Di Techopedia Staff, 27 ottobre 2016
Takeaway: l' host Eric Kavanagh discute della sicurezza del database con Robin Bloor, Dez Blanchfield e Ignacio Rodriguez di IDERA.
Al momento non sei collegato. Accedi o registrati per vedere il video.
Eric Kavanagh: Ciao e bentornato, ancora una volta, a Hot Technologies. Mi chiamo Eric Kavanagh; Sarò il tuo host per il webcast oggi ed è un argomento caldo e non sarà mai un argomento caldo. Questo è un argomento caldo ora a causa, francamente, di tutte le violazioni di cui sentiamo parlare e posso garantirvi che non sparirà mai. Quindi l'argomento di oggi, il titolo esatto dello spettacolo che dovrei dire, è "La nuova normalità: trattare con la realtà di un mondo non sicuro". Questo è esattamente ciò di cui ci stiamo occupando.
Abbiamo il tuo host, il tuo veramente, proprio lì. Da qualche anno, intendiamoci, probabilmente dovrei aggiornare la mia foto; era il 2010. Il tempo vola. Inviami una email con se vuoi dare qualche suggerimento. Quindi questa è la nostra diapositiva standard "hot" per Hot Technologies. Lo scopo di questo spettacolo è davvero quello di definire uno spazio particolare. Quindi oggi stiamo parlando di sicurezza, ovviamente. Ne stiamo prendendo una prospettiva molto interessante, in effetti, con i nostri amici di IDERA.
E sottolineerò che voi, in quanto membri del nostro pubblico, svolgete un ruolo significativo nel programma. Per favore, non essere timido. Inviaci una domanda in qualsiasi momento e faremo la fila per le domande e risposte se abbiamo abbastanza tempo per farlo. Oggi abbiamo tre persone online, il dottor Robin Bloor, Dez Blanchfield e Ignacio Rodriguez, che chiama da una località sconosciuta. Quindi prima di tutto, Robin, sei il primo presentatore. Ti consegnerò le chiavi. Portalo via.
Dr. Robin Bloor: Okay, grazie per questo, Eric. Protezione del database - Suppongo che potremmo dire che la probabilità che i dati più preziosi che un'azienda stia effettivamente presiedendo sia in un database. Quindi c'è un'intera serie di cose sulla sicurezza di cui possiamo parlare. Ma quello che pensavo di fare è parlare dell'argomento relativo alla protezione del database. Non voglio togliere nulla alla presentazione che Ignacio terrà.
Quindi cominciamo con, è facile pensare alla sicurezza dei dati come un obiettivo statico, ma non lo è. È un bersaglio mobile. E questo è abbastanza importante da capire, nel senso che gli ambienti IT della maggior parte delle persone, in particolare gli ambienti IT delle grandi aziende, cambiano continuamente. E poiché stanno cambiando continuamente, la superficie di attacco, le aree in cui qualcuno può tentare, in un modo o nell'altro, dall'interno o dall'esterno, di compromettere la sicurezza dei dati, sta cambiando continuamente. E quando fai qualcosa del genere, aggiorni un database, non hai idea di aver creato una sorta di vulnerabilità per te stesso. Ma non sei a conoscenza e potresti non scoprirlo fino a quando non succede qualcosa di schifoso.
C'è una breve panoramica della sicurezza dei dati. Prima di tutto, il furto di dati non è una novità e vengono presi di mira dati importanti. Normalmente è facile capire per un'organizzazione quali sono i dati di cui hanno bisogno per proteggere maggiormente. Un fatto curioso è che il primo, o quello che potremmo affermare di essere il primo computer, fu costruito dall'intelligence britannica durante la seconda guerra mondiale con uno scopo in mente, e che era quello di rubare dati dalle comunicazioni tedesche.
Quindi il furto di dati ha fatto parte del settore IT praticamente da quando è iniziato. È diventato molto più serio con la nascita di Internet. Stavo guardando un registro del numero di violazioni dei dati che si stavano verificando anno dopo anno dopo anno. E il numero era salito alle stelle sopra i 100 entro il 2005 e da quel momento in poi tendeva a peggiorare ogni anno.
Grandi quantità di dati rubati e un numero maggiore di hacking in atto. E quelli sono gli hack segnalati. C'è un numero molto elevato di incidenti che si verificano in cui la società non dice mai nulla perché non c'è nulla che la costringe a dire qualcosa. Quindi mantiene silenziosa la violazione dei dati. Ci sono molti attori nel settore dell'hacking: governi, aziende, gruppi di hacker, individui.
Una cosa che penso sia interessante menzionare, quando sono andato a Mosca, penso che sia stato circa quattro anni fa, era una conferenza sul software a Mosca, stavo parlando con un giornalista specializzato nel settore dell'hacking dei dati. E ha affermato - e sono sicuro che abbia ragione, ma non lo so a parte lui è l'unica persona che me ne abbia mai parlato, ma - c'è un business russo chiamato The Russian Business Network, probabilmente ha un russo nome, ma penso che sia la traduzione inglese di esso, che è in realtà assunto per hackerare.
Quindi se sei una grande organizzazione in qualsiasi parte del mondo e vuoi fare qualcosa per danneggiare la concorrenza, puoi assumere queste persone. E se assumi queste persone otterrai una negabilità molto plausibile su chi fosse dietro l'hacking. Perché se viene scoperto da tutti chi c'è dietro l'hack, indicherebbe che probabilmente è stato qualcuno in Russia a farlo. E non sembrerà che tu stia cercando di danneggiare un concorrente. E credo che la Russian Business Network sia stata effettivamente assunta dai governi per fare cose come hackerare le banche per cercare di scoprire come si muovono i soldi del terrorismo. E questo è fatto con plausibile negabilità da parte di governi che non ammetteranno mai di averlo mai fatto.
La tecnologia di attacco e difesa si evolve. Molto tempo fa andavo al Chaos Club. Era un sito in Germania dove era possibile registrarsi e seguire le conversazioni di varie persone e vedere cosa era disponibile. E l'ho fatto quando stavo guardando la tecnologia di sicurezza, penso intorno al 2005. E l'ho fatto solo per vedere cosa stava succedendo allora e la cosa che mi ha stupito era il numero di virus, dove era fondamentalmente un sistema open source Stavo succedendo e le persone che avevano scritto virus o virus avanzati stavano semplicemente attaccando il codice lassù affinché chiunque potesse usarlo. E mi è venuto in mente quando gli hacker possono essere molto, molto intelligenti, ma ci sono moltissimi hacker che non sono necessariamente affatto intelligenti, ma usano strumenti intelligenti. E alcuni di questi strumenti sono straordinariamente intelligenti.
E l'ultimo punto qui: le aziende hanno il dovere di prendersi cura dei propri dati, siano essi proprietari o meno. E penso che stia diventando sempre più realizzato di prima. E sta diventando sempre più costoso, diciamo, costoso per un'azienda effettivamente subire un hack. A proposito degli hacker, possono essere localizzati ovunque, forse difficili da assicurare alla giustizia anche se correttamente identificati. Molti di loro sono molto abili. Risorse considerevoli, hanno botnet dappertutto. Si ritiene che il recente attacco DDoS che si è verificato provenga da oltre un miliardo di dispositivi. Non so se sia vero o se sia solo un reporter che utilizza un numero circolare, ma certamente un gran numero di dispositivi robot è stato utilizzato per attaccare la rete DNS. Alcune aziende redditizie, ci sono gruppi governativi, c'è guerra economica, c'è guerra informatica, tutto sta succedendo là fuori ed è improbabile, penso che stessimo dicendo nel preshow, è improbabile che finisca mai.
Conformità e normative: ci sono un certo numero di cose che realmente accadono. Ci sono molte iniziative di conformità basate sul settore, sapete - il settore farmaceutico o il settore bancario o il settore sanitario - potrebbero avere iniziative specifiche che le persone possono seguire, vari tipi di migliori pratiche. Ma ci sono anche molti regolamenti ufficiali che, poiché sono legge, hanno delle sanzioni per chiunque violi la legge. Gli esempi statunitensi sono HIPAA, SOX, FISMA, FERPA, GLBA. Ci sono alcuni standard, PCI-DSS è uno standard per le società di carte. ISO / IEC 17799 si basa sul tentativo di ottenere uno standard comune. Questa è la proprietà dei dati. Le normative nazionali differiscono da paese a paese, anche in Europa, o forse si dovrebbe dire, specialmente in Europa, dove è molto confuso. E c'è un GDPR, un regolamento globale sulla protezione dei dati attualmente in fase di negoziazione tra Europa e Stati Uniti per cercare di armonizzare i regolamenti perché ce ne sono così tanti, comunemente come sono, in effetti, internazionali e quindi ci sono servizi cloud che potresti non pensare che i tuoi dati fossero internazionali, ma sono diventati internazionali non appena sei entrato nel cloud, perché si sono trasferiti fuori dal tuo paese. Quindi quelli sono un insieme di regolamenti che vengono negoziati, in un modo o nell'altro, per gestire la protezione dei dati. E la maggior parte di ciò ha a che fare con i dati di un individuo, che ovviamente include praticamente tutti i dati di identità.
Cose da pensare: vulnerabilità del database. Esiste un elenco di vulnerabilità conosciute e segnalate dai fornitori di database quando vengono rilevate e corrette il più rapidamente possibile, quindi esiste tutto ciò. Ci sono cose che lo riguardano in termini di identificazione dei dati vulnerabili. Uno degli hack più grandi e di maggior successo sui dati di pagamento è stato fatto a una società di elaborazione dei pagamenti. Ciò è stato successivamente rilevato perché doveva andare in liquidazione se non lo fosse, ma i dati non sono stati rubati da nessuno dei database operativi. I dati sono stati rubati da un database di test. È successo che gli sviluppatori avevano appena preso un sottoinsieme dei dati che erano dati reali e li avevano usati, senza alcuna protezione, in un database di test. Il database dei test è stato violato e da esso sono stati ricavati moltissimi dettagli finanziari personali delle persone.
La politica di sicurezza, in particolare per quanto riguarda la sicurezza dell'accesso per quanto riguarda i database, chi può leggere, chi può scrivere, chi può concedere autorizzazioni, c'è un modo in cui chiunque può eludere qualcosa di tutto ciò? Poi ci sono, ovviamente, le crittografie dei database lo consentono. C'è il costo di una violazione della sicurezza. Non so se sia una pratica standard all'interno delle organizzazioni, ma so che alcuni, ad esempio, i responsabili della sicurezza provano a fornire ai dirigenti un'idea di quale sia il costo di una violazione della sicurezza prima che accada piuttosto che dopo. E loro, in un certo senso, devono farlo per assicurarsi di ottenere la giusta quantità di budget per poter difendere l'organizzazione.
E poi la superficie di attacco. La superficie di attacco sembra crescere continuamente. È anno dopo anno che la superficie di attacco sembra crescere. Quindi, in sintesi, l'intervallo è un altro punto, ma la sicurezza dei dati di solito fa parte del ruolo del DBA. Ma la sicurezza dei dati è anche un'attività collaborativa. Devi avere, se stai facendo sicurezza, devi avere un'idea completa delle protezioni di sicurezza per l'intera organizzazione. E ci deve essere una politica aziendale su questo. Se non esistono politiche aziendali, si finisce con soluzioni frammentarie. Sai, l'elastico e la plastica, in un certo senso, tentano di fermare la sicurezza.
Detto questo, penso di consegnare a Dez che probabilmente ti darà varie storie di guerra.
Eric Kavanagh: portalo via, Dez.
Dez Blanchfield: Grazie, Robin. È sempre un atto difficile da seguire. Sto arrivando a questo punto dall'estremità opposta dello spettro solo per, immagino, darci un senso della portata della sfida che stai affrontando e perché dovremmo fare di più che semplicemente sederci e prestare attenzione a questo . La sfida che stiamo vedendo ora con la scala, la quantità e il volume, la velocità con cui stanno accadendo queste cose, è che la cosa che sto ascoltando in questo posto ora con un sacco di CXO, non solo CIO, ma sicuramente I CIO sono quelli che sono presenti laddove il dollaro si ferma, è che ritengono che le violazioni dei dati diventino rapidamente la norma. È qualcosa che quasi si aspettano che accada. Quindi stanno guardando questo dal punto di vista di "Okay, beh, quando veniamo violati - non se - quando veniamo violati, cosa dobbiamo fare al riguardo?" E poi iniziano le conversazioni, cosa stanno facendo nei tradizionali ambienti periferici e router, switch, server, rilevamento delle intrusioni, ispezione delle intrusioni? Cosa stanno facendo nei sistemi stessi? Cosa stanno facendo con i dati? E poi tutto torna a quello che hanno fatto con i loro database.
Vorrei solo toccare un paio di esempi di alcune di queste cose che hanno catturato molta immaginazione delle persone e poi approfondite, in un certo senso, spezzandole un po '. Quindi abbiamo sentito nelle notizie che Yahoo - probabilmente il numero più grande che la gente ha sentito è di circa mezzo milione, ma in realtà si scopre che è ufficiosamente più simile a un miliardo - ho sentito un numero stravagante di tre miliardi, ma è quasi metà della popolazione mondiale, quindi penso che sia un po 'alto. Ma l'ho fatto verificare da un certo numero di persone in spazi rilevanti che credono che ci siano poco più di un miliardo di dischi che sono stati violati da Yahoo. E questo è solo un numero da capogiro. Ora alcuni giocatori guardano e pensano, beh, sono solo account di webmail, nessun grosso problema, ma poi aggiungi il fatto che molti di quegli account di webmail e un numero curiosamente alto, più alto di quanto mi aspettassi, sono in realtà account a pagamento. È qui che le persone inseriscono i dettagli della loro carta di credito e pagano per rimuovere gli annunci, perché si stufano degli annunci e quindi $ 4 o $ 5 al mese sono disposti ad acquistare un servizio di webmail e cloud storage che non ha annunci, e io sono uno di quelli e ce l'ho attraverso tre diversi fornitori in cui collego la mia carta di credito.
Quindi, la sfida attira un po 'più di attenzione perché non è solo qualcosa che è là fuori come una sola linea di dire: "Oh beh, Yahoo ha perso, diciamo, tra 500 milioni e 1.000 milioni di account", 1.000 milioni ce la fanno suono molto grande e account di webmail, ma i dettagli della carta di credito, nome, cognome, indirizzo e-mail, data di nascita, carta di credito, numero di pin, qualunque cosa tu voglia, password, e quindi diventa un concetto molto più spaventoso. E ancora la gente mi dice: "Sì, ma è solo un servizio web, è solo webmail, non è un grosso problema". E poi io dico: "Sì, beh, che l'account Yahoo potrebbe essere stato utilizzato anche nei servizi di denaro Yahoo per acquistare e vendere azioni. ”Quindi diventa più interessante. E quando inizi a approfondire, ti rendi conto che, va bene, in realtà questo è molto più di mamme e papà a casa e adolescenti, con account di messaggistica, in realtà è qualcosa in cui le persone hanno fatto transazioni commerciali.
Quindi questa è un'estremità dello spettro. L'altra estremità dello spettro è che un piccolo fornitore di servizi sanitari di medicina generale in Australia ha rubato circa 1.000 registrazioni. Era un lavoro interno, qualcuno se ne andava, erano solo curiosi, uscirono dalla porta, in questo caso si trattava di un floppy disk da 3, 5 pollici. È stato un po 'di tempo fa - ma si può dire l'era dei media - ma erano sulla vecchia tecnologia. Ma si è scoperto che il motivo per cui hanno preso i dati era che erano solo curiosi di sapere chi fosse lì. Perché avevano un bel po 'di gente in questa piccola città, che era la nostra capitale nazionale, che erano politici. Ed erano interessati a chi c'era e dove erano le loro vite e tutte quelle informazioni. Quindi, con una piccolissima violazione dei dati che è stata fatta internamente, un numero considerevolmente elevato di politici nei dettagli del governo australiano apparentemente è stato reso pubblico.
Abbiamo due diverse estremità dello spettro da considerare. Ora la realtà è che la scala di queste cose è semplicemente sbalorditiva e ho una diapositiva che andremo a saltare molto, molto rapidamente qui. Ci sono un paio di siti Web che elencano tutti i tipi di dati, ma questo particolare proviene da uno specialista della sicurezza che aveva il sito Web in cui puoi andare e cercare il tuo indirizzo email o il tuo nome e ti mostrerà ogni incidente di dati violato negli ultimi 15 anni che è stato in grado di mettere le mani su, quindi caricare in un database e verificare, e ti dirà se sei stato investito, come è il termine. Ma quando inizi a guardare alcuni di questi numeri e questo screenshot non è stato aggiornato con la sua ultima versione, che include un paio, come Yahoo. Ma pensa solo ai tipi di servizi qui. Abbiamo Myspace, abbiamo LinkedIn, Adobe. Adobe è interessante perché le persone guardano e pensano, beh, cosa significa Adobe? Molti di noi che stanno scaricando Adobe Reader in qualche modo, molti di noi hanno acquistato prodotti Adobe con una carta di credito, ovvero 152 milioni di persone.
Ora, al punto di Robin in precedenza, questi sono numeri molto grandi, è facile essere sopraffatti da loro. Cosa succede quando hai 359 milioni di account che sono stati violati? Bene, ci sono un paio di cose. Robin ha sottolineato il fatto che tali dati sono invariabilmente in un database di qualche forma. Questo è il messaggio critico qui. Quasi nessuno su questo pianeta, di cui sono a conoscenza, che gestisce un sistema di qualsiasi forma, non lo memorizza in un database. Ma la cosa interessante è che ci sono tre diversi tipi di dati in quel database. Ci sono cose legate alla sicurezza come nomi utente e password, che di solito sono crittografate, ma invariabilmente ci sono molti esempi in cui non lo sono. Ci sono le informazioni sui clienti reali intorno al loro profilo e i dati che hanno creato sia che si tratti di una cartella clinica o di una e-mail o di un messaggio istantaneo. E poi c'è l'attuale logica incorporata, quindi potrebbero essere memorizzate procedure, potrebbe essere un sacco di regole, se + questo + quindi + quello. E invariabilmente questo è solo il testo ASCII bloccato nel database, pochissime persone siedono lì pensando: “Bene, queste sono regole aziendali, ecco come i nostri dati vengono spostati e controllati, dovremmo potenzialmente crittografarli quando sono a riposo e quando sono in movimento forse lo decifriamo e lo teniamo in memoria ”, ma idealmente dovrebbe essere anche quello.
Ma torna a questo punto chiave che tutti questi dati sono in un database in qualche modo e il più delle volte il focus è, solo storicamente, è stato su router e switch e server e persino archiviazione, e non sempre sul database in la parte posteriore. Perché pensiamo di avere il bordo della rete coperto ed è, in un certo senso, un tipico vecchio, in qualche modo, che vive in un castello e ci metti un fossato attorno e speri che i cattivi non lo faranno saper nuotare. Ma poi all'improvviso i cattivi hanno capito come fare scale estese e gettarle sul fossato e scavalcare il fossato e arrampicarsi sulle pareti. E all'improvviso il tuo fossato è praticamente inutile.
Quindi ora siamo nello scenario in cui le organizzazioni sono in modalità catch-up in uno sprint. Stanno letteralmente saltellando su tutti i sistemi, a mio avviso, e sicuramente la mia esperienza, in quanto non sempre sono solo questi unicorni web, come spesso ci riferiamo a loro, il più delle volte sono le tradizionali organizzazioni aziendali che vengono violate. E non devi avere molta immaginazione per scoprire chi sono. Ci sono siti web come uno chiamato pastebin.net e se vai su pastebin.net e digiti semplicemente l'elenco e-mail o l'elenco password, finirai con centinaia di migliaia di voci al giorno che vengono aggiunte dove le persone elencano set di dati di esempio di fino a un migliaio di record di nome, cognome, dettagli della carta di credito, nome utente, password, password decodificate, a proposito. Dove le persone possono prendere quella lista, andare a verificarne tre o quattro e decidere che, sì, voglio comprare quella lista e di solito c'è qualche forma di meccanismo che fornisce una sorta di gateway anonimo alla persona che vende i dati.
Ora, ciò che è interessante è che una volta che l'imprenditore affiliato si rende conto di poterlo fare, non ci vuole tanta immaginazione per rendersi conto che se spendi $ 1.000 per acquistare uno di questi elenchi, qual è la prima cosa che fai con esso? Non vai a provare a tracciare gli account, ne rimetti una copia su pastbin.net e ne vendi due copie per $ 1.000 ciascuno e guadagni $ 1.000. E questi sono bambini che lo stanno facendo. Ci sono alcune organizzazioni professionali estremamente grandi in tutto il mondo che lo fanno per vivere. Ci sono persino nazioni-stato che attaccano altri stati. Sai, si parla molto dell'America che attacca la Cina, della Cina che attacca l'America, non è così semplice, ma ci sono sicuramente organizzazioni governative che stanno violando i sistemi che sono invariabilmente alimentati da database. Non è solo un caso di piccole organizzazioni, è anche paesi contro paesi. Ci riporta a quel problema di dove sono archiviati i dati? È in un database. Quali controlli e meccanismi ci sono? O invariabilmente non sono crittografati, e se sono crittografati, non sono sempre tutti i dati, forse è solo la password che viene salata e crittografata.
Inoltre, abbiamo una serie di sfide con ciò che è in quei dati e come forniamo l'accesso ai dati e la conformità SOX. Quindi, se pensi alla gestione patrimoniale o bancaria, hai organizzazioni che si preoccupano della sfida delle credenziali; hai organizzazioni che si preoccupano della conformità nello spazio aziendale; hai requisiti di conformità e normative governative; ora hai scenari in cui abbiamo database on-premise; abbiamo database in data center di terze parti; abbiamo database che si trovano in ambienti cloud, quindi i suoi ambienti cloud invariabilmente non sono sempre nel paese. E quindi questa sta diventando una sfida sempre più grande, non solo dal punto di vista della sicurezza pura, non farci hackerare, ma anche come possiamo soddisfare tutti i diversi livelli di conformità? Non solo gli standard HIPAA e ISO, ma ce ne sono letteralmente dozzine e dozzine e dozzine a livello statale, nazionale e globale che attraversano i confini. Se fai affari con l'Australia, non puoi spostare i dati del governo. Qualsiasi dato privato australiano non può lasciare la nazione. Se sei in Germania è ancora più rigoroso. E so che anche l'America si sta muovendo molto rapidamente su questo per una serie di ragioni.
Ma mi riporta ancora a tutta la sfida di come fai a sapere cosa sta succedendo nel tuo database, come lo controlli, come fai a dire chi sta facendo cosa nel database, che ha viste di varie tabelle e righe e colonne e campi, quando lo leggono, con che frequenza lo leggono e chi lo segue? E penso che questo mi porti al mio ultimo punto prima di passare oggi al nostro ospite che ci aiuterà a parlare di come risolviamo questo problema. Ma voglio lasciarci con questo pensiero e cioè, molta attenzione è rivolta al costo per l'azienda e al costo per l'organizzazione. E non tratteremo questo punto in dettaglio oggi, ma voglio solo lasciarlo nella nostra mente per riflettere e cioè che c'è una stima approssimativamente tra 135 e 585 USD per record da ripulire dopo una violazione. Quindi l'investimento che fai nella tua sicurezza su router, switch e server è tutto sommato buono e firewall, ma quanto hai investito nella sicurezza del tuo database?
Ma è una falsa economia e quando la violazione di Yahoo è avvenuta di recente, e l'ho fatta con buona autorità, sono circa un miliardo di conti, non 500 milioni. Quando Verizon ha acquistato l'organizzazione per qualcosa come 4, 3 miliardi, non appena si è verificata la violazione, hanno chiesto un miliardo di dollari indietro o uno sconto. Ora, se fai i conti e dici che sono stati violati circa un miliardo di dischi, uno sconto da un miliardo di dollari, la stima da $ 135 a $ 535 per ripulire un record ora diventa $ 1. Che, di nuovo, è farsesco. Non costa $ 1 per ripulire un miliardo di dischi. A $ 1 per record per ripulire un miliardo di record per una violazione di quelle dimensioni. Non puoi nemmeno pubblicare un comunicato stampa per quel tipo di costo. E così ci concentriamo sempre sulle sfide interne.
Ma una delle cose, penso, e ci spetta a prenderlo molto sul serio a livello di database, motivo per cui questo è un argomento molto, molto importante di cui parlare, ed è che non parliamo mai dell'umano Pedaggio. Qual è il pedaggio umano che dovremo sostenere su questo? E prenderò un esempio prima di concludere rapidamente. LinkedIn: nel 2012, il sistema di LinkedIn è stato violato. C'erano un certo numero di vettori e non entrerò in quello. E centinaia di milioni di account sono stati rubati. La gente dice circa 160 milioni di dispari, ma in realtà è un numero molto più grande, potrebbe arrivare a circa 240 milioni. Ma quella violazione non è stata annunciata fino all'inizio di quest'anno. Sono quattro anni che centinaia di milioni di dischi di persone sono là fuori. Ora, c'erano alcune persone che pagavano per i servizi con carte di credito e alcune persone con account gratuiti. Ma LinkedIn è interessante, perché non solo hanno avuto accesso ai dettagli del tuo account in caso di violazione, ma hanno anche avuto accesso a tutte le informazioni del tuo profilo. Quindi, con chi eri collegato e tutte le connessioni che avevi, e i tipi di lavoro che avevano e i loro tipi di competenze che avevano e per quanto tempo avevano lavorato presso le aziende e tutto quel tipo di informazioni e i loro dettagli di contatto.
Pensa quindi alla sfida che abbiamo nel proteggere i dati in questi database, nel proteggere e gestire i sistemi di database stessi, e il flusso di impatto, il bilancio umano di quei dati che restano in circolazione per quattro anni. E la probabilità che qualcuno possa presentarsi per una vacanza da qualche parte nel sud-est asiatico e hanno i loro dati là fuori per quattro anni. E qualcuno potrebbe aver acquistato un'auto o ottenuto un mutuo per la casa o acquistato dieci telefoni nel corso dell'anno su carte di credito, dove hanno creato un falso ID su quei dati che erano in circolazione da quattro anni - perché anche i dati di LinkedIn ti hanno fornito informazioni sufficienti per crea un conto bancario e un falso documento d'identità - e sali sull'aereo, vai in vacanza, atterri e verrai gettato in prigione. E perché vieni gettato in prigione? Bene, perché ti è stato rubato l'ID. Qualcuno ha creato un documento d'identità falso e si è comportato come te e centinaia di migliaia di dollari e lo faceva da quattro anni e non lo sapevi nemmeno. Perché è là fuori, è appena successo.
Quindi penso che ci porti a questa sfida fondamentale di come sappiamo cosa sta succedendo nei nostri database, come lo seguiamo, come lo monitoriamo? E non vedo l'ora di sapere come i nostri amici di IDERA hanno trovato una soluzione per risolverlo. E con ciò, lo consegnerò.
Eric Kavanagh: Va bene, Ignacio, il pavimento è tuo.
Ignacio Rodriguez: Va bene. Bene, benvenuto a tutti. Mi chiamo Ignacio Rodriguez, meglio conosciuto come Iggy. Sono con IDERA e un product manager per i prodotti di sicurezza. Argomenti davvero validi che abbiamo appena trattato e che dobbiamo davvero preoccuparci delle violazioni dei dati. Dobbiamo avere politiche di sicurezza rafforzate, dobbiamo identificare le vulnerabilità e valutare i livelli di sicurezza, controllare le autorizzazioni degli utenti, controllare la sicurezza del server e conformarci ai controlli. Ho fatto auditing nella mia storia passata, principalmente dal lato Oracle. Ne ho fatti un po 'su SQL Server e li stavo facendo con strumenti o, fondamentalmente, script fatti in casa, il che era fantastico, ma è necessario creare un repository e assicurarsi che il repository sia sicuro, mantenendo costantemente gli script con le modifiche dei revisori, cosa hai.
Quindi, negli strumenti, se avessi saputo che IDERA era là fuori e aveva uno strumento, molto probabilmente l'avrei acquistato. Ma comunque, parleremo di Secure. È uno dei nostri prodotti nella nostra linea di prodotti per la sicurezza e ciò che sostanzialmente fa è osservare le politiche di sicurezza e mapparle su linee guida normative. È possibile visualizzare una cronologia completa delle impostazioni di SQL Server e fondamentalmente è anche possibile effettuare una baseline di tali impostazioni e confrontarle con future modifiche. Sei in grado di creare un'istantanea, che è una linea di base delle tue impostazioni, e quindi essere in grado di tracciare se una di queste cose è stata modificata e anche essere avvisato se sono cambiate.
Una delle cose che facciamo bene è prevenire i rischi per la sicurezza e le violazioni. La pagella di sicurezza offre una visione delle principali vulnerabilità di sicurezza sui server e quindi anche ogni controllo di sicurezza è classificato come ad alto, medio o basso rischio. Ora, su queste categorie o controlli di sicurezza, tutti questi possono essere modificati. Diciamo che se hai dei controlli e utilizzi uno dei modelli che abbiamo e decidi, beh, i nostri controlli indicano o vogliono davvero che questa vulnerabilità non sia realmente un livello elevato ma medio o viceversa. Potresti avere alcuni che sono etichettati come medi ma nella tua organizzazione i controlli che vuoi etichettare o considerarli come alti, tutte quelle impostazioni sono configurabili dall'utente.
Un altro problema critico che dobbiamo esaminare è l'identificazione delle vulnerabilità. Comprendere chi ha accesso a cosa e identificare ciascuno dei diritti effettivi dell'utente su tutti gli oggetti di SQL Server. Con lo strumento saremo in grado di esaminare e esaminare i diritti su tutti gli oggetti di SQL Server e vedremo presto uno screenshot di questo qui. Segnaliamo e analizziamo anche le autorizzazioni di utenti, gruppi e ruoli. Una delle altre funzionalità è fornire report dettagliati sui rischi per la sicurezza. Disponiamo di report predefiniti e contiene parametri flessibili per la creazione dei tipi di report e la visualizzazione dei dati richiesti da revisori, responsabili della sicurezza e dirigenti.
Possiamo anche confrontare le modifiche di sicurezza, rischio e configurazione nel tempo, come ho già detto. E quelli sono con le istantanee. E quelle istantanee possono essere configurate nella misura in cui si desidera eseguirle - mensili, trimestrali, annuali - che possono essere programmate all'interno dello strumento. E, ancora una volta, puoi fare dei confronti per vedere cosa è cambiato e la cosa bella è che se hai avuto una violazione potresti creare un'istantanea dopo che è stata corretta, fare un confronto e vedresti che c'è stato un alto livello rischio associato all'istantanea precedente e quindi al report, si vede effettivamente nell'istantanea successiva dopo che è stato corretto che non si trattava più di un problema. È un buon strumento di auditing che potresti dare al revisore, una relazione che potresti dare ai revisori e dire: "Guarda, abbiamo avuto questo rischio, l'abbiamo mitigato, e ora non è più un rischio". menzionato con le istantanee, è possibile avvisare quando una configurazione cambia, e se una configurazione viene modificata e viene rilevata, che presenta un nuovo rischio, si riceverà anche una notifica.
Riceviamo alcune domande sulla nostra architettura di SQL Server con Secure e voglio apportare una correzione alla diapositiva qui in cui si dice "Servizio di raccolta". Non abbiamo alcun servizio, avrebbe dovuto essere "Server di gestione e raccolta. "Abbiamo la nostra console e quindi il nostro server di gestione e raccolta e abbiamo un'acquisizione senza agente che andrà ai database che sono stati registrati e raccoglierà i dati attraverso i lavori. Abbiamo un repository di SQL Server e collaboriamo con SQL Server Reporting Services per pianificare report e creare anche report personalizzati. Ora su una Security Report Card questa è la prima schermata che vedrai all'avvio di SQL Secure. Vedrai facilmente quali elementi critici hai rilevato. E, ancora una volta, abbiamo gli alti, i medi e i bassi. E poi abbiamo anche le politiche che sono in gioco con i controlli di sicurezza particolari. Abbiamo un modello HIPAA; abbiamo modelli IDERA livello di sicurezza 1, 2 e 3; abbiamo linee guida PCI. Questi sono tutti modelli che puoi usare e, ancora, puoi creare il tuo modello, basato anche sui tuoi controlli. E, ancora una volta, sono modificabili. Puoi crearne uno tuo. Qualsiasi modello esistente può essere usato come base, quindi puoi modificarli come preferisci.
Una delle cose belle da fare è vedere chi ha i permessi. E con questa schermata qui saremo in grado di vedere quali accessi di SQL Server sono nell'azienda e sarai in grado di visualizzare tutti i diritti e le autorizzazioni assegnati ed effettivi sul database del server a livello di oggetto. Lo facciamo qui. Sarai in grado di selezionare, ancora una volta, i database o i server, quindi potrai richiamare il rapporto delle autorizzazioni di SQL Server. Così in grado di vedere chi ha che accesso a cosa. Un'altra caratteristica interessante è che sarai in grado di confrontare le impostazioni di sicurezza. Supponiamo che tu abbia impostazioni standard che devono essere configurate in tutta la tua azienda. Saresti quindi in grado di fare un confronto tra tutti i tuoi server e vedere quali impostazioni sono state impostate sugli altri server della tua azienda.
Ancora una volta, i modelli di criteri, questi sono alcuni dei modelli che abbiamo. Fondamentalmente, di nuovo, usi uno di quelli, creane uno tuo. Puoi creare la tua politica, come mostrato qui. Usa uno dei modelli e puoi modificarli secondo necessità. Siamo inoltre in grado di visualizzare i diritti effettivi di SQL Server. Ciò verificherà e dimostrerà che le autorizzazioni sono impostate correttamente per utenti e ruoli. Ancora una volta, puoi uscire e cercare, vedere e verificare che le autorizzazioni siano impostate correttamente per gli utenti e i ruoli. Quindi con i diritti di accesso agli oggetti di SQL Server è possibile esplorare e analizzare l'albero degli oggetti di SQL Server dal livello del server fino ai ruoli e agli endpoint a livello di oggetto. E puoi visualizzare immediatamente le autorizzazioni ereditate effettive e assegnate e le proprietà relative alla sicurezza a livello di oggetto. Questo ti dà una buona visione degli accessi che hai sugli oggetti del tuo database e chi ha accesso a quelli.
Abbiamo, ancora una volta, i nostri rapporti che abbiamo. Sono rapporti fissi, ne abbiamo diversi che puoi selezionare per fare il tuo rapporto. E molti di questi possono essere personalizzati o è possibile avere i report dei clienti e utilizzarli insieme ai servizi di reporting e poter creare i propri report personalizzati da lì. Ora i Confronti di istantanee, questa è una caratteristica piuttosto interessante, penso, dove puoi andare là fuori e puoi fare un confronto delle tue istantanee che hai preso e guardare per vedere se ci fossero differenze nel numero. Sono stati aggiunti oggetti, sono state modificate le autorizzazioni, tutto ciò che potremmo essere in grado di vedere quali modifiche sono state apportate tra le diverse istantanee. Alcune persone li guarderanno a livello mensile: faranno un'istantanea mensile e poi faranno un confronto ogni mese per vedere se qualcosa è cambiato. E se non c'era nulla che si supponesse fosse cambiato, tutto ciò che è andato alle riunioni di controllo delle modifiche e vedi che alcune autorizzazioni sono state modificate, puoi tornare indietro per vedere cosa è successo. Questa è una caratteristica molto carina qui dove puoi fare di nuovo il confronto di tutto ciò che è stato verificato all'interno dell'istantanea.
Quindi il tuo confronto di valutazione. Questa è un'altra bella caratteristica che abbiamo dove puoi andare là fuori e guardare le valutazioni e poi fare un confronto di esse e notare che il confronto qui aveva un account SA che non è stato disabilitato in questa recente istantanea che ho fatto - esso è ora corretto. Questa è una cosa piuttosto carina in cui puoi dimostrare che, okay, abbiamo avuto qualche rischio, sono stati identificati dallo strumento e ora abbiamo mitigato questi rischi. E, ancora una volta, questo è un buon rapporto per mostrare ai revisori che in realtà quei rischi sono stati mitigati e curati.
In sintesi, la sicurezza del database è fondamentale e penso che molte volte stiamo osservando violazioni che provengono da fonti esterne e a volte non prestiamo molta attenzione alle violazioni interne e queste sono alcune delle cose che bisogno di fare attenzione. E Secure ti aiuterà lì per assicurarti che non ci siano privilegi che non debbano essere assegnati, sai, assicurati che tutta questa sicurezza sia impostata correttamente sugli account. Assicurati che i tuoi account SA abbiano password. Controlla anche per quanto riguarda, le tue chiavi di crittografia, sono state esportate? Solo più cose diverse che controlliamo e ti avvertiremo del fatto se si è verificato un problema e di quale livello si tratta. Abbiamo bisogno di uno strumento, molti professionisti hanno bisogno di strumenti per gestire e monitorare le autorizzazioni di accesso al database e attualmente cerchiamo di fornire un'ampia capacità per controllare le autorizzazioni del database e tenere traccia delle attività di accesso e mitigare il rischio di violazione.
Ora un'altra parte dei nostri prodotti per la sicurezza è che c'è un WebEx che è stato coperto e parte della presentazione di cui abbiamo parlato in precedenza erano dati. Sai chi accede a cosa, cosa hai, e questo è il nostro strumento SQL Compliance Manager. E c'è un WebEx registrato su quello strumento e che ti consentirà effettivamente di monitorare chi accede a quali tabelle, quali colonne, puoi identificare le tabelle che hanno colonne sensibili, per quanto riguarda la data di nascita, le informazioni sul paziente, quei tipi di tabelle e effettivamente vedere chi ha accesso a tali informazioni e se vi si accede.
Eric Kavanagh: Bene, quindi passiamo alle domande, immagino, qui. Forse, Dez, te lo lancio prima io, e Robin, vieni dentro come puoi.
Dez Blanchfield: Sì, ho voglia di fare una domanda dalla seconda e terza diapositiva. Qual è il tipico caso d'uso che stai vedendo per questo strumento? Chi sono i tipi più comuni di utenti che stai vedendo che stanno adottando questo e mettendolo in gioco? E sul retro di ciò, il tipico, tipo di modello di caso d'uso, come stanno andando? Come viene implementato?
Ignacio Rodriguez: Okay, il tipico caso d'uso che abbiamo sono DBA a cui è stata assegnata la responsabilità del controllo degli accessi per il database, che si sta assicurando che tutte le autorizzazioni siano impostate nel modo in cui devono essere e quindi tengono traccia, e i loro standard a posto. Sai, questi determinati account utente possono avere accesso solo a queste tabelle particolari, eccetera. E quello che stanno facendo è assicurarsi che tali standard siano stati fissati e tali standard non siano cambiati nel tempo. E questa è una delle grandi cose per cui le persone lo usano è tenere traccia e identificare se vengono apportate modifiche di cui non si è a conoscenza.
Dez Blanchfield: Perché sono quelli spaventosi, vero? È che potresti avere un, diciamo, un documento strategico, hai delle politiche che lo sostengono, hai conformità e governance sottostanti e segui le politiche, aderisci alla governance e ottiene il via libera e poi all'improvviso un mese dopo qualcuno lancia una modifica e per qualche ragione non passa attraverso la stessa scheda di revisione delle modifiche o processo di modifica, o qualunque cosa sia, o il progetto è appena andato avanti e nessuno lo sa.
Hai qualche esempio che puoi condividere - e so, ovviamente, non è sempre qualcosa che condividi perché i clienti sono un po 'preoccupati per questo, quindi non dobbiamo necessariamente nominare i nomi - ma dacci un esempio di dove tu potrei averlo visto in realtà, sai, un'organizzazione lo ha messo in atto senza accorgersene e hanno appena trovato qualcosa e realizzato, "Wow, ne è valsa la pena dieci volte, abbiamo appena trovato qualcosa che non ci siamo resi conto". qualche esempio in cui le persone lo hanno implementato e poi hanno scoperto di avere un problema più grande o un problema reale che non si rendevano conto di avere e quindi ti hanno immediatamente aggiunto alla lista delle cartoline di Natale?
Ignacio Rodriguez: Beh, penso che la cosa più grande che abbiamo visto o che abbiamo riportato sia ciò che ho appena menzionato, per quanto riguarda l'accesso che qualcuno ha avuto. Ci sono sviluppatori e quando hanno implementato lo strumento in realtà non si sono resi conto che la quantità X di questi sviluppatori aveva così tanto accesso al database e aveva accesso a oggetti particolari. E un'altra cosa sono gli account di sola lettura. C'erano alcuni account di sola lettura che avevano, venuti a scoprire che questi account di sola lettura sono in realtà, avevano inserire dati ed eliminare anche i privilegi. Ecco dove abbiamo visto alcuni vantaggi per gli utenti. La cosa importante, ancora una volta, che abbiamo sentito dire che piace alla gente, è riuscire, ancora una volta, a seguire i cambiamenti e assicurarsi che nulla li accechi.
Dez Blanchfield: Bene, come ha sottolineato Robin, hai scenari che le persone spesso non pensano, giusto? Quando non vediamo l'ora, pensiamo, se facciamo tutto secondo le regole, e lo trovo, e sono sicuro che lo vedi anche tu, dimmi se non sei d'accordo, le organizzazioni si concentrano così fortemente sullo sviluppo di strategie, politiche, conformità, governance, KPI e reportistica, che spesso si fissano così tanto da non pensare ai valori erratici. E Robin ha avuto un ottimo esempio che ho intenzione di rubargli - scusate Robin - ma l'esempio è l'altra volta in cui una copia live del database, un'istantanea e la mette in un test di sviluppo, giusto? Facciamo sviluppo, facciamo test, facciamo UAT, facciamo l'integrazione di sistemi, tutto quel genere di cose e poi facciamo un sacco di test di conformità ora. Spesso test di sviluppo, UAT, SIT in realtà ha un componente di conformità in cui ci assicuriamo solo che sia tutto sano e sicuro, ma non tutti lo fanno. Questo esempio che Robin ha fornito con una copia di una copia live del database messo in un test con l'ambiente di sviluppo per vedere se funziona ancora con i dati live. Pochissime aziende si siedono e pensano: "Succede o è possibile?" Sono sempre fissate sulle cose di produzione. Come si presenta il percorso di implementazione? Stiamo parlando di giorni, settimane, mesi? Che aspetto ha una distribuzione regolare per un'organizzazione di medie dimensioni?
Ignacio Rodriguez: giorni. Non sono nemmeno giorni, voglio dire, sono solo un paio di giorni. Abbiamo appena aggiunto una funzione in cui siamo in grado di registrare molti, molti server. Invece di dover entrare lì nello strumento e dire che c'erano 150 server, dovevi andare lì individualmente e registrare i server - ora non devi farlo. C'è un file CSV che crei e lo rimuoviamo automaticamente e non lo conserviamo per motivi di sicurezza. Ma questa è un'altra cosa che dobbiamo considerare, è che avrai un file CSV con nome utente / password.
Quello che facciamo è automaticamente, è di eliminarlo di nuovo, ma questa è un'opzione che hai. Se vuoi andare lì singolarmente e registrarli e non vuoi correre questo rischio, allora puoi farlo. Ma se vuoi usare un file CSV, mettilo in una posizione sicura, punta l'applicazione verso quella posizione, eseguirà quel file CSV e quindi verrà automaticamente impostato per eliminare quel file una volta terminato. E andrà e assicurarsi e controllare che il file sia rimosso. Il polo più lungo nella sabbia che avevamo per quanto riguarda l'implementazione era la registrazione dei server effettivi.
Dez Blanchfield: Ok. Ora hai parlato di rapporti. Puoi darci un po 'più di dettagli e approfondimenti su ciò che viene pre-raggruppato per quanto riguarda i rapporti solo intorno, suppongo, il componente di scoperta di guardare cosa c'è dentro e riferire su di esso, lo stato attuale della nazione, cosa viene prima costruito e pre-cotto per quanto riguarda i rapporti sullo stato attuale di conformità e sicurezza, e quindi con che facilità sono estendibili? Come possiamo costruire su quelli?
Ignacio Rodriguez: Ok. Alcuni dei rapporti che abbiamo, abbiamo rapporti che riguardano il cross-server, i controlli di accesso, i filtri di raccolta dati, la cronologia delle attività e quindi i rapporti di valutazione dei rischi. E anche qualsiasi account Windows sospetto. Ce ne sono molti, molti qui. Visualizza sospetti accessi SQL, accessi al server e mappatura utente, autorizzazioni utente, tutte le autorizzazioni utente, ruoli server, ruoli database, una certa quantità di vulnerabilità che abbiamo o rapporti di autenticazione in modalità mista, database di abilitazione guest, vulnerabilità del sistema operativo tramite XPS, procedure estese, e quindi i ruoli fissi vulnerabili. Questi sono alcuni dei rapporti che abbiamo.
Dez Blanchfield: E hai detto che sono abbastanza significativi e alcuni di loro, il che è una cosa logica. Quanto è facile per me adattarlo? Se eseguo un rapporto e ottengo questo grande grafico, ma voglio estrarre alcuni pezzi che non mi interessano molto e aggiungere un paio di altre funzionalità, c'è uno scrittore di rapporti, c'è una sorta di interfaccia e strumento per configurare e personalizzare o anche potenzialmente creare un altro report da zero?
Ignacio Rodriguez: Vorremmo quindi indirizzare gli utenti a utilizzare Microsoft SQL Report Services per farlo e abbiamo molti clienti che prenderanno effettivamente alcuni dei report, li personalizzeranno e li pianificheranno quando vogliono. Alcuni di questi ragazzi vogliono vedere questi rapporti su base mensile o settimanale e prenderanno le informazioni di cui disponiamo, le trasferiranno nei Reporting Services e poi le faranno da lì. Non abbiamo uno scrittore di report integrato con il nostro strumento, ma sfruttiamo i Reporting Services.
Dez Blanchfield: Penso che sia una delle maggiori sfide con questi strumenti. Puoi entrare e trovare roba, ma poi devi essere in grado di estrarla, segnalarla a persone che non sono necessariamente DBA e ingegneri di sistema. C'è un ruolo interessante che si è verificato nella mia esperienza e che, sai, i responsabili del rischio sono sempre stati nelle organizzazioni e che sono stati prevalentemente presenti e una gamma completamente diversa di rischi che abbiamo visto di recente, mentre ora con i dati le violazioni non sono solo una cosa, ma un vero tsunami, la CRO è passata dall'essere, sapete, risorse umane e conformità e attenzione alla salute e sicurezza sul lavoro ora al rischio cibernetico. Sai, violazione, hacking, sicurezza - molto più tecnico. E sta diventando interessante perché ci sono molti CRO che provengono da un pedigree di MBA e non da un pedigree tecnico, quindi devono rimettersi in testa, in un certo senso, cosa significa questo per la transizione tra il rischio cibernetico CRO, e così via. Ma la cosa importante che vogliono è solo la segnalazione della visibilità.
Puoi dirci qualcosa in merito al posizionamento in merito alla conformità? Ovviamente uno dei grandi punti di forza di questo è che puoi vedere cosa sta succedendo, puoi monitorarlo, puoi imparare, puoi riferire su di esso, puoi reagire ad esso, puoi persino anticipare alcune cose. La sfida principale è la conformità della governance. Ci sono parti fondamentali di questo che si collegano deliberatamente ai requisiti di conformità esistenti o alla conformità del settore come PCI, o qualcosa del genere attualmente, o è qualcosa che sta arrivando lungo la road map? Si adatta, in qualche modo, al quadro di artisti del calibro di COBIT, ITIL e ISO? Se abbiamo implementato questo strumento, ci fornisce una serie di controlli e di equilibri che si adattano a quei framework, o come lo costruiamo in quei framework? Dov'è la posizione con questo tipo di cose in mente?
Ignacio Rodriguez: Sì, ci sono modelli che abbiamo che forniamo con lo strumento. E stiamo tornando al punto in cui stiamo rivalutando i nostri modelli e stiamo per aggiungere e presto ce ne saranno altri. FISMA, FINRA, alcuni modelli aggiuntivi che abbiamo e di solito esaminiamo i modelli e cerchiamo di vedere cosa è cambiato, cosa dobbiamo aggiungere? E in realtà vogliamo arrivare al punto in cui, sai, i requisiti di sicurezza sono cambiati un po ', quindi stiamo cercando un modo per renderlo espandibile al volo. È qualcosa che stiamo guardando in futuro.
Ma in questo momento stiamo guardando forse creando modelli e potendo ottenere i modelli da un sito Web; puoi scaricarli. Ed è così che lo gestiamo: li gestiamo attraverso i modelli e stiamo cercando modi in futuro qui per renderlo facilmente espandibile e veloce. Perché quando facevo l'auditing, sai, le cose cambiano. Un auditor verrebbe un mese e il mese successivo vorranno vedere qualcosa di diverso. Quindi questa è una delle sfide con gli strumenti, essere in grado di fare quei cambiamenti e ottenere ciò di cui hai bisogno, ed è, in un certo senso, dove vogliamo arrivare.
Dez Blanchfield: Immagino che la sfida di un revisore dei conti cambi regolarmente, alla luce del fatto che il mondo si sta muovendo più velocemente. E una volta, il requisito dal punto di vista dell'audit, secondo la mia esperienza, sarebbe solo pura conformità commerciale, e poi è diventato conformità tecnica e ora è conformità operativa. E c'è tutto questo, sai, ogni giorno qualcuno si presenta e non ti sta solo misurando su qualcosa come l'operazione ISO 9006 e 9002, sta guardando a tutti i tipi di cose. E ora vedo che le serie 38.000 stanno diventando una cosa importante anche in ISO. Immagino che diventerà sempre più stimolante. Sto per consegnare a Robin perché ho controllato la larghezza di banda.
Grazie mille, lo vedo, e sicuramente passerò più tempo a conoscerlo perché in realtà non mi rendevo conto che in realtà era abbastanza approfondito. Quindi, grazie, Ignacio, vado a consegnare a Robin ora. Un'ottima presentazione, grazie. Robin, di fronte a te.
Dr. Robin Bloor: Okay Iggy, ti chiamerò Iggy, se va bene. Ciò che mi stupisce, e penso alla luce di alcune delle cose che Dez ha detto nella sua presentazione, c'è un sacco di cose in corso là fuori che devi dire che le persone non si prendono davvero cura dei dati. Sai, soprattutto quando si tratta del fatto che vedi solo parte dell'iceberg e probabilmente c'è molto da fare che nessuno stia segnalando. Sono interessato alla tua prospettiva su quanti dei clienti di cui sei a conoscenza, o potenziali clienti di cui sei a conoscenza, hanno il livello di protezione che, in un certo senso, offri non solo con questo, ma anche la tua tecnologia di accesso ai dati? Voglio dire, chi è là fuori è adeguatamente attrezzato per affrontare la minaccia, è la domanda?
Ignacio Rodriguez: chi è adeguatamente attrezzato? Voglio dire, molti clienti che non abbiamo davvero affrontato alcun tipo di audit, lo sai. Ne hanno avuti alcuni, ma la cosa importante è cercare di tenerlo al passo e cercare di mantenerlo e assicurarsi. Il grosso problema che abbiamo riscontrato è - e anche io quando stavo facendo la conformità, è - se avessi eseguito i tuoi script, lo avresti fatto una volta ogni trimestre quando sarebbero arrivati i revisori e tu avessi trovato un problema. Bene, indovina un po ', è già troppo tardi, l'auditing è lì, i revisori sono lì, vogliono il loro rapporto, lo segnalano. E poi o otteniamo un segno o ci è stato detto, ehi, dobbiamo risolvere questi problemi, ed è qui che entrerebbe in gioco. Sarebbe più una cosa di tipo proattivo in cui puoi trovare il tuo rischio e mitigare il rischio e questo è ciò che i nostri clienti stanno cercando. Un modo per essere in qualche modo proattivo anziché essere reattivo quando i revisori entrano e scoprono che alcuni degli accessi non sono dove devono essere, altre persone hanno privilegi amministrativi e non dovrebbero averli, quel tipo di cose. Ed è qui che abbiamo ricevuto molti feedback, che piacciono allo strumento e per cui lo stanno usando.
Dr. Robin Bloor: Okay, ho un'altra domanda che è, in un certo senso, anche una domanda ovvia, ma sono solo curioso. Quante persone vengono effettivamente da te sulla scia di un hack? Dove, sai, stai ottenendo il business, non perché hanno guardato il loro ambiente e hanno pensato che dovevano essere protetti in un modo molto più organizzato, ma in realtà sei lì semplicemente perché hanno già subito alcuni dei dolore.
Ignacio Rodriguez: Ai miei tempi qui all'IDERA non ne ho visto uno. Ad essere sincero con te, la maggior parte delle interazioni che ho avuto con i clienti con cui sono stato coinvolto sono più di uno sguardo al futuro e cercando di iniziare l'auditing e iniziare a guardare i privilegi, eccetera. Come ho detto, ho me stesso, non ho sperimentato nel mio tempo qui, che abbiamo avuto qualcuno che è venuto dopo la violazione che conosco.
Dr. Robin Bloor: Oh, è interessante. Avrei pensato che ce ne sarebbero stati almeno alcuni. In realtà sto guardando questo, ma aggiungendo anche ad esso, tutte le complessità che stanno effettivamente rendendo i dati sicuri in tutta l'azienda in tutti i modi e in tutte le attività che svolgi. Offrite consulenza direttamente per aiutare le persone? Voglio dire, è chiaro che puoi acquistare strumenti, ma nella mia esperienza, spesso le persone acquistano strumenti sofisticati e li usano molto male. Offrite consulenza specifica: cosa fare, chi formare e cose del genere?
Ignacio Rodriguez: Ci sono alcuni servizi che potresti, per quanto riguarda i servizi di supporto, che permetteranno che ciò avvenga. Ma per quanto riguarda la consulenza, non forniamo alcun servizio di consulenza ma formazione, sai, come usare gli strumenti e cose del genere, alcune di queste verrebbero affrontate con il livello di supporto. Ma di per sé non abbiamo un dipartimento di servizi che esce e lo fa.
Dr. Robin Bloor: Ok. In termini di database che si copre, la presentazione qui menziona solo Microsoft SQL Server - fai anche Oracle?
Ignacio Rodriguez: Prima di tutto ci espanderemo nel regno Oracle con Compliance Manager. Inizieremo un progetto con quello, quindi cercheremo di espandere questo in Oracle.
Dr. Robin Bloor: E probabilmente andrai altrove?
Ignacio Rodriguez: Sì, è qualcosa che dobbiamo guardare nelle tabelle di marcia e vedere come stanno le cose, ma queste sono alcune delle cose che stiamo prendendo in considerazione, è ciò che altre piattaforme di database devono attaccare.
Dr. Robin Bloor: Ero anche interessato alla divisione, non ho alcuna idea preconcetta di questo, ma in termini di implementazioni, quanto di questo viene effettivamente distribuito nel cloud, o è quasi tutto on-premise ?
Ignacio Rodriguez: tutto on-premise. Stiamo cercando di estendere anche Secure per coprire Azure, sì.
Dr. Robin Bloor: Questa era la domanda di Azure, non ci sei ancora ma ci stai andando, ha molto senso.
Ignacio Rodriguez: Sì, ci andremo molto presto.
Dr. Robin Bloor: Sì, beh, la mia comprensione da parte di Microsoft è che c'è un sacco di azione con Microsoft SQL Server in Azure. Sta diventando, se vuoi, una parte fondamentale di ciò che offrono. L'altra domanda che mi interessa in qualche modo - non è tecnica, è più simile a una domanda su come si fa - chi è l'acquirente per questo? Vieni contattato dal dipartimento IT o vieni avvicinato dai CSO o è una diversa varietà di persone? Quando si prende in considerazione qualcosa del genere, fa parte del guardare tutta una serie di cose per proteggere l'ambiente? Qual è la situazione lì?
Ignacio Rodriguez: È un misto. Abbiamo CSO, molte volte il team di vendita si rivolge e parla con i DBA. E poi i DBA, ancora una volta, sono stati incaricati di attuare una sorta di politiche di processo di audit. E poi da lì valuteranno gli strumenti e riferiranno sulla catena e prenderanno una decisione su quale parte che vogliono acquistare. Ma è un miscuglio di chi ci contatterà.
Dr. Robin Bloor: Ok. Penso che tornerò a Eric ora perché, in un certo senso, abbiamo fatto l'ora, ma potrebbero esserci alcune domande del pubblico. Eric?
Eric Kavanagh: Sì certo, abbiamo bruciato molti buoni contenuti qui. Ecco una domanda davvero buona che farò a te da uno dei partecipanti. Sta parlando della blockchain e di cosa stai parlando, e sta chiedendo, c'è un modo possibile per migrare una parte di sola lettura di un database SQL a qualcosa di simile a ciò che offre la blockchain? È un po 'difficile.
Ignacio Rodriguez: Sì, sarò onesto con te, non ho una risposta a quello.
Eric Kavanagh: lo lancerò a Robin. Non so se hai sentito quella domanda, Robin, ma sta solo chiedendo, c'è un modo per migrare la parte di sola lettura di un database SQL in qualcosa di simile a ciò che offre la blockchain? Cosa ne pensi di questo?
Dr. Robin Bloor: È come se, se stai per migrare il database, migrerai anche il traffico del database. C'è tutta una serie di complessità coinvolta nel farlo. Ma non lo faresti per nessun motivo se non quello di rendere inviolabili i dati. Poiché l'accesso a una blockchain sarà più lento, quindi, sai, se la velocità è la tua cosa - e quasi sempre è la cosa - allora non lo faresti. Ma se volessi fornire, in un certo senso, un accesso crittografato con chiave a una parte di esso ad alcune persone che fanno quel tipo di cose, potresti farlo, ma dovresti avere un'ottima ragione. Hai molte più probabilità di lasciarlo dov'è e assicurarlo dove si trova.
Dez Blanchfield: Sì, sono d'accordo, se posso soppesare rapidamente. Penso che la sfida della blockchain, anche la blockchain che è pubblicamente disponibile, sia utilizzata su bitcoin - stiamo trovando difficile scalarla oltre, una sorta di, quattro transazioni al minuto in modo completamente distribuito. Non tanto a causa della sfida del calcolo, anche se è lì, i nodi completi stanno solo trovando difficile tenere il passo con i volumi del database che si spostano avanti e indietro e la quantità di dati che vengono copiati perché sono concerti adesso, non solo mega.
Ma penso anche che la sfida chiave sia che devi cambiare l'architettura dell'applicazione perché in un database si tratta principalmente di portare tutto in una posizione centrale e hai quel modello di tipo client-server. Blockchain è l'inverso; si tratta di copie distribuite. È più simile a BitTorrent in molti modi, ed è che molte copie sono disponibili con gli stessi dati. E, sai, come Cassandra e database in memoria dove li distribuisci e molti server possono darti copie degli stessi dati da un indice distribuito. Penso che le due parti chiave, come hai detto, Robin, siano: una, se vuoi proteggerla e assicurarti che non possa essere rubata o hackerata, va benissimo, ma non è ancora necessariamente una piattaforma transazionale, e noi l'ho sperimentato con il progetto bitcoin. Ma in teoria altri lo hanno risolto. Ma anche architettonicamente molte applicazioni là fuori non sanno come interrogare e leggere da una blockchain.
C'è molto lavoro da fare lì. Ma penso che il punto chiave con la domanda lì, solo se posso, è la logica per spostarlo su una blockchain, penso che la domanda che viene posta sia, puoi prendere i dati da un database e metterli in una forma che è più sicuro? E la risposta è che puoi lasciarlo nel database e crittografarlo. Ci sono molte tecnologie ora. Crittografa i dati a riposo o in movimento. Non c'è motivo per cui non si possano avere dati crittografati in memoria e nel database su disco, il che è una sfida molto più semplice perché non si ha una singola modifica architettonica. Invariabilmente la maggior parte delle piattaforme di database, in realtà è solo una funzione che viene abilitata.
Eric Kavanagh: Sì, abbiamo un'ultima domanda che farò a te, Iggy. È abbastanza buono. Dal punto di vista dello SLA e della pianificazione della capacità, che tipo di imposta esiste utilizzando il sistema? In altre parole, qualsiasi ulteriore latenza o sovraccarico di throughput se, in un sistema di database di produzione, qualcuno vuole coinvolgere la tecnologia IDERA qui?
Ignacio Rodriguez: Non vediamo davvero molto impatto. Ancora una volta, è un prodotto senza agenti e tutto dipende, come ho già detto, dalle istantanee. Sicuro è basato su istantanee. Andrà là fuori e creerà effettivamente un lavoro che andrà là fuori in base agli intervalli che hai selezionato. O vuoi farlo, di nuovo, settimanalmente, quotidianamente, mensilmente. Andrà là fuori ed eseguirà quel lavoro e quindi raccoglierà i dati dalle istanze. A quel punto il carico ritorna quindi ai servizi di gestione e raccolta, una volta che si iniziano a fare i confronti e tutto il resto, il carico sul database non ha un ruolo in questo. Tutto quel carico è ora sul server di gestione e raccolta, per quanto riguarda i confronti e tutti i rapporti e tutto il resto. L'unica volta che si colpisce il database è sempre quando si esegue l'istantanea effettiva. E non abbiamo avuto alcuna notizia che sia davvero dannoso per gli ambienti di produzione.
Eric Kavanagh: Sì, è davvero un buon punto per te. Fondamentalmente puoi semplicemente impostare quante istantanee hai mai fatto, qual è quell'intervallo di tempo e in base a ciò che potrebbe accadere, ma questa è un'architettura molto intelligente. Questa è roba buona, amico. Bene ragazzi siete in prima linea cercando di proteggerci da tutti quegli hacker di cui abbiamo parlato nei primi 25 minuti dello show. E loro sono là fuori, gente, non fare errori.
Bene, ascolta, pubblicheremo un link a questo webcast, agli archivi, sul nostro sito insideanalysis.com. Puoi trovare cose su SlideShare, puoi trovarle su YouTube. E gente, roba buona. Grazie per il tuo tempo, Iggy, adoro il tuo soprannome, comunque. Con ciò ti saluteremo, gente. Grazie mille per il tuo tempo e la tua attenzione. Ti raggiungeremo la prossima volta. Ciao ciao.