Autorius „Techopedia“ darbuotojai, 2016 m. Spalio 27 d
„Takeaway“: Priimančioji Erika Kavanaghas aptaria duomenų bazių saugumą su Robinu Blooru, Dezu Blanchfieldu ir IDERA Ignacio Rodriguezu.
Šiuo metu nesate prisijungęs. Jei norite pamatyti vaizdo įrašą, prisijunkite arba prisiregistruokite.
Ericas Kavanaghas: Sveiki ir dar kartą sveikiname su „Hot Technologies“. Mano vardas Ericas Kavanaghas; Aš būsiu jūsų internetinės transliacijos šeimininkas šiandien. Tai aktuali tema ir ji niekada nebus aktuali. Dabar tai aktuali tema dėl, tiesą sakant, visų pažeidimų, apie kuriuos girdime, ir galiu jums garantuoti, kad tai niekur nedings. Taigi šiandienos tema, tikslus turėčiau pasakyti laidos pavadinimas, yra „Naujasis normalumas: sprendimas su nesaugaus pasaulio tikrove“. Būtent su tuo mes ir susiduriame.
Mes turime jūsų šeimininką, tikrai jūsų, čia. Turėčiau galvoje, kad prieš keletą metų turėčiau atnaujinti savo nuotrauką; tai buvo 2010. Laikas skrieja. Atsiųskite man el. Laišką, jei norite pateikti keletą pasiūlymų. Taigi tai yra mūsų standartinė „karštoji“ karštųjų technologijų skaidrė. Visas šio pasirodymo tikslas iš tikrųjų yra apibrėžti tam tikrą erdvę. Taigi šiandien akivaizdu, kad kalbame apie saugumą. Tiesą sakant, su draugais iš IDERA žiūrime į jį labai įdomiai.
Ir pažymėsiu, kad jūs, kaip mūsų auditorijos nariai, vaidinate nemažą vaidmenį programoje. Nebijok. Bet kuriuo metu atsiųskite mums klausimą ir mes jį pateiksime į klausimus ir atsakymus, jei turėsime pakankamai laiko. Šiandien internete yra trys žmonės - dr. Robinas Blooras, Dezas Blanchfieldas ir Ignacio Rodriguezas, kuris skambina iš neatskleistos vietos. Taigi, visų pirma, Robinai, tu esi pirmasis pranešėjas. Aš atiduosiu tau raktus. Pašalink.
Dr Robin Bloor: Gerai, ačiū už tai, Ericai. Duomenų bazės saugojimas - manau, galima sakyti, kad tikimybė, kad vertingiausi duomenys, kuriems iš tikrųjų pirmininkauja bet kuri įmonė, yra duomenų bazėje. Taigi yra visa eilė saugumo dalykų, apie kuriuos galėtume kalbėti. Tačiau aš galvojau, kad kalbėsiu apie duomenų bazės apsaugą. Nenoriu nieko atimti iš pristatymo, kurį ves Ignacio.
Taigi, pradėkime, nesudėtinga galvoti apie duomenų saugumą kaip apie statinį tikslą, tačiau taip nėra. Tai judantis taikinys. Tai labai svarbu suprasti ta prasme, kad daugumos žmonių IT aplinka, ypač didelių įmonių IT aplinka, visą laiką keičiasi. Kadangi jie visą laiką keičiasi, visą laiką keičiasi užpuolimo paviršius, sritys, kuriose kažkas gali vienaip ar kitaip bandyti iš vidaus ar iš išorės pakenkti duomenų saugumui. Kai darote kažką panašaus, atnaujinate duomenų bazę, net neįsivaizduojate, ar ką tik sukūrėte sau tam tikrą pažeidžiamumą. Bet jūs nieko nežinote ir galbūt niekada apie tai nesužinosite, kol neįvyks kažkas nevykėlio.
Čia yra trumpa duomenų saugumo apžvalga. Visų pirma, duomenų vagystės nėra nieko naujo, o vertingi duomenys yra nukreipti. Paprastai organizacijai yra lengva išsiaiškinti, kokie yra duomenys, kuriuos joms reikia kuo labiau apsaugoti. Įdomus faktas yra tai, kad pirmąjį, arba tai, ką galime teigti, kad esame pirmasis kompiuteris, Antrojo pasaulinio karo metu britų žvalgyba pastatė turėdama galvoje vieną tikslą ir tai buvo pavogti duomenys iš Vokietijos ryšių.
Taigi duomenų vagystės nuo pat pradžių buvo IT pramonės dalis. Gimęs internetas tapo daug rimtesnis. Aš žiūrėjau į duomenų pažeidimų, kurie buvo daromi metai iš metų, žurnalą. Šis skaičius iki 2005 m. Išaugo virš 100 ir nuo to laiko jis kasmet vis blogėjo.
Didesnis kiekis pavogtų duomenų ir didesnis įsilaužimų skaičius. Apie tuos įsilaužimus pranešama. Yra labai daug incidentų, kai įmonė niekada nieko nesako, nes nėra nieko, kas verčia ką nors pasakyti. Taigi duomenų saugumas nėra tylus. Įsilaužimų versle yra daug žaidėjų: vyriausybės, įmonės, įsilaužėlių grupės, asmenys.
Vieną dalyką, kurį, manau, įdomu paminėti, kai nuvykau į Maskvą, manau, kažkur prieš maždaug ketverius metus, tai buvo programinės įrangos konferencija Maskvoje, kalbėjau su žurnalistu, kuris specializuojasi duomenų įsilaužimo srityje. Ir jis tvirtino - ir aš įsitikinęs, kad jis teisus, bet aš to nežinau, išskyrus tai, kad jis yra vienintelis asmuo, kuris kada nors man tai paminėjo, bet - yra Rusijos verslas, vadinamas Rusijos verslo tinklu, jis turbūt turi rusą vardas, bet aš manau, kad tai angliškas vertimas, kuris iš tikrųjų yra pasamdytas nulaužti.
Taigi, jei esate didelė organizacija bet kurioje pasaulio vietoje ir norite ką nors padaryti, kad pakenktumėte konkurencijai, galite pasamdyti šiuos žmones. Jei samdysite šiuos žmones, gausite labai tikėtiną abejonę dėl to, kas buvo už hack. Nes jei iš viso bus sužinota, kas slypi už nulaužimo, tai parodys, kad greičiausiai tai padarė kažkas Rusijoje. Ir neatrodys, kaip bandai sugadinti konkurentą. Ir aš tikiu, kad Rusijos verslo tinklą iš tikrųjų pasamdė vyriausybės, kad darytų tokius veiksmus, kaip įsilaužimas į bankus, kad būtų galima išsiaiškinti, kaip juda teroristų pinigai. Tai daro vyriausybės, kurios niekada nepripažins, kad iš tikrųjų kada nors tai padarė, ir tai daro tikėtinu deniaktyvumu.
Auga puolimo ir gynybos technologijos. Seniai buvau ėjęs į „Chaos“ klubą. Tai buvo svetainė Vokietijoje, kurioje galėjote užsiregistruoti ir galėjote tiesiog sekti įvairių žmonių pokalbius ir pamatyti, kas yra prieinama. Aš tai padariau, kai galvojau apie saugumo technologijas, manau, apie 2005 metus. Aš tai padariau tik norėdamas pamatyti, kas tuo metu smuko, o mane nustebino virusų skaičius, kai tai iš esmės buvo atvirojo kodo sistema. Aš tęsiau ir žmonės, kurie parašė virusus ar patobulino virusus, tiesiog priklijavo kodą, kad kas nors galėtų jį naudoti. Tuo metu man atsitiko, kad įsilaužėliai gali būti labai, labai protingi, tačiau yra be galo daug įsilaužėlių, kurie nebūtinai yra išmanūs, tačiau naudoja išmaniuosius įrankius. Kai kurios iš šių priemonių yra nepaprastai protingos.
Ir paskutinis punktas: verslas privalo rūpintis savo duomenimis, nesvarbu, ar jie juos valdo, ar ne. Ir aš manau, kad tai tapo vis labiau suprantama, nei buvo anksčiau. Ir tampa vis brangiau, tarkime, verslui, kuris iš tikrųjų patiria įsilaužimą. Apie įsilaužėlius juos galima rasti bet kurioje vietoje, net jei juos tinkamai identifikuoti, juos gali būti sunku patraukti atsakomybėn. Daugelis jų yra labai kvalifikuoti. Didelių išteklių, jie visur turi robotus. Manoma, kad neseniai įvykęs DDoS išpuolis kilo iš daugiau nei milijardo įrenginių. Nežinau, ar tai tiesa, ar tai tik žurnalistas, naudojantis apvalų skaičių, bet tikrai nemažai robotų prietaisų buvo panaudoti puolimui DNS tinkle. Kai kurie pelningi verslai, yra vyriausybinės grupės, yra ekonominis karas, yra kibernetinis karas, viskas vyksta ten ir mažai tikėtina, manau, kad mes sakėme prezentacijoje, tai vargu ar kada nors pasibaigs.
Atitikimas ir reglamentai - yra keletas dalykų, kurie iš tikrųjų tęsiasi. Žinote, kad yra daugybė reikalavimų laikymosi iniciatyvų, pagrįstų sektoriais, - farmacijos ar bankininkystės ar sveikatos priežiūros sektoriai, gali turėti konkrečių iniciatyvų, kuriomis gali vadovautis žmonės, įvairių rūšių geriausios praktikos. Tačiau yra ir daugybė oficialių reglamentų, kurie, nes jie yra įstatymai, už juos pažeidžiantiems įstatymus numato bausmes. JAV pavyzdžiai yra HIPAA, SOX, FISMA, FERPA, GLBA. Yra keletas standartų, PCI-DSS yra standartas kortelių įmonėms. ISO / IEC 17799 yra pagrįstas bandymu sukurti bendrą standartą. Tai yra duomenų nuosavybė. Nacionaliniai teisės aktai įvairiose šalyse skiriasi, net Europoje, ar reikėtų sakyti, ypač Europoje, kur tai labai painu. Taip pat yra GDPR, visuotinis duomenų apsaugos reglamentas, dėl kurio šiuo metu derasi Europa ir JAV, norėdamos pabandyti suderinti reglamentus, nes paprastai jų yra tiek daug, kiek jie iš tikrųjų yra tarptautiniai, ir tada yra debesijos paslaugų, kurias galbūt nemanykite, kad jūsų duomenys buvo tarptautiniai, tačiau jie tapo tarptautiniai, kai tik patekote į debesį, nes jie išsikraustė iš jūsų šalies. Taigi tai yra reglamentų rinkinys, dėl kurio vienaip ar kitaip deramasi dėl duomenų apsaugos. Ir tai daugiausia susiję su asmens duomenimis, kurie, be abejo, apima beveik visus asmens duomenis.
Dalykai, apie kuriuos reikia galvoti: duomenų bazių pažeidžiamumas. Yra sąrašas pažeidžiamumų, apie kuriuos žino ir praneša duomenų bazės pardavėjai, kai jie kuo greičiau surandami ir pataisomi, taigi visa tai yra. Yra dalykų, susijusių su juo pažeidžiamų duomenų nustatymui. Vienas didžiausių ir sėkmingiausių mokėjimų duomenų įsilaužimų buvo padarytas mokėjimų apdorojimo įmonei. Vėliau tai buvo perimta, nes ji turėjo būti likviduota, jei to nepadarė, tačiau duomenys nebuvo pavogti iš jokios operatyvinės duomenų bazės. Duomenys buvo pavogti iš bandymų duomenų bazės. Tiesiog taip atsitiko, kad kūrėjai ką tik paėmė duomenų, kurie buvo tikri duomenys, pogrupį ir panaudojo juos be jokios apsaugos bandymų duomenų bazėje. Buvo nulaužta bandymų duomenų bazė ir iš jos buvo paimta labai daug žmonių asmeninės finansinės informacijos.
Saugumo politika, ypač susijusi su duomenų bazių prieigos saugumu, kurie gali skaityti, rašyti, kas gali suteikti leidimus, ar yra kokių nors būdų, kad kas nors galėtų tai išvengti? Tada, žinoma, tai leidžia šifravimai iš duomenų bazių. Tai kainuoja už saugumo pažeidimą. Nežinau, ar tai yra įprasta praktika organizacijose, bet aš žinau, kad kai kurie, pavyzdžiui, vyriausieji saugumo pareigūnai, bando pateikti vadovams idėją, kokia yra saugumo pažeidimo kaina iš tikrųjų prieš įvykstant, o ne po to. Jie, tarsi, turi tai padaryti, kad įsitikintų, jog gauna reikiamą biudžeto sumą, kad galėtų apginti organizaciją.
Ir tada atakos paviršius. Atrodo, kad atakos paviršius auga visą laiką. Panašu, kad metai iš metų atakos paviršius tiesiog auga. Taigi apibendrinant, diapazonas yra dar vienas punktas, tačiau duomenų saugumas paprastai yra DBA vaidmens dalis. Tačiau duomenų saugumas taip pat yra bendra veikla. Jei vykdote apsaugą, turite turėti supratimą apie visos organizacijos saugos apsaugą. Ir tai turi būti įmonių politika. Jei nėra įmonės politikos, jūs tiesiog priimsite pavienius sprendimus. Žinote, guminė juosta ir plastikas bando sustabdyti saugumo įvykdymą.
Taigi pasakius, aš manau, kad perduosiu Dezui, kuris greičiausiai jums papasakos įvairių karo istorijų.
Erikas Kavanaghas: Išimk jį, Dez.
Dez Blanchfield: Ačiū, Robinai . Visada sunku laikytis. Aš ateisiu čia iš priešingo spektro galo, tik, manau, kad suteiktum mums supratimą, koks yra iššūkis, su kuriuo susiduri, ir kodėl mes turėtume padaryti daugiau, nei tik sėdėti ir atkreipti dėmesį į tai . Iššūkis, kurį dabar susiduriame su mastu, kiekiu ir apimtimi, taip greitai, kaip vyksta šie dalykai, yra tai, kad dabar girdžiu visur, kur yra daug CXO, ne tik CIO, bet neabejotinai CIO yra tie, kurie lankosi ten, kur sustoja kaina, nes, jų manymu, duomenų pažeidimai greitai tampa norma. Tai kažkas, ko jie beveik tikisi įvykti. Taigi jie į tai žiūri požiūriu: „Gerai, gerai, kai mes esame pažeidžiami, o ne jei - kai mes darome pažeidimus, ką mes turime padaryti dėl to?“ Ir tada pokalbiai prasideda maždaug tada, ką jie veikia tradicinėje krašto aplinkoje ir maršrutizatoriuose, jungikliuose, serveriuose, įsibrovimų aptikimui, įsibrovimų patikrinimui? Ką jie veikia pačiose sistemose? Ką jie daro su duomenimis? Ir tada viskas grįžta prie to, ką jie padarė su savo duomenų bazėmis.
Leiskite man tiesiog paliesti keletą pavyzdžių iš kai kurių šių dalykų, kurie patraukė daugybę žmonių vaizduotės, ir, paskui, šiek tiek sugriauti. Taigi naujienose girdėjome, kad „Yahoo“ - turbūt didžiausias skaičius žmonių, apie kuriuos teko girdėti, yra apie pusė milijono, bet iš tikrųjų paaiškėja, kad neoficialiai tai daugiau kaip milijardas - išgirdau nepaprastą trijų milijardų skaičių, bet tai beveik pusė pasaulio gyventojų, todėl manau, kad tai yra šiek tiek. Bet aš turėjau tai patikrinti iš daugybės atitinkamose erdvėse esančių žmonių, kurie mano, kad iš „Yahoo“ buvo pažeista šiek tiek daugiau nei milijardas įrašų. Ir tai tik protu nesuvokiamas skaičius. Dabar kai kurie žaidėjai atrodo ir galvoja, kad tai tik žiniatinklio pašto sąskaitos, nieko nereiškia, bet tada pridursite faktą, kad daugelis tų žiniatinklio pašto paskyrų ir įdomiai didelis skaičius, didesnis nei aš tikėjausi, iš tikrųjų yra mokamos sąskaitos. Čia žmonės įdeda savo kreditinės kortelės informaciją ir sumoka už skelbimų pašalinimą, nes jiems atsibodo skelbimai ir todėl 4 arba 5 USD per mėnesį jie nori nusipirkti žiniatinklio pašto ir debesų saugyklos paslaugą, kurioje nėra skelbimų, ir aš esu vienas iš tų, ir aš turiu, kad per tris skirtingus teikėjus, kur aš pridėti savo kredito kortelę.
Taigi iššūkis pritraukia šiek tiek daugiau dėmesio, nes tai nėra tik kažkas, kas išmetama kaip viena eilutė, sakanti: „Na, gerai, kad„ Yahoo “prarado, tarkime, nuo 500 milijonų iki 1000 milijonų sąskaitų“, „1000 milijonų“ skamba labai daug, o internetinio pašto sąskaitos, tačiau kreditinės kortelės informacija, vardas, pavardė, el. pašto adresas, gimimo data, kreditinė kortelė, PIN kodas, ko tik norite, slaptažodžiai, tada tai tampa daug bauginanti sąvoka. Ir vėl žmonės man sako: „Taip, bet tai tik žiniatinklio paslauga, tai tik internetinis paštas, nereikia didelių reikalų.“ Ir tada sakau: „Taip, gerai, kad„ Yahoo “sąskaita taip pat galėjo būti naudojama„ Yahoo “pinigų paslaugoms pirkti ir parduoti akcijas. “Tada pasidaro įdomiau. Pradėję gilintis į tai suprantate, kad gerai, kad tai iš tikrųjų yra daugiau nei tik mamos ir tėčiai namuose bei paaugliai, turintys žinučių siuntimo paskyras, tai iš tikrųjų yra kažkas, kur žmonės vykdo verslo operacijas.
Taigi tai yra vienas spektro galas. Kitas spektro galas yra tas, kad labai mažam, bendrosios praktikos sveikatos paslaugų teikėjui Australijoje buvo pavogta apie 1000 įrašų. Buvo vidinis darbas, kažkas išėjo, jiems tiesiog buvo smalsu, jie išėjo pro duris, šiuo atveju tai buvo 3, 5 colio diskelis. Tai buvo prieš kurį laiką - bet jūs galite pasakyti žiniasklaidos erą -, bet jie buvo paremti senosiomis technologijomis. Tačiau paaiškėjo, kad jie ėmėsi duomenų dėl to, kad jiems tiesiog buvo įdomu, kas ten buvo. Nes šiame mažame miestelyje, kuris buvo mūsų nacionalinė sostinė, jie turėjo gana daug žmonių, kurie buvo politikai. Ir jie domėjosi, kas ten buvo ir kur buvo jų gyvenimas, ir visa ta informacija. Tariamai labai mažas duomenų pažeidimas, kuris buvo padarytas viduje, tariamai daug Australijos vyriausybės politikų, kaip spėjama, buvo viešai paskelbtas.
Ten turime apsvarstyti du skirtingus spektro galus. Dabar tikrovė yra visiškai stulbinama ir aš turiu skaidrę, į kurią čia pereisime labai, labai greitai. Yra keletas svetainių, kuriose pateikiami visų rūšių duomenys, tačiau būtent šią svetainę pateikė saugos specialistas, turėjęs svetainę, kurioje galite apsilankyti ir ieškoti jūsų el. Pašto adreso ar vardo. Tai parodys jums kiekvieną duomenų atvejį. Pažeidimas per pastaruosius 15 metų, kai jis galėjo susipainioti, o tada įkelti į duomenų bazę ir patikrinti, ir jis jums pasakys, ar buvote nusiminę, kaip galioja terminas. Bet kai jūs pradedate žiūrėti į kai kuriuos iš šių numerių ir ši ekrano kopija nebuvo atnaujinta su naujausia jo versija, kurioje yra pora, pavyzdžiui, „Yahoo“. Bet galvok tik apie paslaugų rūšis čia. Mes turime „Myspace“, turime „LinkedIn“, „Adobe“. „Adobe“ įdomu tuo, kad žmonės atrodo ir galvoja, ką „Adobe“ reiškia? Daugelis iš mūsų, atsisiunčiantys tam tikros formos „Adobe Reader“, daugelis iš mūsų yra nusipirkę „Adobe“ produktus su kredito kortele, tai yra 152 milijonai žmonių.
Anksčiau, pasak Robino, tai yra labai dideli skaičiai, nesunku juos priblokšti. Kas nutinka, kai turite 359 milijonus nepažeistų sąskaitų? Na, yra keletas dalykų. Robinas pabrėžė tai, kad šie duomenys visada yra tam tikros formos duomenų bazėje. Štai čia kritinė žinia. Beveik niekas šioje planetoje, apie kurią žinau, valdo bet kokios formos sistemą, nelaiko jos duomenų bazėje. Bet įdomu tai, kad toje duomenų bazėje yra trijų skirtingų tipų duomenys. Yra su saugumu susijusių dalykų, tokių kaip vartotojo vardai ir slaptažodžiai, kurie dažniausiai yra užšifruoti, tačiau visada yra daugybė pavyzdžių, kur jų nėra. Šalia jų profilio yra tikroji informacija apie klientą ir duomenys, kuriuos jie kuria, nesvarbu, ar tai sveikatos duomenys, ar el. Laiškas, ar momentinė žinutė. Ir tada yra tikroji įdėtoji logika, taigi tai gali būti saugomos procedūros, tai gali būti visa krūva taisyklių, jei + tai + tada + tai. Visada tai tik ASCII tekstas, įstrigęs duomenų bazėje, labai mažai žmonių sėdi galvodami: „Na, tai yra verslo taisyklės, štai kaip mūsų duomenys juda ir yra kontroliuojami, turėtume tai užšifruoti, kai yra ramybėje ir kai yra. judesį galbūt mes jį iššifruojame ir paliekame atmintyje “, bet idealiu atveju taip turėtų būti.
Tačiau grįžtama prie šio pagrindinio dalyko: visi šie duomenys yra tam tikros formos duomenų bazėje ir dažniausiai dėmesys sutelkiamas tik į maršrutizatorius ir jungiklius bei serverius ir net saugyklą, o ne visada į duomenų bazę galinis galas. Kadangi mes manome, kad tinklo kraštas yra uždengtas ir tai yra tarsi tipiškas senas, gyvenantis pilyje, o jūs aplink jį dedate griovį ir tikitės, kad blogi vaikinai nesiruošia mokėti plaukti. Bet tada staiga blogi vaikinai sugalvojo, kaip pasigaminti prailgintas kopėčias ir mesti jas už griovio, perlipti už griovio ir užlipti aukštyn sienomis. Ir staiga jūsų griovys beveik nenaudingas.
Taigi dabar esame scenarijuje, kai organizacijos veikia „pasivijimo“ režimu sprinte. Jie, tiesą sakant, ir, be abejo, mano patirtis, žvelgia į visas sistemas, nes tai ne visada yra tik šie internetiniai vienaragiai, kaip mes dažnai juos vadiname, dažniausiai pažeidžiamos tradicinės įmonių organizacijos. Ir jums nereikia turėti daug vaizduotės, kad sužinotumėte, kas jie yra. Yra svetainių, tokių kaip pastebin.net, ir jei jūs einate į pastebin.net ir tiesiog įvedate el. Pašto sąrašą arba slaptažodžių sąrašą, per dieną jūs gausite šimtus tūkstančių įrašų, kurie pridedami ten, kur žmonės pateikia pavyzdinius duomenų rinkinius. beje, iki tūkstančio įrašų apie vardą, pavardę, informaciją apie kreditinę kortelę, vartotojo vardą, slaptažodį, iššifruotus slaptažodžius. Kur žmonės gali patraukti tą sąrašą, eikite ir patikrinkite tris ar keturis iš jų ir nuspręskite, kad, y, aš noriu nusipirkti tą sąrašą ir paprastai yra tam tikros formos mechanizmas, kuris teikia tam tikrus anoniminius vartus asmeniui, parduodančiam duomenis.
Dabar įdomu tai, kad kai dukterinis verslininkas supranta, kad gali tai padaryti, nereikia tiek daug fantazijos, kad suprastum, jog jei išleidi 1000 USD nusipirkti vieną iš šių sąrašų, kas yra pirmas dalykas, kurį su juo darai? Neišeisite ir nemėginsite sekti sąskaitų, įdėjote jos kopiją į pastbin.net ir parduodate dvi kopijas po 1 000 USD ir uždirbate 1 000 USD. Tai daro vaikai. Visame pasaulyje yra keletas ypač didelių profesinių organizacijų, kurios tai daro pragyvenimui. Yra net valstybių narių, kurios puola kitas valstybes. Žinote, kad daug kalbama apie tai, kad Amerika puola Kiniją, Kinija puola Ameriką, tai nėra taip paprasta, tačiau tikrai yra vyriausybinių organizacijų, kurios pažeidžia sistemas, kurias nepertraukiamai maitina duomenų bazės. Tai nėra tik mažų organizacijų atvejis, tai taip pat šalys palyginti su šalimis. Tai sugrąžina mus prie to klausimo, kur yra saugomi duomenys? Tai yra duomenų bazėje. Kokia ten esanti kontrolė ir mechanizmai? Arba visada jie nėra užšifruoti. Jei jie yra užšifruoti, tai ne visada yra visi duomenys, galbūt tai yra tik sūdytas ir užšifruotas slaptažodis.
Apžvelgdami tai, turime daugybę iššūkių, susijusius su tuo, kas yra šiuose duomenyse ir kaip mes suteikiame prieigą prie duomenų bei atitiktį SOX. Taigi, jei galvojate apie turto valdymą ar bankininkystę, turite organizacijų, kurios jaudinasi dėl įgaliojimo iššūkio; turite organizacijų, kurios jaudinasi dėl atitikties verslo erdvėje; turite vyriausybės atitikties ir norminius reikalavimus; dabar turite scenarijus, kai turime prieigų duomenų bazes; turime duomenų bazes trečiųjų šalių duomenų centruose; turime duomenų bazių, esančių debesų aplinkoje, todėl jos debesų aplinka ne visada būna šalyje. Taigi tai tampa vis didesniu ir didesniu iššūkiu ne tik grynojo saugumo požiūriu, bet ir ne, kaip įsiskverbti, bet ir kaip patenkinti visus skirtingus atitikties lygius? Ne tik HIPAA ir ISO standartų, bet pažodžiui yra dešimtys, dešimtys ir dešimtys, valstybiniu, nacionaliniu ir pasauliniu lygmeniu peržengiančių sienas. Jei dirbate su Australija, vyriausybės duomenų perkelti negalite. Bet kokie Australijos privatūs duomenys negali palikti tautos. Jei esate Vokietijoje, tai dar griežčiau. Ir aš žinau, kad Amerika labai greitai žengia šia linkme ir dėl daugybės priežasčių.
Bet tai vėl sugrąžina mane į šį iššūkį: kaip žinoti, kas vyksta jūsų duomenų bazėje, kaip jį stebėti, kaip pasakyti, kas ką daro duomenų bazėje, kas turi įvairių lentelių ir eilučių, stulpelių ir laukų vaizdus, kada jie ją skaito, kaip dažnai ją skaito ir kas ją seka? Ir aš manau, kad tai priartina mane prie paskutinės minties prieš perduodant mūsų svečiui šiandien, kuris padės mums pasikalbėti apie tai, kaip mes sprendžiame šią problemą. Bet aš noriu palikti mums šią mintį ir tai yra, kad daug dėmesio skiriama sąnaudoms verslui ir sąnaudoms organizacijai. Šiandien mes nenagrinėsime šio klausimo išsamiai, tačiau noriu palikti tai mintyse, kad galėtumėte apmąstyti, ty kad apytiksliai yra nuo 135 USD iki 585 USD už įrašą, kurį reikia išvalyti po pažeidimo. Taigi visos jūsų investicijos į maršrutizatorių, komutatorių ir serverių saugumą yra geros ir geros ugniasienės, tačiau kiek jūs investavote į savo duomenų bazės saugumą?
Tačiau tai klaidinga ekonomika, ir kai neseniai „Yahoo“ pažeidimas įvyko, ir aš turiu gerą valdžią, tai yra maždaug milijardas sąskaitų, o ne 500 milijonų. Kai „Verizon“ nupirko organizaciją už maždaug 4, 3 milijardo eurų, iškart po pažeidimo jie paprašė grąžinti milijardą dolerių arba suteikti nuolaidą. Jei atliksite matematiką ir sakysite, kad buvo pažeista maždaug milijardas įrašų, taikoma milijardo dolerių nuolaida, nuo 135 iki 535 USD vertės įrašo sutvarkymas dabar tampa 1 USD. Kuri, vėlgi, yra fantastinė. Išvalyti milijardą įrašų nereikia 1 USD. 1 USD už įrašą išvaloma milijardas įrašų už tokio dydžio pažeidimą. Jūs net negalite paskelbti pranešimo spaudai už tokias išlaidas. Taigi, mes visada kreipiame dėmesį į vidinius iššūkius.
Bet aš manau, kad vienas iš dalykų, todėl mums reikia į tai žiūrėti labai rimtai duomenų bazės lygmenyje, todėl mums tai yra labai, labai svarbi tema, todėl niekada nekalbame apie žmogų. rinkliava. Kokia yra žmonių rinkliava, kurią mes patiriame dėl to? Ir aš imsiuosi vieno pavyzdžio, kol greitai apsivyniojau. „LinkedIn“: 2012 m. „LinkedIn“ sistema buvo nulaužta. Buvo daugybė vektorių ir aš į tai nesigilinsiu. Buvo pavogtos šimtai milijonų sąskaitų. Žmonės sako apie 160 nelyginių milijonų, bet iš tikrųjų tai yra daug didesnis skaičius, tai gali būti net apie 240 milijonų. Tačiau apie šį pažeidimą nebuvo pranešta anksčiau nei šiais metais. Tai yra ketveri metai, kai yra šimtai milijonų žmonių įrašų. Dabar kai kurie žmonės mokėjo už paslaugas kreditinėmis kortelėmis, kiti - nemokamomis sąskaitomis. Bet „LinkedIn“ įdomu tuo, kad jie ne tik gavo prieigą prie jūsų sąskaitos informacijos, jei buvote pažeisti, bet ir prieiga prie visos jūsų profilio informacijos. Taigi, su kuo buvote prisijungę, ir visus jūsų ryšius, jų turimus darbus ir jų turimus įgūdžius bei tai, kiek laiko jie dirbo įmonėse, visą tokią informaciją ir jų kontaktinę informaciją.
Taigi pagalvok apie iššūkį, kurį mes turime užtikrinti šių duomenų bazėse esančius duomenis, saugoti ir valdyti pačias duomenų bazių sistemas, ir apie poveikį srautui, nes tų duomenų rinkliava žmonėms yra ketverius metus. Ir tikimybė, kad kažkas pasirinks atostogas kur nors Pietryčių Azijoje, ir jie ten turėjo savo duomenis ketverius metus. O kai kas galėjo nusipirkti mašiną ar gauti paskolą būstui ar per metus nusipirkti dešimt telefonų kredito kortelėmis, kur sukūrė suklastotą asmens tapatybės kortelę, kuri buvo ketverius metus - nes net „LinkedIn“ duomenys suteikė jums pakankamai informacijos susikurkite banko sąskaitą ir suklastotą asmens kodą - ir jūs įlipate į lėktuvą, einate atostogauti, nusileidžiate ir esate įmesti į kalėjimą. Ir kodėl tave meta į kalėjimą? Na, nes jums buvo pavogtas jūsų ID. Kažkas sukūrė netikrą asmens tapatybės dokumentą ir elgėsi kaip jūs su šimtais tūkstančių dolerių. Jie tai darė ketverius metus, o jūs apie tai net nežinojote. Nes ten, tai tiesiog įvyko.
Taigi, manau, kad tai atneša mums pagrindinį iššūkį: kaip mes galime žinoti, kas vyksta mūsų duomenų bazėse, kaip mes galime tai sekti, kaip mes tai stebime? Ir nekantrauju išgirsti, kaip mūsų IDERA draugai sugalvojo sprendimą, kaip tai išspręsti. Ir su tuo aš perleisiu.
Ericas Kavanaghas: Gerai, Ignacio, jūsų žodis yra jūsų.
Ignacio Rodriguezas: Gerai. Na, pasveikink visus. Mano vardas Ignacio Rodriguez, geriau žinomas kaip Iggy. Aš esu su IDERA ir saugos produktų produktų vadybininku. Tikrai geros temos, kurias ką tik aptarėme, ir tikrai turime nerimauti dėl duomenų pažeidimų. Turime būti sugriežtinta saugos politika, turime nustatyti pažeidžiamumus ir įvertinti saugos lygius, kontroliuoti vartotojo leidimus, kontroliuoti serverio saugą ir laikytis audito. Savo ankstesnėje istorijoje aš atlieku auditą, daugiausia „Oracle“ pusėje. Aš padariau keletą funkcijų naudodamas SQL Server ir darydamas jas naudodamas įrankius arba iš esmės namų scenarijus, o tai buvo puiku, tačiau jūs turite sukurti saugyklą ir įsitikinti, kad saugykla buvo saugi, nuolat prižiūrėdami scenarijus su auditorių pakeitimais., ką tu.
Taigi įrankiuose, jei būčiau žinojęs, kad IDERA yra ten ir turiu įrankį, aš greičiausiai būčiau jį pirkęs. Bet kokiu atveju mes kalbėsime apie saugų. Tai yra vienas iš mūsų saugos produktų linijos produktų, ir tai, ką jis daro iš esmės, yra saugumo strategijų peržiūra ir atitikimas norminėms gairėms. Galite peržiūrėti visą „SQL Server“ parametrų istoriją, taip pat iš esmės galite atlikti šių parametrų pradinę liniją ir palyginti su būsimais pakeitimais. Galite sukurti momentinį vaizdą, kuris yra jūsų nustatymų pagrindas, ir tada galėsite sekti, ar buvo pakeistas kuris nors iš tų dalykų, taip pat gauti įspėjimą, jei jie bus pakeisti.
Vienas iš dalykų, kuriuos darome gerai, yra saugumo rizikos ir pažeidimų prevencija. Saugumo ataskaitų kortelėje pateikiamas didžiausias serverių saugumo pažeidimų vaizdas, tada kiekvienas saugumo patikrinimas priskiriamas didelės, vidutinės ar mažos rizikos kategorijai. Dabar šias kategorijas ar saugumo patikrinimus galima modifikuoti visus. Tarkime, jei turite kai kuriuos valdiklius ir naudojate vieną iš mūsų turimų šablonų, o jūs nusprendėte, gerai, mūsų valdikliai tikrai rodo ar nori, kad šis pažeidžiamumas iš tikrųjų nėra didelis, bet vidutinis, arba atvirkščiai. Galbūt turite tokių, kurie pažymėti kaip vidutiniai, bet jūsų organizacijoje valdikliai, kuriuos norite pažymėti, arba laikote juos aukštais, visus šiuos parametrus vartotojas gali sukonfigūruoti.
Kita svarbi problema, kurią turime išnagrinėti, yra pažeidžiamumų nustatymas. Suprasti, kas turi prieigą prie ko, ir nustatyti kiekvieno vartotojo realias teises visuose „SQL Server“ objektuose. Naudodami šį įrankį galėsime peržvelgti visų SQL serverio objektų teises ir gana greitai pamatysime to ekrano kopiją. Mes taip pat pranešame ir analizuojame vartotojo, grupės ir vaidmens leidimus. Viena iš kitų funkcijų yra tai, kad pateikiame išsamias saugumo rizikos ataskaitas. Mes turime neprivalomas ataskaitas ir juose yra lanksčių parametrų, kad galėtumėte sukurti ataskaitų tipus ir rodyti duomenis, kurių reikalauja auditoriai, apsaugos pareigūnai ir valdytojai.
Kaip jau minėjau, taip pat galime palyginti saugumo, rizikos ir konfigūracijos pokyčius bėgant laikui. Ir jie yra su vaizdais. Ir tas nuotraukas galite sukonfigūruoti tiek, kiek norite, kad padarytumėte - mėnesį, ketvirtį, metus -, kurias galima suplanuoti įrankyje. Ir vėl galite palyginti, norėdami pamatyti, kas pasikeitė ir kas yra gražu dėl to, jei padarėte pažeidimą, galėtumėte sukurti momentinę nuotrauką, kai jis buvo ištaisytas, palyginti ir pamatysite, kad ten buvo aukšto lygio riziką, susijusią su ankstesne momentine nuotrauka, ir tada pranešti, kitame momentiniame paveikslėlyje, po to, kai jis buvo ištaisytas, iš tikrųjų matote, kad tai jau nebuvo problema. Tai yra gera audito priemonė, kurią galėtumėte duoti auditoriui, ataskaitą, kurią galėtumėte pateikti auditoriams ir pasakyti: „Žiūrėk, mes turėjome šią riziką, mes ją sumažinome, ir dabar tai daugiau nėra rizika.“ Ir vėlgi, aš minimi kartu su vaizdais, kuriuos galite įspėti, kai pasikeičia konfigūracija, o jei pakeista konfigūracija ir aptinkama - tai kelia naują riziką, jums taip pat bus pranešta.
Turime keletą klausimų apie „SQL Server“ architektūrą, naudodami „Secure“, ir aš noriu taisyti skaidrę čia, kur parašyta „Kolekcijos tarnyba“. Neturime jokių paslaugų, ji turėjo būti „Valdymo ir rinkimo serveris“. Turime konsolę, o vėliau ir valdymo ir rinkimo serverį, ir mes turime agentų neturintį duomenų kaupimą, kuris pateks į įregistruotas duomenų bazes ir kaups duomenis per darbo vietas. Mes turime SQL serverio saugyklą ir dirbame kartu su SQL serverio ataskaitų tarnybomis, kad suplanuotume ataskaitas ir sukurtume pasirinktines ataskaitas. Dabar saugos ataskaitos kortelėje tai yra pirmasis ekranas, kurį pamatysite paleidę „SQL Secure“. Jūs lengvai pamatysite, kuriuos svarbiausius daiktus aptikote. Ir vėl turime aukštumų, vidurius ir žemumus. Tada mes taip pat turime politiką, kuri vykdoma atliekant ypatingus saugumo patikrinimus. Mes turime HIPAA šabloną; turime IDERA 1, 2 ir 3 saugumo lygio šablonus; turime PCI gaires. Tai visi šablonai, kuriuos galite naudoti, ir vėl galite sukurti savo šabloną, pagrįstą ir savo valdikliais. Ir vėl jie yra modifikuojami. Galite sukurti savo. Bet kurį iš esamų šablonų galima naudoti kaip pagrindinį scenarijų, tada galėsite juos modifikuoti, kaip jums patinka.
Vienas iš malonių dalykų, kuriuos reikia padaryti, yra pamatyti, kas turi leidimus. Šiame ekrane mes matysime, kokie „SQL Server“ prisijungimai yra įmonėje, o objekto lygiu galėsite peržiūrėti visas priskirtas ir galiojančias teises ir leidimus serverio duomenų bazėje. Mes tai darome čia. Galėsite vėl pasirinkti duomenų bazes ar serverius, tada galėsite nuskaityti SQL serverio teisių ataskaitą. Taigi gali pamatyti, kas turi ką prie ko prieiti. Kita puiki savybė yra tai, kad galėsite palyginti saugos parametrus. Tarkime, kad turėjote standartinius parametrus, kuriuos reikėjo nustatyti visoje jūsų įmonėje. Tada galėsite palyginti visus savo serverius ir pamatyti, kokie parametrai buvo nustatyti kituose jūsų įmonės serveriuose.
Vėlgi, politikos šablonai, tai yra keletas šablonų, kuriuos turime. Iš esmės jūs vėl naudojate vieną iš jų, sukurkite savo. Galite susikurti savo politiką, kaip matoma čia. Naudokite vieną iš šablonų ir galite juos modifikuoti pagal poreikį. Mes taip pat galime peržiūrėti SQL serverio veiksmingąsias teises. Tai patikrins ir įrodys, kad teisingai nustatyti leidimai vartotojams ir vaidmenims. Vėlgi, galite išeiti iš ten ir pažiūrėti, pamatyti ir patikrinti, ar teisingai nustatyti leidimai vartotojams ir vaidmenims. Tada naudodamiesi SQL serverio objekto prieigos teisėmis galite naršyti ir analizuoti SQL serverio objektų medį nuo serverio lygio iki objekto lygio vaidmenų ir galinių taškų. O objekto lygiu galite iškart peržiūrėti priskirtas ir veiksmingas paveldėtas teises ir su sauga susijusias savybes. Tai suteikia gerą vaizdą apie prieigas, kurias turite savo duomenų bazės objektuose, ir kas turi prieigą prie tų.
Mes vėl turime savo pranešimus. Jie yra konservuotos ataskaitos. Mes turime keletą iš jų, iš kurių galite pasirinkti ataskaitų teikimui. Daugelį jų galite tinkinti arba galite turėti savo klientų ataskaitas, jas naudoti kartu su ataskaitų teikimo paslaugomis ir iš ten kurti savo individualizuotas ataskaitas. Dabar, „Snapshot Comparisons“, manau, kad tai yra nuostabi savybė, kur galite išeiti ir palyginti atliktus momentinius vaizdus ir pasižiūrėti, ar nebuvo kokių nors skirtumų. Ar yra pridėtų objektų, ar buvo pakeisti leidimai, ar ką galime pamatyti, kokie pakeitimai buvo padaryti tarp skirtingų momentinių nuotraukų. Kai kurie žmonės pažvelgs į juos mėnesio lygmeniu - atliks mėnesinį momentinį vaizdą ir kiekvieną mėnesį palygins, ar kas nors pasikeitė. Ir jei nebuvo nieko, kas turėjo būti pakeistas, tai, kas vyko į pokyčių kontrolės susitikimus ir matote, kad kai kurie leidimai buvo pakeisti, galite grįžti atgal pasižiūrėti, kas įvyko. Tai labai graži savybė, kurioje vėl galite palyginti viską, kas tikrinama momentiniame vaizde.
Tada jūsų vertinimo palyginimas. Tai dar viena graži savybė, kurią galite iš ten pasižiūrėti ir įvertinti, tada palyginti ir pastebėti, kad palyginimas čia turėjo SA sąskaitą, kuri nebuvo išjungta per pastarąjį mano padarytą momentinį vaizdą - tai dabar pataisytas. Tai labai gražus dalykas, kuriuo galite parodyti, kad gerai, kad mes turėjome tam tikrą riziką, jie buvo nustatyti pagal įrankį, ir dabar mes tą riziką sušvelninome. Ir tai vėlgi yra gera ataskaita auditoriams parodyti, kad iš tikrųjų ši rizika buvo sumažinta ir ja buvo pasirūpinta.
Apibendrinant, duomenų bazių saugumas yra labai svarbus ir aš manau, kad daug kartų mes žiūrime į pažeidimus, atsirandančius iš išorinių šaltinių, ir kartais nelabai kreipiame per daug dėmesio į vidinius pažeidimus, ir tai yra keletas dalykų, kuriuos mes reikia saugotis. „Secure“ padės jums ten įsitikinti, kad nėra privilegijų, kurių nereikia priskirti, žinote, įsitikinkite, kad visos šios saugos sąskaitose yra tinkamai nustatytos. Įsitikinkite, kad jūsų SA sąskaitose yra slaptažodžiai. Taip pat tikrina, ar jūsų šifravimo raktai buvo eksportuoti? Tiesiog patikrinkime kelis skirtingus dalykus ir įspėsime jus, jei iškilo problema ir kokio lygio ji yra. Mums reikia įrankio, daugybei specialistų reikia įrankių, skirtų valdyti ir stebėti prieigos prie duomenų bazių leidimus, ir mes iš tikrųjų žiūrime, kaip suteikti plačią galimybę kontroliuoti duomenų bazių leidimus ir sekti prieigos veiksmus bei sumažinti pažeidimų riziką.
Dabar kita mūsų saugos produktų dalis yra ta, kad yra „WebEx“, kuri buvo apimta, o dalis pristatymo, apie kurį anksčiau kalbėjome, buvo duomenys. Jūs žinote, kas prie ko, ką turite, ir tai yra mūsų SQL atitikties tvarkyklės įrankis. Tame įrankyje yra įrašytas „WebEx“, kuris iš tikrųjų leis jums stebėti, kas prie kokių lentelių, prie kokių stulpelių prisijungia, galite nustatyti lenteles, kuriose yra neskelbtinų stulpelių, atsižvelgiant į gimimo datą, informaciją apie pacientą, tokio tipo lenteles ir iš tikrųjų pamatyti, kas turi prieigą prie tos informacijos, ir jei ji yra prieinama.
Erikas Kavanaghas: Gerai, taigi, pasinerkite į klausimus, manau, čia. Gal, Dezai, aš pirmiausia tau įmesiu, o Robinas, kaip įmanydamas.
Dezas Blanchfieldas: Taip, aš niežėjau užduoti klausimą iš antros ir trečios skaidrės. Kokį tipinį šio įrankio naudojimo atvejį jūs matote? Kas yra dažniausiai pasitaikantys vartotojų tipai, kurie priima tai ir pradeda naudoti? Dėl to, kaip jie elgiasi, būdingo, naudojamo atvejo modelio, atžvilgiu? Kaip jis įgyvendinamas?
Ignacio Rodriguezas: Gerai, kad tipiškas mūsų panaudojimo atvejis yra DBA, kuriems paskirta atsakomybė už duomenų bazės prieigos kontrolę, kurie įsitikina, kad visi leidimai yra nustatyti taip, kaip jie turi būti, ir tada sekti bei jų standartus vietoje. Žinote, šios tam tikros vartotojų sąskaitos gali prieiti tik prie šių konkrečių lentelių, etcetera. Ir ką jie su tuo daro, yra įsitikinti, kad tie standartai buvo nustatyti ir per tą laiką jie nepasikeitė. Tai yra vienas iš didžiausių dalykų, dėl kurio žmonės tai naudoja, yra sekti ir nustatyti, ar daromi pakeitimai, apie kuriuos nežinoma.
Dezas Blanchfildas: Nes jie baisūs, ar ne? Galbūt jūs turite, sakykim, strategijos dokumentą, turite politiką, kuria grindžiamas principas, pamatysite atitiktį ir valdymą, o jūs laikotės politikos, laikotės valdymo ir jis gauna žalią šviesą Ir staiga po mėnesio kas nors paskelbia pakeitimą ir dėl tam tikrų priežasčių neperžiūri tos pačios pakeitimų peržiūros lentos ar pakeitimų proceso, ar koks jis bebūtų, arba projektas tiesiog juda toliau, ir niekas to nežino.
Ar turite kokių nors pavyzdžių, kuriais galite pasidalinti - ir aš akivaizdžiai žinau, kad tai ne visada yra kažkas, kuo dalijatės, nes klientams tai kelia šiek tiek rūpesčių, todėl mes neprivalome būtinai vardinti vardus, bet pateikite pavyzdį, kur jūs galbūt tai iš tikrųjų matėte, žinote, organizacija tai įgyvendino nesuprasdama ir jie tiesiog kažką rado ir suprato: „Oho, buvo verta dešimt kartų, mes tiesiog atradome tai, ko neįsivaizdavome.“ Ar turite? bet koks pavyzdys, kai žmonės tai įgyvendino ir tada sužinojo, kad turi didesnę problemą ar realią problemą, kurios net neįsivaizdavo, kad turi ir tada tu iškart esi įtrauktas į kalėdinių atvirukų sąrašą?
Ignacio Rodriguezas: Aš manau, kad didžiausias dalykas, kurį mes matėme ar pranešėme, yra tai, ką ką tik paminėjau, kiek tai buvo prieiga, kurią kažkas turėjo. Yra kūrėjai ir, kai jie įdiegė įrankį, jie iš tikrųjų nesuvokė, kad X kiekis šių kūrėjų turėjo tiek daug prieigos prie duomenų bazės ir prieigą prie konkrečių objektų. Kitas dalykas yra tik skaitymo sąskaitos. Buvo keletas paskyrų, skirtų tik skaityti, ir sužinoję, kad šios paskyros yra tik skaitomos, iš tikrųjų turėjo įterpti duomenis ir ištrinti teises. Štai čia matėme naudą vartotojams. Vėlgi, didelis dalykas, kad girdėjome, kad žmonėms patinka, vėl gali sekti pokyčius ir įsitikinti, kad niekas jų nepanaikina.
Dezas Blanchfildas: Kaip pabrėžė Robinas, jūs turite scenarijus, kurių žmonės dažnai nesusimąsto, tiesa? Kai tikimės, mes tarsi galvojame, jei viską darome pagal taisykles, ir aš randu, ir aš tikiu, kad jūs taip pat matote - pasakykite man, jei nesutinkate - organizacijos sutelkia dėmesį daug kurdami strategiją ir politiką bei atitiktį ir valdymą bei pagrindinius rodiklius ir teikdami ataskaitas, kad jie dažnai taip įsitvirtina, kad negalvoja apie pašalinius dalykus. Ir Robinas turėjo tikrai puikų pavyzdį, kurį ketinu pavogti iš jo, - atsiprašau, Robin, - bet pavyzdys yra kitas laikas, kai tiesioginė duomenų bazės kopija, momentinė nuotrauka ir įdėta į kūrimo testą, tiesa? Mes darome dev, atliekame testus, UAT, sistemų integraciją, visa tai ir darome daugybę atitikties testų. Dažnai „dev test“, UAT, SIT iš tikrųjų turi atitikties komponentą, kai tik įsitikiname, kad viskas sveika ir saugu, tačiau ne visi tai daro. Šis pavyzdys, kurį pateikė Robinas su tiesioginės duomenų bazės kopija, buvo išbandytas su kūrimo aplinka, norint pamatyti, ar ji vis dar veikia su tiesioginiais duomenimis. Labai nedaugelis kompanijų sustoja ir galvoja: „Ar taip nutinka, ar tai įmanoma?“ Jos visada tvirtai laikosi gamybos dalykų. Kaip atrodo įgyvendinimo kelionė? Ar mes kalbame apie dienas, savaites, mėnesius? Kaip įprastas diegimas atrodo vidutinio dydžio organizacijai?
Ignacio Rodriguezas: dienos. Tai nėra net dienos, turiu omenyje, tai tik porą dienų. Mes ką tik pridėjome funkciją, kurioje galime užregistruoti daugybę serverių. Užuot įėję į įrankį ir sakydami, kad turite 150 serverių, turėjote ten patekti atskirai ir registruoti serverius - dabar to nereikia daryti. Yra jūsų sukurtas CSV failas, kurį automatiškai pašaliname ir jo nelaikome dėl saugumo problemų. Bet tai dar vienas dalykas, į kurį turime atsižvelgti, ar ketinate ten turėti CSV failą su vartotojo vardu / slaptažodžiu.
Tai, ką darome, mes automatiškai dar kartą ištriname, bet tai jūs turite. Jei norite ten patekti atskirai ir juos užregistruoti ir nenorite rizikuoti, tuomet galite tai padaryti. Bet jei norite naudoti CSV failą, įdėkite jį į saugią vietą, nukreipkite programą į tą vietą, jis paleis tą CSV failą ir tada automatiškai nustatys, kad tas failas bus ištrintas. Tai eis ir įsitikins, ar patikrinta, ar failas pašalintas. Ilgiausias smėlio stulpas, kurį įgyvendinome, buvo tikrų serverių registravimas.
Dezas Blanchfildas: Gerai. Dabar jūs kalbėjote apie pranešimus. Ar galite mums pateikti šiek tiek išsamesnės informacijos ir įžvalgos apie tai, kas susiejama su pranešimais apie, manau, atradimo komponentą - pažvelgti į tai, kas yra ten, ir pranešti apie tai, dabartinę tautos būklę, tai, kas ateina prieš pagamintos ir iš anksto pakepintos, atsižvelgiant į ataskaitas apie dabartinę atitikties būklę ir saugumą, tada kaip lengvai jas galima išplėsti? Kaip mes galime kurti ant tų?
Ignacio Rodriguezas: Gerai. Kai kurias turimas ataskaitas turime ataskaitas, kuriose aptariami keli serveriai, prisijungimo patikrinimai, duomenų rinkimo filtrai, veiklos istorija ir tada rizikos įvertinimo ataskaitos. Taip pat bet kurios įtariamos „Windows“ paskyros. Čia yra daug, daug. Žr. Įtariamus SQL prisijungimus, serverio prisijungimus ir vartotojo žemėlapių sudarymą, vartotojo teises, visus vartotojo leidimus, serverio vaidmenis, duomenų bazių vaidmenis, tam tikrą turimą pažeidžiamumą arba mišraus režimo autentifikavimo ataskaitas, svečių įgalinimo duomenų bazes, OS pažeidžiamumą per XPS, išplėstines procedūras, o tada pažeidžiami fiksuoti vaidmenys. Tai yra keletas pranešimų, kuriuos turime.
Dezas Blanchfildas: O jūs minėjote, kad jie yra pakankamai reikšmingi ir jų yra nemažai, ir tai yra logiškas dalykas. Kaip lengva man tai pritaikyti? Jei vykdau ataskaitą ir gaunu šį puikų grafiką, bet noriu išimti keletą kūrinių, kurie man nelabai įdomūs, ir pridėti dar keletą funkcijų, ar yra ataskaitų rašytojas, ar yra kokia nors sąsaja ir įrankis sukonfigūruoti ir pritaikyti ar net potencialiai sukurti kitą ataskaitą nuo nulio?
Ignacio Rodriguezas: Tada mes nurodysime vartotojus naudotis „Microsoft SQL Report Services“, kad tai padarytume. Turime daug klientų, kurie iš tikrųjų priims kai kurias ataskaitas, pritaikys ir suplanuos jas kada panorėję. Kai kurie iš šių vaikinų nori pamatyti šias ataskaitas kas mėnesį arba kas savaitę. Jie perims turimą informaciją, perkels ją į ataskaitų tarnybas ir atliks iš ten. Mes neturime ataskaitų rašytojo, integruoto su mūsų įrankiu, tačiau mes naudojamės Ataskaitų teikimo paslaugų teikiamomis galimybėmis.
Dezas Blanchfieldas: Manau, kad tai yra vienas didžiausių iššūkių, susijusių su šiomis priemonėmis. Galite ten patekti ir rasti daiktų, bet tada jūs turite sugebėti juos ištraukti, pranešti apie tai žmonėms, kurie nebūtinai yra DBA ir sistemų inžinieriai. Mano patirtis rodo įdomų vaidmenį, tai yra, žinote, kad rizikų pareigūnai visada buvo organizacijose ir kad jie daugiausia veikė ir turėjo visai kitokią riziką, kokią matėme neseniai, o dabar turėdami duomenų Kadangi pažeidimai tampa ne tik daiktu, bet ir tikru cunamiu, CRO, kaip jūs žinote, netapo žmogiškųjų išteklių ir atitikties, o taip pat profesinės sveikatos ir saugos požymiais, o dabar kibernetine rizika. Žinote, pažeidimai, įsilaužimai, saugumas - daug daugiau techninių. Ir tai tampa įdomu, nes yra daug CRO, kurie kilę iš MBA, o ne iš techninės kilmės, todėl jiems tenka sukti galvą, koks tai, ką reiškia perėjimas nuo kibernetinės rizikos, pereinant prie CRO ir pan. Tačiau didelis dalykas, kurio jie nori, yra tik pranešimas apie matomumą.
Ar galite pasakyti ką nors apie padėties nustatymą atsižvelgiant į atitiktį? Akivaizdu, kad vienas iš didžiausių privalumų yra tai, kad jūs galite pamatyti, kas vyksta, galite stebėti, mokytis, galite pranešti apie tai, galite į tai reaguoti, netgi galite numatyti kai kuriuos dalykus. Svarbiausias iššūkis yra atitikimas valdymui. Ar yra svarbiausių šio aspekto dalių, sąmoningai siejančių su galiojančiais atitikties reikalavimais ar pramonės atitikimu, pavyzdžiui, PCI, ar panašiu šiuo metu, ar tai yra kažkas, kas patenka į planą? Ar tai, kažkaip, tinka panašiems COBIT, ITIL ir ISO standartams? Jei mes panaudojome šį įrankį, ar tai suteikia mums patikrų ir balansų, kurie tinka toms sistemoms, ar kaip mes jas galime integruoti į tas sistemas? Kur galvoji apie tuos dalykus?
Ignacio Rodriguezas: Taip, yra šablonų, kuriuos turime, kuriuos pristatome kartu su įrankiu. Ir mes vėl einame į tašką, kur mes iš naujo įvertiname savo šablonus, ketiname pridėti ir netrukus jų bus daugiau. FISMA, FINRA, keletas papildomų šablonų, kuriuos turime, ir paprastai mes peržiūrime šablonus ir žiūrime, kas pasikeitė, ką turime pridėti? Ir mes iš tikrųjų norime pasiekti tašką, kuriame, kaip žinote, saugumo reikalavimai šiek tiek pasikeitė, todėl ieškome būdo, kaip tai padaryti praplečiamą skrendant. Į tai žiūrime ateityje.
Bet šiuo metu mes svarstome, ar galbūt sukurti šablonai ir ar pavyks gauti šablonus iš svetainės; juos galite atsisiųsti. Taip elgiamės ir mes - tvarkome juos naudodamiesi šablonais ir ateityje ieškome būdų, kaip tai lengvai išplėsti ir greitai padaryti. Nes kai aš atlikdavau auditą, žinai, viskas pasikeičia. Auditorius ateitų vieną mėnesį, o kitą mėnesį jie norėtų pamatyti ką nors kitokio. Tuomet tai yra vienas iš iššūkių, susijusių su įrankiais, gebėjimas atlikti tuos pakeitimus ir gauti tai, ko jums reikia, ir būtent ten, kur mes norime patekti.
Dezas Blanchfieldas: Manau, kad auditoriaus uždaviniai reguliariai keičiasi atsižvelgiant į tai, kad pasaulis juda greičiau. Kažkada reikalavimas, audito požiūriu, mano patirtimi, būtų tiesiog grynas komercinis atitikimas, o tada jis taptų techniniu atitikimu, o dabar - operatyviniu atitikimu. Ir visi kiti, jūs žinote, kiekvieną dieną pasirodo ir jie ne tik matuoja jus, pavyzdžiui, ISO 9006 ir 9002, bet ir mato įvairius dalykus. Ir aš matau, kad dabar 38 000 serijų tampa dideliu dalyku ir ISO. Aš įsivaizduoju, kad tai bus vis sudėtingesnė. Aš ruošiuosi perduoti Robinui, nes aš praleidau pralaidumą.
Labai ačiū, matau tai ir tikrai ketinu praleisti daugiau laiko su juo susipažinti, nes iš tikrųjų net nesupratau, kad tai iš tikrųjų buvo toks išsamus dalykas. Taigi, ačiū, Ignacio, dabar perduosiu Robinui. Puikus pristatymas, ačiū. Robinas, per tave.
Dr Robin Bloor: Gerai, Iggy, aš tave vadinsiu Iggy, jei viskas gerai. Kas mane žavi, ir aš manau, kad atsižvelgiant į kai kuriuos dalykus, kuriuos Dezas pasakė savo pranešime, ten vyksta labai daug, ką jūs turite pasakyti, kad žmonės tikrai nesirūpina duomenimis. Žinote, ypač kai kalbama apie tai, kad matai tik dalį ledkalnio ir turbūt daug kas vyksta, kad niekas nepraneša. Mane domina jūsų požiūris į tai, kiek klientų, kuriuos jūs žinote, ar potencialių klientų, kuriuos žinote, turi tokio lygio apsaugos lygį, kokį jums siūlote, ne tik tai, bet ir jūsų duomenų prieigos technologija? Turiu omenyje, kas ten tinkamai įrengtas, kad galėtų kovoti su grėsme?
Ignacio Rodriguezas: Kas tinkamai įrengtas? Aš turiu omenyje, kad daugelis klientų, kuriems mes tikrai nesikreipėme į jokį auditą, žinote. Jie jų jau turėjo, bet didelis dalykas yra bandymas neatsilikti ir bandyti išlaikyti bei įsitikinti. Didelė problema, kurią mes matėme, yra - ir net aš turiu, kai vykdau atitiktį, - jei jūs paleistumėte scenarijus, tai darytumėte kartą per ketvirtį, kai ateitų auditoriai ir jūs rastumėte problemą. Na, atspėk, jau yra per vėlu, ten yra auditas, auditoriai yra, jie nori savo ataskaitos, ją pažymi. Ir tada mes gauname pažymį, arba mums buvo pasakyta, ei, mes turime išspręsti šias problemas, ir štai kur tai atsitiks. Tai būtų daugiau iniciatyvaus pobūdžio dalykas, kuriame galite rasti savo riziką ir sumažinti riziką. ko mūsų klientai ieško. Būdas būti šiek tiek iniciatyviam, o ne būti reaktyviam, kai auditoriai ateina ir randa kai kurias prieigas ne ten, kur reikia, kiti žmonės turi administracines privilegijas, ir jie neturėtų jų turėti, tokių dalykų. Štai iš kur mes matėme daug atsiliepimų, kad žmonėms įrankis patinka ir jis naudojamas.
Dr Robin Bloor: Gerai, turiu dar vieną klausimą, kuris tam tikra prasme taip pat yra akivaizdus, bet man tiesiog įdomu. Kiek žmonių iš tikrųjų ateina pas jus dėl įsilaužimo? Kur, jūs žinote, kuriate verslą, ne todėl, kad jie pažvelgė į savo aplinką ir suprato, kad juos reikia saugoti kur kas organizuotiau, bet iš tikrųjų jūs esate ten vien dėl to, kad jau patyrėte kai kuriuos skausmas.
Ignacio Rodriguezas: Savo IDERA laikais aš nemačiau nė vieno. Sąžiningai kalbant apie jus, dauguma mano bendravimo su klientais, su kuriais aš bendrauju, yra daugiau nei žvelgiant į ateitį ir bandant pradėti auditą bei pradedant domėtis privilegijomis, etcetera. Kaip jau sakiau, aš pats, per savo laiką čia nepatyręs, kad turėjome ką nors, apie ką žinau po pažeidimo.
Dr Robin Bloor: O, tai įdomu. Aš manyčiau, kad jų būtų buvę bent keli. Aš iš tikrųjų ne tik į tai žiūriu, bet ir pridedu visus sudėtingumus, dėl kurių įmonės duomenys yra saugūs visais būdais ir kiekvienoje jūsų vykdomoje veikloje. Ar siūlote konsultacijas tiesiogiai, kad padėtumėte žmonėms? Aš turiu omenyje, kad aišku, kad galite nusipirkti įrankių, tačiau, mano patirtimi, dažnai žmonės perka sudėtingas priemones ir naudojasi jomis labai blogai. Ar siūlote konkrečias konsultacijas - ką daryti, kam mokyti ir panašiai?
Ignacio Rodriguezas: Kai kurios paslaugos, kurias galėtumėte suteikti, gali būti teikiamos ir palaikomosioms paslaugoms. Kalbant apie konsultacijas, mes neteikiame jokių konsultavimo paslaugų, bet mokome, kaip žinote, kaip naudotis įrankiais ir panašiais dalykais, kai kurie iš jų būtų sprendžiami palaikymo lygiu. Bet per se mes neturime paslaugų skyriaus, kuris išeitų ir tai darytų.
Dr Robin Bloor: Gerai. Kalbant apie jūsų apimtą duomenų bazę, čia pateiktame pranešime minima tik „Microsoft SQL Server“ - ar jūs darote ir „Oracle“?
Ignacio Rodriguezas: Pirmiausia ketiname plėstis į „Oracle“ sritį su „Compliance Manager“. Pradėsime projektą su tuo, todėl ketinsime išplėsti šį projektą „Oracle“.
Dr Robin Bloor: Ir jūs greičiausiai vyksite kitur?
Ignacio Rodriguezas: Taip, mes turime pažvelgti į planus ir pamatyti, kaip viskas vyksta, tačiau tai yra kai kurie dalykai, kuriuos mes svarstome, tai, ką mums reikia pulti ir kitoms duomenų bazių platformoms.
Dr Robin Bloor: Aš taip pat susidomėjau padalijimu, aš dar nesu turėjęs išankstinio nusistatymo apie tai vaizdo, bet kalbant apie dislokavimą, kiek viso to iš tikrųjų dislokuojama debesyje, ar tai beveik visa prielaida ?
Ignacio Rodriguezas: Visa prielaida. Mes taip pat siekiame išplėsti „Saugų“, kad apimtų „Azure“, taip.
Dr Robin Bloor: Tai buvo „Azure“ klausimas, jūs dar nesate ten, bet ten einate, jis turi daug prasmės.
Ignacio Rodriguezas: Taip, mes ten labai greitai vyksime.
Dr Robin Bloor: Taip, aš gerai suprantu, kad „Microsoft“ yra tai, kad su Azure „Microsoft SQL Server“ yra nepaprastai daug veiksmų. Jei norite, tai tampa pagrindine dalimi to, ką jie siūlo. Kitas klausimas, kuris man rūpi - jis nėra techninis, tai labiau panašus į klausimą, kaip elgtis? Ar į jus kreipiasi IT skyrius, ar į jus kreipiasi pilietinės visuomenės organizacijos, ar tai skirtingos žmonių įvairovės? Kai svarstoma kažkas panašaus, ar tai yra dalis aplinkosaugos aspektų peržiūros? Kokia ten situacija?
Ignacio Rodriguezas: Tai mišinys. Mes turime PVO, daug kartų pardavimo komanda susisiekia ir kalbėsis su DBA. Ir tada DBA vėl buvo pavesta sukurti tam tikrą audito proceso politiką. Tada jie įvertins įrankius ir praneš grandinę ir priims sprendimą, kurią dalį norės nusipirkti. Bet tai mišrūs krepšiai to, kas su mumis susisieks.
Dr Robin Bloor: Gerai. Manau, kad dabar grąžinsiu Erikui, nes mes jau dirbome valandą, bet gali kilti klausytojų klausimų. Erikas?
Ericas Kavanaghas: Taip, tikrai, mes perrašėme daug gero turinio čia. Štai vienas tikrai geras klausimas, kurį perduosiu jums iš vieno iš dalyvių. Jis kalba apie „blockchain“ ir tai, apie ką jūs kalbate, ir klausia, ar yra galimas būdas perkelti tik skaitomą SQL duomenų bazės dalį į kažką panašaus į tai, ką siūlo „blockchain“? Tai savotiškai sunku.
Ignacio Rodriguez: Taip, aš būsiu sąžiningas su jumis, aš neturiu atsakymo į tai.
Erikas Kavanaghas: Aš permesiu tai Robinui. Nežinau, ar girdėjai tą klausimą, Robinai, bet jis tiesiog klausia, ar yra būdas perkelti SQL duomenų bazės tik skaitymo dalį į kažką panašaus į tai, ką siūlo „blockchain“? Ką tu manai apie tai?
Dr Robin Bloor: Panašu, jei ketinate perkelti duomenų bazę, taip pat perkelsite duomenų bazės srautą. Tai atlikti yra sudėtinga. Bet jūs to nepadarysite dėl kitų priežasčių, išskyrus tai, kad duomenys būtų neliečiami. Kadangi „blockchain“ bus pasiekiama lėčiau, taigi, žinote, jei greitis yra jūsų dalykas - ir beveik visada toks yra - tada jūs to nedarysite. Bet jei norėtumėte tam tikriems žmonėms, darantiems tam tikrą dalyką, užšifruotą prieigą prie jo dalies, galėtumėte tai padaryti, tačiau turėtumėte turėti labai gerą priežastį. Daug didesnė tikimybė, kad paliksite jį ten, kur yra, ir pritvirtinkite ten, kur yra.
Dezas Blanchfieldas: Taip, aš sutinku su tuo, jei galiu greitai pasverti svorį. Manau, kad „blockchain“ iššūkis, netgi „blockchain“, kuris viešai egzistuoja, yra naudojamas „bitcoin“ - mums sunku jį išplėsti, tarsi sudaryti keturias operacijas per minutę visiškai paskirstytu būdu. Ne tiek dėl skaičiavimo iššūkio, nors jis ir yra, tačiau pilniems mazgams tiesiog sunku suspėti neatsitraukti nuo duomenų bazių apimties, judančios pirmyn ir atgal, ir nuo kopijuojamo duomenų kiekio, nes tai yra koncertai dabar, ne tik megs.
Bet taip pat manau, kad pagrindinis iššūkis yra tai, kad turite pakeisti programos architektūrą, nes duomenų bazėje daugiausia kalbama apie tai, kad viskas būtų suvesta į centrinę vietą, ir jūs turite tokį kliento-serverio tipo modelį. „Blockchain“ yra atvirkštinė; kalbama apie platinamas kopijas. Tai daugeliu atžvilgių labiau primena „BitTorrent“, tai yra, kad daugybė kopijų yra iš tų pačių duomenų. Ir, jūs žinote, kaip „Cassandra“ ir atmintyje esančios duomenų bazės, kuriose jūs ją platinate, o daugybė serverių gali suteikti jums tų pačių duomenų kopijas iš paskirstyto indekso. Manau, kad dvi pagrindinės dalys, kaip jūs sakėte, „Robin“, yra: viena, jei norite ją apsaugoti ir įsitikinti, kad jos negalima pavogti ar įsilaužti, tai puiku, bet tai dar nebūtinai yra operacijų platforma, o mes Aš tai patyriau įgyvendindamas „bitcoin“ projektą. Bet teoriškai kiti tai išsprendė. Be to, architektūriškai daugybė ten esančių programų tiesiog nežino, kaip pateikti užklausą ir skaityti iš „grandinės“.
Ten reikia nuveikti labai daug. Bet aš manau, kad esminis klausimas ten, jei tik galiu, yra jo perkėlimo į „blockchain“ pagrindimas, manau, kad kyla klausimas: ar galite paimti duomenis iš duomenų bazės ir sudėti juos į kokią nors formą saugiau? Atsakymas yra, jūs galite palikti jį duomenų bazėje ir tiesiog užšifruoti. Dabar yra daugybė technologijų. Tiesiog užšifruokite duomenis ramybėje ar judesyje. Nėra jokios priežasties, kodėl negalite užšifruoti duomenų atmintyje ir duomenų bazėje diske, o tai yra daug paprastesnis iššūkis, nes neturite nei vieno architektūrinio pakeitimo. Neišvengiamai dauguma duomenų bazių platformų iš tikrųjų yra tik funkcija, kuri įgalinama.
Erikas Kavanaghas: Taip, mes turime paskutinį klausimą, kurį perduosiu jums, Iggy. Tai gana gera. Žvelgiant iš SLA ir pajėgumų planavimo, koks mokestis yra jūsų sistemai? Kitaip tariant, bet koks papildomas vėlavimas ar pralaidumas, jei gamybos duomenų bazių sistemoje kažkas nori įtraukti IDERA technologiją?
Ignacio Rodriguezas: Mes iš tikrųjų nematome daug įtakos. Vėlgi, tai produktas be agento ir viskas priklauso nuo, kaip minėjau anksčiau, momentinių nuotraukų. Saugus yra pagrįstas nuotraukomis. Tai išeis iš ten ir iš tikrųjų sukurs darbą, kuris ten išeis pagal jūsų pasirinktus intervalus. Arba jūs norite tai padaryti dar kartą, kas savaitę, kasdien, kas mėnesį. Jis išeis ten ir įvykdys tą darbą, tada surinks duomenis iš egzempliorių. Tada apkrova vėl patenka į valdymo ir rinkimo tarnybas, kai tik pradedate palyginimus ir visa tai, duomenų bazės apkrova tam nedaro jokios įtakos. Dabar visa ši apkrova yra tvarkymo ir rinkimo serveryje, palyginti su visais palyginimais ir visa ataskaita. Vienintelis kartas, kai pataikote į duomenų bazę, visada būna tada, kai ji daro faktinį momentinį vaizdą. Ir mes tikrai neturėjome jokių pranešimų, kad tai tikrai pakenktų gamybos aplinkai.
Ericas Kavanaghas: Taip, tai tikrai gera mintis, kurią jūs čia užsakote. Iš esmės galite tiesiog nustatyti, kiek kada nors fotografuojate, koks yra šis laiko intervalas ir atsižvelgiant į tai, kas tai gali nutikti, bet tai labai intelektuali architektūra. Tai geras daiktas, žmogau. Na, jūs, vaikinai, stenkitės apsaugoti mus nuo visų įsilaužėlių, apie kuriuos kalbėjome per pirmąsias 25 laidos minutes. Ir jie ten, žmonės, nedaro klaidos.
Na, klausykite, mes paskelbsime nuorodą į šią internetinę transliaciją, archyvus, mūsų svetainėje insideanalysis.com. Daiktus galite rasti „SlideShare“, juos galite rasti „YouTube“. Ir žmonės, gera medžiaga. Ačiū už jūsų laiką, Iggy, beje, aš myliu jūsų slapyvardį. Su tuo mes atsisveikinsime, žmonės. Labai ačiū už jūsų laiką ir dėmesį. Mes su tavimi susisieksime kitą kartą. Iki.
