Di Techopedia Staff, 10 maggio 2017
Da asporto: l' host Eric Kavanagh discute della sicurezza e delle autorizzazioni con il Dr. Robin Bloor e Vicky Harp di IDERA.
Al momento non sei collegato. Accedi o registrati per vedere il video.
Eric Kavanagh: OK, signore e signori, ciao e bentornati di nuovo. È un mercoledì, sono quattro orientali e nel mondo della tecnologia aziendale ciò significa che è di nuovo tempo per Hot Technologies! Si Certamente. Presentato ovviamente dal gruppo Bloor, realizzato dai nostri amici di Techopedia. L'argomento di oggi è davvero interessante: "Meglio chiedere l'autorizzazione: migliori pratiche per la privacy e la sicurezza". Esatto, è un argomento piuttosto duro, molte persone ne parlano, ma è piuttosto serio, e sta diventando sempre più serio ogni giorno, francamente. È un problema grave sotto molti aspetti per molte organizzazioni. Ne parleremo e parleremo di cosa puoi fare per proteggere la tua organizzazione dai personaggi nefasti che sembrano essere ovunque in questi giorni.
Quindi il presentatore di oggi è Vicky Harp che chiama IDERA. Puoi vedere il software IDERA su LinkedIn - Adoro le nuove funzionalità su LinkedIn. Anche se posso dire che stanno tirando alcune stringhe in certi modi, non ti consentono di accedere alle persone, provano a farti acquistare quelle iscrizioni premium. Ecco fatto, abbiamo il nostro Robin Bloor, che sta componendo il numero: oggi è nella zona di San Diego. E il tuo veramente come moderatore / analista.
Allora, di cosa stiamo parlando? Violazione dei dati. Ho appena preso queste informazioni da IdentityForce.com, è già andato alle gare. Siamo a maggio, ovviamente, quest'anno, e ci sono solo un sacco di violazioni dei dati, ce ne sono alcune davvero enormi, ovviamente, da parte di Yahoo! era grande, e ovviamente abbiamo sentito parlare del fatto che il governo degli Stati Uniti è stato violato. Abbiamo appena fatto hackerare le elezioni francesi.
Questo sta accadendo dappertutto, continua e non si fermerà, quindi è una realtà, è la nuova realtà, come si suol dire. Dobbiamo davvero pensare a come rafforzare la sicurezza dei nostri sistemi e dei nostri dati. Ed è un processo in corso, quindi è giusto in tempo per pensare a tutte le diverse questioni che entrano in gioco. Questo è solo un elenco parziale, ma ti dà una prospettiva su quanto sia precaria la situazione in questi giorni con i sistemi aziendali. E prima di questo show, nella nostra battuta pre-show stavamo parlando di ransomware che ha colpito qualcuno che conosco, che è un'esperienza molto spiacevole, quando qualcuno prende il controllo del tuo iPhone e ti chiede soldi per riaccedere al tuo telefono. Ma succede, succede ai computer, succede ai sistemi, ho visto solo l'altro giorno, sta succedendo ai miliardari con i loro yacht. Immagina di andare sul tuo yacht un giorno, cercando di impressionare tutti i tuoi amici e non puoi nemmeno accenderlo, perché alcuni ladri hanno rubato l'accesso ai comandi, al pannello di controllo. Ho appena detto l'altro giorno in un'intervista a qualcuno, avere sempre l'override manuale. Ad esempio, non sono un grande fan di tutte le auto connesse - anche le auto possono essere hackerate. Tutto ciò che è connesso a Internet o connesso a una rete che può essere penetrato può essere violato, qualsiasi cosa.
Quindi, qui ci sono solo alcuni elementi da considerare in termini di inquadramento del contesto di quanto sia grave la situazione. I sistemi basati sul web sono ovunque in questi giorni, continuano a proliferare. Quante persone acquistano cose online? Al giorno d'oggi è solo attraverso il tetto, ecco perché Amazon è una forza così potente in questi giorni. È perché così tante persone acquistano cose online.
Quindi, ricordi di quando, 15 anni fa, le persone erano piuttosto nervose nel mettere la loro carta di credito in un modulo web per ottenere le loro informazioni, e allora l'argomento era: “Bene, se passi la tua carta di credito a un cameriere a un ristorante, quindi è la stessa cosa. ”Quindi, la nostra risposta è sì, è la stessa cosa, ci sono tutti questi punti di controllo, o punti di accesso, stessa cosa, lato diverso della stessa medaglia, dove le persone possono essere messe in pericolo, dove qualcuno può prendere i tuoi soldi o qualcuno può rubarti.
Quindi l'IoT ovviamente espande il panorama delle minacce - amo quella parola - con ordini di grandezza. Voglio dire, pensaci - con tutti questi nuovi dispositivi ovunque, se qualcuno può hackerare un sistema che li controlla, può trasformare tutti quei robot contro di te e causare molti e molti problemi, quindi è un problema molto serio. Al giorno d'oggi abbiamo un'economia globale, che espande ancora di più il panorama delle minacce e, inoltre, ci sono persone in altri paesi che possono accedere al Web nello stesso modo in cui io e te, e se non sai come parlare russo, o un numero qualsiasi di altre lingue, avrai difficoltà a capire cosa succede quando entrano nel tuo sistema. Quindi abbiamo progressi nella rete e nella virtualizzazione, bene.
Ma ho sul lato destro di questa immagine qui, una spada e il motivo per cui ce l'ho lì è perché ogni spada taglia in entrambi i modi. È una spada a doppio taglio, come si suol dire, ed è un vecchio cliché, ma significa che la spada che ho può farti del male o può farmi del male. Può tornare su di me, o rimbalzando indietro, o da qualcuno che lo prende. In realtà è una delle favole di Esopo: spesso diamo ai nostri nemici gli strumenti della nostra stessa distruzione. È davvero una trama avvincente e ha a che fare con qualcuno che ha usato un arco e una freccia e ha abbattuto un uccello e l'uccello ha visto, mentre la freccia stava salendo, quella piuma di uno dei suoi amici gallinacei era sul bordo della freccia, sul retro della freccia per guidarla, e pensò tra sé: "Oh uomo, eccolo, le mie piume, la mia famiglia verranno usate per abbattermi". Succede sempre, senti le statistiche su di te hanno una pistola in casa, il ladro può prendere la pistola. Bene, questo è tutto vero. Quindi, lo sto lanciando là fuori come un'analogia solo per considerare, tutti questi diversi sviluppi hanno lati positivi e lati negativi.
E parlando di container per quelli di voi che seguono davvero l'avanguardia dell'informatica aziendale, i container sono l'ultima novità, l'ultimo modo di fornire funzionalità, è davvero il connubio tra virtualizzazione nell'architettura orientata ai servizi, almeno per i microservizi ed è roba molto interessante. Puoi certamente offuscare i tuoi protocolli di sicurezza, i tuoi protocolli applicativi e i tuoi dati e così via, usando i contenitori, e questo ti dà un anticipo per un periodo di tempo, ma prima o poi, i cattivi lo capiranno, e allora sarà ancora più difficile impedire loro di sfruttare i tuoi sistemi. Quindi, c'è quello, c'è una forza lavoro globale che complica la rete e la sicurezza e da dove le persone accedono.
Abbiamo le guerre del browser che continuano rapidamente e richiedono un lavoro costante per l'aggiornamento e rimanere al passo con le cose. Continuiamo a conoscere i vecchi browser Microsoft Explorer, come sono stati hackerati e disponibili lì. Quindi, in questi giorni ci sono più soldi da fare per l'hacking, c'è un intero settore, questo è qualcosa che il mio partner, il dottor Bloor, mi ha insegnato otto anni fa - mi chiedevo perché ne stiamo vedendo così tanto, e mi ha ricordato io, è un intero settore coinvolto nell'hacking. E in questo senso, la narrativa, che è una delle mie parole meno amate sulla sicurezza, è davvero molto disonesta, perché la narrazione ti mostra in tutti questi video e ogni tipo di copertura di notizie, alcuni hacking mostrano un ragazzo in una felpa con cappuccio, seduto nel suo seminterrato in una stanza buia e illuminata, non è affatto così. Questo non è affatto rappresentativo della realtà. Sono hacker solitari, ci sono pochissimi hacker solitari, sono là fuori, stanno causando qualche problema - non causeranno un grosso problema, ma possono fare un sacco di soldi. Quindi, ciò che accade è che gli hacker entrano, penetrano nel tuo sistema e poi vendono l'accesso a qualcun altro, che si gira e lo vende a qualcun altro, e poi da qualche parte lungo la linea, qualcuno sfrutta quell'hacking e si avvantaggia di te. E ci sono innumerevoli modi per sfruttare i dati rubati.
Mi sono persino meravigliato di come abbiamo affascinato questo concetto. Vedi questo termine ovunque, "hacking della crescita" come se fosse una buona cosa. L'hacking della crescita, sai, l'hacking può essere una buona cosa, se stai cercando di lavorare per i bravi ragazzi per parlare e hackerare un sistema, come se continuassimo a parlare con la Corea del Nord e i loro lanci di missili, potenzialmente essere hackerati - quello è buono. Ma l'hacking è spesso una brutta cosa. Quindi ora lo stiamo affascinando, quasi come Robin Hood, quando abbiamo incantato Robin Hood. E poi c'è la società senza contanti, qualcosa che francamente riguarda le mie luci del giorno. Tutto ciò che penso ogni volta che sento dire: “No, per favore non farlo! Per favore, non farlo! ”Non voglio che tutti i nostri soldi scompaiano. Quindi, questi sono solo alcuni problemi da considerare e, ancora una volta, è un gioco gatto e topo; non si fermerà mai, ci sarà sempre la necessità di protocolli di sicurezza e di avanzare protocolli di sicurezza. E per monitorare i tuoi sistemi anche per sapere e percepire chi è là fuori, con la consapevolezza che potrebbe anche essere un lavoro interno. Quindi, è un problema in corso, sarà un problema in corso per un bel po 'di tempo - non commettere errori al riguardo.
E con ciò, lo consegnerò al Dr. Bloor, che può condividere con noi alcuni pensieri sulla protezione dei database. Robin, portalo via.
Robin Bloor: OK, uno degli hack interessanti, penso che sia successo circa cinque anni fa, ma fondamentalmente è stata una società di elaborazione delle carte che è stata hackerata. E un gran numero di dettagli della carta sono stati rubati. Ma la cosa interessante al riguardo, per me, era il fatto che era il database di test in cui erano entrati, ed era probabilmente il caso che avessero molte difficoltà ad accedere al database reale e reale delle schede di elaborazione. Ma sai com'è con gli sviluppatori, prendono solo un pezzo di database, lo inseriscono. Ci sarebbe dovuto essere molta più vigilanza per fermarlo. Ma ci sono molte storie interessanti di hacking, che fa in una sola area, fa un argomento molto interessante.
Quindi, in un modo o nell'altro, ripeterò alcune delle cose che Eric ha detto, ma è facile pensare alla sicurezza dei dati come un obiettivo statico; è più facile solo perché è più facile analizzare le situazioni statiche e poi pensare a mettere le difese, le difese lì, ma non lo è. È un bersaglio mobile e questa è una delle cose che in qualche modo definisce l'intero spazio di sicurezza. È solo nel modo in cui tutta la tecnologia si evolve, anche la tecnologia dei cattivi si evolve. Quindi, una breve panoramica: il furto di dati non è una novità, in realtà lo spionaggio dei dati è un furto di dati, che è in atto da migliaia di anni, credo.
Il più grande furto di dati in quei termini fu che gli inglesi infrangevano i codici tedeschi e gli americani infrangevano i codici giapponesi, e praticamente in entrambi i casi abbreviarono considerevolmente la guerra. E stavano solo rubando dati utili e preziosi, ovviamente era molto intelligente, ma sai, quello che sta succedendo in questo momento è molto intelligente in molti modi. Il furto informatico è nato con Internet ed è esploso intorno al 2005. Sono andato a vedere tutte le statistiche e quando hai iniziato a diventare davvero serio e, in un modo o nell'altro, numeri notevolmente alti a partire dal 2005, è peggiorato poi. Molti giocatori, i governi sono coinvolti, le imprese sono coinvolte, i gruppi di hacker e gli individui.
Sono andato a Mosca - dovevano essere passati circa cinque anni - e in realtà ho trascorso molto tempo con un ragazzo del Regno Unito, che sta cercando l'intero spazio di hacking. E ha detto che - e non ho idea se questo sia vero, ho solo la sua parola, ma sembra molto probabile - che in Russia ci sia qualcosa chiamato Business Network, che è un gruppo di hacker che sono tutti sai, sono usciti dalle rovine del KGB. E si vendono, non solo, voglio dire, sono sicuro che il governo russo li usa, ma si vendono a chiunque, e si diceva, o disse che si diceva, che vari governi stranieri stavano usando la rete commerciale per negazione plausibile. Questi ragazzi avevano reti di milioni di PC compromessi da cui potevano attaccare. E avevano tutti gli strumenti che puoi immaginare.
Quindi, la tecnologia di attacco e difesa si è evoluta. E le aziende hanno il dovere di prendersi cura dei propri dati, siano essi proprietari o meno. E questo sta iniziando a diventare molto più chiaro in termini di vari regolamenti che sono già in vigore o entrano in vigore. E probabilmente migliorerà, qualcuno è in un modo o nell'altro, qualcuno deve sostenere i costi dell'hacking in modo tale da essere incentivato a chiudere la possibilità. Questa è una delle cose che suppongo sia necessaria. Per quanto riguarda gli hacker, possono trovarsi ovunque. Soprattutto all'interno della tua organizzazione - moltissimi degli ingegnosi hack di cui ho sentito parlare riguardavano qualcuno che apriva la porta. Sai, la persona, è come la situazione di un rapinatore di banche, quasi sempre solevano dire che nelle brave rapine in banca c'è un insider. Ma l'insider deve solo fornire informazioni, quindi è difficile ottenerle, sapere chi fosse, e così via e così via.
E potrebbe essere difficile consegnarli alla giustizia, perché se sei stato violato da un gruppo di persone in Moldavia, anche se sai che si trattava di quel gruppo, come farai a far accadere qualche tipo di evento legale intorno a loro? È un po ', da una giurisdizione all'altra, è solo, non c'è un ottimo set di accordi internazionali per fissare gli hacker. Condividono tecnologia e informazioni; molto è open source. Se vuoi creare il tuo virus, ci sono un sacco di kit di virus là fuori - completamente open source. E hanno risorse considerevoli, ce n'è stato un numero che ha avuto botnet in oltre un milione di dispositivi compromessi nei data center e sui PC e così via. Alcune sono attività redditizie che vanno avanti da molto tempo, e poi ci sono gruppi governativi, come ho già detto. È improbabile, come diceva Eric, è improbabile che questo fenomeno finirà mai.
Quindi, questo è un trucco interessante che ho pensato di menzionarlo, perché era un trucco abbastanza recente; è successo l'anno scorso. C'era una vulnerabilità nel contratto DAO associato alla criptovaluta Etherium. Ed è stato discusso su un forum e nel giro di un giorno è stato violato il contratto DAO, usando proprio quella vulnerabilità. 50 milioni di dollari in etere sono stati sottratti, causando un'immediata crisi nel progetto DAO e chiudendolo. E l'Etherium ha effettivamente combattuto per cercare di impedire all'hacker di accedere ai soldi, e in qualche modo hanno ridotto la sua presa. Ma si credeva anche - non certo per certo - che l'hacker in realtà abbreviasse il prezzo dell'etere prima del suo attacco, sapendo che il prezzo dell'etere sarebbe crollato, e quindi realizzato un profitto in un altro modo.
E questo è un altro stratagemma, se vuoi, che gli hacker possono usare. Se possono danneggiare il prezzo delle azioni e sanno che lo faranno, allora è solo necessario per loro abbreviare il prezzo delle azioni e fare l'hacking, quindi è un po ', questi ragazzi sono intelligenti, lo sai. E il prezzo è il vero furto di denaro, interruzione e riscatto, compresi gli investimenti, in cui si interrompe e si mette in cortocircuito lo stock, il sabotaggio, il furto di identità, ogni sorta di truffe, solo per motivi di pubblicità. E tende ad essere spionaggio politico o, ovviamente, delle informazioni e ci sono persino persone che si guadagnano da vivere con i doni di bug che puoi ottenere cercando di hackerare Google, Apple, Facebook - persino il Pentagono, in realtà dà taglie di bug. E fai solo hack; se ha successo, allora vai e richiedi il tuo premio, e nessun danno è fatto, quindi è una buona cosa, lo sai.
Potrei anche menzionare la conformità e la regolamentazione. Oltre alle iniziative settoriali, ci sono un sacco di regolamenti ufficiali: HIPAA, SOX, FISMA, FERPA e GLBA sono tutte normative statunitensi. Ci sono standard; PCI-DSS è diventato uno standard abbastanza generale. E poi c'è ISO 17799 sulla proprietà dei dati. Le normative nazionali differiscono da paese a paese, anche in Europa. E attualmente il GDPR - i dati globali, che cosa rappresenta? Penso che il regolamento globale sulla protezione dei dati lo rappresenti, ma che entrerà in vigore il prossimo anno. E la cosa interessante è che si applica in tutto il mondo. Se hai 5.000 o più clienti, su cui hai informazioni personali e vivono in Europa, l'Europa ti assumerà effettivamente il compito, indipendentemente dal fatto che la tua società abbia la sede principale o dove operi. E le penalità, la penalità massima è il quattro percento delle entrate annue, il che è semplicemente enorme, quindi sarà una svolta interessante per il mondo, quando entrerà in vigore.
Le cose a cui pensare, beh, le vulnerabilità di DBMS, la maggior parte dei dati preziosi si trova in realtà nei database. È prezioso perché abbiamo dedicato moltissimo tempo a renderlo disponibile e a organizzarlo bene e questo lo rende più vulnerabile, se in realtà non applichi i giusti titoli DBMS. Ovviamente, se hai intenzione di pianificare cose come queste, devi identificare quali sono i dati vulnerabili all'interno dell'organizzazione, tenendo presente che i dati possono essere vulnerabili per diversi motivi. Possono essere dati dei clienti, ma potrebbero anche essere documenti interni che sarebbero utili ai fini dello spionaggio e così via. La politica di sicurezza, in particolare per quanto riguarda la sicurezza dell'accesso - che negli ultimi tempi è stata molto debole a mio avviso nelle nuove cose open source - la crittografia sta diventando più utilizzata perché è piuttosto solida.
Il costo di una violazione della sicurezza, la maggior parte delle persone non lo sapeva, ma se si osserva effettivamente cosa è successo con le organizzazioni che hanno subito violazioni della sicurezza, si scopre che il costo di una violazione della sicurezza è spesso molto più alto di quanto si pensi che sarebbe . E poi l'altra cosa a cui pensare è la superficie di attacco, perché qualsiasi pezzo di software ovunque, in esecuzione con le tue organizzazioni, presenta una superficie di attacco. Lo stesso vale per tutti i dispositivi, così come i dati, indipendentemente da come sono memorizzati. È tutto, la superficie di attacco sta crescendo con l'internet delle cose, la superficie di attacco probabilmente raddoppierà.
Quindi, infine, DBA e sicurezza dei dati. La sicurezza dei dati di solito fa parte del ruolo del DBA. Ma è anche collaborativo. E deve essere soggetto alla politica aziendale, altrimenti probabilmente non verrà implementato bene. Detto questo, penso di poter passare la palla.
Eric Kavanagh: Va bene, lasciami dare le chiavi a Vicky. E puoi condividere il tuo schermo o passare a queste diapositive, dipende da te, portalo via.
Vicky Harp: No, inizierò con queste diapositive, grazie mille. Quindi, sì, volevo solo prendere un momento veloce e presentarmi. Sono Vicky Harp. Sono un manager, gestione del prodotto per i prodotti SQL del software IDERA e per quelli di voi che potrebbero non avere familiarità con noi, IDERA ha una serie di linee di prodotti, ma sto parlando qui per il lato SQL Server. Quindi, eseguiamo il monitoraggio delle prestazioni, la conformità della sicurezza, il backup, gli strumenti di amministrazione - ed è solo una specie di elenco di essi. E, naturalmente, ciò di cui sono qui per parlare oggi è sicurezza e conformità.
La maggior parte di ciò di cui voglio parlare oggi non è necessariamente i nostri prodotti, anche se ho intenzione di mostrarne alcuni esempi in seguito. Volevo parlarti di più sulla sicurezza del database, alcune delle minacce nel mondo della sicurezza del database in questo momento, alcune cose a cui pensare e alcune delle idee introduttive di ciò che devi guardare per proteggere il tuo SQL Database dei server e anche per assicurarsi che siano conformi al quadro normativo al quale potresti essere soggetto, come menzionato. Esistono molte normative diverse; vanno in settori diversi, in luoghi diversi in tutto il mondo, e queste sono cose a cui pensare.
Quindi, vorrei prendere un momento e parlare dello stato delle violazioni dei dati - e non ripetere troppo di ciò che è già stato discusso qui - Stavo guardando questo studio di ricerca sulla sicurezza di Intel di recente e attraverso il loro - penso Circa 1500 organizzazioni con cui hanno parlato - hanno avuto in media sei violazioni della sicurezza, in termini di violazioni della perdita di dati, e il 68 percento di quelle ha richiesto la divulgazione in un certo senso, quindi hanno influenzato il prezzo delle azioni, o hanno dovuto fare credito monitoraggio per i loro clienti o dipendenti, ecc.
Alcune altre interessanti statistiche sono gli attori interni che erano responsabili del 43 percento di quelli. Quindi, molte persone pensano molto agli hacker e a questo tipo di losche organizzazioni quasi governative o alla criminalità organizzata, ecc., Ma gli attori interni stanno ancora agendo direttamente contro i loro datori di lavoro, in una percentuale piuttosto elevata dei casi. E questi a volte sono più difficili da proteggere, perché le persone potrebbero avere motivi legittimi per avere accesso a tali dati. Circa la metà, il 43 percento era in qualche modo una perdita accidentale. Quindi, per esempio, nel caso in cui qualcuno portasse i dati a casa, e poi perdesse traccia di quei dati, il che mi porta a questo terzo punto, che è che le cose sui media fisici erano ancora coinvolte del 40 percento delle violazioni. Quindi, quelle sono chiavi USB, sono laptop delle persone, sono veri e propri supporti che sono stati masterizzati su dischi fisici e portati fuori dall'edificio.
Se ci pensi, hai uno sviluppatore che ha una copia di sviluppo del tuo database di produzione sul proprio laptop? Poi salgono su un aereo e scendono dall'aereo, prendono il bagaglio registrato e il loro laptop viene rubato. Ora hai avuto una violazione dei dati. Potresti non necessariamente pensare che è per questo che è stato preso quel laptop, potrebbe non apparire mai allo stato brado. Ma è ancora qualcosa che conta come una violazione, richiederà la divulgazione, avrai tutti gli effetti a valle della perdita di quei dati, proprio a causa della perdita di quel supporto fisico.
E l'altra cosa interessante è che molte persone pensano ai dati di credito e alle informazioni sulla carta di credito come le più preziose, ma non è più così. Questi dati sono preziosi, i numeri delle carte di credito sono utili, ma onestamente, questi numeri vengono cambiati molto rapidamente, mentre i dati personali delle persone non vengono modificati molto rapidamente. Qualcosa che il recente articolo di notizie, relativamente recente, VTech, un produttore di giocattoli aveva questi giocattoli progettati per i bambini. E le persone avrebbero, avrebbero avuto i nomi dei loro figli, avrebbero avuto informazioni su dove vivono i bambini, avevano i nomi dei loro genitori, avevano fotografie dei bambini. Niente di tutto ciò era crittografato, perché non era considerato importante. Ma le loro password erano crittografate. Bene, quando inevitabilmente si è verificata la violazione, stai dicendo: “OK, quindi ho un elenco di nomi di bambini, nomi dei loro genitori, dove vivono - tutte queste informazioni sono là fuori e stai pensando che la password è stata la parte più preziosa? ”Non lo era; le persone non possono modificare quegli aspetti relativi ai loro dati personali, al loro indirizzo, ecc. E quindi le informazioni sono in realtà molto preziose e devono essere protette.
Quindi, volevo parlare di alcune delle cose che stanno succedendo, per contribuire al modo in cui si stanno verificando le violazioni dei dati in questo momento. Uno dei grandi hotspot, gli spazi in questo momento è il social engineering. Quindi le persone lo chiamano phishing, c'è imitazione, ecc., Dove le persone hanno accesso ai dati, spesso attraverso attori interni, semplicemente convincendoli che dovrebbero avere accesso ad essi. Quindi, proprio l'altro giorno, abbiamo avuto questo worm Google Docs che stava girando. E cosa sarebbe successo - e in realtà ne ho ricevuto una copia, anche se fortunatamente non ho cliccato su di esso - stavi ricevendo email da un collega, dicendo: "Ecco un link di Google Doc; devi fare clic su questo per visualizzare ciò che ho appena condiviso con te. "Bene, in un'organizzazione che utilizza Google Documenti, è molto convenzionale, riceverai dozzine di tali richieste al giorno. Se fai clic su di esso, ti chiederebbe il permesso di accedere a questo documento e forse diresti: “Ehi, sembra un po 'strano, ma sai, sembra anche legittimo, quindi andrò avanti e fai clic su di esso "e, non appena lo hai fatto, stavi dando a questa terza parte l'accesso a tutti i tuoi documenti Google, e così, creando questo link per questo attore esterno per avere accesso a tutti i tuoi documenti su Google Drive. Questo si diffondeva dappertutto. Colpì centinaia di migliaia di persone nel giro di poche ore. E questo è stato fondamentalmente un attacco di phishing che Google stesso ha dovuto chiudere, perché è stato eseguito molto bene. Le persone si sono innamorate di questo.
Cito qui la violazione di SnapChat HR. Era solo una questione di qualcuno che scriveva per e-mail, impersonando che fossero l'amministratore delegato, che scrivevano al dipartimento risorse umane dicendo: "Ho bisogno che tu mi invii questo foglio di calcolo". E loro ci credettero e misero un foglio di calcolo con 700 impiegati diversi "le informazioni sulla compensazione, i loro indirizzi di casa, ecc., le hanno spedite via e-mail a quest'altra parte, in realtà non era l'amministratore delegato. Ora, i dati erano disponibili e tutte le informazioni personali e private dei loro dipendenti erano là fuori e disponibili per essere sfruttate. Quindi, il social engineering è qualcosa che menziono nel mondo dei database, perché è qualcosa su cui puoi provare a difenderti attraverso l'istruzione, ma devi anche solo ricordare che ovunque tu abbia una persona che interagisce con la tua tecnologia, e se fai affidamento sul loro buon senso per prevenire un'interruzione, ne stai chiedendo molte.
Le persone commettono errori, le persone fanno clic su cose che non dovrebbero avere, le persone si innamorano di astuzia. E puoi sforzarti molto per proteggerli da esso, ma non è abbastanza forte, devi cercare di limitare la capacità delle persone di fornire accidentalmente queste informazioni nei tuoi sistemi di database. L'altra cosa che volevo menzionare è che ovviamente stiamo parlando molto di ransomware, botnet, virus - tutti questi diversi modi automatizzati. E quindi ciò che penso sia importante capire sul ransomware è che cambia davvero il modello di profitto per gli aggressori. Nel caso tu stia parlando di una violazione, devono, in un certo senso, estrarre i dati e averli per loro stessi e farne uso. E se i tuoi dati sono oscuri, se sono crittografati, se sono specifici del settore, forse non hanno alcun valore.
Fino a questo punto, le persone potrebbero aver pensato che fosse una protezione per loro, "Non ho bisogno di proteggermi da una violazione dei dati, perché se entreranno nel mio sistema, tutto ciò che avranno è, sono uno studio fotografico, ho un elenco di chi verrà in quali giorni per il prossimo anno. A chi importa? ”Bene, risulta che la risposta è che ti interessa; stai memorizzando tali informazioni, sono le tue informazioni business-critical. Quindi, usando il ransomware un utente malintenzionato dirà: "Beh, nessun altro mi darà soldi per questo, ma lo farai". Quindi, sfruttano il fatto che non devono nemmeno ottenere i dati, non Devono anche avere una violazione, hanno solo bisogno di usare strumenti di sicurezza offensivamente contro di te. Entrano nel tuo database, ne crittografano il contenuto e poi dicono: "OK, abbiamo la password, e dovrai pagarci $ 5.000 per ottenere quella password, altrimenti non hai questi dati più. "
E le persone pagano; si trovano a doverlo fare. MongoDB ha avuto un grosso problema un paio di mesi fa, suppongo che fosse a gennaio, dove il ransomware ha colpito, penso, oltre un milione di database MongoDB che hanno in pubblico su Internet, sulla base di alcune impostazioni predefinite. E ciò che ha reso ancora peggio è che le persone stavano pagando e quindi altre organizzazioni sarebbero entrate e avrebbero ricodificato o affermato di essere state quelle che l'avevano crittografato in origine, quindi quando hai pagato i tuoi soldi, e penso che in quel caso lo fossero chiedendo qualcosa come $ 500, la gente direbbe: “OK, pagherei di più per pagare un ricercatore per entrare qui per aiutarmi a capire cosa è andato storto. Pagherò solo i $ 500 ". E non lo stavano nemmeno pagando all'attore giusto, quindi si sarebbero accatastati con dieci diverse organizzazioni che dicevano loro:" Abbiamo la password "o" Abbiamo hai la possibilità di sbloccare i tuoi dati riscattati. ”E dovresti pagarli tutti per farli funzionare.
Ci sono stati anche casi in cui gli autori di ransomware avevano dei bug, voglio dire, non stiamo parlando di una situazione perfettamente al di sopra dei limiti, quindi anche una volta che è stato attaccato, anche dopo aver pagato, non c'è garanzia che tu sia recuperando tutti i tuoi dati, alcuni di questi sono stati complicati anche dagli strumenti InfoSec armati. Quindi gli Shadow Brokers sono un gruppo che ha fatto trapelare strumenti provenienti dalla NSA. Erano strumenti progettati da entità governative ai fini dello spionaggio e in realtà funzionavano contro altre entità governative. Alcuni di questi sono stati attacchi zero-day di alto profilo, che in sostanza fanno cadere da parte i protocolli di sicurezza noti. E quindi c'era una grande vulnerabilità nel protocollo SMB, ad esempio, in uno dei recenti dump di Shadow Brokers.
E così questi strumenti che vengono fuori qui, nel giro di un paio d'ore, possono davvero cambiare il gioco, in termini di superficie di attacco. Quindi, ogni volta che ci penso, è qualcosa che a livello organizzativo, la sicurezza InfoSec è la sua funzione, deve essere presa sul serio. Ogni volta che parliamo di database, posso eliminarlo un po ', non devi necessariamente avere come amministratore del database la piena comprensione di ciò che sta succedendo con gli Shadow Brokers questa settimana, ma devi essere consapevole che tutto di questi si stanno spostando, ci sono cose in corso, e quindi il grado in cui mantieni il tuo dominio stretto e sicuro, ti aiuterà davvero nel caso in cui le cose vengano strappate da sotto di te.
Quindi, ho voluto prendere un momento qui, prima di passare a parlare specificamente di SQL Server, per avere effettivamente un po 'di discussione aperta con i nostri panelisti su alcune delle considerazioni sulla sicurezza del database. Quindi, sono arrivato a questo punto, alcune delle cose che non abbiamo menzionato, volevo parlare dell'iniezione SQL come vettore. Quindi, si tratta di SQL injection, ovviamente è il modo in cui le persone inseriscono i comandi in un sistema di database, in modo da deformare gli input.
Eric Kavanagh: Sì, in realtà ho incontrato un ragazzo - penso che fosse alla base dell'Aeronautica militare Andrews - circa cinque anni fa, un consulente che stavo parlando con lui nel corridoio e stavamo solo condividendo storie di guerra - nessun gioco di parole inteso - e disse che era stato portato da qualcuno per consultarsi con un membro dell'esercito di livello abbastanza alto e il ragazzo gli chiese: "Bene, come facciamo a sapere che sei bravo in quello che fai?" E questo e quello . E mentre stava parlando con loro che usava sul suo computer, era entrato nella rete, aveva usato l'iniezione SQL per entrare nel registro e-mail per quella base e per quelle persone. E ha trovato l'e-mail della persona con cui stava parlando e gli ha appena mostrato la sua e-mail sulla sua macchina! E il ragazzo era tipo "Come hai fatto?" Disse: "Beh, ho usato l'iniezione SQL".
Quindi, è stato solo cinque anni fa, ed era in una base dell'Aeronautica Militare, giusto? Quindi, voglio dire, in termini di contesto, questa cosa è ancora molto reale e potrebbe essere usata con effetti davvero terrificanti. Voglio dire, sarei curioso di sapere di tutte le storie di guerra che Robin ha sull'argomento, ma tutte queste tecniche sono ancora valide. Sono ancora usati in molti casi, ed è una questione di educare te stesso, giusto?
Robin Bloor: Beh, sì. Sì, è possibile difendersi dall'iniezione SQL eseguendo il lavoro. È facile capire perché quando l'idea è stata inventata e proliferata per la prima volta, è facile capire perché abbia avuto un tale dannato successo, perché potresti semplicemente incollarlo in un campo di input in una pagina Web e ottenerlo per restituire i dati per te, o ottenere per eliminare i dati nel database o qualsiasi altra cosa - potresti semplicemente iniettare codice SQL per farlo. Ma è la cosa che mi interessa, è che lo sai, dovresti fare un po 'di analisi, di ogni pezzo di dati che è stato inserito, ma è del tutto possibile individuare che qualcuno sta tentando di farlo. Ed è davvero, penso che sia davvero, perché le persone continuano a cavarsela, voglio dire, è davvero strano che non ci sia stato un modo semplice per combatterlo. Sai, che tutti potrebbero facilmente usare, voglio dire, per quanto ne so, non c'è stato, Vicky, vero?
Vicky Harp: Beh, in realtà alcune delle soluzioni di ostaggio, come SQL Azure, penso che abbiano dei metodi di rilevamento piuttosto buoni basati sull'apprendimento automatico. Questo è probabilmente ciò che vedremo in futuro, è qualcosa che sta cercando di trovare la taglia unica. Penso che la risposta sia stata che non esiste una taglia adatta a tutti, ma abbiamo macchine che possono imparare quale sia la tua taglia e assicurarci che ti stia adattando, giusto? E quindi, se hai un falso positivo, è perché stai effettivamente facendo qualcosa di insolito, non è perché hai dovuto attraversare e identificare scrupolosamente tutto ciò che l'applicazione potrebbe mai fare.
Penso che uno dei motivi per cui è ancora così prolifico sia che le persone facciano ancora affidamento su applicazioni di terze parti, e le applicazioni degli ISV e quelle vengono macchiate nel tempo. Quindi, parli di un'organizzazione che ha acquistato un'applicazione di ingegneria che è stata scritta nel 2001. E non l'hanno aggiornata, perché da allora non ci sono stati grandi cambiamenti funzionali, e l'autore originale era un po ', non erano un ingegnere, non erano esperti di sicurezza del database, non facevano le cose nel modo giusto nell'applicazione e finiscono per essere un vettore. La mia comprensione è che - penso che sia stata la violazione dei dati Target, quella davvero grande - il vettore di attacco era stato tramite uno dei loro fornitori di aria condizionata, giusto? Quindi, il problema con quelle terze parti, puoi, se sei il proprietario del tuo negozio di sviluppo, potresti avere alcune di queste regole in atto, facendolo genericamente ogni volta. Come organizzazione potresti avere centinaia o addirittura migliaia di applicazioni in esecuzione, con tutti i diversi profili. Penso che sia qui che l'apprendimento automatico arriverà e inizierà ad aiutarci molto.
La mia storia di guerra era una vita educativa. Ho potuto vedere un attacco di iniezione SQL e qualcosa che non mi era mai venuto in mente è l'uso di SQL leggibile. Faccio queste cose chiamate biglietti di auguri P SQL offuscati; Mi piace fare, fai sembrare questo SQL il più confuso possibile. C'è un contest offuscato di codice C ++ che va avanti da decenni ormai, ed è un po 'la stessa idea. Quindi, quello che hai effettivamente ottenuto è stato l'iniezione SQL che si trovava in un campo stringa aperto, ha chiuso la stringa, ha inserito il punto e virgola e quindi ha messo il comando exec che aveva una serie di numeri e quindi stava fondamentalmente usando il comando di fusione per lanciare quei numeri in binario e poi lanciare quelli, a loro volta, in valori di carattere e quindi eseguirlo. Quindi, non è che tu abbia visto qualcosa che diceva, "Elimina avvio dalla tabella di produzione", era in realtà inserito in campi numerici che rendevano molto più difficile la visualizzazione. E anche una volta che l'hai visto, per identificare cosa stava succedendo, ci sono voluti dei veri e propri scatti SQL, per riuscire a capire cosa stava succedendo, a che ora il lavoro era già stato fatto.
Robin Bloor: E una delle cose che è solo un fenomeno in tutto il mondo dell'hacking è che se qualcuno trova una debolezza e si trova in un pezzo di software che è stato generalmente venduto, sai, uno dei primi problemi è la password del database che ti è stata data quando è stato installato un database, molti database in realtà era solo un valore predefinito. E molti DBA semplicemente non l'hanno mai cambiato, e quindi potresti riuscire a entrare in rete allora; potresti semplicemente provare quella password e se ha funzionato, hai vinto la lotteria. E la cosa interessante è che tutte queste informazioni sono diffuse in modo molto efficiente ed efficace tra le comunità di hacking sui siti Web darknet. E loro sanno. Quindi, possono praticamente fare uno sweep di ciò che è là fuori, trovare alcuni casi e semplicemente lanciare qualche exploit di hacking su di esso, e ci sono. E questo è, penso, che molte persone che sono almeno su alla periferia di tutto ciò, in realtà non capisco quanto velocemente la rete di hacking risponde alla vulnerabilità.
Vicky Harp: Sì, questo in realtà fa apparire un'altra cosa che volevo menzionare prima di andare avanti, che è questa nozione di ripieno di credenziali, che è qualcosa che è spuntato molto, che è che una volta che le tue credenziali sono state rubate per qualcuno ovunque, in qualsiasi sito, tali credenziali verranno tentate di essere riutilizzate su tutta la linea. Quindi, se stai usando password duplicate, diciamo, se anche i tuoi utenti lo sono, diciamo così, qualcuno potrebbe essere in grado di ottenere l'accesso tramite quello che sembra essere un insieme di credenziali completamente valido. Quindi, diciamo che ho usato la mia stessa password su Amazon e sulla mia banca, e anche su un forum e che il software del forum è stato violato, beh, hanno il mio nome utente e la mia password. E possono quindi utilizzare lo stesso nome utente su Amazon o utilizzarlo in banca. E per quanto riguarda la banca, è stato un login completamente valido. Ora puoi intraprendere azioni nefaste tramite l'accesso completamente autorizzato.
Quindi, quel tipo di risale a quello che stavo dicendo sulle violazioni interne e sugli usi interni. Se nella tua organizzazione ci sono persone che usano la stessa password per l'accesso interno che fanno per l'accesso esterno, hai la possibilità che qualcuno entri e ti imiti tramite una violazione in qualche altro sito che indossi non lo so nemmeno. E questi dati vengono diffusi molto rapidamente. Ci sono elenchi di, penso che il carico più recente di "essere stato investito" da Troy Hunt, ha detto di avere mezzo miliardo di credenziali, che è - se si considera il numero di persone sul pianeta - è un numero davvero elevato di credenziali rese disponibili per il riempimento delle credenziali.
Quindi, approfondirò un po 'di più e parlerò della sicurezza di SQL Server. Ora voglio dire che non proverò a darti tutto ciò che devi sapere per proteggere SQL Server nei prossimi 20 minuti; sembra un po 'alto. Quindi, per cominciare, voglio dire che ci sono gruppi online e risorse online che puoi sicuramente Google, ci sono libri, ci sono documenti sulle best practice su Microsoft, c'è un capitolo virtuale sulla sicurezza per i professionisti associati a SQL Server, sono su security.pass.org e hanno, credo, webcast mensili e registrazioni di webcast per un po 'andare oltre il reale, approfondito come fare la sicurezza di SQL Server. Ma queste sono alcune delle cose che io, parlando a te come professionisti dei dati, come professionisti IT, come DBA, voglio che tu sappia che devi conoscere la sicurezza di SQL Server.
Quindi il primo è la sicurezza fisica. Quindi, come ho detto prima, rubare media fisici è ancora estremamente comune. E così lo scenario che ho fornito con la macchina dev, con una copia del tuo database sulla macchina dev che viene rubata - questo è un vettore estremamente comune, è un vettore di cui devi essere consapevole e provare ad agire contro. È anche vero per la sicurezza del backup, quindi ogni volta che si esegue il backup dei dati, è necessario eseguirne il backup crittografato, è necessario eseguire il backup in un luogo sicuro. Molte volte questi dati che sono stati veramente protetti nel database, non appena iniziano a uscire in posizioni periferiche, su macchine di sviluppo, su macchine di prova, siamo un po 'meno attenti alle patch, otteniamo un po' meno attento alle persone che hanno accesso ad esso. La prossima cosa che sai, hai backup di database non crittografati memorizzati su una condivisione pubblica nella tua organizzazione disponibile per lo sfruttamento da molte persone diverse. Quindi, pensa alla sicurezza fisica e altrettanto semplice, qualcuno può camminare e inserire una chiave USB nel tuo server? Non dovresti permetterlo.
L'ordine del giorno successivo a cui voglio pensare è la sicurezza della piattaforma, quindi SO aggiornato, patch aggiornate. È molto noioso sentire le persone parlare di rimanere su versioni precedenti di Windows, versioni precedenti di SQL Server, pensando che l'unico costo in gioco sia il costo dell'aggiornamento delle licenze, che non è il caso. Siamo in sicurezza, è un ruscello che continua a scendere giù per la collina e col passare del tempo, si trovano altri exploit. Microsoft in questo caso, e altri gruppi a seconda dei casi, aggiorneranno i sistemi più vecchi fino a un certo punto, e alla fine cadranno fuori dal supporto e non li aggiorneranno più, perché è solo un processo infinito di Manutenzione.
E quindi, devi essere su un sistema operativo supportato e devi essere aggiornato sulle tue patch e abbiamo scoperto di recente come con Shadow Brokers, in alcuni casi Microsoft potrebbe avere un'idea delle imminenti violazioni della sicurezza prima di loro essere reso pubblico, prima della divulgazione, quindi non lasciarti stravolgere dall'ordine. Preferirei non perdere tempo, preferirei aspettare e leggere ognuno di essi e decidere. Potresti non sapere quale sia il suo valore fino a qualche settimana dopo aver scoperto perché si è verificata questa patch. Quindi, rimanete sopra.
Dovresti avere il tuo firewall configurato. È stato scioccante nella violazione della SNB il numero di persone che eseguivano versioni precedenti di SQL Server con il firewall completamente aperto su Internet, in modo che chiunque potesse entrare e fare quello che voleva con i propri server. Dovresti usare un firewall. Il fatto che occasionalmente devi configurare le regole o fare eccezioni specifiche per il modo in cui stai facendo la tua attività è un prezzo OK da pagare. Devi controllare la superficie dei tuoi sistemi di database - stai co-installando servizi o server web come IIS sulla stessa macchina? Condividere lo stesso spazio su disco, condividere lo stesso spazio di memoria dei database e dei dati privati? Cerca di non farlo, cerca di isolarlo, mantieni la superficie più piccola, in modo da non doverti preoccupare così tanto di assicurarti che tutto ciò sia sicuro in cima al database. Puoi separare fisicamente quelli, piattaforma, separarli, darti un po 'di respiro.
Non dovresti avere super amministratori in giro dappertutto in grado di avere accesso a tutti i tuoi dati. Potrebbe non essere necessario che gli account di amministratore del sistema operativo abbiano accesso al tuo database o ai dati sottostanti nel database tramite crittografia, di cui parleremo tra un minuto. E l'accesso ai file di database, è necessario limitare anche quello. È un po 'sciocco se dovessi dire, beh, qualcuno non può accedere a questi database tramite il database; Lo stesso SQL Server non consentirà loro di accedervi, ma se poi possono andare in giro, prendere una copia del file MDF effettivo, spostarlo semplicemente così, collegarlo al proprio SQL Server, non si è davvero riusciti molto tanto.
Crittografia, quindi la crittografia è quella famosa spada a due vie. Esistono molti livelli diversi di crittografia che è possibile eseguire a livello di sistema operativo e il modo contemporaneo di fare le cose per SQL e Windows è con BitLocker ea livello di database si chiama TDE o crittografia dei dati trasparente. Quindi, questi sono entrambi modi per mantenere i dati crittografati a riposo. Se vuoi mantenere i tuoi dati crittografati in modo più completo, puoi farlo crittografato - scusa, ho fatto un passo avanti. Puoi effettuare connessioni crittografate in modo che ogni volta che è in transito sia comunque crittografato in modo che se qualcuno sta ascoltando o ha un uomo nel mezzo di un attacco, hai una certa protezione di quei dati attraverso il cavo. I tuoi backup devono essere crittografati, come ho detto, potrebbero essere accessibili ad altri e quindi, se vuoi che sia crittografato in memoria e durante l'uso, abbiamo la crittografia delle colonne e quindi, SQL 2016 ha questa nozione di "sempre crittografato "dove è effettivamente crittografato su disco, in memoria, sul filo, fino all'applicazione che sta effettivamente utilizzando i dati.
Ora, tutta questa crittografia non è gratuita: c'è un sovraccarico della CPU, a volte c'è per la crittografia della colonna e il caso sempre crittografato, ci sono implicazioni sulle prestazioni in termini di capacità di effettuare ricerche su tali dati. Tuttavia, questa crittografia, se messa correttamente insieme, significa che se qualcuno dovesse ottenere l'accesso ai tuoi dati, il danno sarebbe notevolmente ridotto, perché erano in grado di ottenerlo e quindi non sono in grado di farci nulla. Tuttavia, questo è anche il modo in cui funziona il ransomware, è che qualcuno entra e accende questi elementi, con il proprio certificato o la propria password e non si ha accesso ad esso. Quindi, è per questo che è importante assicurarsi che lo stai facendo e che tu abbia accesso ad esso, ma non lo stai dando, aperto ad altri e agli aggressori.
E poi, principi di sicurezza - non ho intenzione di affermare questo punto, ma assicurati di non avere tutti gli utenti in esecuzione in SQL Server come super amministratore. I tuoi sviluppatori potrebbero volerlo, diversi utenti potrebbero volerlo - sono frustrati dal dover chiedere l'accesso per singoli elementi - ma devi essere diligente al riguardo, e anche se potrebbe essere più complicato, dare accesso agli oggetti e i database e gli schemi validi per il lavoro in corso, e c'è un caso speciale, forse questo significa un accesso speciale, non significa necessariamente un aumento dei diritti, per l'utente medio del caso.
E poi, ci sono considerazioni sulla conformità normativa che si combinano in questo e alcuni casi potrebbero effettivamente andare a modo loro - quindi c'è HIPAA, SOX, PCI - ci sono tutte queste diverse considerazioni. E quando si passa attraverso un audit, ci si aspetta che dimostri che si stanno intraprendendo azioni per rimanere conformi a questo. E quindi, questo è molto da tenere traccia, direi come un elenco di cose da fare DBA, stai cercando di garantire la configurazione della crittografia fisica di sicurezza, stai cercando di assicurarti che l'accesso a tali dati sia controllato per i tuoi scopi di conformità, assicurandoti che le tue colonne sensibili, che tu sappia cosa sono, dove sono, a quali dovresti crittografare e guardare l'accesso. E assicurandoti che le configurazioni siano in linea con le linee guida normative a cui sei soggetto. E devi tenerlo aggiornato mentre le cose stanno cambiando.
Quindi, c'è molto da fare, e quindi se dovessi lasciarlo lì, direi di farlo. Ma ci sono molti strumenti diversi per questo, e quindi, se posso farlo negli ultimi minuti, volevo mostrarvi alcuni degli strumenti che abbiamo in IDERA per quello. E i due di cui volevo parlare oggi sono SQL Secure e SQL Compliance Manager. SQL Secure è il nostro strumento per aiutare a identificare il tipo di vulnerabilità della configurazione. Le tue politiche di sicurezza, i tuoi permessi utente, le tue configurazioni di superficie. E ha modelli per aiutarti a conformarti a diversi quadri normativi. Questo di per sé, quest'ultima riga, potrebbe essere la ragione per cui le persone lo considerano. Perché leggere attraverso queste diverse normative e identificare cosa significano, PCI e poi portarlo fino al mio SQL Server nel mio negozio, è un sacco di lavoro. È qualcosa che potresti pagare un sacco di soldi di consulenza da fare; ci siamo occupati della consulenza, abbiamo lavorato con le diverse società di revisione, ecc., per stabilire quali siano questi modelli - qualcosa che probabilmente passerà un controllo se questi sono in atto. E poi puoi usare quei modelli e vederli, nel tuo ambiente.
Abbiamo anche un altro tipo di strumento gemello sotto forma di SQL Compliance Manager, ed è qui che SQL Secure riguarda le impostazioni di configurazione. SQL Compliance Manager consiste nel vedere cosa è stato fatto da chi, quando. Quindi, è il controllo, quindi ti consente di monitorare l'attività mentre si verifica e ti consente di rilevare e tenere traccia di chi accede alle cose. Qualcuno, l'esempio prototipico era una celebrità controllata nel tuo ospedale, qualcuno andava e cercava le loro informazioni, solo per curiosità? Avevano un motivo per farlo? Puoi dare un'occhiata alla cronologia degli audit e vedere cosa stava succedendo, chi stava accedendo a quei record. E puoi identificare questo ha strumenti per aiutarti a identificare colonne sensibili, quindi non devi necessariamente leggere e fare tutto da solo.
Quindi, se posso, vado avanti e ti mostrerò alcuni di quegli strumenti qui in questi ultimi minuti - e per favore non considerarlo come una demo approfondita. Sono un product manager, non un ingegnere di vendita, quindi ti mostrerò alcune delle cose che ritengo rilevanti per questa discussione. Quindi, questo è il nostro prodotto SQL Secure. E come puoi vedere qui, ho una specie di pagella di alto livello. Ho corso questo, penso, ieri. E mi mostra alcune delle cose che non sono impostate correttamente e alcune delle cose che sono impostate correttamente. Quindi, puoi vedere che ci sono un certo numero di oltre 100 diversi controlli che abbiamo fatto qui. E posso vedere che la mia crittografia di backup sui backup che ho fatto, non ho usato la crittografia di backup. Il mio account SA, denominato esplicitamente "account SA", non è disabilitato o rinominato. Il ruolo del server pubblico è autorizzato, quindi sono tutte cose che potrei voler cambiare.
Ho impostato la politica qui, quindi se volevo impostare una nuova politica, da applicare ai miei server, abbiamo tutte queste politiche integrate. Quindi, userò un modello di politica esistente e puoi vedere che ho CIS, HIPAA, PCI, SR e in corso, e in realtà siamo in procinto di aggiungere continuamente ulteriori politiche, in base alle cose di cui le persone hanno bisogno sul campo . E puoi anche creare una nuova politica, quindi se sai cosa sta cercando il tuo revisore, puoi crearla tu stesso. E poi, quando lo fai, puoi scegliere tra tutte queste diverse impostazioni, che cosa devi impostare, in alcuni casi, ne hai alcune - fammi tornare indietro e trovare una di quelle pre-costruite. Questo è conveniente, posso scegliere, diciamo, HIPAA - Ho già HIPAA, il mio cattivo - PCI, e quindi, mentre faccio clic qui, posso effettivamente vedere il riferimento incrociato esterno alla sezione del regolamento a cui è correlato. Quindi questo ti aiuterà in seguito, quando stai cercando di capire perché sto impostando questo? Perché sto provando a guardare questo? A quale sezione è correlato?
Questo ha anche uno strumento piacevole in quanto ti consente di entrare e navigare tra i tuoi utenti, quindi una delle cose difficili dell'esplorazione dei tuoi ruoli utente è che, in realtà, darò un'occhiata qui. Quindi, se mostro i permessi per il mio, vediamo, scegliamo un utente qui. Mostra autorizzazioni. Posso vedere le autorizzazioni assegnate per questo server, ma poi posso fare clic qui sotto e calcolare le autorizzazioni effettive, e mi darà l'elenco completo basato su, quindi in questo caso si tratta di admin, quindi non è così eccitante, ma Potrei passare in rassegna e scegliere i diversi utenti e vedere quali sono le loro autorizzazioni effettive, in base a tutti i diversi gruppi a cui potrebbero appartenere. Se mai provi a farlo da solo, in realtà può essere un po 'una seccatura, capire, OK, questo utente è un membro di questi gruppi e quindi ha accesso a queste cose tramite gruppi, ecc.
Pertanto, il modo in cui funziona questo prodotto è che richiede snapshot, quindi non è davvero un processo molto difficile eseguire uno snapshot del server su base regolare e quindi mantiene tali snapshot nel tempo in modo da poter confrontare le modifiche. Quindi, questo non è un monitoraggio continuo nel senso tradizionale di uno strumento di monitoraggio delle prestazioni; questo è qualcosa che potresti aver impostato per eseguire una volta a notte, una volta alla settimana - per quanto spesso pensi che sia valido - in modo che, ogni volta che fai l'analisi e stai facendo un po 'di più, in realtà solo lavorando all'interno del nostro strumento. Non ti stai riconnettendo così tanto al tuo server, quindi questo è un piccolo strumento carino con cui lavorare, per ottenere la conformità a quel tipo di impostazioni statiche.
L'altro strumento che voglio mostrarti è il nostro strumento di gestione della conformità. Il Compliance Manager monitorerà in modo più continuo. E vedrà chi sta facendo cosa sul tuo server e ti permetterà di dargli un'occhiata. Quindi, quello che ho fatto qui, nelle ultime due ore circa, ho effettivamente cercato di creare alcuni piccoli problemi. Quindi, qui ho capito se è un problema o no, potrei saperlo, qualcuno ha effettivamente creato un account di accesso e lo ha aggiunto a un ruolo del server. Quindi, se entro e lo guardo, posso vedere- Immagino di non poter fare clic con il pulsante destro del mouse lì, posso vedere cosa sta succedendo. Quindi, questa è la mia dashboard e posso vedere che ho avuto un certo numero di accessi non riusciti un po 'prima oggi. Ho avuto un sacco di attività di sicurezza, attività DBL.
Quindi, lasciami andare ai miei eventi di audit e dai un'occhiata. Qui ho i miei eventi di controllo raggruppati per categoria e oggetto di destinazione, quindi se guardo a quella sicurezza da prima, posso vedere DemoNewUser, questo accesso al server di creazione si è verificato. E posso vedere che la SA di accesso ha creato questo account DemoNewUser, qui, alle 14:42 e poi, posso vedere che a sua volta, aggiungi l'accesso al server, questo DemoNewUser è stato aggiunto al gruppo di amministratori del server, sono stati aggiunti al setup admin group, sono stati aggiunti al gruppo sysadmin. Quindi, è qualcosa che vorrei sapere che era successo. L'ho anche configurato in modo che le colonne sensibili nelle mie tabelle vengano monitorate, in modo da poter vedere chi ha avuto accesso.
Quindi, qui ho un paio di selezionati che si sono verificati sul mio tavolo personale, da Adventure Works. E posso dare un'occhiata e vedere che l'utente SA sul tavolo Adventure Works ha selezionato una delle prime dieci stelle da persona punto persona. Quindi forse nella mia organizzazione non voglio che le persone selezionino stelle da persona punto persona, o mi aspetto che solo determinati utenti lo facciano, e quindi vedrò questo qui. Quindi, ciò di cui hai bisogno in termini di auditing, possiamo configurarlo in base al framework e questo è un po 'più di uno strumento intensivo. Sta utilizzando la traccia SQL o gli eventi SQLX, a seconda della versione. Ed è qualcosa che dovrai avere un po 'di spazio sul tuo server per sistemare, ma è una di quelle cose, un po' come un'assicurazione, che è bello se non avessimo bisogno di un'assicurazione auto - sarebbe un costo che non dovremmo sostenere, ma se si dispone di un server in cui è necessario tenere traccia di chi sta facendo cosa, potrebbe essere necessario avere un po 'di margine in più e uno strumento come questo per farlo. Sia che tu stia utilizzando il nostro strumento o che lo stia realizzando da solo, alla fine sarai responsabile della disponibilità di queste informazioni ai fini della conformità normativa.
Quindi, come ho detto, non una demo approfondita, solo un breve riassunto. Volevo anche mostrarti uno strumento rapido e poco gratuito sotto forma di questa ricerca di colonne SQL, che è qualcosa che puoi usare per identificare quali colonne nel tuo ambiente sembrano essere informazioni sensibili. Quindi, abbiamo una serie di configurazioni di ricerca in cui sta cercando i diversi nomi di colonne che comunemente contengono dati sensibili, e quindi ho questo intero elenco di loro che sono stati identificati. Ne ho 120, e poi li ho esportati qui, in modo da poterli usare per dire, andiamo a cercare e assicuriamoci di monitorare l'accesso al secondo nome, una persona punto persona o imposta sulle vendite tasso, ecc.
So che stiamo arrivando alla fine del nostro tempo qui. E questo è tutto ciò che dovevo davvero mostrarti, quindi hai domande per me?
Eric Kavanagh: Ne ho un paio di quelli buoni per te. Fammi scorrere qui. Uno dei partecipanti stava facendo davvero una bella domanda. Uno dei quali è la domanda sulla tassa sulle prestazioni, quindi so che varia da una soluzione all'altra, ma hai un'idea generale di quale sia la tassa sulle prestazioni per l'utilizzo degli strumenti di sicurezza IDERA?
Vicky Harp: Quindi, su SQL Secure, come ho detto, è molto basso, scatterà solo alcune istantanee. E anche se hai eseguito abbastanza spesso, sta ottenendo informazioni statiche sulle impostazioni, quindi è molto basso, quasi trascurabile. In termini di Compliance Manager, è-
Eric Kavanagh: come l'uno per cento?
Vicky Harp: Se dovessi fornire un numero percentuale, sì, sarebbe dell'1% o inferiore. Sono le informazioni di base sull'ordine di utilizzo di SSMS e sulla scheda di sicurezza e sull'espansione delle cose. Dal punto di vista della conformità, è molto più elevato - ecco perché ho detto che ha bisogno di un po 'di margine di manovra - è un po' come se fosse ben oltre ciò che hai in termini di monitoraggio delle prestazioni. Ora, non voglio spaventare le persone lontano da esso, il trucco con il monitoraggio della conformità e se il suo controllo è quello di assicurarti di controllare solo ciò su cui stai per agire. Quindi, una volta filtrato verso il basso per dire: "Ehi, voglio sapere quando le persone accedono a queste tabelle particolari e voglio sapere ogni volta che le persone accedono, intraprendere queste azioni particolari", quindi si baserà sulla frequenza con cui queste cose sta accadendo e quanti dati stai generando. Se dici: "Voglio che il testo SQL completo di ogni selezione che accada mai su una qualsiasi di queste tabelle" siano probabilmente gigabyte e gigabyte di dati che devono essere analizzati da SQL Server archiviati spostati sul nostro prodotto, eccetera.
Se lo riduci a: ci saranno anche più informazioni di quelle che potresti probabilmente gestire. Se riesci a portarlo su un set più piccolo, in modo da ricevere un paio di centinaia di eventi al giorno, è ovviamente molto più basso. Quindi, davvero, per certi versi, il cielo è il limite. Se attivi tutte le impostazioni su tutto il monitoraggio per tutto, allora sì, sarà un hit delle prestazioni del 50 percento. Ma se lo trasformassi in un tipo di livello più moderato, considerato, forse guarderei il bulbo oculare del 10 percento? Davvero, è una di quelle cose che dipenderà molto dal tuo carico di lavoro.
Eric Kavanagh: Sì, giusto. C'è un'altra domanda sull'hardware. E poi, ci sono venditori di hardware che entrano nel gioco e collaborano davvero con i fornitori di software e ho risposto attraverso la finestra Domande e risposte. Conosco un caso particolare, di Cloudera che lavora con Intel in cui Intel ha fatto un enorme investimento in essi, e parte del calcolo era che Cloudera avrebbe avuto accesso anticipato alla progettazione dei chip, e quindi sarebbe stata in grado di portare la sicurezza a livello di chip del l'architettura, che è piuttosto impressionante. Tuttavia, è qualcosa che sta per uscire, e può ancora essere sfruttato da entrambe le parti. Conoscete qualche tendenza o tendenza dei fornitori di hardware a collaborare con i fornitori di software sul protocollo di sicurezza?
Vicky Harp: Sì, in realtà, credo che Microsoft abbia collaborato per avere un po ', come, lo spazio di memoria per alcuni dei lavori di crittografia sta effettivamente accadendo su chip separati su schede madri che sono separate dalla memoria principale, quindi alcuni di quella roba è fisicamente separato. E credo che in realtà sia stato qualcosa che è venuto da Microsoft in termini di uscita dai fornitori per dire: “Possiamo trovare un modo per farlo, in pratica è una memoria non indirizzabile, non riesco a raggiungere un buffer overflow questo ricordo, perché non è nemmeno lì, in un certo senso, quindi so che sta succedendo qualcosa del genere. ”
Eric Kavanagh: Sì.
Vicky Harp: Saranno ovviamente i grandi venditori, molto probabilmente.
Eric Kavanagh: Sì. Sono curioso di guardarlo, e forse Robin, se hai un secondo veloce, sarei curioso di conoscere la tua esperienza nel corso degli anni, perché di nuovo, in termini di hardware, in termini di scienza materiale reale che va in quello che stai mettendo insieme dal lato del fornitore, che le informazioni potrebbero andare da entrambe le parti, e teoricamente andiamo da entrambe le parti abbastanza rapidamente, quindi c'è un modo per usare l'hardware più attentamente, dal punto di vista del design per rafforzare la sicurezza? Cosa pensi? Robin, sei muto?
Robin Bloor: Sì, sì. Mi dispiace, sono qui; Sto solo riflettendo sulla domanda. Ad essere sincero, non ho un'opinione, è un'area che non ho approfondito in modo significativo, quindi sono un po ', sai, posso inventare un'opinione, ma non lo so davvero. Preferisco che le cose siano sicure nel software, in pratica è il mio modo di giocare.
Eric Kavanagh: Sì. Bene, gente, abbiamo bruciato un'ora e cambiamo qui. Grazie mille a Vicky Harp per il suo tempo e la sua attenzione - per tutto il tuo tempo e la tua attenzione; apprezziamo che ti presenti per queste cose. È un grosso problema; non andrà via presto. È un gioco gatto e topo che continuerà ad andare avanti e avanti e avanti. E quindi siamo grati che alcune aziende siano là fuori, focalizzate sull'abilitazione della sicurezza, ma dato che Vicky ha persino accennato e parlato un po 'nella sua presentazione, alla fine della giornata, sono le persone nelle organizzazioni che hanno bisogno di pensare molto attentamente su questi attacchi di phishing, quel tipo di ingegneria sociale e tieni duro sui tuoi laptop - non lasciarlo al bar! Cambia la tua password, fai le basi e otterrai l'80 percento del percorso.
Quindi, con quello, gente, vi saluteremo, grazie ancora per il vostro tempo e la vostra attenzione. Ti contatteremo la prossima volta, abbi cura di te. Ciao ciao.
Vicky Harp: Ciao, grazie.