Співробітники компанії «Техопедія», 27 жовтня 2016 року
Винос: Ведучий Ерік Кавана обговорює безпеку бази даних з Робіном Блором, Дез Бланчфілдом та Ігнасіо Родрігесом IDERA.
На даний момент ви не ввійшли в систему. Будь ласка, увійдіть або зареєструйтесь, щоб переглянути відео.
Ерік Кавана: Здрастуйте, ще раз привітавшись до Hot Technologies. Мене звуть Ерік Кавана; Я буду вашим господарем веб-трансляції сьогодні, і це гаряча тема, і це ніколи не стане гарячою темою. Зараз це гаряча тема через, чесно кажучи, всіх порушень, про які ми чуємо, і я можу вам гарантувати, що це ніколи не піде. Тож сьогодні тема, точна назва шоу, яку я повинен сказати, - «Нова нормальна: боротьба з реальністю незахищеного світу». Саме цим ми маємо справу.
У нас є ваш господар, справді ваш, саме там. З кількох років тому, пам’ятайте, я, мабуть, повинен би оновити своє фото; це було 2010. Час летить. Надішліть мені електронний лист, якщо ви хочете внести якісь пропозиції. Отже, це наш стандартний «гарячий» слайд для Hot Technologies. Вся мета цього шоу - справді визначити конкретний простір. Отже, сьогодні ми говоримо про безпеку, очевидно. Ми дуже цікаво розуміємо це з нашими друзями з IDERA.
І зазначу, що ви, як члени нашої аудиторії, відіграєте значну роль у програмі. Будь ласка, не соромтеся. Надішліть нам питання будь-коли, і ми поставимо його в чергу на запитання, якщо у нас буде достатньо часу на нього. Сьогодні у нас троє людей, доктор Робін Блур, Дез Бланшфілд та Ігнасіо Родрігес, який телефонує з невідомих місць. Отже, перш за все, Робін, ти перший ведучий. Я вручу вам ключі. Відняти її.
Доктор Робін Блор: Добре, спасибі за це, Еріку. Захист бази даних - Я думаю, можна сказати, що ймовірність того, що найцінніші дані, якими головує будь-яка компанія, є в базі даних. Отже, існує ціла низка речей із безпеки, про які ми могли б поговорити. Але те, що я думав зробити, - це поговорити навколо теми захисту бази даних. Я не хочу нічого відволікати від презентації, яку збирається дати Ігнасіо.
Отже, почнемо з того, що легко вважати безпеку даних статичною ціллю, але це не так. Це рухома мета. І це важливо розуміти в тому сенсі, що ІТ-середовища більшості людей, особливо ІТ-середовища великих компаній, постійно змінюються. А оскільки вони весь час змінюються, поверхня атаки, зони, де хтось може так чи інакше намагатися знищити безпеку даних, так чи інакше, зсередини чи ззовні, змінюються. І коли ви робите щось на кшталт, ви оновлюєте базу даних, ви навіть не уявляєте, чи просто ви цим самим створили якусь вразливість. Але ви цього не знаєте і, можливо, ніколи не дізнаєтесь про це, доки не трапиться щось паршиве.
Короткий огляд безпеки даних. Перш за все, крадіжка даних не є новим, і цінні дані є цільовими. Як правило, легко розробити організацію, якими є дані, які їм потрібні для максимального захисту. Цікавий факт, що перший, або те, що ми могли б стверджувати, що це перший комп’ютер, було побудовано британською розвідкою під час Другої світової війни з однією метою, а це було викрадення даних з німецьких комунікацій.
Тож крадіжка даних стала частиною ІТ-індустрії з моменту її початку. Це стало набагато серйознішим із народженням Інтернету. Я переглядав журнал кількості порушень даних, що трапляються з року в рік. І кількість їх зросла вище 100 до 2005 року, і з цього моменту вона щороку стає гіршою і гіршою.
Більша кількість викрадених даних і більша кількість хак відбувається. І це хаки, про які повідомляється. Існує дуже велика кількість випадків, коли компанія ніколи нічого не каже, тому що нічого не змушує її щось сказати. Таким чином, він зберігає спокій даних. У хакерському бізнесі є багато гравців: уряди, підприємства, хакерські групи, особи.
Одне, що мені здається цікавим згадати, коли я поїхав до Москви, я думаю, що це було десь близько чотирьох років тому, це була конференція з програмного забезпечення в Москві, я розмовляв з журналістом, який спеціалізувався на галузі злому даних. І він стверджував - і я впевнений, що він правильний, але я не знаю цього, окрім як він єдина людина, яка коли-небудь мені це згадувала, але - є російський бізнес під назвою «Російська бізнес-мережа», напевно, він має російську назва, але я думаю, що це англійський переклад цього, що насправді найняли для злому.
Тож якщо ви велика організація в будь-якій точці світу і хочете щось зробити, щоб пошкодити свою конкуренцію, ви можете найняти цих людей. А якщо ви наймете цих людей, ви отримаєте дуже правдоподібну заперечення щодо того, хто був за хаком. Тому що якщо це буде взагалі виявлено, хто за хаком, це вказуватиме, що це, мабуть, хтось у Росії зробив. І це не буде схоже на те, що ви намагалися пошкодити конкурента. І я вважаю, що Російська бізнес-мережа насправді була наймана урядами, щоб робити такі речі, як взлом у банки, щоб спробувати дізнатись, як рухаються гроші тероризму. І це робиться з правдоподібною заперечністю урядів, які ніколи не визнають, що вони насправді коли-небудь робили це.
Розвивається технологія нападу та оборони. Давно я ходив до клубу Хаосу. Це був сайт у Німеччині, де можна було зареєструватися, і ви могли просто слідкувати за розмовами різних людей і бачити, що є в наявності. І я це робив, коли дивився на технології безпеки, я думаю, що це було близько 2005 року. І я це зробив лише для того, щоб побачити, що тоді знижувалося, і що мене вразило - кількість вірусів, де це була в основному система з відкритим кодом Я продовжував працювати, і люди, які писали віруси або посилені віруси, просто приклеювали код там, щоб хтось використовував. І мені тоді траплялося, що хакери можуть бути дуже, дуже розумними, але є дуже багато хакерів, які зовсім не обов'язково розумні, але вони використовують розумні інструменти. І деякі з цих інструментів надзвичайно розумні.
І завершальний момент тут: підприємства зобов’язані дбати про свої дані, незалежно від того, володіють вони чи ні. І я думаю, що це стає все більш усвідомленим, ніж раніше. І дедалі, скажімо, бізнесу стає дорого насправді зазнати злому. Щодо хакерів, то вони можуть бути розташовані де завгодно, можливо, їх важко притягнути до відповідальності, навіть якщо вони належним чином визначені. Багато з них дуже кваліфіковані. Значні ресурси, вони мають ботнетів всюди. Вважається, що недавня DDOS-атака, що сталася, походить з понад мільярда пристроїв. Я не знаю, чи це правда, чи це просто репортер, який використовує кругле число, але, безумовно, велика кількість робототехнічних пристроїв було використано для атаки на мережу DNS. Якийсь прибутковий бізнес, є урядові групи, є економічна війна, є кібервійни, все там відбувається, і це малоймовірно, я думаю, що ми говорили в припусті, це навряд чи закінчиться.
Дотримання та норми - існує ряд речей, які насправді тривають. Є багато ініціатив щодо дотримання норм, які базуються на секторі, знаєте - фармацевтичний сектор або банківський сектор чи сектор охорони здоров'я - можуть мати конкретні ініціативи, які можуть дотримуватися люди, різні види найкращої практики. Але є також чимало офіційних положень, які, оскільки вони є законом, передбачають штрафні санкції для тих, хто порушує закон. Приклади США - HIPAA, SOX, FISMA, FERPA, GLBA. Є деякі стандарти, PCI-DSS - стандарт для карткових компаній. ISO / IEC 17799 базується на спробі отримати загальний стандарт. Це право власності на дані. Національні правила відрізняються від країни до країни, навіть у Європі, або, можливо, варто сказати, особливо в Європі, де це дуже заплутано. І є GDPR - глобальний регламент захисту даних, який зараз переговорюється між Європою та Сполученими Штатами, щоб спробувати і гармонізувати нормативно-правові акти, тому що їх так багато, як правило, вони є міжнародними, а потім є хмарні служби, які ви можете не думаю, що ваші дані були міжнародними, але вони стали міжнародними, як тільки ви вийшли в хмару, тому що вони виїхали з вашої країни. Таким чином, це сукупність нормативно-правових актів, які так чи інакше узгоджуються щодо захисту даних. І більшість цього стосується даних особи, що, звичайно, включає в себе майже всі особисті дані.
Що варто задуматися: вразливості бази даних. Існує перелік уразливостей, про які відомі і повідомляються постачальниками баз даних, коли вони виявляються і виправляються якомога швидше, тому є все це. Є речі, які пов’язані з цим з точки зору виявлення вразливих даних. Один з найбільших та найуспішніших злому даних про платежі був здійснений для платіжної компанії. Згодом це було взято на озброєння, оскільки воно повинно було перейти до ліквідації, якщо цього не відбулося, але дані не були викрадені з жодної оперативної бази даних. Дані були викрадені з тестової бази даних. Так сталося, що розробники щойно взяли підмножину даних, що є реальними даними, і використали їх, без будь-якого захисту, у тестовій базі даних. Тестова база даних була зламана, і з неї було взято дуже багато особистих фінансових даних.
Політика безпеки, особливо стосовно безпеки доступу, що стосується баз даних, хто може читати, хто може писати, хто може надавати дозволи, чи може хтось обійти це? Тоді, звичайно, це дозволяє шифрування з баз даних. Там коштують порушення безпеки. Я не знаю, чи це стандартна практика в організаціях, але я знаю, що деякі, наприклад, головні співробітники служби безпеки намагаються надати керівникам певне уявлення про те, що насправді коштує порушення безпеки, перш ніж воно станеться, а не після цього. І їм, начебто, потрібно це зробити, щоб переконатися, що вони отримають потрібну суму бюджету, щоб мати змогу захищати організацію.
А потім поверхня атаки. Здається, поверхня атаки постійно зростає. З року в рік поверхня атаки просто схоже зростає. Отже, підсумовуючи, діапазон - це ще один момент, але безпека даних зазвичай є частиною ролі DBA. Але безпека даних - це також спільна діяльність. Вам потрібно мати, якщо ви займаєтесь безпекою, вам потрібно мати повне уявлення про засоби безпеки для організації в цілому. І щодо цього потрібно проводити корпоративну політику. Якщо не існує корпоративної політики, ви просто закінчите вирішення деталей. Ви знаєте, резинка та пластик, щось подібне, намагаються не допустити безпеки.
Отже, сказавши це, я думаю, я передаю Дезу, який, ймовірно, збирається розповісти вам різні історії війни.
Ерік Кавана: Забирай це, Дез.
Дез Бланчфілд: Дякую, Робін. Це завжди важкий вчинок. Я збираюся прийти до цього з протилежного кінця спектру просто, щоб, мабуть, дати нам відчути масштаб проблеми, з якою ви стикаєтесь, і чому ми повинні зробити більше, ніж просто сісти і звернути на це увагу . Проблема, яку ми зараз бачимо з масштабом, кількістю та гучністю, швидкістю, з якою ці речі відбуваються, полягає в тому, що я зараз чую навколо цього місця з великою кількістю CXO, не лише CIO, але, звичайно, CIO - це ті, хто відвідує місця, коли долар припиняється, - це те, що вони вважають, що порушення даних швидко стає нормою. Вони майже очікують, що це станеться. Тож вони дивляться на це з точки зору: "Добре, що ж, коли нас порушують, а не якщо - коли ми їх порушуємо, що нам потрібно зробити з цього приводу?" І тоді розмови починаються навколо, що вони роблять у традиційних крайових середовищах та маршрутизаторах, комутаторах, серверах, виявленні вторгнень, перевірки вторгнень? Що вони роблять у самих системах? Що вони роблять із даними? І тоді все повертається до того, що вони робили зі своїми базами даних.
Дозвольте мені лише торкнутися декількох прикладів деяких цих речей, які захопили багато уяви людей, а потім, начебто, трохи розбийте їх. Отже, ми чули в новинах, що Yahoo - мабуть, найбільша кількість людей, яку почули - це близько півмільйона, але насправді виявляється, що це неофіційно більше схоже на мільярд - я чув чудове число три мільярди, але це майже половина світового населення, тому я думаю, що це трохи вище. Але я перевірив це у багатьох людей у відповідних просторах, які вважають, що у Yahoo було вибито трохи більше мільярда записів. І це просто вражаюче число. Зараз деякі гравці виглядають і думають, що ж, це просто облікові записи в веб-пошті, нічого серйозного, але ви додасте той факт, що багато цих облікових записів веб-пошти та цікаво велика кількість, вище, ніж я передбачав, насправді платні рахунки. Ось де люди вкладають реквізити своєї кредитної картки і вони платять за видалення реклами, тому що їм набридає реклама, і тому $ 4 або 5 доларів на місяць вони готові придбати послугу веб-пошти та хмарного зберігання, яка не має реклами, і я одна з таких, і я переживаю це на трьох різних постачальників, де я підключаю свою кредитну карту.
Тож тоді виклик привертає до себе трохи більше уваги, тому що це не просто щось, що там, як викид, один рядок: "Ну добре, Yahoo втратив, скажімо, між 500 мільйонами і 1000 мільйонами рахунків", 1000 мільйонів робить це звучать дуже великі рахунки та рахунки веб-пошти, але реквізити кредитної картки, ім’я, прізвище, адреса електронної пошти, дата народження, кредитна картка, номер PIN-коду, що завгодно, паролі, і тоді це стає набагато страшнішою концепцією. І знову люди мені кажуть: "Так, але це просто веб-сервіс, це просто веб-пошта, нічого великого". І тоді я кажу: "Так, добре, що акаунт Yahoo також міг використовуватися в грошових послугах Yahoo для купівлі" і продавати акції ». Тоді це стає цікавішим. І коли ти починаєш розбиратися в цьому, ти розумієш, що, гаразд, це насправді більше, ніж мами і тата вдома, і підлітки, які мають облікові записи, це насправді те, що люди роблять ділові операції.
Так це один кінець спектру. Інший кінець спектру полягає в тому, що в дуже невеликій, загальної практики, постачальника медичних послуг в Австралії було викрадено близько 1000 записів. Була внутрішня робота, хтось пішов, вони були просто цікаві, вони вийшли з дверей, в даному випадку це була 3, 5-дюймова дискета. Це було небагато часу тому - але ви можете сказати епоху ЗМІ, - але вони були за старими технологіями. Але виявилося, що причиною, коли вони брали дані, було те, що їм просто цікаво, хто там знаходиться. Тому що в цьому маленькому містечку, яке було нашою національною столицею, були дуже багато людей, які були політиками. І їх цікавило, хто там і де їхнє життя, і вся така інформація. Тож із дуже малим порушенням даних, яке було здійснено всередині країни, значно велика кількість політиків у австралійському уряді деталі нібито були відкриті для громадськості.
У нас є для розгляду два різних кінця спектру. Тепер реальність полягає в тому, що ці масштаби цих речей є просто приголомшливими, і у мене є слайд, на який ми збираємось дуже швидко прискочити. Існує декілька веб-сайтів, у яких перераховані всі види даних, але цей конкретний - від спеціаліста з безпеки, який мав веб-сайт, на якому можна зайти і шукати свою електронну адресу або своє ім’я, і він показуватиме вам кожен інцидент даних порушення протягом останніх 15 років, що він зміг взяти на себе руки, а потім завантажити в базу даних і перевірити, і воно скаже вам, чи вас провели, як цей термін. Але коли ви починаєте переглядати деякі з цих номерів, цей знімок екрана не оновлюється його останньою версією, до якої входить пара, наприклад Yahoo. Але просто подумайте про види послуг тут. У нас є Myspace, у нас LinkedIn, Adobe. Adobe цікавий тим, що люди дивляться і думають, ну що ж означає Adobe? Більшість із нас, які завантажують Adobe Reader якоїсь форми, багато з нас купували продукти Adobe кредитною карткою, це 152 мільйони людей.
Тепер, якщо раніше Робін, це дуже великі числа, їх легко перемогти. Що станеться, коли у вас 359 мільйонів акаунтів, які були порушені? Ну, є пара речей. Робін підкреслив той факт, що ці дані незмінно знаходяться в базі даних певної форми. Ось критичне повідомлення тут. Майже ніхто на цій планеті, про який я знаю, не працює в будь-якій формі, не зберігає її в базі даних. Але що цікаво - у цій базі даних є три різні типи даних. Існують речі, пов'язані з безпекою, такі як імена користувачів та паролі, які зазвичай шифруються, але незмінно є багато прикладів, коли їх немає. Навколо їхнього профілю є фактична інформація про клієнтів та дані, які вони створювали, незалежно від стану здоров'я чи електронного листа чи миттєвого повідомлення. І тоді є фактична вбудована логіка, так що це можуть бути збережені процедури, це може бути ціла купа правил, якщо + це + то + це. І незмінно це лише текст ASCII, що застряг у базі даних, мало хто сидить там, думаючи: "Ну, це бізнес-правила. Це так, як наші дані переміщуються і контролюються. Ми повинні потенційно зашифрувати це, коли він знаходиться в спокої, і коли він знаходиться в рух, можливо, ми його розшифровуємо і зберігаємо в пам’яті », але в ідеалі це, мабуть, має бути також.
Але повертається до цього ключового моменту, що всі ці дані знаходяться в базі даних певної форми, і частіше за все в центрі уваги - це просто історично - саме на маршрутизаторах і комутаторах, серверах і навіть на зберіганні, а не завжди в базі даних на задній кінець. Тому що ми думаємо, що в нас є край мережі, і це, начебто, типовий старий, такий, що живе в замку, і ти покладеш ров навколо нього, і ти сподівається, що погані хлопці не збираються вміти плавати. Але потім раптом погані хлопці розробили, як зробити розширені сходи і перекинути їх через ров, перелізти через ров і піднятися на стіни. І раптом ваш ров майже не марний.
Тож ми зараз в сценарії, коли організації перебувають у режимі доганяння у спринті. На мій погляд, вони буквально спринтируються по всіх системах, і, безумовно, мій досвід, в тому, що не завжди ці веб-єдинороги, як ми часто посилаємося на них, частіше, ніж не традиційні організації підприємств, які порушуються. І не потрібно мати багато фантазії, щоб дізнатися, хто вони. Є веб-сайти на зразок pastebin.net, і якщо ви перейдете на pastebin.net, і ви просто введете список електронної пошти або список паролів, ви отримаєте сотні тисяч записів на день, які додаються там, де люди перелічують приклади наборів даних до тисячі записів імені, прізвища, реквізитів кредитної картки, імені користувача, пароля, розшифрованих паролів, до речі. Там, де люди можуть схопити цей список, перегляньте три чи чотири з них і вирішіть, що, так, я хочу придбати цей список, і зазвичай існує певна форма механізму, який забезпечує якийсь анонімний шлюз для продавця даних.
Тепер, що цікаво, це те, що коли фірма-підприємець усвідомлює, що вони можуть це зробити, то не потрібно стільки фантазії, щоб зрозуміти, що якщо ти витрачаєш 1000 доларів США, щоб придбати один із цих списків, що перше, що ти робиш з цим? Ви не ходите і не намагаєтеся відслідковувати рахунки, ви повертаєте його копію на pastbin.net, і ви продаєте дві копії по 1000 доларів кожен і отримуєте 1000 доларів прибутку. І це діти, які цим займаються. У всьому світі є кілька надзвичайно великих професійних організацій, які цим займаються на життя. Існують навіть держави, які атакують інші держави. Ви знаєте, багато говорять про те, що Америка нападає на Китай, Китай нападає на Америку, це не так просто, але, безумовно, є урядові організації, які порушують системи, які незмінно працюють на базі даних. Це не лише маленькі організації, це також країни проти країн. Це повертає нас до того питання, де зберігаються дані? Це в базі даних. Які засоби управління та механізми існують там? Або незмінно вони не зашифровані, і якщо вони зашифровані, це не завжди всі дані, можливо, це просто сольовий і зашифрований пароль.
І навколо цього у нас виникає цілий ряд проблем, що стосуються цих даних, і як ми забезпечуємо доступ до даних та відповідність SOX. Отже, якщо ви думаєте про управління багатствами або банківську діяльність, у вас є організації, які хвилюються з приводу довіри; у вас є організації, які турбуються про дотримання корпоративного простору; у вас є відповідність уряду та нормативні вимоги; у вас зараз є сценарії, де ми маємо локальні бази даних; у нас є бази даних у сторонніх центрах обробки даних; у нас є бази даних, що сидять у хмарних середовищах, тому його хмарні середовища незмінно не завжди знаходяться в країні. І тому це стає все більшою і більшою проблемою не лише з точки зору чистої безпеки, яку не будемо зламати, але й як ми можемо відповідати всім різним рівням відповідності? Не лише стандарти HIPAA та ISO, але їх буквально є десятки та десятки на державному, національному та глобальному рівнях, які перетинають межі. Якщо ви працюєте з Австралією, ви не можете переміщувати дані уряду. Будь-які австралійські приватні дані не можуть покинути країну. Якщо ти в Німеччині, це ще суворіше. І я знаю, що Америка дуже швидко рухається до цього з ряду причин.
Але це знову повертає мене до цілого виклику того, як ви знаєте, що відбувається у вашій базі даних, як ви стежите за нею, як ви кажете, хто робить що робиться в базі даних, хто має перегляд різних таблиць і рядків, стовпців і полів, коли вони читають його, як часто вони читають його і хто його відстежує? І я думаю, що це приводить мене до моєї остаточної точки, перш ніж я передаю сьогодні нашому гостю, який допоможе нам поговорити про те, як ми вирішуємо цю проблему. Але я хочу залишити нас з цією думкою, і це дуже багато уваги приділяється витратам на бізнес і витратам на організацію. І ми сьогодні не будемо детально висвітлювати цю точку, але я просто хочу залишити це на увазі для роздумів, і це те, що існує оцінка приблизно від 135 до 585 доларів США за запис, щоб очистити після порушення. Отже, інвестиції, які ви робите в свою безпеку навколо маршрутизаторів і комутаторів і серверів, - це все добре і добре, і брандмауери, але скільки ви вклали в безпеку вашої бази даних?
Але це помилкова економія, і коли нещодавно порушення Yahoo сталося, і я маю це на повному рівні, це приблизно мільярд рахунків, а не 500 мільйонів. Коли Verizon придбав організацію за щось на зразок 4, 3 мільярда, як тільки відбулося порушення, вони попросили повернути мільярд доларів або знижку. Тепер, якщо ви займаєтесь математикою і скажете, що було порушено приблизно мільярд записів, які були порушені, знижка на мільярд доларів, оцінка від 135 до 535 доларів за прибирання запису стає 1 доларом. Що, знову ж таки, далекоглядне. Щоб очистити мільярд записів, це не коштує 1 долара. При $ 1 за запис, щоб очистити мільярд записів за порушення такого розміру. Ви навіть не можете виставити прес-реліз за такі витрати. І тому ми завжди зосереджуємось на внутрішніх викликах.
Але я думаю, що одна з речей, і нам потрібно сприймати це дуже серйозно на рівні бази даних, саме тому це дуже важлива тема, про яку ми повинні говорити, і це те, що ми ніколи не говоримо про людське платний. Яка людська справа, яку ми несемо на цьому? І я візьму один приклад, перш ніж я швидко заверну. LinkedIn: у 2012 році система LinkedIn була зламана. Було ряд векторів, і я не буду в це вступати. І були викрадені сотні мільйонів рахунків. Люди говорять про 160 непарних мільйонів, але насправді це набагато більша кількість, це може бути аж 240 мільйонів. Але про це порушення було оголошено лише раніше цього року. Ось за чотири роки там сотні мільйонів записів людей. Зараз дехто платив за послуги кредитними картками, а хтось із безкоштовними рахунками. Але LinkedIn цікавий тим, що вони не тільки отримали доступ до реквізитів вашого облікового запису, якщо вас порушили, але й отримали доступ до всієї інформації вашого профілю. Отже, з ким ви були підключені та всі зв’язки, які ви мали, і типи роботи, які вони мали, і типи навичок, якими вони володіли, і як довго вони працювали в компаніях, і вся така інформація, і їх контактні дані.
Тож подумайте над проблемою, яку ми маємо у забезпеченні даних у цих базах даних, а також у забезпеченні та керуванні самими системами баз даних, а також над потоком наслідків, коли людська кількість цих даних там вже чотири роки. І ймовірність того, що хтось може приїхати на відпочинок десь у Південно-Східній Азії, і вони отримали свої дані там протягом чотирьох років. А хтось, можливо, придбав машину, отримав кредит на житло або придбав десять телефонів за рік на кредитних картках, де вони створили підроблений ідентифікатор за тими даними, які були там протягом чотирьох років - адже навіть дані LinkedIn дали вам достатньо інформації, щоб створіть банківський рахунок та підроблений ідентифікатор - і ви сідаєте в літак, їдете на відпочинок, приземляєтесь і вас кидають у в'язницю. А чому тебе кидають у в'язницю? Ну, тому що у вас вкрали посвідчення особи. Хтось створив фальшивий посвідчення і діяв так, як ви, і сотні тисяч доларів, і вони робили це чотири роки, і ви навіть про це не знали. Тому що це там, це просто сталося.
Тож я думаю, що це приводить нас до цієї основної проблеми: як ми знаємо, що відбувається в наших базах даних, як ми відстежуємо це, як ми моніторимо це? І я з нетерпінням чекаю почути, як наші друзі з IDERA вирішили вирішити це питання. І з цим я передам.
Ерік Кавана: Добре, Ігнасіо, слово твоє.
Ігнасіо Родрігес: Добре. Добре, всім вітаю. Мене звуть Ігнасіо Родрігес, більш відомий як Іггі. Я з IDERA та менеджером із продуктів, що стосуються продуктів безпеки. Дійсно хороші теми, які ми тільки що висвітлювали, і ми дійсно повинні турбуватися про порушення даних. Нам потрібно посилити політику безпеки, нам потрібно виявити вразливості та оцінити рівні безпеки, контролювати дозволи користувачів, контролювати безпеку сервера та дотримуватися аудиту. Я займався аудитом у своїй минулій історії, переважно на стороні Oracle. Я щось робив на SQL Server і робив їх за допомогою інструментів або, в основному, доморощених сценаріїв, що було чудово, але вам потрібно створити сховище і переконатися, що сховище надійне, постійно дотримуючись сценарії зі змінами аудиторів, що у вас є.
Отже, якби я знав, що IDERA є там і мав інструмент, я, швидше за все, придбав би його. Але все одно, ми будемо говорити про Безпечний. Це один із наших продуктів в нашому продуктовому ряду продуктів безпеки, і в основному це ми дивимося на політику безпеки та відображаємо їх на нормативні вказівки. Ви можете переглянути повну історію налаштувань SQL Server, а також, в основному, зробити базову лінію цих налаштувань, а потім порівняти з майбутніми змінами. Ви можете створити знімок, який є базовою лінією ваших налаштувань, а потім зможете відстежувати, чи було змінено якусь із цих речей, а також отримувати сповіщення про їх зміну.
Одне з речей, які ми робимо добре, - це запобігання ризику та порушень безпеки. Картка звіту про безпеку дає вам уявлення про найвищі вразливості безпеки на серверах, а потім кожна перевірка безпеки віднесена до категорії високого, середнього або низького ризику. Тепер у цих категоріях або перевірки безпеки все це можна змінити. Скажімо, якщо у вас є якісь елементи керування і ви використовуєте один із шаблонів, який ми маємо, і ви вирішите, ну, наші контролі дійсно вказують або хочуть, щоб ця вразливість була насправді не високою, а середньою, або навпаки. Можливо, у вас є такі, які позначені як середні, але у вашій організації елементи управління, які ви хочете позначити їх, або вважаєте їх такими, що є високими, усі ці налаштування налаштовуються користувачем.
Ще одне важливе питання, на яке нам слід звернути увагу, - це виявлення вразливих місць. Розуміння того, хто має доступ до чого, та ідентифікація ефективних прав кожного користувача для всіх об'єктів SQL Server. За допомогою цього інструменту ми зможемо пройти і подивитися на права на всі об’єкти SQL Server, і ми скоро побачимо скріншот цього. Ми також повідомляємо та аналізуємо дозволи користувачів, груп та ролей. Однією з інших особливостей є надання детальних звітів про ризик безпеки. Ми маємо нестандартні звіти та містять гнучкі параметри для створення типів звітів та відображення даних, необхідних аудиторам, співробітникам служби безпеки та менеджерам.
Як ми вже згадували, ми можемо порівняти зміни безпеки, ризику та конфігурації з часом. І це з знімками. І ці знімки можна налаштувати наскільки ви хочете робити їх - щомісяця, щокварталу, щорічно - що можна запланувати в інструменті. І, знову ж таки, ви можете зробити порівняння, щоб побачити, що змінилося і що приємно в цьому, якщо у вас було порушення, ви могли б створити знімок після його виправлення, зробіть порівняння, і ви побачили, що там був високий рівень ризик, пов’язаний з попереднім знімком, а потім звіт, ви насправді бачите на наступному знімку після того, як було виправлено, що це більше не проблема. Це хороший інструмент аудиту, який ви можете надати аудитору, звіт, який ви можете дати аудиторам і сказати: "Подивіться, у нас був такий ризик, ми його пом'якшили, і тепер це більше не є ризиком". І, знову ж таки, я згадані знімки, про які можна попередити, коли зміниться конфігурація, і якщо конфігурація буде змінена та виявлена, що представляє новий ризик, про вас також буде повідомлено.
У нас виникають деякі питання щодо нашої архітектури SQL Server із Secure, і я хочу внести виправлення слайда тут, де написано "Служба збирання". У нас немає жодних сервісів, це повинен був бути "Сервер управління та збирання". "У нас є наша консоль, а потім наш сервер управління та збирання, і ми маємо без агента захоплення, яке виходитиме до зареєстрованих баз даних та збирає дані за допомогою завдань. І у нас є сховище SQL Server, і ми працюємо разом із службами звітування SQL Server для того, щоб планувати звіти і створювати власні звіти. Тепер на картці звіту про безпеку це перший екран, який ви побачите при запуску SQL Secure. Ви легко побачите, які найважливіші предмети ви виявили. І, знову ж таки, у нас є максимуми, медіа та мінімуми. І тоді ми також маємо політику, яка відповідає конкретним перевірок безпеки. У нас є шаблон HIPAA; у нас є шаблони безпеки IDERA рівня 1, 2 і 3; у нас є рекомендації щодо PCI. Це все шаблони, які ви можете використовувати, і, знову ж таки, ви можете створити свій власний шаблон на основі власних елементів керування. І, знову ж таки, вони змінюються. Ви можете створити свій власний. Будь-який із існуючих шаблонів може використовуватися як базовий рівень, тоді ви можете змінювати їх, як вам подобається.
Одна з приємних речей - це бачити, хто має дозволи. І на цьому екрані тут ми зможемо побачити, які входи в систему SQL Server на підприємстві, і ви зможете переглядати всі призначені та ефективні права та дозволи в базі даних сервера на рівні об'єкта. Ми робимо це тут. Ви зможете знову вибрати бази даних або сервери, а потім зможете підготувати звіт про дозволи SQL Server. Тож змогли побачити, хто має який доступ до чого. Ще одна приємна особливість - ви зможете порівняти налаштування безпеки. Скажімо, у вас були стандартні налаштування, які потрібно було встановити на вашому підприємстві. Потім ви зможете порівняти всі ваші сервери та побачити, які налаштування встановлені для інших серверів вашого підприємства.
Знову ж, шаблони політики, це деякі з шаблонів, які ми маємо. Ви в основному, знову ж таки, використовуєте один із них, створюєте свій власний. Ви можете створити власну політику, як показано тут. Використовуйте один із шаблонів, і ви можете змінювати їх за потребою. Ми також можемо переглянути ефективні права SQL Server. Це дозволить перевірити та довести, що права доступу встановлені для користувачів та ролей. Знову ж таки, ви можете вийти туди і подивитися, побачити та переконатися, що дозвіл встановлено правильно для користувачів та ролей. Потім за допомогою прав доступу до об’єктів SQL Server ви зможете переглядати та аналізувати дерево об’єктів SQL Server вниз від рівня сервера вниз до ролей та кінцевих точок рівня об’єкта. І ви можете миттєво переглядати призначені та ефективні успадковані дозволи та властивості, пов’язані із безпекою, на рівні об'єкта. Це дає вам хороший огляд доступу до об'єктів вашої бази даних та доступу до них.
Знову ж таки, є свої звіти, які ми маємо. Вони складають звіти, у нас є декілька, які ви можете вибрати, щоб зробити свою звітність. І багато з них можна налаштувати або ви можете мати свої звіти про клієнтів і використовувати їх спільно з службами звітності та мати змогу створювати звідти свої власні звіти. Тепер Порівняння знімків, це досить класна особливість, я думаю, що ви можете вийти туди і зможете порівняти зроблені вами знімки та подивитися, чи не було різниць у кількості. Чи додані якісь об’єкти, чи були дозволи, які змінилися, чимось, що ми могли б побачити, які зміни були зроблені між різними знімками. Деякі люди будуть розглядати це на щомісячному рівні - вони робитимуть щомісячний знімок, а потім щомісяця робити порівняння, щоб побачити, чи щось змінилося. І якщо нічого не повинно було бути змінено, все, що йшло на збори з контролю за змінами, і ви бачите, що деякі дозволи були змінені, ви можете повернутися назад, щоб подивитися, що сталося. Це досить приємна функція, де ви знову можете порівняти все, що перевіряється під час знімка.
Тоді ваше Порівняльне порівняння. Це ще одна приємна особливість, яку ми маємо там, де можна зайти і подивитися на оцінки, а потім порівняти їх і помітити, що для порівняння тут був обліковий запис SA, який не був відключений у цьому недавньому знімку, який я зробив - це тепер виправлено. Це дуже приємна річ, де ви можете показати, що, гаразд, у нас був певний ризик, вони були визначені інструментом, і тепер ми зменшили ці ризики. І, знову ж таки, це хороший звіт, щоб показати аудиторам, що насправді ці ризики були пом’якшені та їх подолано.
Підсумовуючи, безпеку бази даних, це дуже важливо, і я думаю, що багато разів ми дивимось на порушення, які надходять із зовнішніх джерел, а іноді ми не приділяємо занадто багато уваги внутрішнім порушенням, і це деякі речі, які ми потрібно пильнувати. І Secure допоможе вам там переконатись у відсутності привілеїв, які не потрібно призначати, знаєте, переконайтеся, що всі ці безпеки встановлені належним чином для облікових записів. Переконайтеся, що у ваших облікових записів SA паролі. Також перевіряє, чи ваші ключі шифрування були експортовані? Просто кілька різних речей, які ми перевіряємо, і ми сповістимо вас про те, чи не було проблеми та на якому рівні питання. Нам потрібен інструмент, багатьом професіоналам потрібні інструменти для управління та моніторингу дозволів доступу до бази даних, і ми насправді розглядаємо надання широкої можливості контролю дозволів до бази даних та відстеження дій доступу та зменшення ризику порушення.
Тепер інша частина наших продуктів безпеки полягає в тому, що є WebEx, який висвітлювався, і частина презентації, про яку ми говорили раніше, була даними. Ви знаєте, хто має доступ до чого, що у вас є, і це наш інструмент керування дотриманням SQL. І на цьому інструменті є записаний WebEx, який фактично дозволить вам відстежувати, хто має доступ до яких таблиць, до яких стовпців, ви можете ідентифікувати таблиці, які мають чутливі стовпці, що стосується дати народження, інформації про пацієнтів, тих типів таблиць та насправді бачите, хто має доступ до цієї інформації, і якщо до неї звертаються.
Ерік Кавана: Добре, тож давайте зануримось у питання, напевно, тут. Можливо, Дез, я спочатку кину тобі це, а Робін, подзвони, як зможеш.
Дез Бланчфілд: Так, мені було свербіти, щоб задати питання з другого та третього слайдів. Який типовий випадок використання, який ви бачите для цього інструменту? Хто є найпоширенішими типами користувачів, які, як ви бачите, приймають це і вводять його в гру? І на звороті цієї, типової, на зразок, використовуваної кейс-моделі, як вони так роблять? Як це реалізується?
Ігнасіо Родрігес: Гаразд, типовий випадок використання, який ми маємо, - це DBA, яким покладено відповідальність за контроль доступу до бази даних, які гарантують, що всі дозволи встановлені таким чином, як вони повинні бути, а потім слідкувати за їхніми стандартами на місці. Ви знаєте, ці певні облікові записи користувачів можуть мати доступ лише до цих конкретних таблиць, тощо. І те, що вони роблять з цим, - це впевненість, що ці стандарти були встановлені і ці стандарти не змінилися з часом. І це одна з найважливіших речей, для якої люди її використовують, - це відстежувати та виявляти, чи відбуваються якісь зміни, про які не відомо.
Дез Бланчфілд: Оскільки вони страшні, чи не так? Це, можливо, у вас є, скажімо, стратегічний документ, у вас є політика, яка лежить в основі цього, ви маєте відповідність та управління під цим, і ви дотримуєтесь політики, ви дотримуєтесь управління, і це отримує зелене світло а потім раптом через місяць хтось скасує зміну, і чомусь він не проходить ту саму комісію з перегляду змін чи процес зміни, або що б там не було, або проект просто рухався і ніхто не знає.
Чи є у вас приклади, якими ви можете поділитися - і я знаю, очевидно, що це не завжди щось, чим ви ділитесь, тому що клієнти трохи стурбовані цим, тому нам не обов’язково називати імена, - але наведіть нам приклад, де ви Ви могли бачити це насправді, знаєте, організація поставила це на місці, не усвідомлюючи цього, і вони просто щось знайшли і зрозуміли: "Ого, це було десять разів, ми просто знайшли те, чого ми не усвідомлювали". будь-який приклад, коли люди реалізували це, а потім виявили, що у них більша проблема чи справжня проблема, яку вони не усвідомлювали, і тоді вас негайно додають до списку різдвяних листівок?
Ігнасіо Родрігес: Я думаю, що найбільше, що ми бачили чи повідомляли, - це те, що я щойно згадував, що стосується доступу, який хтось мав. Там розробники, і коли вони реалізували інструмент, вони насправді не усвідомлювали, що X кількість цих розробників мали стільки доступу до бази даних та мали доступ до певних об'єктів. І інша справа - це лише рахунки. У них були кілька облікових записів лише для читання. Дізнайтеся, чи є ці акаунти лише для читання, вони також вставляли дані та видаляли привілеї. Ось тут ми побачили певну користь для користувачів. Знову ж таки, що ми чули, що люблять люди, здатні знову відстежувати зміни та переконатися, що їх нічого не осліплює.
Дез Бланшфілд: Як підкреслив Робін, у вас є сценарії, які люди часто не продумують, правда? Коли ми з нетерпінням чекаємо, ми, як-небудь думаємо, знаєте, якщо ми робимо все за правилами, і я знаходжу, і я впевнений, що ви це також бачите - скажіть, якщо ви не згодні з цим - організації так зосереджуються сильно розробляючи стратегію та політику, дотримання та управління, KPI та звітність, що вони часто настільки фіксуються на цьому, що не думають про людей, що втрачають перевагу. І Робін мав справді чудовий приклад, який я збираюсь вкрасти у нього - вибачте Робін, - але приклад - це інший раз, коли в реальному часі базу даних, знімку і вводять його в тест на розробку, правда? Ми робимо розробники, ми робимо тести, ми робимо UAT, ми робимо інтеграцію систем, всі подібні речі, а потім робимо купу тестів на відповідність. Найчастіше тест розробників, UAT, SIT, насправді має компонент відповідності, де ми просто впевнені, що це все здорово і безпечно, але не всі так роблять. Цей приклад, який Робін подав із копією живої копії бази даних, поставленої в тест із середовищем розробки, щоб побачити, чи вона все ще працює з живими даними. Дуже мало компаній сидять і думають: "Це навіть трапляється чи це можливо?". Вони завжди зосереджені на виробництві. Як виглядає подорож на впровадження? Ми говоримо про дні, тижні, місяці? Як виглядає звичайне розгортання для організації середнього розміру?
Ігнасіо Родрігес: Дні. Це навіть не дні, я маю на увазі, це просто пара днів. Ми просто додали функцію, де ми можемо зареєструвати багато, багато серверів. Замість того, щоб зайти в інструмент і сказати, що у вас 150 серверів, вам довелося зайти туди індивідуально і зареєструвати сервери - тепер вам цього не потрібно робити. Ви створюєте файл CSV, який ми автоматично видаляємо, і ми не зберігаємо його через проблеми безпеки. Але це ще одна річ, яку ми повинні врахувати, це те, що у вас там буде файл CSV з ім'ям користувача / паролем.
Ми робимо це автоматично, чи видаляємо його знову, але такий варіант є у вас. Якщо ви хочете зайти туди індивідуально і зареєструвати їх, а не хочете ризикувати, тоді ви можете це зробити. Але якщо ви хочете використовувати файл CSV, помістіть його в безпечне місце, вкажіть програму на це місце, він запустить цей файл CSV, а потім автоматично встановить видалення цього файлу, як тільки це буде зроблено. І він піде, переконайтеся, що файл видалений. Найдовший полюс у піску, який ми мали на реалізацію, - це реєстрація фактичних серверів.
Дез Бланчфілд: Гаразд. Тепер ви говорили про звіти. Чи можете ви дати нам трохи детальніше та зрозуміти, що відбувається заздалегідь в комплекті з доповіддю навколо, я думаю, компонента відкриття, щоб подивитися на те, що там є, і повідомити про нього, сучасний стан нації, що відбувається попередньо, побудований і попередньо підготовлений до звітів про поточний стан дотримання та безпеки, а потім наскільки легко їх можна розширити? Як ми будуємо на них?
Ігнасіо Родрігес: Гаразд. У деяких звітах, які ми маємо, ми маємо звіти, які стосуються крос-сервера, перевірки входу, фільтрів збору даних, історії діяльності, а потім звітів про оцінку ризику. А також будь-які підозрілі облікові записи Windows. Тут багато-багато. Перегляньте підозрілі входи в SQL, вхід у сервер та відображення користувачів, дозволи користувачів, усі дозволи користувачів, ролі сервера, ролі баз даних, деяку кількість уразливості, яку ми маємо, або звіти про автентифікацію в змішаному режимі, бази даних із включенням відвідувачів, вразливість ОС через XPS, розширені процедури, а потім вразливі фіксовані ролі. Це деякі з доповідей, які ми маємо.
Дез Бланчфілд: І ви згадали, що вони є досить вагомими та їх кількість, що логічно. Наскільки мені легко його адаптувати? Якщо я запускаю звіт і отримую цей великий великий графік, але я хочу вийняти кілька фрагментів, які мене не дуже цікавлять, і додати пару інших функцій, чи є автор звітів, чи є якийсь інтерфейс і інструмент для налаштування та адаптації або навіть потенційного створення іншого звіту з нуля?
Ігнасіо Родрігес: Тоді ми спрямовуватимемо користувачів використовувати сервіси звітів Microsoft SQL для цього, і у нас є багато клієнтів, які фактично беруть деякі звіти, налаштовують та планують їх, коли вони захочуть. Деякі з цих хлопців хочуть бачити ці звіти щомісяця або щотижня, і вони візьмуть інформацію, яку ми маємо, перемістимо її в Служби звітності, а потім зробимо це звідти. У нас немає інтегрованого розробника звітів з нашим інструментом, але ми користуємося послугами звітів.
Дез Бланчфілд: Я думаю, що це одна з найбільших проблем з цими інструментами. Ви можете зайти туди і знайти речі, але тоді вам потрібно мати змогу витягнути їх, повідомити про це людям, які не обов'язково є DBA та системними інженерами. У моєму досвіді є цікава роль, і це, знаєте, співробітники з питань ризику завжди були в організаціях, і в основному вони існують, і зовсім інший спектр ризиків, який ми спостерігали останнім часом, тоді як зараз з даними порушення, що стають не просто річчю, а фактичним цунамі, CRO перейшло від, знаєте, HR, дотримання вимог та охорони праці та безпеки праці зараз до кібер-ризику. Ви знаєте, порушення, злом, безпека - набагато більше технічного. І це стає цікаво, тому що є багато CRO, які походять з родоводу MBA, а не з технічного родоводу, тож їм доведеться обводити голову, щось таке, що це означає для переходу між кібер-ризиком до переходу на CRO тощо. Але головне, що вони хочуть, - це лише звітність про видимість.
Чи можете ви сказати нам що-небудь навколо позиціонування щодо дотримання відповідності? Очевидно, одна з великих переваг цього полягає в тому, що ви можете бачити, що відбувається, ви можете стежити за цим, ви можете вчитися, ви можете доповідати про це, ви можете на це відреагувати, ви можете навіть передбачити деякі речі. Основною проблемою є дотримання управління. Чи є ключові частини цього, які навмисно пов'язують з існуючими вимогами відповідності чи дотриманням галузевих норм, як PCI, чи щось подібне на даний момент, чи це щось, що йде на дорожню карту? Чи входить вона, як-от, у рамки подібних стандартів COBIT, ITIL та ISO? Якщо ми розгорнули цей інструмент, він дає нам ряд перевірок і противаг, які вписуються в ці рамки, або як ми вбудовуємо його в ці рамки? Де позиція з такими речами на увазі?
Ігнасіо Родрігес: Так, у нас є шаблони, які ми постачаємо за допомогою інструменту. І ми знову доходимо до того, що ми переоцінюємо наші шаблони, і ми будемо додавати, і незабаром буде більше. FISMA, FINRA, деякі додаткові шаблони, які ми маємо, і ми зазвичай переглядаємо шаблони і дивимося, що змінилося, що нам потрібно додати? І ми насправді хочемо дійти до того моменту, коли, знаєте, вимоги безпеки досить змінилися, тому ми розглядаємо спосіб зробити це розширення на льоту. Це те, на що ми дивимось у майбутньому.
Але зараз ми розглядаємо можливість створення шаблонів і можливість отримати шаблони з веб-сайту; ви можете завантажити їх. І з цим ми впораємося - ми обробляємо їх за допомогою шаблонів, і ми шукаємо шляхи в майбутньому тут зробити це легко розширюваним та швидким. Бо коли я раніше робив аудит, то, знаєте, все змінюється. Аудитор прийшов би один місяць, а наступного місяця вони хочуть побачити щось інше. Тоді це одне із викликів інструментів - це можливість внести ці зміни та отримати те, що потрібно, і ось, до чого ми хочемо потрапити.
Дез Бланчфілд: Я думаю, що завдання аудитора регулярно змінюється в світлі того факту, що світ рухається швидше. І колись ця вимога з точки зору аудиту, на мій досвід, була б просто комерційним дотриманням, а потім вона стала технічною відповідністю, і тепер це операційне відповідність. І є всі ці інші, ви знаєте, кожен день хтось з’являється, і вони не просто вимірюють вас на щось на зразок ISO 9006 та 9002, вони дивляться на всілякі речі. І я бачу, зараз 38 000 серій стають великою справою також і в ISO. Я думаю, що це просто стане все більш складним. Я збираюся здати Робіну, тому що я перекинув пропускну здатність.
Дуже дякую, що я це бачу, і я, безумовно, буду витрачати більше часу на його знайомство, тому що я насправді не усвідомлював, що це насправді було досить глибоко. Тож, дякую, Ігнасіо, зараз я збираюся подати Робіну. Чудова презентація, дякую. Робін, до тебе.
Доктор Робін Блор: Гаразд Іггі, я зватиму вас Іггі, якщо це нормально. Що мене здивує, і я думаю, що у світлі деяких речей, які сказав Дез у своїй презентації, там відбувається дуже багато, що ви повинні сказати, що люди насправді не доглядають за даними. Ви знаєте, особливо коли справа зводиться до того, що ви бачите лише частину айсберга і, мабуть, багато чого відбувається, про що ніхто не повідомляє. Мене цікавить ваша думка щодо того, скільки клієнтів, яких ви знаєте, або потенційних клієнтів, про яких ви знаєте, мають рівень захисту, який ви, начебто, пропонуєте не тільки цим, але також ваша технологія доступу до даних? Я маю на увазі, хто там належним чином обладнаний для боротьби з загрозою, це питання?
Ігнасіо Родрігес: Хто належним чином обладнаний? Я маю на увазі, чимало клієнтів, яких ми справді не зверталися до будь-якого виду аудиту, знаєте. У них було щось, але велика річ - це намагатися йти в ногу з цим і намагатися підтримувати його і переконуватись. Велика проблема, яку ми бачили, - це навіть у мене, коли я виконував відповідність, - якщо ви запускали свої сценарії, ви робили це один раз на квартал, коли заходять аудитори, і ви виявили проблему. Ну, здогадайтесь що, це вже пізно, аудит є, аудитори є, вони хочуть, щоб їхній звіт був, і вони позначають це. І тоді або ми отримаємо оцінку, або нам сказали, ей, нам потрібно виправити ці питання, і ось де це буде входити. Це було б більше проактивного типу, де ви можете знайти свій ризик і зменшити ризик, і це що шукають наші клієнти. Спосіб бути дещо ініціативним, на відміну від реагування, коли аудитори заходять і знаходять деякі з доходів не там, де вони повинні бути, інші люди мають адміністративні пільги, і вони не повинні їх мати, такі речі. І саме тут ми побачили багато відгуків, що люди люблять цей інструмент і використовують його.
Доктор Робін Блор: Гаразд, ще одне питання, яке у мене є, певно, очевидним питанням, але мені просто цікаво. Скільки людей насправді приходять до вас внаслідок злому? Де, ви знаєте, ви отримуєте бізнес не тому, що вони дивилися на їхнє оточення і думали, що їх потрібно забезпечити набагато організованішим шляхом, а насправді ви там просто тому, що вони вже перенесли деякі з біль.
Ігнасіо Родрігес: У свій час тут, в IDERA, я його не бачив. Якщо чесно з вами, більшість взаємодій, які я мав з клієнтами, з якими я брав участь, більше дивляться вперед і намагаються почати аудит і почали дивитись на привілеї, тощо. Як я вже говорив, я маю себе, не відчував свого часу тут, що у нас був хто-небудь, хто настав після порушення, про який я знаю.
Доктор Робін Блор: О, це цікаво. Я б міг подумати, що їх було хоча б кілька. Я насправді переглядаю це, але також додаю до нього всі складності, які насправді забезпечують безпеку даних по всьому бізнесу та в усіх видах діяльності, які ви робите. Ви пропонуєте консультацію безпосередньо для того, щоб допомогти людям? Я маю на увазі, зрозуміло, що ви можете придбати інструменти, але, на мій досвід, часто люди купують складні інструменти і користуються ними дуже погано. Ви пропонуєте конкретну консультацію - що робити, кому тренуватись тощо?
Ігнасіо Родрігес: Є деякі сервіси, які ви можете, що стосується допоміжних служб, дозволяють деяким із цього статися. Але що стосується консалтингу, ми не надаємо жодних консультаційних послуг, окрім навчання, як використовувати такі інструменти та інше, деякі з них вирішуватимуться із рівнем підтримки. Але самі по собі у нас немає відділу обслуговування, який би виходив і це робив.
Доктор Робін Блор: Гаразд. Що стосується бази даних, яку ви охоплюєте, тут представлена згадка про Microsoft SQL Server - чи ви теж робите Oracle?
Ігнасіо Родрігес: Перш за все, ми перейдемо до сфери Oracle з диспетчером відповідності. Ми будемо починати проект з цього, тому ми будемо шукати розширення цього в Oracle.
Доктор Робін Блор: А ви, ймовірно, поїдете в інше місце?
Ігнасіо Родрігес: Так, це те, що ми повинні подивитися на дорожніх картах і подивитися, як все відбувається, але це деякі з тих речей, які ми розглядаємо, - це які інші платформи бази даних нам також потрібні для нападу.
Доктор Робін Блор: Я також зацікавився розколом, я не маю жодної попередньої уявлення про це, але з точки зору розгортання, скільки цього насправді розгортається в хмарі, або це майже все на місці ?
Ігнасіо Родрігес: Все на місці. Ми розглядаємо можливість розширення Secure, щоб покрити Azure, так.
Доктор Робін Блор: Це було питання Azure, ви ще не там, але ви їдете туди, це має багато сенсу.
Ігнасіо Родрігес: Так, ми їдемо туди дуже скоро.
Доктор Робін Блор: Так, я розумію, що в Microsoft є те, що з Microsoft SQL Server в Azure дуже багато дій. Це стає, якщо вам подобається, ключовою частиною того, що вони пропонують. Інше питання, яке мене начебто цікавить - це не технічне значення, це більше схоже на питання про те, як ти робиш, - хто покупець для цього? До вас звертається ІТ-відділ, або до вас звертаються ОГС, чи це різний спектр людей? Коли щось подібне розглядається, чи це частина перегляду цілого ряду речей для забезпечення навколишнього середовища? Яка там ситуація?
Ігнасіо Родрігес: Це суміш. У нас є ОГС, багато разів торгова команда звертається до ДАБ. І тоді DBA, знову ж таки, було зафіксовано створенням певної політики аудиторських процесів. А потім звідти вони оцінять інструменти та звітують про ланцюжок та приймуть рішення, яку частину вони хочуть придбати. Але це мішаний мішок того, хто зв’яжеться з нами.
Доктор Робін Блор: Гаразд. Я думаю, що зараз повернусь до Еріка, тому що ми, начебто, провели годину, але, можливо, виникнуть якісь питання аудиторії. Еріку?
Ерік Кавана: Так, тут ми пережили багато хорошого вмісту. Ось одне дійсно гарне запитання, яке я перекажу вам від одного з присутніх. Він говорить про blockchain і те, про що ви говорите, і запитує, чи можливий спосіб перенести частину бази даних SQL, що є лише для читання, на щось подібне до того, що пропонує blockchain? Це якась жорстка.
Ігнасіо Родрігес: Так, я буду чесним з тобою, я не маю відповіді на це.
Ерік Кавана: Я перекину це Робіну. Я не знаю, чи чули ви це питання, Робін, але він просто запитує, чи є можливість перенести частину бази даних SQL, що лише читає, на щось подібне до того, що пропонує блокчейн? Що ти думаєш про це?
Доктор Робін Блор: Це так, якщо ви збираєтеся перемістити базу даних, ви також збираєтеся перемістити трафік бази даних. У цьому є цілий набір складностей. Але ви не зробили б це з будь-якої причини, крім того, щоб зробити дані непорушними. Оскільки блокчейн буде доступні повільніше, тож, знаєте, якщо швидкість - це ваша річ - і майже завжди це річ - то ви б цього не робили. Але якби ви хотіли надати, начебто, зашифрований зашифрований доступ до його частини деяким людям, які роблять подібні речі, ви могли б це зробити, але вам доведеться мати дуже вагомі причини. Ви набагато більше шансів залишити його там, де він є, і закріпити його там, де він є.
Дез Бланчфілд: Так, я згоден на це, якщо я можу швидко зважити. Я думаю, що завдання blockchain, навіть блокчейн, який публічно там використовується, використовується на біткоїні - нам важко масштабувати його за, як-от, чотири транзакції в хвилину, повністю розподіляючись. Не стільки через обчислювальну проблему, хоча вона там є, повним вузлам просто важко йти в ногу з обсягами бази даних, що рухаються назад і вперед, і кількість даних, що копіюються, тому що це вже концерти, а не лише меги.
Але також, я думаю, що ключовим завданням є те, що вам потрібно змінити архітектуру програми, тому що в базі даних переважно йдеться про доведення всього до центрального місця, і у вас є така модель типу клієнт-сервер. Blockchain - зворотний; йдеться про розповсюджені копії. Це багато в чому схоже на BitTorrent, і це те, що багато копій там одних і тих же даних. І ви знаєте, як Кассандра та бази даних в пам'яті, де ви їх поширюєте, і безліч серверів можуть давати вам копії одних і тих же даних із розподіленого індексу. Я думаю, що дві ключові частини, як ви сказали, Робін, це: одна, якщо ви хочете закріпити її і переконатися, що її неможливо вкрасти або зламати, це чудово, але це ще не обов'язково транзакційна платформа, і ми Я відчув це з проектом біткойн. Але теоретично інші вирішили це. Але також архітектурно багато додатків там просто не знають, як запитувати та читати з блокчейну.
Тут ще багато роботи. Але я думаю, що ключовим моментом у тому питанні, як тільки я можу, є обґрунтування переміщення його до блокчейн, я думаю, що питання, яке задають, - чи можете ви взяти дані з бази даних і ввести їх у якусь форму, більш безпечним? І відповідь, ви можете залишити його в базі даних і просто зашифрувати. Зараз існує маса технологій. Просто зашифруйте дані в спокої або в русі. Немає причини, чому ви не можете мати зашифровані дані в пам'яті та в базі даних на диску, що є набагато простішим завданням, оскільки у вас немає жодної архітектурної зміни. Незмінно більшість платформ баз даних, це насправді лише функція, яка вмикається.
Ерік Кавана: Так, у нас є ще одне останнє питання, яке я вам передам, Іггі. Це досить добре. З точки зору угоди про угода про угоди та планування потенціалу, який податок є за допомогою вашої системи? Іншими словами, будь-яка додаткова затримка або пропускна здатність, якщо в системі виробничих баз хтось хоче задіяти тут технологію IDERA?
Ігнасіо Родрігес: Ми дійсно не бачимо великого впливу. Знову ж таки, це продукт без агента, і все залежить від, як я вже згадував, знімків. Безпечний заснований на знімках. Він вийде там і фактично створить роботу, яка вийде там, виходячи з вибраних інтервалів. Або ви хочете робити це, знову ж таки, щотижня, щодня, щомісяця. Він вийде туди і виконає це завдання, а потім збиратиме дані з примірників. Після цього навантаження повертається до служб управління та збирання, як тільки ви почнете робити порівняння та все інше, навантаження на базу даних не грає жодної ролі в цьому. Все це завантаження зараз на сервер управління та збирання, наскільки це робиться порівняння та все звітність та все таке. Єдиний раз, коли ви потрапляєте в базу даних, це завжди, коли вона робить фактичний знімок. І ми не мали жодних повідомлень про те, що це дійсно шкодить виробничому середовищу.
Ерік Кавана: Так, це дійсно хороший момент, який ти робиш там. По суті, ви можете просто встановити кількість знімків, які ви робите, що таке інтервал часу і залежно від того, що це може статися, але це дуже розумна архітектура. Це хороші речі, чоловіче. Добре, хлопці, ви перебуваєте на передовій, намагаючись захистити нас від усіх тих хакерів, про які ми говорили протягом перших 25 хвилин шоу. І вони там, люди, не помиляються.
Ну, слухайте, ми розмістимо посилання на цю веб-трансляцію, архіви, на нашому сайті insideanalysis.com. Ви можете знайти речі на SlideShare, їх можна знайти на YouTube. І люди, хороші речі. Дякую за ваш час, Іггі, я до речі люблю твій прізвисько. З цим ми попрощаємося, люди. Дуже дякую за ваш час та увагу. Ми наздоженемо вас наступного разу. Бувай.
