому цей ноутбук був узятий, він може ніколи не з'являтися в дикій природі. Але це все-таки вважається порушенням, його вимагатиме розкриття, у вас будуть всі наслідки втрати цих даних лише через втрату цього фізичного носія.
І інша цікава річ - це те, що багато людей замислюються про дані кредитних даних та інформацію про кредитну картку як про найціннішу, але це вже насправді не так. Ці дані цінні, номери кредитних карток корисні, але, чесно кажучи, ці номери змінюються дуже швидко, тоді як особисті дані людей не змінюються дуже швидко. Щось те, що останні новини, порівняно недавно VTech, виробник іграшок, мав ці іграшки, розроблені для дітей. І люди мали б, вони мали б імена своїх дітей, вони мали інформацію про те, де діти живуть, у них були імена батьків, у них були фотографії дітей. Нічого з цього не було зашифровано, тому що це не вважалося важливим. Але їх паролі були зашифровані. Що ж, коли порушення неминуче траплялося, ви сказали: «Добре, тому у мене є список імен дітей, імена їхніх батьків, де вони живуть - вся ця інформація є там, і ви думаєте, що пароль був найціннішою частиною це не було? люди не можуть змінити ці аспекти щодо своїх особистих даних, своєї адреси тощо. І тому інформація насправді дуже цінна і її потрібно захищати.
Тож хотілося поговорити про деякі речі, які зараз відбуваються, щоб сприяти тому, що порушення даних відбуваються зараз. Одне з найбільших точок доступу, простори зараз - це соціальна інженерія. Тож люди називають це фішинг, імперсонація тощо, де люди отримують доступ до даних, часто через внутрішніх акторів, просто переконуючи їх у тому, що вони повинні мати доступ до них. Отож, днями у нас з’явився цей черв'як Google Docs. І що це станеться - і я насправді отримав його копію, хоча, на щастя, я не натискав на неї - ви отримували від колеги, кажучи: «Ось посилання на Google Doc; вам потрібно натиснути на це, щоб переглянути те, що я тільки що поділився з вами ". Ну, що в організації, яка використовує Google Документи, це дуже звичайно, ви збираєтеся отримувати десятки запитів на день. Якщо ви натиснули на нього, він попросить дозволу на доступ до цього документа, і, можливо, ви скажете: "Гей, це виглядає трохи дивно, але ви знаєте, це також виглядає законно, тому я йду вперед і натисніть на нього" "І як тільки ви це зробили, ви давали цій сторонній доступ доступ до всіх своїх документів Google. Таким чином, створюючи це посилання, щоб цей зовнішній актор мав доступ до всіх своїх документів на Диску Google. Це скрізь вселяло. Це вдарило сотні тисяч людей за лічені години. І це була принципово фішинг-атака, яку Google в кінцевому підсумку мусив закрити, оскільки вона була дуже добре виконана. Люди впали за це.
Я згадую тут порушення HR SnapChat. Це було просто простим справою когось, наголошуючи, що вони є генеральним директором у відділі кадрів, кажучи: "Мені потрібна ти мені ця електронна таблиця". І вони їм повірили, і вони поклали електронну таблицю з 700 різними компенсаціями працівників Інформація, їхні домашні адреси та ін., передавала їх іншій стороні, насправді це не був генеральний директор. Тепер ці дані вийшли, і особиста, приватна інформація всіх їх працівників була там і доступна для експлуатації. Отже, соціальна інженерія - це те, про що я згадую її у світі баз даних, тому що це те, проти чого можна спробувати захиститись через освіту, але ви також повинні просто пам’ятати про те, що у вас є людина, яка взаємодіє з вашими технологіями, і якщо ви покладаєтесь на їхні добрі рішення, щоб запобігти їх відключенню, ви просите їх багато.
Люди роблять помилки, люди клацають на речі, які їм не слід, люди потрапляють за розумні хиби. І ви можете дуже сильно постаратися захистити їх від цього, але це недостатньо сильно, вам потрібно спробувати обмежити можливість людей випадково видавати цю інформацію у ваших системах баз даних. Інша річ, яку я хотів зазначити, що, очевидно, говорили про багато, - це викупи, ботнети, віруси - всі ці різні автоматизовані способи. І тому те, що я вважаю важливим для розуміння про викупне програмне забезпечення, це дійсно змінює модель прибутку для зловмисників. У випадку, якщо ви говорите про порушення, вони повинні у певному сенсі витягти дані та мати їх для себе та використати. І якщо ваші дані невідомі, якщо вони зашифровані, якщо галузь особлива, можливо, вони не мають для цього ніякого значення.
До цього часу люди, можливо, відчували, що це захист для них: "Мені не потрібно захищати себе від порушення даних, тому що якщо вони збираються потрапити в мою систему, все, що у них буде, - це студія фотографії" , У мене є список тих, хто буде надходити в які дні наступного року. Кого це хвилює? »Ну, а виявляється, відповідь - ти хвилюєшся цим; ви зберігаєте цю інформацію та її критичну для бізнесу інформацію. Таким чином, використовуючи програмне забезпечення, що зловмисне, зловмисник скаже: "Ну, ніхто більше не збирається давати мені гроші за це, але ви будете". Отже, вони використовують той факт, що вони навіть не повинні отримувати дані, вони навіть не повинні мають місце порушення, їм просто потрібно використовувати засоби безпеки проти вас. Вони потрапляють у вашу базу даних, вони шифрують вміст її, а потім вони кажуть: «Гаразд, у нас пароль, і вам доведеться заплатити нам 5000 доларів, щоб отримати цей пароль, інакше ви просто не маєте цих даних більше. "
І люди дійсно платять; вони виявляють, що їм це потрібно зробити. Кілька місяців тому у MongoDB виникла величезна проблема, я думаю, це було в січні, коли викупне програмне забезпечення потрапило, я вважаю, понад мільйон баз даних MongoDB, які вони мають в Інтернеті, на основі деяких налаштувань за замовчуванням. І що ще більше погіршило те, що люди платили, і тому інші організації приїжджали, перешифровували або претендували на те, що вони були першими зашифрованими, тому коли ви заплатили свої гроші, і я думаю, що в такому випадку вони були запитуючи щось на зразок 500 доларів, люди би сказали: “Гаразд, я заплатив би більше, ніж заплатити досліднику, щоб зайти сюди, щоб допомогти мені зрозуміти, що пішло не так. Я просто плачу 500 доларів ”. І вони навіть не платили правильному акторові, тому вони нагромаджуються десятьма різними організаціями, які говорять їм:“ Ми отримали пароль ”або“ Ми отримали спосіб розблокувати свої викуплені дані ". І вам доведеться заплатити за них, щоб, можливо, змусити його працювати.
Були також випадки, коли у авторів, що вимагають викупу, були помилки, я маю на увазі, що вони не говорили про те, що це абсолютно ідеальна ситуація, тому навіть коли на неї напали, навіть коли ви заплатили, це не гарантує, що ви збираєтеся отримати всі свої Дані назад, деякі з них ускладнюються також озброєними інструментами InfoSec. Тож тіньові брокери - це група, яка витікала інструменти, які були з АНБ. Вони були інструментами, розробленими урядовою організацією для шпигунства та фактично працюючих проти інших державних структур. Деякі з них були дійсно гучними атаками з нульовим днем, що в основному змушує відомі протоколи безпеки просто відхилятися. Так, в протоколі SMB, наприклад, в одній із останніх демпінгах Shadow Brokers виникла значна вразливість.
Отож ці інструменти, які з’являються тут, можуть за лічені пари годин по-справжньому змінити гру на вас з точки зору вашої атаки. Тому щоразу, коли я думаю про це, це щось, що на організаційному рівні безпека InfoSec є власною функцією, до неї потрібно поставитися серйозно. Кожного разу, коли говорили про бази даних, я можу це трохи знизити, вам не обов’язково мати як адміністратор бази даних повне розуміння того, що відбувається з Shadow Brokers на цьому тижні, але вам потрібно знати, що все це змінюється , там відбуваються речі, і тому ступінь, в якому ви тримаєте власний домен герметично і надійно, справді допоможе вам у тому випадку, якщо речі вириваються з-під вас.
Отож, я хотів би трохи поглянути тут, перш ніж конкретно говорити про SQL Server, щоб насправді трохи обговорити з нашими панелістами деякі питання щодо безпеки бази даних. Отже, я дійшов до цього моменту, про деякі речі, про які ми не згадували, я хотів поговорити про ін'єкцію SQL як вектор. Отже, це інжекція SQL, очевидно, це спосіб, яким люди вставляють команди в систему бази даних, через неправильне введення даних.
Ерік Кавана: Так, я насправді познайомився з хлопцем - я думаю, це було на базі ВПС Ендрюса - десь п'ять років тому, консультантом, що я розмовляв з ним у передпокої, і ми просто ділилися історіями війни - жодного каламбура не збирався - і він згадував, що його хтось привів для консультації з досить високопоставленим військовим, і хлопець запитав його: "Ну, як ми знаємо, що ти хороший у тому, що ти робиш?", і це, і це. І коли він розмовляв з ними, він використовував на своєму комп’ютері, хед потрапляв у мережу, він використовував ін'єкцію SQL, щоб потрапити до реєстру для цієї бази та для цих людей. І він знайшов людей, з якими він розмовляв, і він просто показав його на своїй машині! А хлопець на зразок: "Як ти це зробив?" Він сказав: "Ну, я використовував ін'єкцію SQL".
Отже, це всього п'ять років тому, і це було на базі ВПС, правда? Отже, я маю на увазі, з точки зору конфесій, ця річ все ще дуже реальна, і її можна було б використовувати із справді жахливими наслідками. Я хочу сказати, мені цікаво знати будь-які історії війни, які Робін має на цю тему, але всі ці прийоми все ще діють. Вони все ще використовуються у багатьох випадках, і це питання виховання себе, правда?
Робін Блор: Ну так. Так, її можна захистити від ін'єкції SQL, виконуючи роботу. Легко зрозуміти, чому, коли ідея була придумана і вперше розповсюджена, її легко зрозуміти, чому вона настільки проклята успішно, адже ви можете просто вставити її в поле введення на веб-сторінці і отримати її, щоб повернути дані для вас або отримати це для видалення даних у базі даних чи будь-чого іншого - для цього можна просто ввести код SQL. Але саме це мене зацікавило, це те, що це ви знаєте, вам доведеться трохи проаналізувати кожний фрагмент даних, який було введено, але цілком можливо помітити, що хтось намагається це зробити. І це дійсно, я думаю, що це насправді, тому що люди все-таки відходять від цього, я маю на увазі, це просто дуже дивно, що не було простого способу боротьби з цим. Ви знаєте, що кожен міг легко користуватися, я маю на увазі, наскільки я знаю, ніколи не було, Вікі, чи є там?
Вікі Арф: Ну, насправді деякі рішення заручників, як-от SQL Azure, я думаю, що є досить непогані методи виявлення, засновані на машинному навчанні. Це, мабуть, те, що збиралося побачити в майбутньому, - це те, що його намагаються придумати один розмір, який підходить усім. Я думаю, що відповідь була, чи не один розмір підходить усім, але у нас є машини, які можуть дізнатися, який ваш розмір, і переконатися, що ви підходите до нього, правда? І так, якщо у вас є хибний позитив, це тому, що ви насправді робите щось незвичне, це не тому, що вам довелося пройти і ретельно визначити все, що ваша програма може коли-небудь зробити.
Я думаю, що однією з причин того, що вона все ще є настільки плодовитою, є те, що люди все ще покладаються на сторонні додатки, а додатки від ISV та ті, які з часом розмиваються. Отже, ви говорите про організацію, яка придбала інженерну програму, написану в 2001 році. І вони її не оновлювали, тому що з тих пір не відбулося жодних великих функціональних змін, а оригінальний автор цього виду був, вони не були інженером , вони не були експертом із захисту баз даних, вони не робили в програмі все правильно, і вони виявляються вектором. Я розумію, що - я думаю, це було цільовим порушенням даних, дійсно великим - вектор атаки був через одного з їх постачальників кондиціонерів, правда? Отже, проблема з третьою стороною ви можете, якщо у вас є власний магазин розробки, можливо, ви можете мати деякі з цих правил на місці, виконуючи це взагалі коли завгодно. Як організація, у вас може працювати сотні чи навіть тисячі додатків із різними профілями. Я думаю, що саме там збирається машинне навчання і починає нам багато допомагати.
Моя історія війни була освітнім життям. Мені доводилося бачити атаку ін'єкцій SQL, і те, що мені ніколи не траплялося, - це те, що використовувати звичайний читабельний SQL. Я роблю такі речі, які називаються прихованими картками свят P PQL; Мені подобається це робити, ви робите цей SQL максимально заплутаним. Терес обманув конкурс коду C ++, який триває вже десятиліття, і його така ж ідея. Отже, те, що ви насправді отримали, це ін'єкція SQL, яка знаходилась у відкритому рядку рядка, вона закрила рядок, вона поставила у крапку з комою, а потім уклала команду exec, яка тоді мала ряд чисел, а потім в основному використовувала команда лиття, щоб передати ці числа у двійкові, а потім передати ці, у свою чергу, у значення символів, а потім виконати це. Таким чином, вам не подобається, що ви повинні побачити щось, що говорило: "Видалити запуск із виробничої таблиці", це було насправді набито в числові поля, що зробило його набагато складніше. І навіть коли ви це побачили, щоб визначити, що відбувається, знадобилося кілька реальних знімків SQL, щоб можна було зрозуміти, що відбувається, до цього часу, звичайно, робота вже була зроблена.
Робін Блор: І одна з речей, що є просто явищем у всьому світі хакерства - це те, що якщо хтось виявляє слабкість, і це трапляється в програмному забезпеченні, яке зазвичай продається, знаєте, однією з перших проблем є пароль бази даних що вам дали, коли була встановлена база даних, багато баз даних насправді було лише за замовчуванням. І багато DBA просто ніколи не змінювали його, і тому ви могли встигнути потрапити в мережу; ви можете просто спробувати цей пароль, і якщо він спрацював, ну, ви просто виграли в лотерею.Цікавим є те, що вся ця інформація дуже ефективно та ефективно розповсюджується серед хакерських спільнот на веб-сайтах darknet. І вони знають. Таким чином, вони можуть значно переглядати те, що там, знайти декілька примірників і автоматично автоматично кинути на нього хакерський подвиг, і вони там. І це, я думаю, що багато людей, які принаймні на периферії з усього цього, не розумійте, наскільки швидко хакерська мережа реагує на вразливість.
Вікі Арф: Так, це насправді викликає ще одну річ, яку я хотів згадати, перш ніж продовжувати, - це таке поняття, що стосується набивки даних, що є чимось, що вискакує, а це те, що колись ваші повноваження були вкрадені для когось де завгодно, у будь-якому на сайті, ці облікові дані будуть намагатися повторно використовувати у всій смузі. Отже, якщо ви використовуєте повторювані паролі, скажімо, якщо ваші користувачі навіть, дозволяють це зробити так, хтось може отримати доступ через те, що, здається, є абсолютно дійсним набором облікових даних. Отже, скажімо, що я використовував той самий пароль в Amazon і в моєму банку, а також на форумі, і програмне забезпечення форуму було зламано, ну, вони мають моє ім'я користувача та мій пароль. Потім вони можуть використовувати те саме ім’я користувача в Amazon або використовувати його в банку. А що стосується банку, то це був цілком дійсний логін. Тепер ви можете вчинити нечесні дії через повністю дозволений доступ.
Таким чином, такий тип знову повертається до того, що я говорив про внутрішні порушення та внутрішні звички. Якщо у вас в організації є люди, які використовують той самий пароль для внутрішнього доступу, що і для зовнішнього доступу, ви отримуєте можливість, що хтось збирається зайти і видати себе за порушення через якийсь інший сайт, про який ви навіть не знаєте. І ці дані поширюються дуже швидко. Є списки, я вважаю, що останнім навантаженням на "мене мене поклали" Троя Хант, він сказав, що він мав півмільярда наборів даних, тобто - якщо врахувати кількість людей на планеті - ось це дійсно велика кількість облікових даних, які були доступні для заповнення облікових даних.
Отже, я збираюся зробити трохи глибше і поговорити про безпеку SQL Server. Тепер я хочу сказати, що я не збираюся намагатися дати вам все, що потрібно знати, щоб захистити свій SQL Server протягом найближчих 20 хвилин; це здається трохи високим порядком. Отже, для початку я хочу сказати, що в Інтернеті є групи в Інтернеті та ресурси, які ви, звичайно, можете Google, є книги, в Microsoft є документи найкращих практик, є віртуальна глава безпеки для професійних партнерів на SQL Server, вони є на безпеці.pass.org, і вони, я вважаю, щомісячно переглядають веб-трансляції та записи веб-трансляцій, щоб перейти через реальну, глибоку, як зробити безпеку SQL Server. Але це деякі речі, про які я, розмовляючи з вами як професіонали даних, як ІТ-професіонали, як DBA, я хочу, щоб ви знали, що вам потрібно знати про безпеку SQL Server.
Тож перше - це фізична безпека. Отже, як я вже говорив раніше, крадіжка фізичних носіїв все ще надзвичайно поширена. І тому сценарій, який я дав із програмою Dev, з копією вашої бази даних на машині розробки, яка вкрадена - ось надзвичайно поширений вектор, ось такий вектор, про який потрібно знати, і намагатися вжити заходів проти. Це також стосується безпеки резервного копіювання, тому щоразу, коли ви створюєте резервну копію даних, вам потрібно створювати її в зашифрованому вигляді, вам потрібно створювати резервну копію в безпечному місці. Багато разів ці дані були захищені в базі даних, як тільки вони починають виходити на периферійні місця, на верстати для розробників, на тестові машини, ми стаємо трохи менш уважними щодо виправлення, ми отримуємо трохи менше уважно ставлячись до людей, які мають до нього доступ. Наступне, що ви знаєте, у вас є незашифровані резервні копії бази даних, що зберігаються на загальнодоступній долі у вашій організації, доступній для експлуатації у багатьох людей. Отже, подумайте про фізичну безпеку і настільки ж просто, чи може хтось підійти і просто покласти USB-ключ на ваш сервер? Ви не повинні дозволяти цього.
Наступним пунктом, про який я хочу подумати, є безпека платформи, настільки сучасні ОС, сучасні виправлення. Дуже втомило чути, як люди говорять про перебування на старих версіях Windows, старих версіях SQL Server, думаючи, що єдиною вартістю в грі є вартість оновлення ліцензування, що не так. Ми з безпекою, її потік, який продовжує спускатися з пагорба, і з часом йде більше подвигів. У цьому випадку Microsoft, а також інші групи, залежно від ситуації, оновлюють старі системи до певної міри, і, зрештою, вони випадуть з підтримки, і більше не оновлюватимуть їх, оскільки це просто нескінченний процес обслуговування.
Отже, вам потрібно бути на підтримуваній ОС, і вам потрібно бути в курсі своїх патчів, і ми знайшли нещодавно, як і у Shadow Brokers, в деяких випадках Microsoft може мати уявлення про майбутні серйозні порушення безпеки, перш ніж вони будуть зроблені. перед розголошенням, тому не дозволяйте собі все вивернути з ладу. Я, швидше, не беруть часу простою, я краще зачекаю і прочитаю кожен з них і вирішуй. Ви, можливо, не знаєте, яке його значення, доки через кілька тижнів не з'явиться причина, коли з'ясувався цей виправлення. Отже, залишайтеся на цьому.
У вас має бути налаштований брандмауер. При порушенні SNB було шокуюче, скільки людей працювали в старих версіях SQL Server із брандмауером, повністю відкритим для Інтернету, тому кожен міг зайти і робити все, що завгодно, зі своїми серверами. Ви повинні використовувати брандмауер. Той факт, що вам періодично доводиться налаштовувати правила або робити конкретні винятки для способу, яким ви займаєтесь своїм бізнесом, - це ціна ОК. Вам потрібно контролювати площу поверхні у ваших системах баз даних - ви спільно встановлюєте сервіси чи веб-сервери, такі як IIS, на одній машині? Спільний обсяг дискового простору, спільний обсяг пам’яті, що і ваші бази даних та ваші приватні дані? Постарайтеся цього не робити, спробуйте ізолювати її, збережіть площу поверхні менше, щоб вам не довелося так сильно хвилюватися, щоб переконатися, що все це надійно в базі даних. Ви можете фізично відокремити ті, платформи, розділити їх, дати собі трохи місця для дихання.
У вас не повинно бути супер-адміністраторів, які бігають скрізь, щоб мати доступ до всіх ваших даних. Облікові записи адміністратора ОС не обов'язково повинні мати доступ до вашої бази даних або до базових даних у базі даних за допомогою шифрування, про які добре говорити за хвилину. І доступ до файлів баз даних вам також потрібно обмежити. Як це нерозумно, якщо ви скажете, ну хтось не може отримати доступ до цих баз даних через базу даних; Сам сервер SQL не дозволить їм отримати доступ до нього, але якщо потім вони зможуть обійти, скопіювати фактичний файл MDF, перенести його просто так, приєднати його до власного SQL Server, ви насправді не дуже зробили.
Шифрування, тож шифрування - це той відомий двосторонній меч. Є багато різних рівнів шифрування, які ви можете зробити на рівні ОС, а сучасний спосіб робити речі для SQL та Windows - це за допомогою BitLocker, а на рівні бази даних - його називається TDE або прозорим шифруванням даних. Отже, це обидва способи зберегти ваші дані в затримці в стані спокою. Якщо ви хочете, щоб ваші дані шифрувалися ширше, ви можете робити зашифровані - вибачте, я начебто вийшов за крок. Ви можете робити зашифровані з'єднання, щоб кожен раз, коли він перебуває в транзиті, його все ще було зашифровано, так що якщо хтось слухає або має людину посеред атаки, ви отримуєте певний захист цих даних по дроту. Ваші резервні копії потрібно зашифрувати, як я вже сказав, вони можуть бути доступними для інших, і тоді, якщо ви хочете, щоб він був зашифрований в пам'яті та під час використання, ми отримали шифрування стовпців, а потім, SQL 2016 має таке поняття «завжди зашифровано» де його фактично зашифровано на диску, в пам'яті, на дроті, аж до програми, яка фактично використовує дані.
Тепер все це шифрування не є безкоштовним: накладні витрати на процесор Theres, іноді - для шифрування стовпців і завжди зашифрованого випадку, це впливає на продуктивність з точки зору вашої здатності робити ці дані. Однак це шифрування, якщо його правильно скласти, це означає, що якщо хтось отримав доступ до ваших даних, шкода значно зменшиться, оскільки вони змогли його отримати, і вони не зможуть з цим нічого зробити. Тим не менш, це також спосіб, яким працює викупник, - це те, що хтось заходить і вмикає ці предмети з власним сертифікатом або власним паролем, і ви не маєте до нього доступу. Отже, тому важливо переконатися, що ви робите це, і у вас є доступ до нього, але ви цього не даєте, відкрите для інших та зловмисників.
І тоді, принципи безпеки - Я не збираюся брати до уваги цю точку, але переконайтеся, що у вас немає кожного користувача, який працює в SQL Server як супер адміністратор. Ваші розробники можуть цього бажати, різні користувачі можуть цього бажати - вони засмучені тим, що вимагають доступу до окремих предметів - але вам потрібно бути уважними до цього, і хоч це може бути складніше, надавати доступ до об’єктів і баз даних і схеми, які дійсні для поточної роботи, і це особливий випадок, можливо, це означає спеціальний логін, це не обов'язково означає підвищення прав для середнього користувача.
І тоді міркування щодо дотримання регуляторних норм, що стосуються цього та деяких випадків, можуть насправді вийти з себе по-своєму - тому HIPAA, SOX, PCI - це всі ці різні міркування. І коли ви проходите аудит, від вас очікується показати, що ви вживаєте заходів, щоб дотримуватися цього. Отже, це багато для того, щоб відстежувати, я б сказав, як список справ DBA, ви намагаєтеся забезпечити конфігурацію фізичного шифрування безпеки, ви намагаєтеся переконатися, що доступ до цих даних перевіряється для ваших цілей відповідності , переконайтеся, що ваші чутливі стовпці знають, що вони є, де вони знаходяться, які ви повинні шифрувати та переглядати доступ. І переконайтесь, що конфігурації узгоджуються з нормативними вказівками, до яких ви підпадаєте. І вам доведеться постійно це оновлювати, оскільки все змінюється.
Отже, це багато що робити, і тому, якби я залишив це просто там, я б сказав, що йти так. Але для цього є багато різних інструментів, і тому, якщо я, можливо, за останні кілька хвилин я хотів би показати вам деякі інструменти, які ми маємо для цього в IDERA. І два, про які я хотів сьогодні поговорити, - це SQL Secure та SQL Compliance Manager. SQL Secure - це наш інструмент, який допомагає визначити вид уразливості конфігурації. Ваша політика безпеки, дозволи користувачів, конфігурації поверхні. І у нього є шаблони, які допоможуть вам дотримуватися різних нормативно-правових систем. Це саме по собі, цей останній рядок, може бути причиною того, щоб люди вважали це. Оскільки, читаючи ці різні правила та визначаючи, що це означає, PCI, а потім переносити це аж до мого SQL Server у своєму магазині, це велика робота. Це щось, за що можна заплатити багато консультаційних грошей; ми провели таку консалтинг, ми працювали з різними аудиторськими компаніями тощо, щоб придумати, які ці шаблони - те, що, ймовірно, пройде аудит, якщо вони є на місці. І тоді ви можете використовувати ці шаблони і бачити їх у своєму оточенні.
У нас також є інший, сестринський інструмент у вигляді диспетчера відповідності SQL, і саме тут SQL Secure стосується налаштувань конфігурації. Менеджер відповідності SQL - це бачити, що робив хто, коли. Таким чином, його аудит, тому він дозволяє відстежувати діяльність як її дію, а також дозволяє виявляти та відстежувати, хто має доступ до речей. Хтось, прототипний приклад того, що знаменитість перевіряв у вашу лікарню, хтось збирався і шукав їх інформацію, просто з цікавості? Чи мали вони це причину? Ви можете подивитися історію аудиту і побачити, що відбувається, хто звертався до цих записів. І ви можете визначити, що це інструменти, які допоможуть вам ідентифікувати чутливі стовпці, тому вам не обов’язково читати і робити все це самостійно.
Тож, якщо я можу, я збираюся продовжувати і показувати вам деякі з цих інструментів тут протягом останніх декількох хвилин - і, будь ласка, не розглядайте це як глибоку демонстрацію. Я менеджер із продуктів, а не інженер з продажу, тому я збираюся показати вам деякі речі, які, на мою думку, мають відношення до цієї дискусії. Отже, це наш продукт SQL Secure. І як ви можете бачити тут, я отримав такий вид звітів на високому рівні. Я запускав це, я думаю, вчора. І він показує мені деякі речі, які не налаштовані правильно, а деякі речі, які встановлені правильно. Отже, тут ви можете побачити чимало понад 100 різних перевірок, які ми зробили тут. І я можу бачити, що моє резервне шифрування на резервних копіях, які я робив, я не використовував резервне шифрування. Мій обліковий запис SA, явно названий "акаунт SA", не вимикається або перейменовується. Роль загальнодоступного сервера має дозвіл, тому це все, на що, можливо, я хотів би подивитися на зміни.
У мене тут створена політика, тому, якщо я хотів створити нову політику, застосувати до своїх серверів, ми отримали всі ці вбудовані політики. Отже, я використовую існуючий шаблон політики, і ви можете побачити, що у мене є країни СНД, HIPAA, PCI, SR, і ми фактично постійно додаємо додаткові політики, виходячи з речей, які потребують людей у цій галузі. Ви також можете створити нову політику, тож якщо ви знаєте, що шукає ваш аудитор, ви можете створити його самостійно. І тоді, коли ви це зробите, ви можете вибрати серед усіх цих різних налаштувань, які вам потрібно встановити, в деяких випадках - у вас є деякі - дозвольте мені повернутися назад і знайти одну з попередньо побудованих. Це зручно, я можу вибрати, скажімо, HIPAA - я вже отримав HIPAA, мій поганий - PCI, і тоді, коли я натискаю сюди, я фактично можу побачити зовнішній перехресний посилання на розділ регламенту, що це пов'язані з. Отже, це допоможе вам пізніше, коли ви намагаєтесь зрозуміти, чому я це встановлюю? Чому я намагаюся на це подивитися? З яким розділом це пов’язано?
Це також чудовий інструмент, завдяки якому ви можете зайти та переглядати своїх користувачів, тому одна з складних речей щодо вивчення ролей користувачів - це те, що насправді я тут загляну. Отже, якщо я показую дозволи для своїх, давайте побачимо, давайте тут вибирати користувача. Показати дозволи. Я бачу призначені дозволи для цього сервера, але потім я можу натиснути тут і обчислити ефективні дозволи, і він дасть мені повний список на основі, тому в цьому випадку це адміністратор, тож це не так цікаво, але я міг би пройдіть і виберіть різних користувачів і перегляньте, які є їх ефективні дозволи на основі всіх різних груп, до яких вони можуть належати. Якщо ви коли-небудь намагаєтеся зробити це самостійно, це насправді може бути чимало клопоту, щоб зрозуміти, гаразд цей користувач є членом цих груп і тому має доступ до цих речей через групи тощо.
Таким чином, спосіб роботи цього продукту - це робити знімки, тому це дійсно не дуже складний процес регулярного зйомки сервера, а потім він зберігає ці знімки з часом, щоб можна було порівняти зміни. Отже, це не постійний моніторинг у традиційному розумінні як інструмент моніторингу ефективності; це те, що ви могли налаштувати запускати один раз на ніч, раз на тиждень - проте, як часто вважаєте, що це дійсно, - щоб потім, коли ви робите аналіз і робите трохи більше, ви насправді просто працювали в нашому інструменті. Ви не так сильно підключаєтесь до свого сервера, тому це дуже приємний маленький інструмент, з яким можна працювати, щоб відповідати цим видам статичних налаштувань.
Інший інструмент, який я хочу вам показати, - це наш інструмент управління відповідності. Менеджер відповідності збирається контролювати більш безперервно. І збирається побачити, хто робить що на вашому сервері, і дозволить вам поглянути на це. Отже, те, що я робив тут, протягом останніх кількох годин, Іве насправді намагався створити невеликі проблеми. Отже, тут у мене з’явилася проблема чи ні, я можу знати про неї, хтось створив логін і додав його до ролі сервера. Отже, якщо я заходжу і погляну на це, я можу побачити - я, мабуть, не можу клацнути правою кнопкою миші, я можу побачити, що відбувається. Отож, це моя панель приладів, і я можу помітити, що раніше я мав ряд невдалих реєстрацій. Я мав купу заходів щодо безпеки, діяльності DBL.
Отже, дозвольте мені перейти до моїх аудиторських подій і поглянути. Тут я отримав свої аудиторські події, згруповані за категоріями та цільовим об’єктом, тому, якщо я перегляну цей захист раніше, я можу побачити DemoNewUser, це вхід на сервер створення відбувся. І я можу побачити, що вхід SA створив цей обліковий запис DemoNewUser, о 14:42. І тоді я бачу, що, в свою чергу, додайте логін на сервер, цей DemoNewUser був доданий до групи адміністратора сервера, вони були додані до групи адміністратора установки, вони були додані до групи sysadmin. Отже, ось щось, про що я хотів би знати, сталося. Я також встановив це так, що чутливі стовпці моїх таблиць відслідковуються, тож я можу побачити, хто до нього звертався.
Отже, тут я отримав пару вибраних, які трапилися на моєму столі людини, з Adventure Works. І я можу поглянути і побачити, що користувач SA на таблиці Adventure Works зробив десятку найкращих зірок від людини, що перебуває в крапці. Тож, можливо, в моїй організації я не хочу, щоб люди робили відбір зірок у людини, або я очікую, що це робитимуть лише певні користувачі, і тому я буду бачити це тут. Отже, - що вам потрібно з точки зору вашої аудиторської перевірки, ми можемо встановити це на основі рамки, і це трохи більш інтенсивний інструмент. Він використовує події SQL Trace або SQLX, залежно від версії. І це щось, що вам буде потрібно мати деякий простір на вашому сервері, щоб розмістити, але це одна з тих речей, на зразок страхування, що добре, якщо ми не мали мати страхування автомобіля - це було б вартістю, яку ми не хотіли б доведеться брати участь - але якщо у вас є сервер, на якому потрібно слідкувати за тим, хто що робить, можливо, вам доведеться мати трохи додаткового місця для запасів і такий інструмент, як це зробити. Незалежно від того, чи використовуєте ви наш інструмент, чи прокручуєте його самостійно, ви, зрештою, несете відповідальність за наявність цієї інформації з метою дотримання нормативних вимог.
Так, як я вже сказав, не поглиблена демонстрація, а лише швидкий, невеликий підсумок. Я також хотів показати вам швидкий, маленький безкоштовний інструмент у вигляді цього пошуку в колонці SQL, який ви можете використовувати для визначення того, які стовпці у вашому середовищі представляють собою конфіденційну інформацію. Отже, у нас є ряд конфігурацій пошуку, де його шукають різні назви стовпців, які зазвичай містять конфіденційні дані, і тоді я отримав цілий список їх, які були ідентифіковані. Я отримав 120 з них, а потім я експортував їх сюди, щоб я міг скористатися ними, скажімо, відпустити погляд і переконатися, що я відстежую доступ до прізвища, однієї особи крапки або ставки податку з продажу тощо.
Я знаю, що потрапили тут вже в кінці нашого часу. І це все, що я насправді мав тобі показати, тож якісь питання до мене?
Ерік Кавана: У мене є пару хороших для вас. Дозвольте мені прокрутити це тут. Один із присутніх задав справді гарне запитання. Одне з них - питання про податок на ефективність, тому я знаю, що він змінюється від рішення до рішення, але чи маєте ви загальне уявлення про те, що таке податок на ефективність використання інструментів безпеки IDERA?
Вікі Арф: Отже, на SQL Secure, як я вже казав, його дуже низький рівень, він просто збирається робити деякі випадкові знімки. І навіть якщо ви працюєте досить часто, його статична інформація про налаштування, і тому її дуже низька, майже незначна. З точки зору менеджера з відповідності, це:
Ерік Кавана: Як один відсоток?
Вікі Арф: Якби я мав дати відсоткову кількість, так, це було б один відсоток або менше. Основна інформація про порядок використання SSMS та перехід на вкладку безпеки та розширення речей. Що стосується дотримання вимог, його набагато вище - ось чому я сказав, що йому потрібно невеликий простір - такий собі, як і набагато вищий за те, що у вас в моніторингу продуктивності. Тепер я не хочу відлякувати людей від цього, фокус з моніторингом відповідності, і якщо його аудит полягає в тому, щоб переконатися, що ви лише ревізуєте те, на що збираєтесь вживати заходів. Отже, як тільки ви фільтруєте вниз, щоб сказати: "Ей, я хочу знати, коли люди отримують доступ до цих конкретних таблиць, і я хочу знати, коли люди отримують доступ до цих конкретних дій", то це буде ґрунтуватися на тому, як часто ці речі що відбувається і скільки даних ви генеруєте. Якщо ви скажете: "Я хочу, щоб повний SQL кожного вибору, що коли-небудь траплявся в будь-якій із цих таблиць", це просто можливі гігабайти та гігабайти даних, які повинні бути розібрані збереженими на SQL Server, переміщеними до нашого продукту тощо .
Якщо ви зведете його до - це також буде більше інформації, ніж ви могли б мати справу. Якщо ви можете зняти його на менший набір, щоб ви отримували пару сотень подій на день, то це, очевидно, значно нижче. Тож справді, певним чином, перебирає межу. Якщо ви увімкнете всі налаштування на всіх моніторингах, то так, це буде 50-відсотковою ефективністю. Але якщо ти збираєшся перетворити його на якийсь більш помірний, розглянутий рівень, я б, можливо, очне яблуко на 10 відсотків? Це дійсно, це одна з тих речей, яка буде дуже залежати від вашої роботи.
Ерік Кавана: Так, це правда. Є ще одне питання щодо обладнання. А потім, постачальники обладнання ввійшли в гру і по-справжньому співпрацювали з постачальниками програмного забезпечення, і я відповів через вікно запитань. Я знаю один конкретний випадок, про те, що Cloudera працював з Intel, де Intel зробила величезні інвестиції в них, і частиною підрахунку було те, що Cloudera отримає ранній доступ до дизайну чіпів і, таким чином, зможе забезпечити безпеку на рівні чіпів архітектура, яка досить вражає. Але це все-таки є щось, що вийде там, і все ще може бути використане обома сторонами. Чи знаєте ви про якісь тенденції чи якісь тенденції постачальників обладнання до співпраці з постачальниками програмного забезпечення на протоколі безпеки?
Вікі Арф: Так, насправді я вважаю, що Microsoft співпрацює для того, щоб мати деякий, наприклад, простір пам’яті для деяких робіт із шифрування насправді відбувається на окремих мікросхемах материнських плат, які відокремлені від вашої основної пам’яті, так що деякі з цих матеріалів фізично відокремлений. І я вважаю, що насправді це було щось, що прийшло від Microsoft з точки зору виходу до постачальників, щоб сказати: "Чи можемо ми придумати спосіб зробити це, в основному, своєю пам'яттю без адреси, я не можу через переповнення буфера потрапити до цієї пам'яті , тому що його навіть в певному сенсі немає, тож я знаю, що щось із цього відбувається ».
Ерік Кавана: Так.
Вікі Арф: Це, очевидно, справді великі продавці, швидше за все.
Ерік Кавана: Так. Мені цікаво спостерігати за цим, і, можливо, Робін, якщо у вас є швидка секунда, мені буде цікаво знати ваш досвід протягом багатьох років, тому що знову ж таки, з точки зору обладнання, з точки зору фактичної матеріалознавства, яка входить у те, що ви ставите разом з боку постачальника ця інформація може перейти в обидві сторони, і теоретично ми переходимо до обох сторін досить швидко, тож чи є якийсь спосіб використовувати апаратне забезпечення більш ретельно, з точки зору дизайну для посилення безпеки? Що ти думаєш? Робін, ти ввімкнеш звук?
Робін Блор: Так Так. Мені шкода, я тут; Я просто обдумую питання. Якщо чесно, я не мав думки, її область, яку я не розглядав у значній глибині, тож Я, вид, я знаю, я можу вигадати думку, але я дійсно не знаю. Я в основному віддаю перевагу безпечним речам у програмному забезпеченні, а саме тому, як я граю.
Ерік Кавана: Так. Ну, люди, ми прогоріли протягом години і змінимо тут. Велика подяка Вікі Гарпу за її час та увагу - за весь ваш час та увагу; ми цінуємо те, що ти з'явився для цих речей. Це велика справа; вона не збирається скоро піти. Це гра з котами та мишами, яка буде продовжувати йти і збиратися. І тому були вдячні, що деякі компанії знаходяться там, зосереджені на забезпеченні безпеки, але, як Вікі навіть нагадав і трохи поговорив у своїй презентації, наприкінці дня, її представники в організаціях, яким потрібно дуже ретельно подумати про це фішинг-атаки, така соціальна інженерія, і тримайтеся на своїх ноутбуках - не залишайте її в кав’ярні! Змініть пароль, виконайте основи, і ви збираєтеся отримати 80 відсотків шляху туди.
Тож, люди, збиралися попрощатися, ще раз дякую за ваш час та увагу. Добре наздогнати вас наступного разу, подбайте. Бувай.
Вікі Арф: До побачення, дякую.