Співробітники компанії «Техопедія», 10 травня 2017 року
Винос: Ведучий Ерік Кавана обговорює безпеку та дозволи з доктором Робіном Блором та Вікі Гарфом IDERA.
На даний момент ви не ввійшли в систему. Будь ласка, увійдіть або зареєструйтесь, щоб переглянути відео.
Ерік Кавана: Добре, панове, привіт і знову ласкаво просимо. Це середа, це чотири східні та у світі технології підприємств, це означає, що знову настав час для Hot Technologies! Так, справді. Представлений групою Bloor, звичайно, на базі наших друзів з Техопедії. Сьогодні ця тема є дуже цікавою: «Краще запитати дозвіл: найкращі практики щодо конфіденційності та безпеки». Це правильно, це якась жорстка тема, багато людей говорять про неї, але вона досить серйозна, і з кожним днем це стає все серйозніше, відверто кажучи. Для багатьох організацій це багато в чому серйозна проблема. Ми поговоримо про це, і ми поговоримо про те, що ви можете зробити, щоб захистити свою організацію від недобрих персонажів, які, здається, є в ці дні в цілому.
Тож сьогоднішній ведучий - Вікі Гарп, що телефонує із IDERA. Ви можете побачити програмне забезпечення IDERA на LinkedIn - я люблю нову функціональність на LinkedIn. Хоча я можу сказати, що вони натягують деякі рядки певними способами, не даючи доступу до людей, намагаючись змусити вас придбати ці преміальні членства. Ось, у нас є власний Robin Bloor, який набирає номер - він сьогодні насправді в районі Сан-Дієго. І ваш справді як ваш модератор / аналітик.
То про що ми говоримо? Порушення даних. Я щойно взяв цю інформацію з IdentityForce.com, вона вже перейшла на перегони. Ми в травні цього року, і там є лише безліч порушень даних, є кілька справді величезних, звичайно, Yahoo! це було великим, і ми, звичайно, чули про злом уряду США. Ми просто зламали вибори у Франції.
Це відбувається всюди, воно триває, і це не зупиняється, тому це реальність, це, як кажуть, нова реальність. Нам дійсно потрібно думати про способи забезпечення безпеки наших систем та наших даних. І це триває процес, тому якраз час подумати над усіма різними питаннями, які вступають у гру. Це лише частковий перелік, але це дає певну точку зору наскільки складною є ситуація з підприємствами в наші дні. І перед цим шоу, у нашому попередньому показі, ми говорили про викупне програмне забезпечення, яке вдарило когось, кого я знаю, що дуже неприємно, коли хтось переймає ваш iPhone і вимагає грошей, щоб ви отримали доступ до вашого телефону. Але це буває, трапляється з комп’ютерами, трапляється із системами, я бачив саме днями, це трапляється з мільярдерами зі своїми яхтами. Уявіть, що одного разу ви заходите на свою яхту, намагаючись справити враження на всіх своїх друзів, і навіть не можете її ввімкнути, тому що якийсь злодій вкрав доступ до елементів управління, панелі управління. Я щойно сказав, що днями в інтерв'ю комусь, завжди майте ручне перевизначення. Мовляв, я не великий фанат усіх підключених автомобілів - навіть автомобілі можуть бути зламані. Все, що підключено до Інтернету або підключено до мережі, в яку можна проникнути, може бути зламана, будь-що.
Отже, ось лише кілька пунктів, які слід розглянути з точки зору формування контексту, наскільки серйозна ситуація. В наші дні веб-системи є скрізь, вони продовжують поширюватися. Скільки людей купують речі в Інтернеті? Це просто через дах в ці дні, ось чому Amazon є такою потужною силою в наші дні. Це тому, що так багато людей купують речі в Інтернеті.
Так, ви пам’ятаєте, тоді, 15 років тому, люди були дуже нервують, коли розміщували свою кредитну карту у веб-формі, щоб отримати їх інформацію, і тоді аргумент був: «Ну, якщо ви передасте кредитну картку офіціанту на ресторан, то це те саме ». Отже, наша відповідь« так », це те саме, є всі ці пункти контролю, або точки доступу, одна і та ж річ, різні сторони однієї і тієї ж монети, куди людей можна поставити під загрозу, де хтось може взяти ваші гроші, або хтось може вкрасти у вас.
Тоді IoT, звичайно, розширює пейзаж загроз - я люблю це слово - на порядки. Я маю на увазі, подумайте над цим - з усіма цими новими пристроями скрізь, якщо хтось може зламати систему, яка ними керує, він може повернути всіх цих ботів проти вас і спричинити багато і багато проблем, тож це дуже серйозне питання. У нас сьогодні глобальна економіка, яка ще більше розширює пейзаж загроз, і що ще більше, у вас є люди в інших країнах, які можуть отримати доступ до Інтернету так само, як ви і я, і якщо ви не знаєте, як розмовляти російською або будь-яку кількість інших мов, вам буде важко зрозуміти, що відбувається, коли вони вступають у вашу систему. Тож у нас є прогрес у роботі в мережі та віртуалізації, це добре.
Але у мене на правій частині цієї картини тут меч, і причина в мене є, тому що кожен меч ріже в обидва боки. Як кажуть, це меч з двома острими, і це давнє кліше, але це означає, що меч, який я маю, може завдати вам шкоди або може завдати мені шкоди. Він може повернутися до мене, або відскакуючи назад, або хтось його бере. Це насправді одна з байок Езопа - ми часто надаємо ворогам інструменти власного знищення. Це дійсно досить переконливий сюжет і має відношення до того, хто використовував лук і стрілу і збив птаха, і птаха побачила, як стрілка піднімалася, що перо у одного з його пташиних друзів було на краю стріли, на задній частині стріли, щоб направити її, і він подумав собі: "О, чоловіче, ось це, мої власні пір'я, моя власна родина буде використана для того, щоб мене збити". Це відбувається постійно, ви чуєте статистика про те, що у вас в будинку пістолет, злодій може забрати зброю. Ну, це все правда. Отже, я викидаю це як аналогію лише для того, щоб врахувати, що всі ці різні події мають позитивні та негативні сторони.
А якщо говорити про контейнери для тих із вас, хто насправді слідкує за передовими можливостями корпоративних обчислень, контейнери - це найновіша річ, найновіший спосіб надання функціональності, це справді шлюб віртуалізації в сервісно-орієнтованій архітектурі, принаймні для мікросервісів, і це дуже цікаві речі. Ви, звичайно, можете заблукати свої протоколи безпеки та протоколи своїх додатків та ваші дані тощо, використовуючи контейнери, і це дає вам аванс на певний проміжок часу, але рано чи пізно погані хлопці збираються це зрозуміти, і тоді буде ще важче запобігти їхньому використанню ваших систем. Отже, є те, є глобальна робоча сила, яка ускладнює мережу та безпеку, і звідки люди входять.
У нас існують війни в браузері, які продовжуються, і потребують постійної роботи, щоб оновлювати та залишатись над цим. Ми постійно чуємо про старі браузери Microsoft Explorer, про те, як вони були взломані та доступні там. Отож, в цей день потрібно заробити більше грошей на злому, є ціла галузь, це те, чого мій партнер, доктор Блур, навчив мене вісім років тому - мені було цікаво, чому ми бачимо так багато цього, і він нагадав мені, це ціла галузь, яка бере участь у злому. І в цьому сенсі оповідання, яке є одним з моїх найменш улюблених слів про безпеку, насправді дуже нечесне, тому що розповідь показує вам у всіх цих відео та будь-яких видах новин, які зломлять, вони показують якогось хлопця в балахоні, сидячи в його підвалі в темній освітленій кімнаті, це зовсім не так. Це зовсім не є реальним. Це самотні хакери, одиноких хакерів дуже мало, вони там, вони створюють певні неприємності - вони не збираються завдавати великих проблем, але вони можуть заробити цілу купу грошей. Тож, що трапляється, - хакери заходять і проникають у вашу систему, а потім продають цей доступ комусь іншому, хто обертається і продає його комусь іншому, а потім десь вниз по лінії, хтось експлуатує цей хакер і скористається вами. І існує безліч способів скористатися викраденими даними.
Я навіть дивувався собі, як ми втілювали цю концепцію. Ви бачите цей термін скрізь, "хакерство росту", як це добре. Зростання злому, ви знаєте, злом може бути хорошою справою, якщо ви намагаєтесь працювати на хороших хлопців, так би мовити, і виламуєте в систему, як ми продовжуємо чути про Північну Корею та їх запуски ракет, що потенційно може бути зламано - це добре. Але злому часто буває поганою справою. Отже, зараз ми його гламуруємо, майже як Робін Гуд, коли ми гламурували Робін Гуда. А тут є безготівкове суспільство, те, що відверто стосується денних вогнів у мене. Все, що я думаю щоразу, коли чую це: «Ні, будь ласка, не робіть цього! Не хочу! »Я не хочу, щоб усі наші гроші зникли. Отже, це лише деякі питання, які слід розглянути, і знову ж таки, це гра «коти-мишки»; це ніколи не зупинятиметься, завжди буде потреба у протоколах безпеки та вдосконаленні протоколів безпеки. А для моніторингу ваших систем навіть для того, щоб знати і відчувати, хто там, з розумінням, це може бути навіть внутрішня робота. Отже, це питання, що триває, воно буде тривати довгий час - не помиляйтесь.
І з цим я збираюся передати його доктору Блору, який може поділитися з нами деякими думками щодо забезпечення баз даних. Робін, забирай його.
Робін Блор: Добре, один з цікавих хак, я думаю, це сталося близько п'яти років тому, але в основному це була зламана компанія з обробки карт. І була вкрадена велика кількість реквізитів картки. Але цікавим для мене було те, що вони насправді потрапили в тестову базу даних, і, мабуть, так склалося, що вони мали великі труднощі з потраплянням у фактичну, реальну базу даних карт для обробки. Але ви знаєте, як це з розробниками, вони просто зрізають базу даних, заносять її туди. Щоб зупинити це, довелося б бути набагато пильнішим. Але є багато цікавих хакерських історій, це робить в одній області, це дуже цікавий предмет.
Тому я дійсно, так чи інакше, повторюю деякі речі, про які говорив Ерік, але про безпеку даних легко уявити як про статичну ціль; простіше просто тому, що простіше аналізувати статичні ситуації, а потім думати, як ввести захист, захист, але це не так. Це рухома ціль, і це одна з речей, яка визначає весь простір безпеки. Просто так розвивається вся технологія, розвивається і технологія поганих хлопців. Отже, короткий огляд: крадіжка даних - це ніщо нове, фактично шпигунство даних - це крадіжка даних, і це відбувається вже тисячі років.
Найбільшим підсумком даних в цих термінах були британці, які порушували німецькі коди, а американці - японські коди, і в обох випадках вони значно скоротили війну. І вони просто крали корисні та цінні дані, це було, звичайно, дуже розумно, але ви знаєте, що зараз відбувається дуже розумно багато способів. Кібер-крадіжка народилася в Інтернеті і вибухнула близько 2005 року. Я пішов і подивився на всі статистичні дані, і коли ви почали отримувати по-справжньому серйозні і, так чи інакше, надзвичайно високі цифри, починаючи приблизно з 2005 року. Це стало ще гірше, оскільки потім. Задіяно багато гравців, урядів, залучено бізнес, хакерські групи та окремих людей.
Я поїхав до Москви - це, мабуть, минуло п'ять років, - і я фактично багато часу провів з хлопцем з Великобританії, який досліджував весь хакерський простір. І він сказав, що - і я не маю поняття, чи це правда, я лише за це його слово отримав, але це дуже ймовірно - що в Росії є щось, що називається Бізнес-мережа, яка є групою хакерів, які всі ви знаєте, вони вийшли з руїн КДБ. І вони продають себе, не просто, я маю на увазі, я впевнений, що російський уряд використовує їх, але вони продають себе кому-небудь, і, по чутках, він сказав, що, за чутками, різні іноземні уряди використовують Бізнес-мережу для правдоподібне заперечення. У цих хлопців були мережі мільйонів компрометованих ПК, з яких вони могли атакувати. І вони мали всі інструменти, які ви можете собі уявити.
Отже, розвивалася технологія нападу та оборони. А підприємства зобов’язані дбати про свої дані, незалежно від того, володіють вони чи ні. І це починає набагато зрозуміліше з точки зору різних норм, які фактично вже діють або набувають чинності. І, ймовірно, покращиться, хтось у тому чи іншому випадку, хтось повинен нести витрати на злом таким чином, що вони стимулюють закрити можливість. Це одна з речей, яка, напевно, потрібна. Тож щодо хакерів вони можуть бути розташовані де завгодно. Особливо у вашій організації - надзвичайно багато геніальних хакерів, про які я чув про те, що хтось відчинив двері. Ви знаєте, людино, це як ситуація з грабіжниками банків, майже завжди вони говорили, що у добрих пограбуваннях банку є інсайдер. Але інсайдеру потрібно лише видавати інформацію, тому їх важко отримати, знати, хто це був, і так далі, і так далі.
І може бути важко притягнути їх до відповідальності, тому що якщо ви зламали групу людей у Молдові, навіть якщо знаєте, що це була ця група, як ви збираєтеся зробити якийсь правовий захід навколо них? Це начебто, від однієї юрисдикції до іншої, просто, не дуже хороший набір міжнародних домовленостей, щоб прикутувати хакерів. Вони діляться технологіями та інформацією; багато з цього є відкритим кодом. Якщо ви хочете створити свій власний вірус, там є безліч наборів вірусів - повністю відкритий код. І вони мають чималі ресурси, було число, у яких ботнетів було понад мільйон компрометованих пристроїв у центрах обробки даних і на ПК тощо. Деякі - це прибутковий бізнес, який тривалий час тривав, а тоді, як я вже згадував, є урядові групи. Як сказав Ерік, навряд чи це явище навряд чи закінчиться.
Отже, це цікавий злом, який я просто думав, що про це згадую, бо це був досить недавній злом; це сталося минулого року. У контракті DAO була вразливість, пов’язана з криптовалютою Etherium. І це обговорювалося на форумі, і протягом дня контракт DAO був зламаний, точно використовуючи цю вразливість. 50 мільйонів доларів в ефірі було вимкнено, що спричинило негайну кризу в проекті DAO і закрило його. І Етеріум насправді боровся, щоб утримати хакера від доступу до грошей, і вони наче зменшили його забір. Але також вважалося - невідомо напевно - що хакер насправді скоротив ціну ефіру до нападу, знаючи, що ціна ефіру обвалиться, і таким чином отримав прибуток по-іншому.
І це ще одна, якщо вам подобається, стратегія, яку хакери можуть використовувати. Якщо вони можуть зашкодити вашій ціні акцій, і вони знають, що зроблять це, тоді їм потрібно лише занизити ціну акцій і зламати, так що це, такі хлопці, розумні, знаєте. А ціна - це відверта крадіжка грошей, зриви та викуп, включаючи інвестиції, де ви порушуєте та скорочуєте запаси, саботаж, крадіжку особистих даних, усілякі шахрайства, просто заради реклами. І це, як правило, політичне, або, очевидно, шпигунство за інформацією, і є навіть люди, які заробляють на життя із багатств помилок, які ви можете отримати, намагаючись зламати Google, Apple, Facebook - навіть Пентагон, насправді дає прихильності помилок. А ти просто рубиш; якщо це вдало, то ви просто підете і вимагаєте свій приз, і шкоди не буде зроблено, так що це приємна річ, ви знаєте.
Я можу також згадати дотримання та регулювання. Окрім галузевих ініціатив, існує безліч офіційних правил: HIPAA, SOX, FISMA, FERPA та GLBA - все законодавство США. Є стандарти; PCI-DSS став досить загальним стандартом. А тут ISO 17799 про право власності на дані. Національні нормативні документи відрізняються від країни, навіть у Європі. І в даний час GDPR - глобальні дані, для чого це означає? Глобальний регламент про захист даних, я думаю, він стоїть, але це набуває чинності в наступному році. І найцікавіше в ньому те, що воно застосовується в усьому світі. Якщо у вас є 5000 або більше клієнтів, на яких у вас є особиста інформація, і вони живуть у Європі, тоді Європа насправді візьме вас за завдання, незалежно від того, чи є ваша корпорація штаб-квартирою чи де вона працює. І штраф, максимальний розмір штрафу - це чотири відсотки щорічного доходу, який просто величезний, так що це буде цікавим поворотом у світі, коли це набуде чинності.
Що варто задуматися, ну, вразливості СУБД, більшість цінних даних насправді сидять у базах даних. Це цінно тим, що ми вклали дуже багато часу, щоб зробити його доступним та добре організувати, і це робить його більш вразливим, якщо ви насправді не застосовуєте правильні цінні папери СУБД. Очевидно, що якщо ви збираєтесь планувати подібні речі, вам потрібно визначити, які вразливі дані є у всій організації, маючи на увазі, що дані можуть бути вразливими з різних причин. Це можуть бути дані про клієнтів, але однаково це можуть бути і внутрішні документи, які були б цінними для шпигунських цілей тощо. Політика безпеки, особливо стосовно безпеки доступу - яка останнім часом, на мій погляд, була дуже слабкою, в нових матеріалах з відкритим кодом - шифрування стає все більш активною, оскільки вона досить непомітна.
Більшість людей не знала вартість порушення безпеки, але якщо ви насправді подивитесь на те, що сталося з організаціями, які зазнали порушень безпеки, виявляється, що вартість порушення безпеки часто значно вище, ніж ви думаєте, що це було б . І тоді інша річ, про яку слід задуматися, - це атака, тому що будь-який фрагмент програмного забезпечення де-небудь, що працює з вашими організаціями, представляє атаку. Як і будь-який з пристроїв, так само, як і дані, незалежно від того, як вони зберігаються. Це все, поверхня атаки зростає з Інтернетом речей, поверхня атаки, ймовірно, збільшиться вдвічі.
Отже, нарешті, DBA та безпека даних. Захист даних зазвичай є частиною ролі DBA. Але це також спільно. І це потрібно підпорядковувати корпоративній політиці, інакше воно, мабуть, не буде добре впроваджене. Сказавши це, я думаю, що можу передати м'яч.
Ерік Кавана: Гаразд, дозвольте мені дати ключі від Вікі. І ви можете поділитися своїм екраном або перейти до цих слайдів, це залежить від вас, забрати його.
Вікі Харп: Ні, я розпочну з цих слайдів, дуже дякую. Тож, так, я просто хотіла швидкої хвилини і представити себе. Я Вікі Гарф. Я менеджер, керування продуктами для продуктів SQL програмного забезпечення IDERA, і для тих із вас, хто, можливо, не знайомий з нами, IDERA має ряд продуктових ліній, але я тут виступаю за речі SQL Server. Отже, ми здійснюємо моніторинг продуктивності, дотримання безпеки, резервного копіювання, інструментів адміністрування - і це лише певний перелік їх. І звичайно, те, про що я сьогодні хочу поговорити, - це безпека та дотримання.
Основна частина того, про що я хочу сьогодні поговорити, - це не обов'язково наша продукція, хоча я маю намір показати деякі приклади цього пізніше. Я хотів поговорити з вами докладніше про безпеку бази даних, деякі загрози у світі безпеки бази даних, деякі речі, про які варто задуматися, а також деякі вступні ідеї того, що вам потрібно дивитися, щоб захистити свій SQL Серверні бази даних, а також переконатися, що вони відповідають нормативно-правовій базі, яка може бути підпорядкована вам, як було зазначено. Існує безліч різних правил; вони працюють у різних галузях, різних місцях по всьому світу, і це речі, над якими потрібно думати.
Отже, я хотів би трохи зайнятись і поговорити про стан порушень даних - і не повторювати занадто багато того, що тут вже обговорювалося - я нещодавно переглядав це дослідження дослідження безпеки Intel, і все їхнє питання - я думаю 1500 організацій, з якими вони розмовляли - у них було в середньому шість порушень безпеки щодо порушення втрат даних, і 68 відсотків тих, хто вимагав розголошення в певному сенсі, тому вони вплинули на ціну акцій, або їм довелося зробити кредит моніторинг за своїми клієнтами чи їхніми працівниками тощо.
Деякі інші цікаві статистичні дані - це те, що внутрішні суб'єкти, які відповідали за 43 відсотки. Так, багато людей дійсно багато думають про хакерів та подібні тінисті квазіурядові організації чи організовану злочинність тощо, але внутрішні суб'єкти все ще безпосередньо вживають заходів проти своїх роботодавців у досить високій частці випадків. І їх інколи важче захистити, оскільки люди можуть мати законні причини мати доступ до цих даних. Близько половини цього, 43 відсотки, було певним випадком втратою. Так, наприклад, у випадку, коли хтось забрав дані додому, а потім втратив інформацію про ці дані, що призводить мене до цього третього пункту, який полягає в тому, що матеріали на фізичних носіях все-таки були пов'язані з 40 відсотками порушень. Отож, це USB-ключі, це ноутбуки людей, це власне носій, який було спалено на фізичні диски та вивезено з будівлі.
Якщо ви задумаєтесь, чи є у вас розробник, який має на своєму ноутбуку розроблену копію вашої виробничої бази даних? Потім вони сідають в літак і вони виходять з літака, і вони отримують зареєстрований багаж, і їхній ноутбук викрадений. Зараз у вас було порушення даних. Вам не обов’язково здається, що саме тому цей ноутбук був узятий, він може ніколи не з’являтися в дикій природі. Але це все-таки вважається порушенням, це вимагатиме розголошення, у вас будуть всі наслідки втрати цих даних лише через втрату цього фізичного носія.
Інша цікава річ - багато людей замислюються про дані кредитних даних та інформацію про кредитну картку як про найціннішу, але це вже насправді не так. Ці дані цінні, номери кредитних карток корисні, але, чесно кажучи, ці номери змінюються дуже швидко, тоді як особисті дані людей змінюються не дуже швидко. Щось те, що останні новини, порівняно недавно VTech, виробник іграшок, мав ці іграшки, розроблені для дітей. І люди хотіли б, щоб вони мали імена своїх дітей, вони мали б інформацію про те, де діти живуть, вони мали прізвища батьків, мали фотографії дітей. Нічого з цього не було зашифровано, оскільки воно не вважалося важливим. Але їх паролі були зашифровані. Ну а коли порушення неминуче траплялося, ви говорите: «Добре, тому у мене є список імен дітей, імена їх батьків, де вони живуть - вся ця інформація там, і ви думаєте, що пароль була найціннішою частиною цього? »Це не було; люди не можуть змінити ці аспекти щодо своїх особистих даних, своєї адреси тощо. І тому інформація насправді дуже цінна і її потрібно захищати.
Тож хотілося поговорити про деякі речі, які зараз відбуваються, щоб сприяти тому, що порушення даних відбуваються зараз. Одне з найбільших точок доступу, простори зараз - це соціальна інженерія. Тож люди називають це фішингом, там є оманливість тощо. Де люди отримують доступ до даних, часто через внутрішніх акторів, просто переконуючи їх у тому, що вони повинні мати доступ до них. Отож, днями у нас з’явився цей черв'як Google Docs. І що це станеться - і я насправді отримав його копію, хоча, на щастя, я не натиснув її - ви отримали електронний лист від колеги, кажучи: "Ось посилання на Google Doc; вам потрібно натиснути на це, щоб переглянути те, що я тільки що поділився з вами ». Ну, що в організації, яка використовує Google Документи, це дуже звичайно, ви отримуватимете десятки цих запитів на день. Якщо ви натиснули на нього, він попросить дозволу на доступ до цього документа, і, можливо, ви скажете: "Гей, це виглядає трохи дивно, але ви знаєте, це також виглядає законно, тому я продовжу і натисніть на неї ", і як тільки ви це зробили, ви давали цій сторонній доступ до всіх своїх документів Google. Таким чином, ви створили це посилання, щоб цей зовнішній актор мав доступ до всіх своїх документів на Диску Google. Це скрізь вселяло. Це вдарило сотні тисяч людей за лічені години. І це була принципово фішинг-атака, яку Google в кінцевому підсумку мусив закрити, оскільки вона була дуже добре виконана. Люди впали за це.
Я згадую тут порушення HR SnapChat. Це було просто простим питанням того, що хтось надсилає електронне повідомлення, наголошуючи, що вони є генеральним директором, надіславши електронний лист до відділу кадрів, сказавши: "Мені потрібно, щоб ти надіслав мені цю електронну таблицю". І вони повірили їм, і вони склали електронну таблицю з 700 різними співробітниками "Інформація про компенсацію, їхні домашні адреси тощо, надіслана електронною поштою іншій стороні, насправді це не був генеральний директор. Тепер дані вийшли, і особиста, приватна інформація їхніх працівників була там і доступна для експлуатації. Отже, соціальна інженерія - це те, про що я згадую її у світі баз даних, тому що це те, проти чого можна спробувати захиститись через освіту, але ви також повинні просто пам’ятати про те, що у вас є людина, яка взаємодіє з вашими технологіями, і якщо ви покладаєтесь на їх добру оцінку щодо запобігання перебоїв, ви просите їх багато.
Люди роблять помилки, люди клацають на речі, які вони не повинні мати, люди потрапляють за розумні хиби. І ви можете дуже сильно постаратися захистити їх від цього, але це недостатньо сильно, вам потрібно спробувати обмежити можливість людей випадково видавати цю інформацію у ваших системах баз даних. Інша річ, яку я хотів зазначити, що, очевидно, ми говоримо про багато, - це вибухові програми, ботнети, віруси - всі ці різні автоматизовані способи. І тому те, що я вважаю важливим для розуміння про викупне програмне забезпечення, це дійсно змінює модель прибутку для зловмисників. У випадку, якщо ви говорите про порушення, вони мають у певному сенсі витягнути дані та мати їх для себе та використати. І якщо ваші дані нечіткі, якщо вони зашифровані, якщо це специфічно для галузі, можливо, вони не мають для цього ніякого значення.
До цього моменту люди, можливо, відчували, що це захист для них: "Мені не потрібно захищати себе від порушення даних, тому що якщо вони збираються потрапити в мою систему, все, що вони матимуть, це, я фотостудія, у мене є список того, хто буде приїжджати в які дні на наступний рік. Кого це хвилює? »Ну, а виявляється, відповідь - ти хвилюєшся цим; ви зберігаєте цю інформацію, це важлива для вашого бізнесу інформація. Тож, використовуючи програмне забезпечення, що зловмисне, зловмисник скаже: "Ну, ніхто більше не збирається давати мені гроші за це, але ви будете". Отже, вони використовують той факт, що їм навіть не доведеться отримувати дані, вони ні " t навіть не повинно бути порушення, їм просто потрібно використовувати засоби безпеки, що нападають на вас. Вони потрапляють у вашу базу даних, вони шифрують вміст її, а потім вони говорять: «Гаразд, у нас пароль, і вам доведеться заплатити нам 5000 доларів, щоб отримати цей пароль, інакше у вас просто немає ці дані більше ».
І люди дійсно платять; вони виявляють, що їм це потрібно зробити. Кілька місяців тому у MongoDB виникла величезна проблема, я думаю, це було в січні, коли викупне програмне забезпечення потрапило, я вважаю, понад мільйон баз даних MongoDB, які вони мають в Інтернеті, на основі деяких налаштувань за замовчуванням. І що ще більше погіршило те, що люди платили, і тому інші організації приїжджали, перешифровували або претендували на те, що вони були першими зашифрованими, тому коли ви заплатили свої гроші, і я думаю, що в такому випадку вони були запитуючи щось на зразок 500 доларів, люди би сказали: “Гаразд, я заплатив би більше, ніж заплатити досліднику, щоб зайти сюди, щоб допомогти мені зрозуміти, що пішло не так. Я просто заплачу 500 доларів. "І вони навіть не заплатили правильному акторові, тому вони натручаться на десять різних організацій, які говорять їм:" У нас є пароль "або" У нас є у вас є спосіб розблокувати свої викуплені дані. "І вам доведеться заплатити за них, щоб, можливо, змусити його працювати.
Були також випадки, коли у авторів, що вимагають викупу, були помилки, я маю на увазі, ми не говоримо про те, що це абсолютно ідеальна ситуація, тому навіть коли на неї напали, навіть коли ви заплатили, немає гарантії, що ви збирається повернути всі ваші дані, деякі з них ускладнюються також збройованими інструментами InfoSec. Тож Shadow Brokers - це група, яка витікала інструменти, що надходили з АНБ. Вони були інструментами, розробленими урядовою організацією для шпигунства та фактично працюючих проти інших державних структур. Деякі з них були дійсно гучними атаками з нульовим днем, що в основному змушує відомі протоколи безпеки просто відхилятися. Так, в протоколі SMB, наприклад, на одній з останніх демпінгів Shadow Brokers виникла значна вразливість.
Отож ці інструменти, які з’являються тут, можуть за лічені пари годин по-справжньому змінити гру на вас з точки зору вашої атаки. Тож коли я думаю про це, це щось таке, що на організаційному рівні безпека InfoSec є власною функцією, її потрібно сприймати серйозно. Щоразу, коли ми говоримо про бази даних, я можу це трохи зменшити, вам не обов’язково мати як адміністратора бази даних повне розуміння того, що відбувається з Shadow Brokers на цьому тижні, але вам потрібно знати, що всі з них змінюються, відбуваються речі, і тому ступінь, в якому ви тримаєте власний домен міцно і захищено, це дійсно допоможе вам у тому випадку, якщо щось вирветься з-під вас.
Отож, я хотів би трохи поглянути тут, перш ніж конкретно говорити про SQL Server, щоб насправді трохи обговорити з нашими панелістами деякі питання щодо безпеки бази даних. Отже, я дійшов до цього моменту, про деякі речі, про які ми не згадували, я хотів поговорити про ін'єкцію SQL як вектор. Отже, це інжекція SQL, очевидно, це спосіб, яким люди вставляють команди в систему баз даних, через неправильне введення даних.
Ерік Кавана: Так, я насправді познайомився з хлопцем - я думаю, це було на базі ВПС Ендрюса - близько п'яти років тому, консультантом, що я розмовляв з ним у передпокої, і ми просто поділялися історіями війни - жоден каламбур не мав намір - і він зазначив, що його хтось привів для консультації з досить високопоставленим військовим, і хлопець запитав його: "Ну, як ми знаємо, що ти хороший у тому, що ти робиш?" . І коли він спілкувався з ними, який він використовував на своєму комп’ютері, він потрапив у мережу, він використовував ін'єкцію SQL, щоб потрапити до реєстру електронної пошти для цієї бази та для цих людей. І він знайшов електронну пошту людини, з якою він спілкувався, і він просто показав йому свою електронну пошту на своїй машині! А хлопець на зразок: "Як ти це зробив?" Він сказав: "Ну, я використовував ін'єкцію SQL".
Так, це було всього п’ять років тому, і це було на базі ВПС, правда? Отже, я маю на увазі, що з точки зору контексту ця річ все ще дуже реальна, і її можна використовувати з дійсно жахливими наслідками. Я маю на увазі, мені було б цікаво дізнатися про будь-які історії війни, які Робін має на цю тему, але всі ці прийоми все ще діють. Вони все ще використовуються у багатьох випадках, і це питання виховання себе, правда?
Робін Блор: Ну так. Так, можна захищатися від ін'єкції SQL, виконуючи цю роботу. Неважко зрозуміти, чому, коли ідея була винайдена і розповсюджена вперше, легко зрозуміти, чому вона була настільки проклята успішною, адже ви могли просто вставити її в поле введення на веб-сторінці і отримати її, щоб повернути дані для вас або отримати це для видалення даних у базі даних чи будь-чого іншого - для цього можна просто ввести код SQL. Але це мене зацікавило, це те, що це ви знаєте, вам доведеться трохи проаналізувати кожний фрагмент даних, який було введено, але цілком можливо помітити, що хтось намагається це зробити. І це дійсно, я думаю, що це насправді, тому що люди все-таки тікають з цим, я маю на увазі, це просто дуже дивно, що не було простого способу боротьби з цим. Ви знаєте, що кожен міг легко користуватися, я маю на увазі, наскільки я знаю, ще не було, Вікі, чи так?
Вікі Харп: Ну, насправді деякі рішення із заручників, як-от SQL Azure, я думаю, що є досить хороші методи виявлення, засновані на машинному навчанні. Це, мабуть, те, що ми будемо бачити в майбутньому, це те, що намагається придумати один розмір, який підходить усім. Я думаю, що відповідь була: не один розмір підходить усім, але у нас є машини, які можуть дізнатися, який ваш розмір, і переконатися, що ви підходите до нього, правда? І так, якщо у вас є помилковий позитив, це тому, що ви насправді робите щось незвичне, це не тому, що вам довелося пройти і ретельно визначити все, що ваша програма може коли-небудь зробити.
Я думаю, що одна з причин того, що це все-таки настільки плодовито, - це те, що люди все ще покладаються на сторонні додатки, а додатки від ISV та ті з них змащуються з часом. Отже, ви говорите про організацію, яка придбала інженерну програму, написану в 2001 році. І вони її не оновлювали, оскільки з тих пір не відбулося жодних істотних функціональних змін, і оригінальний автор цього виду був, вони не були інженером, вони не були експертом із захисту баз даних, вони не робили справи в програмі правильно, і вони виявляються вектором. Я розумію, що - я думаю, це було цільовим порушенням даних, дійсно великим - вектор атаки був через одного з їх постачальників кондиціонерів, правда? Отже, проблема з третьою стороною ви можете, якщо у вас є власний магазин розробки, можливо, ви можете мати деякі з цих правил на місці, виконуючи це взагалі коли завгодно. Як організація, у вас може працювати сотні чи навіть тисячі додатків із різними профілями. Я думаю, що саме там збирається машинне навчання і починає нам багато допомагати.
Моя історія війни була освітнім життям. Мені доводилося бачити атаку ін'єкцій SQL, і те, що мені ніколи не траплялося, - це те, що якраз читаю SQL. Я роблю такі речі, які називаються прихованими картками свят P PQL; Мені подобається це робити, ви робите цей SQL максимально заплутаним. Існує розгублений конкурс коду C ++, який триває вже десятиліття, і це така ж ідея. Отже, те, що ви насправді отримали, це ін'єкція SQL, яка знаходилась у відкритому рядку рядка, вона закрила рядок, вона поставила у крапку з комою, а потім уклала команду exec, яка тоді мала ряд чисел, а потім в основному використовувала команда лиття, щоб передати ці числа у двійкові, а потім передати ці, у свою чергу, у значення символів, а потім виконати це. Таким чином, це не так, як вам довелося бачити щось, що говорило: "Видалити запуск із виробничої таблиці", це було насправді набито в числові поля, що набагато важче було бачити. І навіть коли ви це побачили, щоб визначити, що відбувається, знадобилося кілька реальних знімків SQL, щоб можна було зрозуміти, що відбувається, до цього часу, звичайно, робота вже була зроблена.
Робін Блор: І одна з речей, яка є просто явищем у всьому світі хакерства, - це те, що якщо хтось виявляє слабкість, і це трапляється в програмному забезпеченні, яке зазвичай продається, знаєте, одна з ранніх проблем - пароль бази даних, який ви отримали під час встановлення бази даних, багато баз даних фактично були лише за замовчуванням. І багато DBA просто ніколи не змінювали його, і тому ви могли встигнути потрапити в мережу; ви можете просто спробувати цей пароль, і якщо він спрацював, ну, ви просто виграли в лотерею. Цікавим є те, що вся ця інформація дуже ефективно та ефективно розповсюджується серед хакерських спільнот на веб-сайтах darknet. І вони знають. Таким чином, вони можуть значно переглядати те, що там, знайти декілька екземплярів і автоматично автоматично кинути на них хакерський подвиг, і вони входять. І це, я думаю, що дуже багато людей, які принаймні на периферія всього цього насправді не розуміє, наскільки швидко хакерська мережа реагує на вразливість.
Вікі Харп: Так, це насправді виховує ще одне, що я хотів згадати, перш ніж продовжувати, - це таке поняття начинки, що засвідчується, що багато що спливає, а це те, що колись ваші повноваження були вкрадені для когось де завгодно, на будь-якому сайті ці облікові дані будуть намагатися використовувати повторно. Отже, якщо ви використовуєте повторювані паролі, скажімо, якщо ваші користувачі є, навіть, давайте так сказати, хтось може отримати доступ через те, що, здається, є абсолютно дійсним набором облікових даних. Скажімо, я використовував той самий пароль в Amazon і в своєму банку, а також на форумі, і програмне забезпечення форуму було зламано, ну вони мають моє ім'я користувача та мій пароль. Потім вони можуть використовувати те саме ім’я користувача в Amazon або використовувати його в банку. А що стосується банку, то це був цілком дійсний логін. Тепер ви можете вчинити нечесні дії через повністю дозволений доступ.
Таким чином, такий тип знову повертається до того, що я говорив про внутрішні порушення та внутрішні звички. Якщо у вашій організації є люди, які використовують той самий пароль для внутрішнього доступу, який вони роблять для зовнішнього доступу, ви маєте можливість, що хтось збирається зайти і видати себе за порушення через якийсь інший сайт, на який ви не працюєте Навіть не знаю про це. І ці дані поширюються дуже швидко. Є списки, я вважаю, що останнім навантаженням на "мене мене поклали" Троя Хант, він сказав, що у нього є півмільярда наборів даних, тобто - якщо врахувати кількість людей на планеті - це дійсно велика кількість облікових даних, які були доступні для заповнення облікових даних.
Отже, я крок трохи глибше і поговорять про безпеку SQL Server. Тепер я хочу сказати, що я не збираюся намагатися дати вам все, що потрібно знати, щоб захистити свій SQL Server протягом найближчих 20 хвилин; це здається трохи високим порядком. Отже, щоб почати, я хочу сказати, що в Інтернеті є групи в Інтернеті та ресурси, які ви, звичайно, можете Google, є книги, в Microsoft є документи з найкращої практики, віртуальна глава безпеки для професійних партнерів на SQL Server, вони є на security.pass.org, і, я вважаю, щомісячні веб-трансляції та записи веб-трансляцій начебто переглядають реальне, глибоке, як зробити безпеку SQL Server. Але це деякі речі, про які я, розмовляючи з вами як професіонали даних, як ІТ-професіонали, як DBA, я хочу, щоб ви знали, що вам потрібно знати про безпеку SQL Server.
Тож перше - це фізична безпека. Отже, як я вже говорив раніше, крадіжка фізичних носіїв все ще надзвичайно поширена. І тому сценарій, який я дав із програмою Dev, з копією вашої бази даних на машині розробки, яка викрадена - це надзвичайно поширений вектор, це вектор, про який потрібно знати і намагатися вжити заходів проти. Це також стосується безпеки резервного копіювання, тому щоразу, коли ви створюєте резервну копію своїх даних, вам потрібно створювати резервну копію в зашифрованому вигляді, потрібно створювати резервну копію в безпечному місці. Багато разів ці дані були захищені в базі даних, як тільки вони починають виходити на периферійні місця, на верстати для розробників, на тестові машини, ми стаємо трохи менш уважними щодо виправлення, ми отримуємо трохи менше уважно ставлячись до людей, які мають до нього доступ. Наступне, що ви знаєте, у вас є незашифровані резервні копії баз даних, що зберігаються на загальнодоступній долі у вашій організації, доступній для експлуатації у багатьох людей. Отже, подумайте про фізичну безпеку і настільки ж просто, чи може хтось підійти і просто покласти USB-ключ на ваш сервер? Ви не повинні дозволяти цього.
Наступним пунктом, про який я хочу подумати, є безпека платформи, настільки сучасні ОС, сучасні виправлення. Дуже втомило чути, як люди говорять про перебування на старих версіях Windows, старіших версіях SQL Server, думаючи, що єдиною вартістю в грі є вартість оновлення ліцензування, що не так. Ми з безпекою, це потік, який продовжує спускатися з пагорба, і з часом йде більше подвигів. Microsoft у цьому випадку та інші групи, залежно від ситуації, вони оновлюватимуть старіші системи до кінця, і з часом вони випадуть з підтримки, і більше не оновлюватимуть їх, тому що це просто нескінченний процес обслуговування.
Отже, вам потрібно бути на підтримуваній ОС, і вам потрібно бути в курсі своїх патчів, і ми нещодавно виявили, як у Shadow Brokers, в деяких випадках Microsoft може мати уявлення про майбутні серйозні порушення безпеки перед ними перед оприлюдненням, тому не дозволяйте собі все викручуватися з ладу. Я б краще не брав часу простою, я б краще зачекати і прочитати кожен з них і вирішити. Ви, можливо, не знаєте, яке його значення, доки через кілька тижнів не з'явиться причина, коли з'ясувався цей виправлення. Отже, залишайтеся на цьому.
У вас має бути налаштований брандмауер. При порушенні SNB було шокуюче, скільки людей працювали в старих версіях SQL Server із брандмауером, повністю відкритим для Інтернету, тому кожен міг зайти і робити все, що завгодно, зі своїми серверами. Ви повинні використовувати брандмауер. Той факт, що вам періодично доводиться налаштовувати правила або робити конкретні винятки для того, як ви займаєтесь своїм бізнесом, - це ціна ОК. Вам потрібно контролювати площу поверхні у ваших системах баз даних - ви спільно встановлюєте сервіси чи веб-сервери, такі як IIS, на одній машині? Спільний обсяг дискового простору, спільний обсяг пам’яті, що і ваші бази даних та ваші приватні дані? Постарайтеся цього не робити, спробуйте ізолювати її, збережіть площу поверхні менше, щоб вам не довелося так сильно хвилюватися, щоб переконатися, що все це надійно в базі даних. Ви можете фізично відокремити ті, платформи, розділити їх, дати собі трохи місця для дихання.
У вас не повинно бути супер-адміністраторів, які бігають скрізь, щоб мати доступ до всіх ваших даних. Облікові записи адміністратора ОС не обов’язково повинні мати доступ до вашої бази даних або до базових даних у базі даних за допомогою шифрування, про які ми поговоримо за хвилину. І доступ до файлів баз даних вам також потрібно обмежити. Як не дурно, якщо хтось скаже, ну хтось не може отримати доступ до цих баз даних через базу даних; Сам SQL сервер не дозволить їм отримати доступ до нього, але якщо потім вони зможуть обійти, скопіювати фактичний файл MDF, перенести його просто так, приєднати його до власного SQL Server, ви насправді не дуже зробили багато.
Шифрування, тож шифрування - це той відомий двосторонній меч. Існує багато різних рівнів шифрування, які ви можете зробити на рівні ОС, а сучасний спосіб робити речі для SQL і Windows - це за допомогою BitLocker, а на рівні бази даних це називається TDE або прозорим шифруванням даних. Отже, це обидва способи зберегти ваші дані в затримці в стані спокою. Якщо ви хочете зберегти ваші дані в шифрованому вигляді більш всебічно, ви можете зробити їх зашифрованими - вибачте, я наче зробив крок уперед. Ви можете робити зашифровані з'єднання так, що коли він перебуває в режимі транзиту, він все ще шифрується, так що якщо хтось слухає або має людину посеред атаки, ви отримаєте певний захист цих даних по дроту. Ваші резервні копії потрібно зашифрувати, як я вже сказав, вони можуть бути доступними для інших, і тоді, якщо ви хочете, щоб він був зашифрований в пам'яті та під час використання, у нас є шифрування стовпців, і тоді, SQL 2016 має таке поняття «завжди зашифровано "там, де він фактично зашифрований на диску, в пам'яті, на дроті, аж до програми, яка фактично використовує дані.
Тепер все це шифрування не є безкоштовним: є центральний процесор, інколи для шифрування стовпців і завжди зашифрованого випадку є наслідки для продуктивності з точки зору вашої здатності виконувати пошук цих даних. Однак це шифрування, якщо його правильно скласти, це означає, що якщо хтось отримав доступ до ваших даних, шкода значно зменшиться, оскільки вони змогли його отримати, а потім вони нічого не зможуть з цим зробити. Однак це також спосіб роботи програмного забезпечення для викупу, це те, що хтось заходить і вмикає ці предмети з власним сертифікатом або власним паролем, і ви не маєте до нього доступу. Отже, тому важливо переконатися, що ви робите це, і у вас є доступ до нього, але ви не даєте цього, відкритим для інших та зловмисникам.
І тоді, принципи безпеки - я не збираюся вважати цей момент, але переконайтесь, що у вас немає кожного користувача, який працює в SQL Server як супер адміністратор. Ваші розробники можуть цього бажати, різні користувачі можуть цього бажати - вони засмучені тим, що вимагають доступу до окремих предметів - але вам потрібно бути уважними до цього, і, хоча це може бути складніше, надавати доступ до об'єктів і бази даних та схеми, які дійсні для поточної роботи, і є особливий випадок, можливо, це означає спеціальний логін, це не обов'язково означає підвищення прав для середнього користувача.
І тоді, є відповідність вимогам регуляторних норм, які впливають на це і деякі випадки можуть насправді вийти на свій лад - так що HIPAA, SOX, PCI - є всі ці різні міркування. І коли ви проходите аудит, від вас очікується показати, що ви вживаєте заходів, щоб дотримуватися цього. І так, це багато для того, щоб відстежувати, я б сказав, як список справ DBA, ви намагаєтеся забезпечити конфігурацію фізичного шифрування безпеки, ви намагаєтеся переконатися, що доступ до цих даних перевіряється з метою дотримання, переконайтесь, що ваші чутливі стовпці знають, що вони є, де вони є, які ви повинні шифрувати та переглядати доступ. І переконайтесь, що конфігурації узгоджуються з нормативними вказівками, до яких ви підпадаєте. І вам доведеться постійно це оновлювати, оскільки все змінюється.
Отже, це дуже багато робити, і тому, якби я залишив його просто там, я б сказав, що йти так. Але для цього є багато різних інструментів, і тому, якщо я можу за останні кілька хвилин, я хотів би показати вам деякі інструменти, які ми маємо для цього в IDERA. І два, про які я хотів сьогодні поговорити, - це SQL Secure та SQL Compliance Manager. SQL Secure - це наш інструмент, який допомагає визначити вид уразливості конфігурації. Ваша політика безпеки, дозволи користувачів, конфігурації поверхні. І у нього є шаблони, які допоможуть вам дотримуватися різних нормативно-правових систем. Це саме по собі, цей останній рядок, може бути причиною того, щоб люди вважали це. Оскільки читати ці різні правила та визначати, що це означає, PCI, а потім переносити це аж до мого SQL Server у своєму магазині, це велика робота. Це те, за що можна заплатити багато консультаційних грошей; ми провели цей консалтинг, ми працювали з різними аудиторськими компаніями тощо, щоб придумати, які ці шаблони - те, що, ймовірно, пройде аудит, якщо вони є на місці. І тоді ви можете використовувати ці шаблони і бачити їх у своєму оточенні.
У нас також є інший, сестринський інструмент у вигляді диспетчера відповідності SQL, і саме тут SQL Secure стосується налаштувань конфігурації. Менеджер відповідності SQL - це бачити, що робив хто, коли. Таким чином, це аудит, тому він дозволяє стежити за діяльністю, як вона відбувається, і дозволяє вам виявляти та відстежувати, хто має доступ до речей. Хтось, прототипний приклад того, що знаменитість перевіряв у вашу лікарню, хтось збирався і шукав їх інформацію, просто з цікавості? Чи мали вони це причину? Ви можете подивитися історію аудиту і побачити, що відбувається, хто звертався до цих записів. І ви можете визначити, що це інструменти, які допоможуть вам визначити чутливі стовпці, тож вам не обов’язково читати і робити все це самостійно.
Тож, якщо я можу, я збираюсь продовжити і показати вам деякі з цих інструментів тут протягом останніх декількох хвилин - і, будь ласка, не розглядайте це як глибоку демонстрацію. Я менеджер із продуктів, а не інженер з продажу, тому я хочу вам показати деякі речі, які, на мою думку, мають відношення до цієї дискусії. Отже, це наш продукт SQL Secure. І як ви бачите тут, у мене є така карта звітів високого рівня. Я запускав це, я думаю, вчора. І він показує мені деякі речі, які не налаштовані правильно, а деякі речі, які встановлені правильно. Отже, ви можете бачити, що тут ми зробили понад 100 різних перевірок. І я можу бачити, що моє шифрування резервного копіювання на резервних копіях, які я робив, я не використовував шифрування резервного копіювання. Мій обліковий запис SA, явно названий "акаунт SA", не вимикається або перейменовується. Роль загальнодоступного сервера має дозвіл, тому це все, на що, можливо, я хотів би подивитися на зміни.
У мене тут налаштована політика, тому, якщо я хотів створити нову політику, застосувати до своїх серверів, ми отримаємо всі ці вбудовані політики. Отже, я буду використовувати існуючий шаблон політики, і ви можете побачити, що у мене є країни СНД, HIPAA, PCI, SR і триває, і ми фактично постійно додаємо додаткові політики, виходячи з речей, які потребують людей у цій галузі. . Ви також можете створити нову політику, тож якщо ви знаєте, що шукає ваш аудитор, ви можете створити його самостійно. І тоді, коли ви це зробите, ви можете вибрати серед усіх цих різних налаштувань, які вам потрібно встановити, в деяких випадках - у вас є деякі - дозвольте мені повернутися назад і знайти одну з попередньо побудованих. Це зручно, я можу вибрати, скажімо, HIPAA - я вже отримав HIPAA, мій поганий - PCI, і тоді, коли я натискаю тут, я можу фактично побачити зовнішнє перехресне посилання на розділ регулювання, з яким це пов'язано. Тож це допоможе вам пізніше, коли ви намагаєтесь зрозуміти, чому я це встановлюю? Чому я намагаюся на це подивитися? З яким розділом це пов’язано?
Це також чудовий інструмент, який дозволяє вам заходити та переглядати своїх користувачів, тому одна з складних речей щодо вивчення ролей користувачів - це те, що насправді я тут загляну. Отже, якщо я показую дозволи для своїх, давайте подивимось, давайте виберемо тут користувача. Показати дозволи. Я бачу призначені дозволи для цього сервера, але потім я можу натиснути тут і обчислити ефективні дозволи, і він дасть мені повний список на основі, тому в цьому випадку це адміністратор, тому це не так цікаво, але Я міг пройти і вибрати різних користувачів і побачити, які їх ефективні дозволи, виходячи з усіх різних груп, до яких вони можуть належати. Якщо ви коли-небудь намагаєтеся зробити це самостійно, це насправді може бути чимало клопоту, щоб зрозуміти, гаразд цей користувач є членом цих груп і тому має доступ до цих речей через групи тощо.
Отже, спосіб роботи цього продукту - це робити знімки, тому насправді не дуже важко регулярно робити знімки сервера, а потім він зберігає ці знімки з часом, щоб можна було порівняти зміни. Отже, це не постійний моніторинг у традиційному розумінні як інструмент моніторингу ефективності; це те, що ви могли налаштувати запускати один раз на ніч, раз на тиждень - однак часто вважаєте, що це дійсно, - щоб потім, коли ви робите аналіз і робите трохи більше, ви насправді просто працює в рамках нашого інструменту. Ви не так сильно підключаєтесь до свого сервера, тож це дуже приємний маленький інструмент, з яким можна працювати, щоб відповідати цим видам статичних налаштувань.
Інший інструмент, який я хочу вам показати, - це наш інструмент управління відповідності. Менеджер відповідності збирається контролювати більш безперервно. І це побачить, хто робить що на вашому сервері, і дозволить вам поглянути на це. Отже, те, що я робив тут, протягом останніх кількох годин, я намагався створити невеликі проблеми. Отже, тут я зрозумів, чи це проблема чи ні, я можу знати про неї, хтось створив логін і додав його до ролі сервера. Отже, якщо я заходжу і погляну на це, я можу побачити - я думаю, я не можу клацнути правою кнопкою миші, я можу побачити, що відбувається. Отож, це моя панель приладів, і я можу помітити, що раніше я мав ряд невдалих реєстрацій. Я мав купу заходів щодо безпеки, діяльності DBL.
Отже, дозвольте мені перейти до моїх аудиторських подій і поглянути. Тут я зібрав події аудиту, згруповані за категоріями та цільовим об’єктом, тому якщо я перегляну цей захист раніше, я можу побачити DemoNewUser, це вхід на сервер створення відбувся. І я можу бачити, що SA вхід створив цей обліковий запис DemoNewUser, о 14:42. Потім я бачу, що в свою чергу додайте логін на сервер, цей DemoNewUser був доданий до групи адміністраторів сервера, вони були додані до налаштування групи адміністратора, вони були додані до групи sysadmin. Отже, я хотів би знати, що це сталося. Я також налаштував його так, щоб чутливі стовпці моїх таблиць відслідковувались, тож я бачу, хто до нього звертався.
Отже, тут у мене є декілька вибраних, які трапилися на моєму столі людини, з Adventure Works. І я можу поглянути і побачити, що користувач SA на таблиці Adventure Works зробив десятку найкращих зірок від людини, що перебуває в крапці. Тож, можливо, в моїй організації я не хочу, щоб люди вибирали зірки від людини, або я очікую, що це робитимуть лише певні користувачі, і я збираюся це побачити тут. Отже, - що вам потрібно з точки зору вашої аудиторської перевірки, ми можемо встановити це на основі рамки, і це трохи більш інтенсивний інструмент. Він використовує події SQL Trace або SQLX, залежно від версії. І це щось, що вам доведеться мати деякий простір на своєму сервері, щоб розмістити, але це одна з таких речей, на зразок страхування, що добре, якщо б у нас не було страхування автомобіля - це було б вартість, яку нам не доведеться брати - але якщо у вас є сервер, на якому вам потрібно слідкувати за тим, хто що робить, можливо, вам доведеться мати трохи додаткового запасу і такий інструмент, як це зробити. Незалежно від того, чи використовуєте ви наш інструмент, чи самостійно прокручуєте його, ви, зрештою, несете відповідальність за наявність цієї інформації з метою дотримання нормативних вимог.
Так, як я вже сказав, не поглиблена демонстрація, а лише швидкий, невеликий підсумок. Я також хотів показати вам швидкий, маленький безкоштовний інструмент у вигляді цього пошуку в колонці SQL, який ви можете використовувати для визначення того, які стовпці у вашому середовищі представляють собою конфіденційну інформацію. Отже, у нас є ряд конфігурацій пошуку, де вони шукають різні назви стовпців, які зазвичай містять конфіденційні дані, і тоді я отримав цілий список їх, які були ідентифіковані. У мене їх 120, а потім я експортував їх сюди, щоб я міг їх використати, щоб сказати, давайте подивимось і переконаймося, що я відстежую доступ до прізвища, однієї особи крапки або податку з продажу ставка тощо.
Я знаю, що ми потрапляємо прямо в кінці нашого часу тут. І це все, що я насправді мав тобі показати, тож якісь питання до мене?
Ерік Кавана: Я маю для тебе пару хороших. Дозвольте мені прокрутити це тут. Один із присутніх задав справді гарне запитання. Одне з них - питання про податок на ефективність, тому я знаю, що він змінюється від рішення до рішення, але чи маєте ви загальне уявлення про те, що таке податок на ефективність використання інструментів безпеки IDERA?
Вікі Харп: Отже, на SQL Secure, як я вже казав, він дуже низький, він просто збирається робити декілька випадкових знімків. І навіть якщо ви працювали досить часто, вона отримує статичну інформацію про налаштування, і тому вона дуже низька, майже незначна. З точки зору менеджера з відповідності, це:
Ерік Кавана: Як один відсоток?
Вікі Харп: Якби мені довелося дати відсоткову кількість, так, це було б один відсоток чи менше. Це основна інформація про порядок використання SSMS та перехід на вкладку безпеки та розширення речей. Що стосується дотримання вимог, він набагато вищий - тому я сказав, що йому потрібно невеликий простір - це схоже на те, що він значно вищий за те, що у вас в моніторингу продуктивності. Тепер я не хочу відлякувати людей від цього, фокус із моніторингом відповідності, і якщо його аудит - це переконатися, що ви лише ревізуєте те, на що збираєтесь вживати заходів. Отже, як тільки ви фільтруєте вниз, щоб сказати: "Ей, я хочу знати, коли люди отримують доступ до цих конкретних таблиць, і я хочу знати, коли люди отримують доступ до цих конкретних дій", то це буде ґрунтуватися на тому, як часто такі речі що відбувається і скільки даних ви генеруєте. Якщо ви скажете: "Я хочу, щоб повний текст SQL кожного вибору, що коли-небудь траплявся в будь-якій з цих таблиць", це просто можливі гігабайти та гігабайти даних, які повинні бути розібрані збереженим SQL сервером, переміщеними до нашого продукту, тощо.
Якщо ви зведете його до - це також буде більше інформації, ніж ви могли б мати справу. Якщо ви можете зняти його на менший набір, щоб ви отримували пару сотень подій на день, то це, очевидно, набагато нижче. Отже, справді, в чомусь, небо є межею. Якщо ви увімкнете всі налаштування на всіх моніторингах, то так, це буде 50-відсотковою ефективністю. Але якщо ви збираєтесь перетворити його на якийсь більш помірний, розглянутий рівень, я б, можливо, очне яблуко на 10 відсотків? Це дійсно, це одна з тих речей, яка буде дуже залежати від вашої роботи.
Ерік Кавана: Так, правда. Є ще одне питання щодо обладнання. А потім, в гру вступають постачальники обладнання та дійсно співпрацюють з постачальниками програмного забезпечення, і я відповів через вікно питань і запитань. Я знаю один конкретний випадок, про те, що Cloudera працював з Intel, де Intel зробила величезні інвестиції в них, і частиною підрахунку було те, що Cloudera отримає ранній доступ до дизайну чіпів і, таким чином, зможе забезпечити безпеку на рівні чіпів архітектура, яка досить вражає. Але все-таки це щось, що вийде там, і все ще може бути використане обома сторонами. Чи знаєте ви про якісь тенденції чи якісь тенденції постачальників обладнання до співпраці з постачальниками програмного забезпечення на протоколі безпеки?
Вікі Харп: Так, власне, я вважаю, що Microsoft співпрацює для того, щоб мати деякий, наприклад, простір пам’яті для деяких робіт із шифрування насправді відбувається на окремих мікросхемах материнських плат, які відокремлені від вашої основної пам’яті, так що деякі цей матеріал фізично відокремлений. І я вважаю, що насправді це було щось, що прийшло від Майкрософт з точки зору виходу до продавців, щоб сказати: "Чи можемо ми придумати спосіб зробити це, в основному це пам'ять без адреси, я не можу через переповнення буфера дістатися до ця пам'ять, тому що її навіть у певному сенсі немає, тож я знаю, що щось із цього відбувається ».
Ерік Кавана: Так.
Вікі Харп: Це, очевидно, будуть справді великі продавці.
Ерік Кавана: Так. Мені цікаво спостерігати за цим, і, можливо, Робін, якщо у вас є швидка секунда, мені буде цікаво дізнатися ваш досвід протягом багатьох років, адже знову ж таки, з точки зору обладнання, з точки зору фактичної матеріалознавства, яка йде якщо ви збираєтесь з боку постачальника, ця інформація може переходити в обидві сторони, і теоретично ми йдемо в обидві сторони досить швидко, тож чи є спосіб використовувати обладнання більш ретельно, з точки зору дизайну для посилення безпеки? Що ти думаєш? Робін, ти ввімкнеш звук?
Робін Блор: Так, так. Вибачте, я тут; Я просто обдумую питання. Якщо чесно, я не маю думки, це сфера, на яку я не розглядав значної глибини, тому я такий собі, ви знаєте, я можу вигадати думку, але я не знаю насправді. Я віддаю перевагу речам, які захищені в програмному забезпеченні, це просто спосіб гри, в основному.
Ерік Кавана: Так. Ну, люди, ми прогоріли протягом години і змінимо тут. Велика подяка Вікі Гарпу за її час та увагу - за весь ваш час та увагу; ми цінуємо те, що ти з'явився для цих речей. Це велика справа; вона не збирається скоро піти. Це гра «коти-мишки», яка продовжуватиме продовжувати і рухатися. І тому ми вдячні, що деякі компанії знаходяться там, зосереджені на забезпеченні безпеки, але, як Вікі навіть натякав і трохи розповідав у своїй презентації, врешті-решт, люди в організаціях повинні дуже ретельно думати. про ці фішинг-атаки, таку соціальну інженерію, і тримайтеся на своїх ноутбуках - не залишайте цього в кафе! Змініть пароль, виконайте основи, і ви збираєтеся 80 відсотків шляху туди.
Тож, люди, ми збираємось попрощатися, ще раз дякую за ваш час та увагу. Ми наздоженемо вас наступного разу, подбайте. Бувай.
Вікі Харп: До побачення, дякую.