Af Techopedia Staff, 10. maj 2017
Takeaway: Værten Eric Kavanagh diskuterer sikkerhed og tilladelser med Dr. Robin Bloor og IDERAs Vicky Harp.
Du er ikke logget ind. Log ind eller tilmeld dig for at se videoen.
Eric Kavanagh: OK, mine damer og herrer, hej og velkommen tilbage igen. Det er en onsdag, det er fire østlige og i verden af virksomhedsteknologi, som betyder, at det igen er tid for Hot Technologies! Ja bestemt. Præsenteret af Bloor Group selvfølgelig, drevet af vores venner på Techopedia. Emnet for i dag er et rigtig coolt emne: ”Bedre at bede om tilladelse: bedste praksis for privatliv og sikkerhed.” Det er rigtigt, det er lidt af et hårdt emne, mange mennesker taler om det, men det er et temmelig seriøst emne, og det bliver virkelig mere alvorligt hver dag, helt ærligt. Det er et alvorligt spørgsmål på mange måder for mange organisationer. Vi vil tale om det, og vi skal tale om, hvad du kan gøre for at beskytte din organisation mod de ubehagelige karakterer, der ser ud til at være overalt i disse dage.
Så dagens præsentant er Vicky Harp, der ringer ind fra IDERA. Du kan se IDERA-software på LinkedIn - Jeg elsker den nye funktionalitet på LinkedIn. Selvom jeg kan fortælle, at de trækker nogle strenge på bestemte måder, ikke lader dig få adgang til folk, prøver at få dig til at købe disse premium-medlemskaber. Der går du, vi har vores helt egen Robin Bloor, der ringer ind - han er faktisk i San Diego-området i dag. Og din virkelig som din moderator / analytiker.
Så hvad taler vi om? Overtrædelse af data. Jeg har lige taget disse oplysninger fra IdentityForce.com, de er allerede ude af løbene. Vi er selvfølgelig i maj i år, og der er bare et væld af dataovertrædelser, der er selvfølgelig nogle virkelig enorme af Yahoo! var en stor en, og vi hørte selvfølgelig om, at den amerikanske regering blev hacket. Vi havde netop de franske valg hacket.
Dette sker overalt, det fortsætter, og det stopper ikke, så det er en realitet, det er den nye virkelighed, som de siger. Vi har virkelig brug for at tænke på måder til at håndhæve sikkerheden i vores systemer og vores data. Og det er en løbende proces, så det er lige i tide til at tænke over alle de forskellige spørgsmål, der kommer ind. Dette er kun en delvis liste, men dette giver dig et perspektiv på, hvor usikker situationen er i dag med virksomhedssystemer. Og inden dette show talte vi i vores pre-show skænderi om ransomware, der har ramt nogen, jeg kender, hvilket er en meget ubehagelig oplevelse, når nogen overtager din iPhone og kræver penge for dig at få adgang til din telefon tilbage. Men det sker, det sker med computere, det sker med systemer, jeg så lige den anden dag, det sker med milliardærer med deres lystbåde. Forestil dig at gå til din yacht en dag og forsøge at imponere alle dine venner, og du kan ikke engang tænde den, fordi en tyv har stjålet adgang til kontrollerne, kontrolpanelet. Jeg sagde lige forleden i et interview til nogen, har altid den manuelle tilsidesættelse. Jeg er ikke en stor fan af alle de tilsluttede biler - selv biler kan blive hacket. Alt, hvad der er forbundet til internettet, eller som er forbundet til et netværk, der kan gennemtrænges, kan hackes, hvad som helst.
Så her er bare et par ting, du skal overveje med hensyn til at indramme konteksten af, hvor alvorlig situationen er. Web-baserede systemer er overalt i disse dage, de fortsætter med at sprede sig. Hvor mange mennesker køber ting online? Det er lige gennem taget i disse dage, det er derfor, Amazon er en så stærk styrke i disse dage. Det er fordi så mange mennesker køber ting online.
Så husker du dengang, for 15 år siden, var folk temmelig nervøse over at lægge deres kreditkort i en webformular for at få deres information, og dengang var argumentet: ”Nå, hvis du overleverer dit kreditkort til en tjener på en restaurant, så er det den samme ting. ”Så vores svar er ja, det er den samme ting, der er alle disse kontrolpunkter, eller adgangspunkter, samme ting, forskellige sider af den samme mønt, hvor folk kan sættes i fare, hvor nogen kan tage dine penge, eller nogen kan stjæle fra dig.
Derefter udvider IoT naturligvis truslen - jeg elsker det ord - efter størrelsesordrer. Jeg mener, tænk over det - med alle disse nye enheder overalt, hvis nogen kan hacke ind i et system, der kontrollerer dem, kan de vende alle disse bots mod dig og forårsage masser af problemer, så det er et meget alvorligt problem. Vi har en global økonomi i disse dage, der udvider trusselbildet endnu mere, og hvad mere er, du har mennesker i andre lande, der kan få adgang til nettet på samme måde som du og jeg kan, og hvis du ikke ved, hvordan du taler russisk, eller et hvilket som helst antal andre sprog, har du svært ved at forstå, hvad der sker, når de hacker ind i dit system. Så vi har fremskridt inden for netværk og virtualisering, det er godt.
Men jeg har til højre for dette billede her, et sværd, og grunden til at jeg har det der, er fordi hvert sværd skærer begge veje. Det er et dobbeltkantet sværd, som de siger, og det er en gammel kliché, men det betyder, at det sværd, jeg har, kan skade dig, eller det kan skade mig. Det kan komme tilbage på mig, enten ved at hoppe tilbage eller ved at nogen tager det. Det er faktisk et af Aesops fabler - vi giver ofte vores fjender værktøjet til vores egen ødelæggelse. Det er virkelig ganske den overbevisende historie og har at gøre med en person, der brugte en bue og pil og skød ned en fugl og fuglesaven, da pilen var ved at komme op, den fjer fra en af dens fuglevenner var på kanten af pilen, på bagsiden af pilen for at lede den, og han tænkte for sig selv, ”Åh mand, her er det, mine egne fjer, min egen familie vil blive brugt til at fange mig ned.” Det sker hele tiden, hører du statistik om du har en pistol i huset, tyven kan tage pistolen. Nå, alt dette er sandt. Så jeg kaster dette ud som en analogi bare for at overveje, alle disse forskellige udviklinger har positive sider og negative sider.
Og taler om, containere til dem af jer, der virkelig følger forkant med enterprise computing, containere er den nyeste ting, seneste måde at levere funktionalitet på, det er virkelig ægteskabet med virtualisering i den serviceorienterede arkitektur, i det mindste for mikroservices og det meget interessante ting. Du kan helt sikkert tilsløre dine sikkerhedsprotokoller og dine applikationsprotokoller og dine data og så videre ved at bruge containere, og det giver dig et forskud i et stykke tid, men før eller senere vil de slemme gutter finde ud af det, og så bliver det endnu sværere at forhindre dem i at udnytte dine systemer. Så der er der, der er global arbejdsstyrke, der komplicerer netværket og sikkerheden, og hvor folk logger ind fra.
Vi har browserkrigene, der fortsætter med at blive fortsat, og kræver konstant arbejde for at opdatere og holde sig på toppen af tingene. Vi hører fortsat om de gamle Microsoft Explorer-browsere, hvordan de blev hacket og tilgængelige derinde. Så der er flere penge at tjene på at hacke i disse dage, der er en hel branche, dette er noget, som min partner, Dr. Bloor, lærte mig for otte år siden - jeg spekulerede på, hvorfor ser vi så meget af det, og han mindede om mig, det er en hel branche involveret i hacking. Og i den forstand er fortællingen, som er et af mine mindst foretrukne ord om sikkerhed, virkelig meget uærlig, fordi fortællingen viser dig i alle disse videoer og enhver form for nyhedsdækning noget hacking de viser en fyr i en hættetrøje, siddende i hans kælder i et mørkt oplyst rum, er det slet ikke tilfældet. Det er slet ikke repræsentativt for virkeligheden. Det er ensomme hackere, der er meget få ensomme hackere, de er derude, de skaber problemer - de vil ikke forårsage de store problemer, men de kan tjene en hel masse penge. Så hvad der sker er, at hackerne kommer ind, og trænger ind i dit system og derefter sælger denne adgang til en anden, der vender rundt og sælger det til en anden, og derefter et sted nede på linjen, udnytter nogen det hack og drager fordel af dig. Og der er utallige måder at drage fordel af stjålne data på.
Jeg har endda undret mig selv over, hvordan vi har glamouriseret dette koncept. Du ser dette udtryk overalt, "væksthacking", som om det er en god ting. Væksthakning, ved du, hacking kan være en god ting, hvis du prøver at arbejde for de gode fyre, så at tale og hacke ind i et system, som vi fortsat hører om med Nordkorea og deres missil-lanceringer, der potentielt bliver hacket - det er godt. Men hacking er ofte en dårlig ting. Så nu glamoriserer vi det, næsten som Robin Hood, da vi glamouriserede Robin Hood. Og så er der det kontantløse samfund, noget der ærligt talt angår dagslyset ud af mig. Alt hvad jeg tror, hver gang jeg hører det, er: ”Nej, vær venlig ikke at gøre det! Vær venlig ikke! ”Jeg vil ikke, at alle vores penge forsvinder. Så dette er bare nogle spørgsmål, du skal overveje, og igen, det er et kat-og-mus-spil; det vil aldrig stoppe, der vil altid være et behov for sikkerhedsprotokoller og til at fremme sikkerhedsprotokoller. Og til overvågning af dine systemer til endda at vide og mærke, hvem der er derude, idet forståelsen er, at det endda kan være et internt job. Så det er et løbende problem, det vil være et løbende problem i ganske lang tid - gør ingen fejl ved det.
Og med det overleverer jeg det til Dr. Bloor, som kan dele med os nogle tanker om sikring af databaser. Robin, tag det væk.
Robin Bloor: OK, en af de interessante hacks, jeg tror, det skete for omkring fem år siden, men dybest set var det et kortbehandlingsfirma, der blev hacket. Og et stort antal kortoplysninger blev stjålet. Men det interessante ved mig, for mig, var det faktum, at det var testdatabasen, som de faktisk kom ind i, og det var sandsynligvis tilfældet, at de havde store vanskeligheder med at komme ind i den faktiske, reelle database med behandlingskort. Men du ved, hvordan det er med udviklere, de tager bare et klip af en database, skubber den ind der. Der skulle have været langt mere årvågenhed for at stoppe det. Men der er masser af interessante hackinghistorier, det gør i et område, det gør et meget interessant emne.
Så jeg vil faktisk på en eller anden måde gentage nogle af de ting, som Eric sagde, men det er let at tænke på datasikkerhed som et statisk mål; det er lettere bare fordi det er lettere at analysere statiske situationer og derefter tænke på at sætte forsvar ind, forsvar der, men det er det ikke. Det er bevægende mål, og det er en af de ting, som slags definerer hele sikkerhedsrummet. Det er bare på den måde, som al teknologi udvikler sig, teknologien til de dårlige fyre udvikler sig også. Så en kort oversigt: Datatyveri er ikke noget nyt, faktisk er dataspionage datatyveri, og det har foregået i tusinder af år, tror jeg.
De største data-heist i disse termer var briterne, der bryder de tyske koder, og amerikanerne, der brød de japanske koder, og stort set i begge tilfælde forkortede de krigen meget betydeligt. Og de stjal bare nyttige og værdifulde data, det var selvfølgelig meget smart, men du ved, hvad der foregår lige nu er meget klogt på mange måder. Cybertyveri blev født med internettet og eksploderede omkring 2005. Jeg gik og kiggede på alle statistikker, og da du begyndte at blive virkelig alvorlig og på en eller anden måde bemærkelsesværdigt høje tal startende i omkring 2005. Det er bare blevet værre siden derefter. Mange spillere, regeringer er involveret, virksomheder er involveret, hackergrupper og enkeltpersoner.
Jeg tog til Moskva - det må have været omkring fem år - og jeg tilbragte faktisk meget tid sammen med en fyr fra Storbritannien, der undersøger hele hacking-pladsen. Og han sagde det - og jeg aner ikke, om dette er sandt, jeg har kun fået sit ord for det, men det lyder meget sandsynligt - at der i Rusland er noget, der hedder Business Network, som er en gruppe af hackere, der alle er, ved du, de kom ud af ruinerne af KGB. Og de sælger sig selv, ikke bare, jeg mener, jeg er sikker på, at den russiske regering bruger dem, men de sælger sig selv til nogen, og det blev rygtet, eller han sagde det var rygtet, at forskellige udenlandske regeringer brugte Business Network til plausibel afviselighed. Disse fyre havde netværk på millioner af kompromitterede pc'er, som de kunne angribe fra. Og de havde alle de værktøjer, du kan forestille dig.
Så teknologien til angreb og forsvar udviklede sig. Og virksomheder har en omhuepligt over deres data, uanset om de ejer dem eller ej. Og det begynder at blive meget klarere med hensyn til de forskellige reguleringsstykker, der faktisk allerede er i kraft, eller som træder i kraft. Og sandsynligvis forbedres, nogen er på en eller anden måde, er nogen nødt til at bære omkostningerne ved hacking på en sådan måde, at de er incitamenter til at lukke muligheden. Det er en af de ting, som jeg gætter er nødvendigt. Så hvad angår hackere, kan de være placeret hvor som helst. Især inden for din organisation - en masse af de geniale hacks, som jeg har hørt om involveret nogen, der åbner døren. Du ved, personen, det er som bankrøver-situationen, næsten altid plejede de at sige i gode bankrøverier, at der er en insider. Men insideren behøver kun at give information, så det er svært at få dem, at vide, hvem det var, og så videre og så videre.
Og det kan være vanskeligt at bringe dem til retfærdighed, for hvis du er blevet hacket af en gruppe mennesker i Moldova, selvom du ved, at det var denne gruppe, hvordan skal du så få en slags juridisk begivenhed til at ske omkring dem? Det er slags, fra en jurisdiktion til en anden, det er bare, der er ikke et meget godt sæt internationale arrangementer til at fastklemme hackerne. De deler teknologi og information; meget af det er open source. Hvis du vil opbygge din egen virus, er der masser af virussæt derude - helt open source. Og de har betydelige ressourcer, der har været et antal, der har haft botnet i mere end en million kompromitterede enheder i datacentre og på pc'er og så videre. Nogle er rentable virksomheder, der har været i lang tid, og så er der regeringsgrupper, som jeg nævnte. Det er usandsynligt, som Eric sagde, det er usandsynligt, at dette fænomen nogensinde vil ende.
Så dette er et interessant hack, jeg tænkte bare, at jeg ville nævne det, fordi det var et temmelig nyligt hack; det skete sidste år. Der var en sårbarhed i DAO-kontrakten forbundet med Etherium-kryptomønten. Og det blev drøftet på et forum, og inden for et døgn blev DAO-kontrakten hacket, ved hjælp af denne sårbarhed nøjagtigt. 50 millioner dollars i ether blev forsinket, hvilket medførte en øjeblikkelig krise i DAO-projektet og lukker det ned. Og Etherium kæmpede faktisk for at forsøge at forhindre hackeren i at få adgang til pengene, og de formindskede slags hans tag. Men man troede også - ikke kendt med sikkerhed - at hacker faktisk korterede prisen på ether inden hans angreb, vel vidende, at prisen på ether ville kollapse, og dermed tjente på en anden måde.
Og det er en anden, hvis du vil, stratagem, som hackerne kan bruge. Hvis de kan beskadige din aktiekurs, og de ved, at de vil gøre det, er det kun nødvendigt for dem at afkorte aktiekursen og gøre hacket, så det er slags, disse fyre er smarte, ved du. Og prisen er direkte tyveri af penge, forstyrrelse og løsepenge, inklusive investeringer, hvor du forstyrrer og afkorter aktien, sabotage, identitetstyveri, alle former for svindel, bare for reklame skyld. Og det har en tendens til at være politisk, eller åbenlyst, informationsspionering, og der er endda folk, der tjener til livets ophold af bugbelønningerne, som du kan få ved at prøve at hacke Google, Apple, Facebook - endda Pentagon, faktisk giver bugbelønninger. Og du bare hacker; hvis det er vellykket, skal du bare gå og kræve din præmie, og der skades ingen skade, så det er en dejlig ting, ved du.
Jeg kan lige så godt nævne overholdelse og regulering. Bortset fra sektorinitiativer er der masser af officielle regler: HIPAA, SOX, FISMA, FERPA og GLBA er alle amerikanske love. Der er standarder; PCI-DSS er blevet en ret generel standard. Og så er der ISO 17799 om dataejerskab. Nationale regler adskiller sig fra land til land, også i Europa. Og i øjeblikket er GDPR - de globale data, hvad står det for? Den globale databeskyttelsesforordning tror jeg, den står for - men den træder i kraft næste år, siges til. Og det interessante ved det er, at det gælder overalt i verden. Hvis du har 5.000 eller flere kunder, som du har personlige oplysninger om, og de bor i Europa, vil Europa faktisk tage dig til opgaven, uanset om din virksomhed faktisk har hovedkvarter, eller hvor det fungerer. Og sanktionerne, den maksimale straf er fire procent af de årlige indtægter, hvilket bare er enormt, så det vil være en interessant vri på verden, når det træder i kraft.
Ting at tænke på, ja, DBMS sårbarheder, de fleste af de værdifulde data sidder faktisk i databaser. Det er værdifuldt, fordi vi har lagt meget tid på at stille det til rådighed og organisere det godt, og det gør det mere sårbart, hvis du ikke rent faktisk anvender de rigtige DBMS-værdipapirer. Det er klart, at hvis du planlægger ting som dette, skal du identificere, hvilke sårbare data der er i hele organisationen, idet du husker, at data kan være sårbare af forskellige grunde. Det kan være kundedata, men det kan ligeledes være interne dokumenter, der ville være værdifulde til spionageformål og så videre. Sikkerhedspolitikken, især i forbindelse med adgangssikkerhed - som i nyere tid har været meget svag i de nye open source-ting - kommer kryptering mere i brug, fordi den er temmelig bundsolid.
Omkostningerne ved et sikkerhedsbrud, vidste de fleste ikke, men hvis man faktisk ser på hvad der skete med organisationer, der har lidt sikkerhedsbrud, viser det sig, at omkostningerne ved et sikkerhedsbrud ofte er langt højere, end man tror, det ville være . Og så er den anden ting at tænke på angrebets overflade, fordi ethvert stykke software overalt, der kører med dine organisationer, præsenterer en angrebsflade. Så gør enhver af enhederne, og dataene gør det, uanset hvordan de er gemt. Det hele er, angrebets overflade vokser med tingenes internet, angrebets overflade vil sandsynligvis fordobles.
Så endelig DBA og datasikkerhed. Datasikkerhed er normalt en del af DBA's rolle. Men det er også samarbejde. Og det skal være underlagt virksomhedspolitik, ellers implementeres det sandsynligvis ikke godt. Når det er sagt, tror jeg, jeg kan passere bolden.
Eric Kavanagh: Okay, lad mig give nøglerne til Vicky. Og du kan dele din skærm eller flytte til disse dias, det er op til dig, tag den væk.
Vicky Harp: Nej, jeg starter med disse lysbilleder, tak så meget. Så ja, jeg ville bare tage et hurtigt øjeblik og introducere mig selv. Jeg er Vicky Harp. Jeg er en manager, produktadministration af SQL-produkter hos IDERA-software, og for dem af jer, der måske ikke er bekendt med os, har IDERA et antal produktlinjer, men jeg taler her for SQL Server-siden af tingene. Og så gør vi præstationsovervågning, sikkerhedsoverholdelse, sikkerhedskopiering, administrationsværktøjer - og det er bare en slags liste over dem. Og selvfølgelig, hvad jeg er her for at tale om i dag, er sikkerhed og overholdelse.
Hovedparten af det, jeg vil tale om i dag, er ikke nødvendigvis vores produkter, selvom jeg agter at vise nogle eksempler på det senere. Jeg ville tale mere med dig om databasesikkerhed, nogle af truslerne i databasesikkerhedens verden lige nu, nogle ting at tænke på og nogle af de indledende ideer om, hvad du har brug for at se på for at sikre din SQL Serverdatabaser og også for at sikre, at de overholder de lovgivningsmæssige rammer, som du muligvis er underlagt, som nævnt. Der er mange forskellige regler på plads; de går på forskellige industrier, forskellige steder rundt om i verden, og det er ting, man skal tænke på.
Så jeg vil gerne tage et øjeblik og tale om tilstanden af dataovertrædelser - og ikke at gentage for meget af det, der allerede er diskuteret her - jeg kiggede over denne Intel-sikkerhedsundersøgelsesundersøgelse for nylig og på tværs af deres - jeg tror 1500 organisationer, de talte med - de havde i gennemsnit seks sikkerhedsovertrædelser, hvad angår brud på datatab, og 68 procent af dem havde krævet oplysning i en eller anden forstand, så de påvirkede aktiekursen, eller de måtte gøre noget kredit overvågning for deres kunder eller deres ansatte osv.
Nogle interessante andre statistikker er, at interne aktører, der var ansvarlige for 43 procent af dem. Så mange mennesker tænker meget på hackere og denne slags lyssky kvasi-regeringsorganisationer eller organiseret kriminalitet osv., Men interne aktører griber stadig direkte ind mod deres arbejdsgivere, i en temmelig høj andel af sagerne. Og disse er undertiden sværere at beskytte imod, fordi folk kan have legitime grunde til at have adgang til disse data. Cirka halvdelen af dette var 43 procent utilsigtet tab i en eller anden forstand. Så for eksempel i det tilfælde, hvor nogen tog data med hjem og derefter mistede oversigten over disse data, hvilket fører mig til dette tredje punkt, som er, at ting til fysiske medier stadig var involveret i 40 procent af overtrædelserne. Så det er USB-nøgler, det er folks bærbare computere, det er faktiske medier, der blev brændt på fysiske diske og taget ud af bygningen.
Hvis du tænker over, har du en udvikler, der har en dev-kopi af din produktionsdatabase på deres bærbare computer? Så går de op i et fly, og de går ud af flyet, og de får den kontrollerede bagage, og deres bærbare computer er stjålet. Du har nu haft et dataovertrædelse. Du tror måske ikke nødvendigvis, at det er grunden til, at den bærbare computer blev taget, den kan måske aldrig nogensinde dukke op i naturen. Men det er stadig noget, der regner som en overtrædelse, det kræver videregivelse, du får alle downstream-virkningerne af at have mistet disse data, bare på grund af tabet af det fysiske medie.
Og den anden interessante ting er, at mange mennesker tænker på kreditdata og kreditkortoplysninger som de mest værdifulde, men det er ikke rigtig tilfældet mere. Disse data er værdifulde, kreditkortnumre er nyttige, men ærligt ændres disse numre meget hurtigt, mens folks personlige data ikke ændres meget hurtigt. Noget, som den seneste nyhed, relativt nyligt, VTech, en legetøjsfabrikant, havde disse legetøj, der var designet til børn. Og folk ville have, at de skulle have deres børnenavne, de ville have oplysninger om, hvor børnene bor, de havde deres forældres navne, de havde fotografier af børnene. Intet af det blev krypteret, fordi det ikke blev betragtet som vigtigt. Men deres adgangskoder blev krypteret. Når overtrædelsen uundgåeligt skete, siger du: ”OK, så jeg har en liste med børnenavne, deres forældres navn, hvor de bor - alle disse oplysninger er derude, og du tænker på, at adgangskoden var den mest værdifulde del af det? ”Det var det ikke; folk kan ikke ændre disse aspekter ved deres personlige data, deres adresse osv. Og så oplysninger er faktisk meget værdifulde og de skal beskyttes.
Så ville tale om nogle af de ting, der foregår, for at bidrage til den måde, dataovertrædelser sker lige nu. Et af de store hotspots, rum lige nu er social engineering. Så folk kalder det phishing, der er efterligning osv., Hvor folk får adgang til data, ofte gennem interne aktører, ved blot at overbevise dem om, at de formodes at have adgang til det. Så lige den anden dag havde vi denne Google Docs-orm, der gik rundt. Og hvad det ville ske - og jeg modtog faktisk en kopi af den, selvom jeg heldigvis ikke klikkede på den - du fik e-mail fra en kollega og sagde: ”Her er et Google Doc-link; skal du klikke på dette for at se, hvad jeg lige har delt med dig. ”Nå, at i en organisation, der bruger Google Dokumenter, det er meget konventionelt, får du snesevis af disse anmodninger om dagen. Hvis du klikkede på det, ville det bede dig om tilladelse til at få adgang til dette dokument, og måske ville du sige, “Hej, det ser lidt underligt ud, men du ved, det ser også legit ud, så jeg går videre og klik på det, ”og så snart du gjorde det, gav du denne tredjepart adgang til alle dine Google-dokumenter, og så skabte dette link for, at denne eksterne skuespiller har adgang til alle dine dokumenter på Google Drev. Dette ormede overalt. Det ramte hundredtusinder af mennesker i løbet af få timer. Og dette var grundlæggende et phishing-angreb, som Google selv endte med at lukke ned, fordi det var meget godt udført. Folk faldt for det.
Jeg nævner her SnapChat HR-overtrædelsen. Dette var bare et simpelt spørgsmål om, at nogen sendte en e-mail, idet de fortalte, at de var administrerende direktør, e-mailede til HR-afdelingen og sagde: "Jeg har brug for, at du sender mig dette regneark." 'kompensationsoplysninger, deres hjemmeadresser osv., mailede det til denne anden part, det var faktisk ikke CEO. Nu var dataene ude, og alle deres medarbejders personlige, private oplysninger var derude og tilgængelige til udnyttelse. Så social engineering er noget, som jeg nævner det i en verden af databaser, fordi dette er noget, du kan prøve at forsvare imod gennem uddannelse, men du skal også bare huske, at hvor som helst, hvor du har en person, der interagerer med din teknologi, og hvis du stoler på deres gode dømmekraft for at forhindre en strømbrud, beder du en masse af dem.
Mennesker begår fejl, folk klikker på ting, de ikke skulle have, folk falder for kloge russe. Og du kan prøve meget hårdt for at beskytte dem mod det, men det er ikke stærkt nok, du er nødt til at prøve at begrænse muligheden for, at folk ved en fejltagelse giver disse oplysninger i dine databasesystemer. Den anden ting, jeg ønskede at nævne, at åbenlyst vi taler om meget er ransomware, botnets, vira - alle disse forskellige automatiserede måder. Og så, hvad jeg synes er vigtigt at forstå om ransomware, er det virkelig ændrer profitmodellen for angribere. I tilfælde af at du taler om en overtrædelse, er de nødt til i en eller anden forstand at udtrække data og have dem for sig selv og gøre brug af dem. Og hvis dine data er uklar, hvis de er krypteret, hvis de er branchespecifikke, har de måske ikke nogen værdi for det.
Indtil dette tidspunkt har folk måske følt sig som at det var en beskyttelse for dem, ”Jeg har ikke brug for at beskytte mig mod et dataovertrædelse, fordi hvis de kommer ind i mit system, alt det de vil have er, jeg er et fotograferingsstudie, jeg har en liste over, hvem der kommer på hvilke dage for det næste år. Hvem er interesseret i det? ”Nå, det viser sig, at svaret er, at du er interesseret i det; du gemmer disse oplysninger, det er dine forretningskritiske oplysninger. Så ved hjælp af ransomware vil en angriber sige, ”Nå, ingen andre vil give mig penge til dette, men det vil du også.” Så de udnytter det faktum, at de ikke engang behøver at få dataene ud, de don ' t er endda nødt til at have et brud, de skal bare bruge sikkerhedsværktøjer stødende mod dig. De kommer ind i din database, de krypterer indholdet i den, og så siger de: ”OK, vi har adgangskoden, og du bliver nødt til at betale os $ 5.000 for at få den adgangskode, ellers har du bare ikke disse data længere. ”
Og folk betaler sig; de finder sig selv nødt til at gøre det. MongoDB havde lidt af et enormt problem for et par måneder siden, jeg gætte, det var i januar, hvor ransomware ramte, tror jeg, over en million MongoDB-databaser, de har offentligt til internettet, baseret på nogle standardindstillinger. Og hvad der gjorde det endnu værre er, at folk betalte, og at andre organisationer ville komme ind og kryptere eller hævde at have været dem, der oprindeligt havde krypteret det, så når du betalte dine penge, og jeg tror i det tilfælde var de beder om noget som $ 500, ville folk sige, “OK, jeg ville betale mere end det for at betale en forsker for at komme ind her for at hjælpe mig med at finde ud af, hvad der gik galt. Jeg betaler bare $ 500. ”Og de betalte ikke engang den rigtige skuespiller, så de ville blive stablet videre med ti forskellige organisationer, der siger dem, “ Vi har adgangskoden, ”eller“ Vi har fik vejen for dig til at låse dine løsepenge op. ”Og du skulle betale dem alle for muligvis at få dem til at fungere.
Der har også været tilfælde, hvor ransomware-forfatterne havde fejl, jeg mener, vi taler ikke om, at det er en perfekt overordnet situation, så selv når det er blevet angrebet, selv når du har betalt, er der ingen garanti for, at du er Når jeg får alle dine data tilbage, bliver noget af dette kompliceret af våbnede InfoSec-værktøjer. Så Shadow Brokers er en gruppe, der har lækket værktøjer, der var fra NSA. De var værktøjer designet af regeringsenheden med henblik på spionage og faktisk arbejder mod andre regeringsenheder. Nogle af disse har været virkelig høje profil nul-dages angreb, der dybest set får de kendte sikkerhedsprotokoller bare til at falde til side. Og så var der for eksempel en stor sårbarhed i SMB-protokollen i en af de seneste Shadow Brokers 'dumps.
Og så disse værktøjer, der kommer ud her, i løbet af et par timer virkelig kan ændre spillet på dig med hensyn til din angrebsflade. Så hver gang jeg tænker over dette, er det noget, der på organisatorisk niveau, at InfoSec er sin egen funktion, det skal tages alvorligt. Hver gang vi taler om databaser, kan jeg fjerne det lidt, du behøver ikke nødvendigvis at have som databaseadministrator fuld forståelse af, hvad der sker med Shadow Brokers denne uge, men du skal være opmærksom på, at alt af disse skifter, der er ting, der sker, og så i hvilket omfang du holder dit eget domæne tæt og sikkert, vil det virkelig hjælpe dig i tilfælde af, at ting slags bliver revet ud under dig.
Så jeg ønskede at tage et øjeblik her, før jeg gik videre til at tale specifikt om SQL Server, for faktisk at have lidt af en åben diskussion med vores paneldeltagere om nogle af overvejelserne med databasesikkerhed. Så jeg er nået til dette punkt, nogle af de ting, vi ikke har nævnt, jeg ville tale om SQL-injektion som en vektor. Så dette er SQL-injektion, selvfølgelig er det den måde, hvorpå folk indsætter kommandoer i et databasesystem, ved slags misdannelse af input.
Eric Kavanagh: Ja, jeg mødte faktisk en fyr - jeg tror, det var i Andrews Air Force base - for cirka fem år siden, en konsulent, som jeg talte med ham i gangen, og vi delte bare slags krigsfortællinger - ingen ordspil beregnet - og han nævnte, at han var blevet bragt ind af nogen for at konsultere et relativt højtstående medlem af militæret, og fyren spurgte ham, ”Nå, hvordan ved vi, at du er god til det, du gør?” Og det og det . Og mens han talte med dem, han brugte på sin computer, var han kommet ind i netværket, han brugte SQL-injektion for at komme ind i e-mail-registreringsdatabasen for den base og for disse mennesker. Og han fandt personens e-mail, som han talte med, og han viste ham bare sin e-mail på sin maskine! Og fyren var som, "Hvordan gjorde du det?" Han sagde, "Nå, jeg brugte SQL-injektion."
Så det var bare fem år siden, og det var ved en flyvevåbenbase, ikke? Så jeg mener, hvad angår kontekst, denne ting er stadig meget reel, og den kunne bruges med virkelig skræmmende effekter. Jeg mener, jeg vil være nysgerrig efter at kende eventuelle krigshistorier, som Robin har om emnet, men alle disse teknikker er stadig gyldige. De bruges stadig i mange tilfælde, og det er et spørgsmål om at uddanne dig selv, ikke?
Robin Bloor: Nå, ja. Ja, det er muligt at forsvare sig mod SQL-injektion ved at udføre arbejdet. Det er let at forstå, hvorfor når ideen blev opfundet og først spredte, er det let at forstå, hvorfor det var så forbandet vellykket, fordi du bare kunne sætte den i et inputfelt på en webside og få den til at returnere data for dig, eller få det for at slette data i databasen, eller hvad som helst - du kan bare injicere SQL-kode for at gøre det. Men det er den ting, der interesserede mig, er, at det er, du ved, at du bliver nødt til at gøre en lille smule parsing af hvert stykke data, der blev indtastet, men det er meget muligt at se, at nogen forsøger at gøre det. Og det er virkelig, jeg tror, det er virkelig, fordi folk stadig slipper af med det, jeg mener, det er bare virkelig underligt, at der ikke har været en nem måde at bekæmpe det på. Du ved, at alle let kunne bruge, jeg mener, så vidt jeg ved, der ikke har været, Vicky, der?
Vicky Harp: Nå, faktisk, nogle af de gidsløsninger, som SQL Azure, synes jeg har nogle ret gode opdagelsesmetoder, der er baseret på maskinlæring. Det er sandsynligvis, hvad vi vil se i fremtiden, det er noget, det prøver at finde ud af, at den ene størrelse passer til alle. Jeg tror, at svaret har været, at der ikke er én størrelse, der passer til alle, men vi har maskiner, der kan lære, hvad din størrelse er, og sikre dig, at du passer til det, ikke? Og så hvis du har en falsk positiv, skyldes det, at du rent faktisk gør noget usædvanligt, er det ikke fordi du har været nødt til at gennemgå og omhyggeligt identificere alt, hvad din applikation nogensinde kan gøre.
Jeg tror, at en af grundene til, at det virkelig stadig er så produktiv, er, at folk stadig er afhængige af tredjepartsapplikationer, og applikationer fra ISV'er, og disse er udtværet over tid. Så du taler om en organisation, der har købt en ingeniørapplikation, der blev skrevet i 2001. Og de har ikke opdateret den, fordi der ikke har været nogen større funktionelle ændringer siden da, og den oprindelige forfatter af den var slags, de var ikke ingeniører, de var ikke databasesikkerhedsekspert, de gjorde ikke tingene på den rigtige måde i applikationen og de ender med at blive en vektor. Min forståelse er, at - jeg tror, det var målet om dataovertrædelse, den rigtig store, - angrebsvektoren havde været via en af deres klimaanlægeleverandører, ikke? Så problemet med disse tredjeparter, kan du, hvis du ejer din egen udviklingsbutik, kan du måske have nogle af disse regler på plads og gøre det generisk når som helst. Som en organisation kan du have hundreder eller endda tusinder af applikationer, der kører, med alle de forskellige profiler. Jeg tror, det er her maskinlæring kommer til at begynde at hjælpe os meget.
Min krigshistorie var lærerig. Jeg fik se et SQL-injektionsangreb, og noget, der aldrig var opstået for mig, er at bruge almindelig læsbar SQL. Jeg gør disse ting, der kaldes tilsløret P SQL-feriekort; Jeg kan godt lide at gøre, du får denne SQL til at se så forvirrende ud som muligt. Der er tilsløret C ++ -kodekonkurrence, der har været i årtier nu, og det er slags den samme idé. Så hvad du faktisk fik, var SQL-injektionen, der lå i et åbent strengfelt, det lukkede strengen, det satte i semikolonet, og så satte det en exec-kommando, der derefter havde en række numre, og så brugte den dybest set casting-kommando for at caste disse numre i binær og derefter casting dem på sin side til tegnværdier og derefter udføre det. Så det er ikke som om du fik at se noget, der sagde: "Slet start fra produktionsbordet", det var faktisk fyldt i numeriske felter, der gjorde det meget sværere at se. Og selv når du så det, for at identificere, hvad der skete, tog det nogle rigtige SQL-skud for at være i stand til at finde ud af, hvad der skete, på hvilket tidspunkt selvfølgelig arbejdet allerede var blevet udført.
Robin Bloor: Og en af de ting, der bare er et fænomen i hele hackingverdenen, er, at hvis nogen finder en svaghed, og det tilfældigvis er i et stykke software, der generelt er solgt, ved du, et af de tidlige problemer er den databaseadgangskode, som du fik, da en database blev installeret, en masse databaser var faktisk bare en standard. Og en masse DBA'er har simpelthen aldrig ændret det, og derfor kunne du formår at komme ind i netværket da; du kunne bare prøve det kodeord, og hvis det fungerede, så vandt du bare lotteriet. Og det interessante er, at al denne information cirkuleres meget effektivt og effektivt blandt hacking-samfundene på darknet-websteder. Og de ved det. Så de kan stort set gøre en feje af hvad der er derude, finde et par tilfælde og bare automatisk kaste nogle hacking udnytte det, og de er i. Og det er, tror jeg, at mange mennesker, der er mindst på periferien af alt dette, forstår faktisk ikke, hvor hurtigt hackingnetværket reagerer på sårbarhed.
Vicky Harp: Ja, det bringer faktisk en anden ting op, som jeg ville nævne, før jeg går videre, hvilket er denne opfattelse af legitimationsstopning, som er noget, der har dukket meget op, hvilket er, at når dine legitimationsoplysninger er blevet stjålet for nogen overalt på ethvert sted vil disse legitimationsoplysninger blive forsøgt genbrugt overalt. Så hvis du bruger duplikatadgangskoder, siger, hvis dine brugere er, ja, lad os sige det på den måde, kan nogen muligvis få adgang via det, der ser ud til at være et fuldstændigt gyldigt sæt legitimationsoplysninger. Så lad os sige, at jeg har brugt min samme adgangskode hos Amazon og i min bank, og også på et forum, og at forum-softwaren blev hacket, ja, de har mit brugernavn og mit kodeord. Og de kan derefter bruge det samme brugernavn hos Amazon, eller de bruger det i banken. Og hvad banken angår, var det en fuldstændig gyldig login. Nu kan du foretage afskyelige handlinger via den fuldstændigt autoriserede adgang.
Så den slags vender tilbage til det, jeg sagde om de interne overtrædelser og de interne anvendelser. Hvis du har folk i din organisation, der bruger deres samme adgangskode til intern adgang, som de gør for ekstern adgang, har du muligheden for, at nogen vil komme ind og udpege dig via et brud på et andet sted, som du don ved ikke engang om. Og disse data spredes meget hurtigt. Der er lister over, jeg tror, at den seneste belastning til "er jeg blevet slået ned" af Troy Hunt, sagde han, at han havde en halv milliard sæt legitimationsoplysninger, hvilket er - hvis du overvejer antallet af mennesker på planeten - det er en rigtig stort antal legitimationsoplysninger, der er blevet stillet til rådighed til udfyldning af legitimationsoplysninger.
Så jeg kommer til at gå lidt dybere og tale om SQL Server-sikkerhed. Nu vil jeg sige, at jeg ikke vil prøve at give dig alt hvad du behøver at vide for at sikre din SQL Server i de næste 20 minutter; det virker lidt af en høj ordre. Så for endda at starte med, vil jeg sige, at der er grupper online og ressourcer online, som du helt sikkert kan Google, der er bøger, der er dokumenter om bedste praksis på Microsoft, der er et virtuelt sikkerhedskapitel for professionelle medarbejdere på SQL Server, de er på security.pass.org og de har, efter min mening, månedlige webcasts og optagelser af webcasts til en slags gennemgang af den rigtige, dybtgående, hvordan man gør SQL Server-sikkerhed. Men dette er nogle af de ting, som jeg taler til dig som datapersonale, som it-fagfolk, som DBA'er, jeg vil have dig til at vide, at du har brug for at vide om SQL Server-sikkerhed.
Så den første er fysisk sikkerhed. Så som jeg sagde tidligere, er det stadig ekstremt almindeligt at stjæle fysiske medier. Og så scenariet, som jeg gav med dev-maskinen, med en kopi af din database på dev-maskinen, der bliver stjålet - det er en ekstremt almindelig vektor, det er en vektor, du skal være opmærksom på og forsøge at tage handling imod. Det gælder også sikkerhedskopiering, så når du sikkerhedskopierer dine data, skal du sikkerhedskopiere dem krypteret, skal du tage sikkerhedskopi til et sikkert sted. Mange gange er disse data, der virkelig blev beskyttet i databasen, så snart de begynder at komme ud i periferilokaliteter, på dev-maskiner, på testmaskiner, vi bliver lidt mindre omhyggelige med at lappe, vi bliver lidt mindre være forsigtig med de mennesker, der har adgang til det. Den næste ting, du ved, har du ikke-krypterede database-sikkerhedskopier, der er gemt på en offentlig andel i din organisation, der er tilgængelige til udnyttelse af mange forskellige mennesker. Så tænk på fysisk sikkerhed og kan så simpelt som nogen gå op og bare sætte en USB-nøgle på din server? Det skal du ikke tillade.
Det næste punkt, jeg vil have dig til at tænke på, er platformsikkerhed, så opdateret operativsystem, up-to-date programrettelser. Det er meget trættende at høre folk tale om at blive på ældre versioner af Windows, ældre versioner af SQL Server og tænke, at de eneste omkostninger i spillet er omkostningerne ved licensopgradering, hvilket ikke er tilfældet. Vi er med sikkerhed, det er en strøm, der fortsætter med at gå ned ad bakken, og når tiden går, findes der flere udnyttelse. Microsoft i dette tilfælde og andre grupper, som det er tilfældet, vil de opdatere ældre systemer til et punkt, og til sidst falder de ud af support, og de vil ikke opdatere dem mere, fordi det bare er en uendelig proces med vedligeholdelse.
Og så skal du være på et understøttet operativsystem, og du skal være opdateret om dine programrettelser, og vi har fundet for nylig som hos Shadow Brokers, i nogle tilfælde kan Microsoft have indblik i kommende større sikkerhedsbrud, før dem bliver offentliggjort, inden afsløringen afsløres, så lad ikke dig selv blive vridd i orden. Jeg vil helst ikke tage nedetiden, jeg vil hellere vente og læse hver enkelt af dem og beslutte. Du ved muligvis ikke, hvad værdien af det er, før nogle uger nede på linjen, efter at du har fundet ud af, hvorfor denne programrettelse opstod. Så bliv oven på det.
Du skal have din firewall konfigureret. Det var chokerende i SNB-overtrædelsen, hvor mange mennesker, der kørte ældre versioner af SQL Server med firewallen helt åben for internettet, så hvem som helst kunne komme ind og gøre hvad de vil med deres servere. Du skal bruge en firewall. Det faktum, at du lejlighedsvist skal konfigurere reglerne eller gøre specifikke undtagelser for den måde, du gør din virksomhed på, er en OK pris at betale. Du er nødt til at kontrollere overfladearealet i dine databasesystemer - installerer du tjenester eller webservere som IIS på samme maskine? Deler du den samme diskplads, deler den samme hukommelsesplads som dine databaser og dine private data? Prøv ikke at gøre det, prøv at isolere det, hold overfladearealet mindre, så du ikke behøver at bekymre dig så meget om at sikre dig, at alt dette er sikkert øverst i databasen. Du kan slags fysisk adskille dem, platform, adskille dem, give dig selv en lille smule åndedrætsværelse.
Du skal ikke have superadminer, der løber rundt overalt, og som har adgang til alle dine data. OS-admin-konti er muligvis ikke nødvendigvis nødt til at have adgang til din database eller til de underliggende data i databasen via kryptering, som vi vil tale om et øjeblik. Og adgangen til databasefilerne, skal du også begrænse det. Det er lidt fjollet, hvis du skulle sige, ja, nogen kan ikke få adgang til disse databaser via databasen; SQL Server i sig selv giver ikke dem adgang til den, men hvis de så kan gå rundt, tage en kopi af den faktiske MDF-fil, flytte den ganske enkelt så vedhæfte den til deres egen SQL Server, du har ikke virkelig opnået meget meget.
Kryptering, så kryptering er det berømte tovejs sværd. Der er mange forskellige niveauer af kryptering, som du kan gøre på OS-niveau, og den moderne måde at gøre ting på for SQL og Windows er med BitLocker, og på databaseniveau kaldes det TDE eller gennemsigtig datakryptering. Så disse er begge måder at slags holde dine data krypteret i hvile. Hvis du vil holde dine data krypteret mere udførligt, kan du gøre krypteret - undskyld, jeg er lidt skridt foran. Du kan lave krypterede forbindelser, så hver gang den er i transit, er den stadig krypteret, så hvis nogen lytter i eller har en mand midt i et angreb, har du en vis beskyttelse af disse data over ledningen. Dine sikkerhedskopier skal krypteres, som jeg sagde, de kan være tilgængelige for andre, og hvis du vil have det til at være krypteret i hukommelsen og under brug, har vi kolonnekryptering, og så har SQL 2016 denne opfattelse af "altid krypteret ”, hvor det faktisk er krypteret på disk, i hukommelse, på ledningen, helt til det program, der faktisk bruger dataene.
Nu er al denne kryptering ikke gratis: Der er CPU-overhead, der er undertiden for kolonnekryptering og det altid krypterede tilfælde, der er implikationer for ydeevnen med hensyn til din evne til at søge på disse data. Men denne kryptering, hvis den er korrekt sammensat, betyder det, at hvis nogen skulle få adgang til dine data, er skaden kraftigt reduceret, fordi de var i stand til at få dem, og så er de ikke i stand til at gøre noget med det. Dette er dog også den måde, som ransomware fungerer på, er at nogen går ind og tænder disse elementer, med deres eget certifikat eller deres eget kodeord, og du har ikke adgang til det. Så det er derfor, det er vigtigt at sikre dig, at du gør dette, og at du har adgang til det, men du giver ikke det, åbent for andre og angribere at gøre.
Og så, sikkerhedsprincipper - Jeg vil ikke uddybe dette punkt, men sørg for, at du ikke har hver bruger, der kører i SQL Server som superadministrator. Dine udviklere vil måske have det, forskellige brugere vil måske have det - de er frustrerede over at skulle bede om adgang til individuelle emner - men du skal være omhyggelig med det, og selvom det måske er mere kompliceret, giver du adgang til objekterne og databaserne og skemaerne, der er gyldige til igangværende arbejde, og der er et specielt tilfælde, måske betyder det en særlig login, det betyder ikke nødvendigvis en forhøjelse af rettighederne for den gennemsnitlige sagsbruger.
Og så er der overvejelser om lovgivningsmæssig overholdelse, der passer til dette, og nogle tilfælde kan faktisk slags gå af på deres egen måde - så der er HIPAA, SOX, PCI - der er alle disse forskellige overvejelser. Og når du gennemgår en revision, forventes det, at du viser, at du griber ind for at forblive i overensstemmelse med dette. Og så, dette er meget at holde styr på, jeg vil sige som en DBA-opgaveliste, du prøver at sikre den fysiske sikkerhedskrypteringskonfiguration, du prøver at sikre dig, at adgangen til disse data bliver revideret til dit overholdelsesformål, så sørg for, at dine følsomme kolonner, at du ved, hvad de er, hvor de er, hvilke, du skal kryptere og se adgang til. Og sørg for, at konfigurationer er i overensstemmelse med de lovgivningsmæssige retningslinjer, som du er underlagt. Og du er nødt til at holde dette hele ajour, når tingene ændrer sig.
Så det er meget at gøre, og så hvis jeg skulle forlade det bare der, ville jeg sige gå gør det. Men der er en masse forskellige værktøjer til det, og så hvis jeg måske i de sidste få minutter, ville jeg vise dig nogle af de værktøjer, vi har på IDERA til det. Og de to, jeg ønskede at tale om i dag, er SQL Secure og SQL Compliance Manager. SQL Secure er vores værktøj til at hjælpe med at identificere slags konfigurationssårbarheder. Dine sikkerhedspolitikker, dine bruger tilladelser, dine overfladekonfigurationer. Og det har skabeloner, der hjælper dig med at overholde forskellige lovgivningsmæssige rammer. Det i sig selv, den sidste linje, kan være grunden til, at folk overvejer det. Fordi at læse gennem disse forskellige regler og identificere, hvad disse betyder, PCI og derefter tage det helt ned til min SQL Server i min butik, er det meget arbejde. Det er noget, du kan betale en masse konsulentpenge at gøre; Vi er gået og lavet den konsultation, vi har arbejdet med de forskellige revisionsfirmaer osv. for at finde ud af, hvad disse skabeloner er - noget, der sandsynligvis vil bestå en revision, hvis disse er på plads. Og så kan du bruge disse skabeloner og se dem i dit miljø.
Vi har også et andet søsterværktøj i form af SQL Compliance Manager, og det er her SQL Secure handler om konfigurationsindstillinger. SQL Compliance Manager handler om at se, hvad der blev gjort af hvem, hvornår. Så det er revision, så det giver dig mulighed for at overvåge aktiviteten, mens den forekommer, og lader dig registrere og spore, hvem der får adgang til tingene. Var der nogen, det prototype eksempel på at være en berømthed, der blev tjekket ind på dit hospital, var der nogen der kiggede på deres information lige ud af nysgerrighed? Har de en grund til at gøre det? Du kan se på revisionshistorikken og se, hvad der foregik, hvem der fik adgang til disse poster. Og du kan identificere, at dette har værktøjer, der hjælper dig med at identificere følsomme kolonner, så du ikke nødvendigvis er nødt til at læse igennem og gøre det hele selv.
Så hvis jeg måske, vil jeg gå foran og vise dig nogle af disse værktøjer her i de sidste par minutter - og vær venlig ikke at betragte det som en dybdegående demo. Jeg er en produktchef, ikke en salgsingeniør, så jeg vil vise dig nogle af de ting, som jeg synes er relevante for denne diskussion. Så dette er vores SQL Secure-produkt. Og som du kan se her, har jeg lidt af dette rapport på højt niveau. Jeg kørte dette, tror jeg, i går. Og det viser mig nogle af de ting, der ikke er konfigureret korrekt, og nogle af de ting, der er konfigureret korrekt. Så du kan se, at der er en hel del over 100 forskellige kontroller, som vi har gjort her. Og jeg kan se, at min backup-kryptering på de sikkerhedskopier, jeg har lavet, ikke har brugt backup-kryptering. Min SA-konto, der eksplicit kaldes “SA-konto”, er ikke deaktiveret eller omdøbt. Den offentlige serverrolle har tilladelse, så dette er alle ting, som jeg måske vil se på at ændre.
Jeg har oprettet politikken her, så hvis jeg ønskede at oprette en ny politik, der skal anvendes på mine servere, har vi alle disse indbyggede politikker. Så jeg vil bruge en eksisterende politikskabelon, og du kan se, at jeg har CIS, HIPAA, PCI, SR og foregår, og vi er faktisk i færd med kontinuerligt at tilføje yderligere politikker, baseret på de ting, folk har brug for på området . Og du kan også oprette en ny politik, så hvis du ved, hvad din revisor leder efter, kan du oprette den selv. Og når du gør det, kan du vælge mellem alle disse forskellige indstillinger, hvad du skal have indstillet, i nogle tilfælde har du nogle - lad mig gå tilbage og finde en af de forudbyggede. Dette er praktisk, jeg kan vælge, sige, HIPAA - Jeg har allerede fået HIPAA, min dårlige - PCI, og så, når jeg klikker rundt her, kan jeg faktisk se den eksterne krydshenvisning til sektionen af regulering, som dette er relateret til. Så det vil hjælpe dig senere, når du prøver at finde ud af, hvorfor indstiller jeg dette? Hvorfor prøver jeg at se på dette? Hvilket afsnit er dette relateret til?
Dette har også et dejligt værktøj, idet det giver dig mulighed for at gå ind og gennemse dine brugere, så en af de vanskelige ting ved at udforske dine brugerroller, er, at jeg faktisk kigger her. Så hvis jeg viser tilladelser til min, lad os se, lad os vælge en bruger her. Vis tilladelser. Jeg kan se de tildelte tilladelser til denne server, men så kan jeg klikke her nede og beregne de effektive tilladelser, og det giver mig den fulde liste baseret på, så i dette tilfælde er dette admin, så det er ikke så spændende, men Jeg kunne gå igennem og vælge de forskellige brugere og se, hvad deres effektive tilladelser er, baseret på alle de forskellige grupper, som de muligvis hører til. Hvis du nogensinde prøver at gøre dette på egen hånd, kan det faktisk være lidt besværligt at finde ud af, OK denne bruger er medlem af disse grupper og har derfor adgang til disse ting via grupper osv.
Den måde, hvorpå dette produkt fungerer, er det, at det tager snapshots, så det er virkelig ikke en særlig vanskelig proces at tage et snapshot af serveren regelmæssigt, og så holder det disse snapshots over tid, så du kan sammenligne for ændringer. Så dette er ikke en kontinuerlig overvågning i traditionel forstand som et værktøj til overvågning af ydeevne; dette er noget, som du måske har konfigureret til at køre en gang om natten, en gang om ugen - uanset hvor ofte du synes er gyldig - så du hver gang du foretager analysen og gør lidt mere bare arbejde inden for vores værktøj. Du opretter ikke så meget forbindelse tilbage til din server, så dette er et ret flot lille værktøj at arbejde med, for at overholde disse slags statiske indstillinger.
Det andet værktøj, jeg vil vise dig, er vores Compliance Manager-værktøj. Compliance Manager overvåger på en mere kontinuerlig måde. Og det vil se, hvem der gør hvad på din server, og giver dig mulighed for at se på det. Så hvad jeg har gjort her i de sidste par timer, har jeg faktisk forsøgt at skabe nogle små problemer. Så her har jeg, hvad enten det er et problem eller ej, jeg ved måske om det, nogen har faktisk oprettet et login og føjet det til en serverrolle. Så hvis jeg går ind og kigger på det, kan jeg se - jeg kan vel ikke højreklikke der, jeg kan se, hvad der foregår. Så dette er mit betjeningspanel, og jeg kan se, at jeg havde et antal mislykkede logins lidt tidligere i dag. Jeg havde en masse sikkerhedsaktiviteter, DBL-aktivitet.
Så lad mig gå over til mine revisionsbegivenheder og se på. Her har jeg fået mine revisionshændelser grupperet efter kategori og målobjekt, så hvis jeg kigger på den sikkerhed fra tidligere, kan jeg se DemoNewUser, dette oprette server-login forekom. Og jeg kan se, at login-SA oprettede denne DemoNewUser-konto, her kl. 14.42. Og så kan jeg se, at på sin side tilføj login til server, denne DemoNewUser blev føjet til serveradministratorgruppen, de blev føjet til indstiller admin gruppen, blev de føjet til sysadmin gruppen. Så det er noget, som jeg gerne vil vide, at der var sket. Jeg har også fået den konfigureret, så de følsomme kolonner i mine tabeller spores, så jeg kan se, hvem der har fået adgang til den.
Så her har jeg et par udvalgte, der er opstået på mit personbord fra Adventure Works. Og jeg kan se og se, at bruger SA på bordet Adventure Works lavede en udvalgt topstjerne fra person dot person. Så måske i min organisation ønsker jeg ikke, at folk skal vælge stjerner fra personprik person, eller jeg forventer, at kun visse brugere gør det, og derfor vil jeg se dette her. Så det, hvad du har brug for i forbindelse med din revision, vi kan indstille det op ud fra rammerne, og dette er lidt mere et intensivt værktøj. Det bruger SQL Trace eller SQLX begivenheder, afhængigt af versionen. Og det er noget, du bliver nødt til at have nogle lofter på din server for at rumme, men det er en af disse ting, slags lignende forsikring, hvilket er rart, hvis vi ikke skulle have en bilforsikring - det ville være en koster vi ikke at skulle tage - men hvis du har en server, hvor du er nødt til at holde styr på, hvem der gør hvad, skal du muligvis have en lille smule ekstra lofthøjde og et værktøj som dette for at gøre dette. Uanset om du bruger vores værktøj, eller du selv ruller det, er du i sidste ende ansvarlig for at have disse oplysninger til overholdelse af lovgivningen.
Så som jeg sagde, ikke en dybdegående demo, bare en hurtig, lille oversigt. Jeg ønskede også at vise dig et hurtigt, lille gratis værktøj i form af denne SQL Column Search, som er noget, du kan bruge til at identificere, hvilke kolonner i dit miljø, der ser ud til at være følsomme oplysninger. Så vi har et antal søgekonfigurationer, hvor det leder efter de forskellige navne på kolonner, der almindeligvis indeholder følsomme data, og så har jeg en hel liste over dem, der er identificeret. Jeg har 120 af dem, og så eksporterede jeg dem her, så jeg kan bruge dem til at sige, lad os kigge efter og sørge for, at jeg sporer adgangen til mellemnavnet, en person, dot person eller moms sats osv.
Jeg ved, at vi kommer lige i slutningen af vores tid her. Og det er alt, hvad jeg faktisk måtte vise dig, så spørgsmål til mig?
Eric Kavanagh: Jeg har et par gode til dig. Lad mig rulle dette op her. En af de deltagende stillede et rigtig godt spørgsmål. En af dem spørger om resultatafgift, så jeg ved, at den varierer fra løsning til løsning, men har du nogen generel idé om, hvad resultatafgiften er til at bruge IDERA-sikkerhedsværktøjer?
Vicky Harp: Så på SQL Secure er det, som jeg sagde, meget lavt, det vil bare tage nogle lejlighedsvise øjebliksbilleder. Og selvom du har kørt temmelig ofte, får det statiske oplysninger om indstillinger, og derfor er de meget lave, næsten ubetydelige. Med hensyn til Compliance Manager er det-
Eric Kavanagh: Som en procent?
Vicky Harp: Hvis jeg skulle give et procenttal, ja, ville det være en procent eller lavere. Det er grundlæggende oplysninger om rækkefølgen af at bruge SSMS og gå ind i sikkerhedsfanen og udvide ting. På overholdelsessiden er det meget højere - det er derfor, jeg sagde, at det har brug for en lille loftshøjde - det er slags som om det er langt ud over det, du har med hensyn til præstationsovervågning. Nu vil jeg ikke skræmme folk væk fra det, tricket med overvågning af overholdelse, og hvis det er revision er at sikre, at du kun revideret, hvad du vil tage skridt til. Så når du først har filtreret ned for at sige, "Hej, jeg vil vide, når folk får adgang til disse bestemte tabeller, og jeg vil vide, når folk får adgang til, tage disse bestemte handlinger, " så kommer det til at være baseret på, hvor ofte disse ting er sker, og hvor mange data genererer du. Hvis du siger, "Jeg vil have den fulde SQL-tekst for alle markeringer, der nogensinde sker på nogen af disse tabeller, " er det bare muligvis gigabyte og gigabyte med data, der skal analyseres af SQL Server gemt, flyttet til vores produkt, etc.
Hvis du holder det nede på et - vil det også være mere information, end du sandsynligvis kunne håndtere. Hvis du kunne tage det ned til et mindre sæt, så du får et par hundrede begivenheder om dagen, så er det åbenlyst meget lavere. Så virkelig på nogle måder er himlen grænsen. Hvis du tænder for alle indstillinger på al overvågning for alt, så ja, det bliver et 50 procent præstationshit. Men hvis du vil gøre det til en slags mere moderat, betragtet niveau, ville jeg måske øjeæble 10 procent? Det er virkelig en af de ting, at det vil være meget afhængig af din arbejdsbyrde.
Eric Kavanagh: Ja, ikke. Der er et andet spørgsmål om hardware. Og så er der hardwareleverandører, der kommer ind i spillet og samarbejder virkelig med softwareleverandører, og jeg svarede gennem Q & A-vinduet. Jeg kender til et bestemt tilfælde, hvor Cloudera arbejdede med Intel, hvor Intel foretog den enorme investering i dem, og en del af beregningen var, at Cloudera ville få tidlig adgang til chipdesign og dermed kunne bage sikkerhed i chip-niveauet for arkitektur, som er temmelig imponerende. Men det er ikke desto mindre, det er noget, der kommer derude, og som stadig kan udnyttes af begge sider. Kender du til tendenser eller tendenser hos hardwareleverandører til at samarbejde med softwareleverandører om sikkerhedsprotokol?
Vicky Harp: Ja, faktisk, jeg tror, at Microsoft har samarbejdet for at have noget af, som f.eks. Hukommelsesområdet til noget af krypteringsarbejdet sker faktisk på separate chips på bundkort, der er adskilt fra din hovedhukommelse, så nogle af disse ting er fysisk adskilt. Og jeg tror, at det faktisk var noget, der kom fra Microsoft i form af at gå ud til sælgerne for at sige, ”Kan vi finde en måde at gøre dette på, det er dybest set en ikke-adresserbar hukommelse, jeg kan ikke gennem en bufferoverløb komme til denne hukommelse, fordi den ikke engang er der, i en eller anden forstand, så jeg ved, at noget af det sker. ”
Eric Kavanagh: Ja.
Vicky Harp: Det vil sandsynligvis være de virkelig store leverandører.
Eric Kavanagh: Ja. Jeg er nysgerrig efter at se efter det, og måske Robin, hvis du har et hurtigt sekund, ville jeg være nysgerrig efter at kende din oplevelse gennem årene, for igen, hvad angår hardware, med hensyn til den faktiske materialevidenskab, der går i det, du sammensætter fra sælgersiden, kan disse oplysninger gå til begge sider, og teoretisk går vi til begge sider ret hurtigt, så er der en måde at bruge hardware mere omhyggeligt fra et designperspektiv til at styrke sikkerheden? Hvad synes du? Robin, er du på stum?
Robin Bloor: Ja, ja. Undskyld, jeg er her; Jeg overvejer bare spørgsmålet. For at være ærlig har jeg ikke en mening, det er et område, som jeg ikke har set på i betydelig dybde, så jeg er slags, du ved, jeg kan opfinde en mening, men jeg ved ikke rigtig. Jeg foretrækker, at tingene er sikre i software, det er bare den måde, jeg spiller, dybest set.
Eric Kavanagh: Ja. Vi har brændt en times tid og skiftet her. Stor tak til Vicky Harp for hendes tid og opmærksomhed - for al din tid og opmærksomhed; vi værdsætter, at du møder op for disse ting. Det er en stor aftale; det vil ikke forsvinde når som helst snart. Det er et katte-og-mus-spil, der fortsætter med at gå og gå og gå. Og derfor er vi taknemmelige for, at nogle virksomheder er derude, der er fokuseret på at muliggøre sikkerhed, men som Vicky endda henviste til og snakket lidt om i sin præsentation i slutningen af dagen, er det folk i organisationer, der har brug for at tænke meget nøje om disse phishing-angreb, den slags socialteknik, og hold fast på dine bærbare computere - lad det ikke være på kaffebaren! Skift din adgangskode, gør det grundlæggende, så får du 80 procent af vejen dertil.
Så med det, folk, vil vi byde dig farvel, endnu en gang tak for din tid og opmærksomhed. Vi henter dig næste gang, pas på. Hej hej.
Vicky Harp: Hej, tak.
