вынос: Ведущий Эрик Кавана обсуждает вопросы безопасности и разрешений с доктором Робином Блором и IDERAs Вики Харп.
Вы не вошли в систему. Пожалуйста, войдите или зарегистрируйтесь, чтобы увидеть видео.
Эрик Кавана: Хорошо, дамы и господа, привет и добро пожаловать снова. Это среда, это четыре восточных и в мире корпоративных технологий, что означает еще раз для Hot Technologies! Да, в самом деле. Представлено группой Bloor, конечно, при поддержке наших друзей в Techopedia. Сегодняшняя тема очень крутая: «Лучше спросить разрешения: лучшие практики для обеспечения конфиденциальности и безопасности». Правильно, это своего рода сложная тема, многие об этом говорят, но довольно серьезная, и С каждым днем это становится все серьезнее, честно говоря. Это серьезная проблема во многих организациях. Мы собирались поговорить об этом и собирались поговорить о том, что вы можете сделать, чтобы защитить свою организацию от гнусных персонажей, которые, кажется, повсюду.
Итак, сегодняшний ведущий - Вики Харп, звонит из IDERA. Вы можете увидеть Программное обеспечение IDERA на LinkedIn - я люблю новые функциональные возможности на LinkedIn. Хотя я могу сказать, что они натягивают некоторые строки определенным образом, не позволяя вам получить доступ к людям, пытаясь заставить вас купить эти премиальные членства. Вот, пожалуйста, у нас есть свой собственный Робин Блур, который звонит сегодня - фактически, в районе Сан-Диего. И вы действительно как ваш модератор / аналитик.
Так о чем мы говорим? Нарушения данных. Я только что взял эту информацию с IdentityForce.com, она уже отправлена в гонки. Конечно, в мае этого года, когда было множество взломов данных, есть и действительно огромные, конечно, Yahoo! был большой, и мы слышали о том, что правительство США взломали. Мы только что взломали выборы во Франции.
Это происходит повсюду, оно продолжается и не собирается останавливаться, поэтому это реальность, это, как говорится, новая реальность. Нам действительно нужно подумать о способах обеспечения безопасности наших систем и наших данных. И это непрерывный процесс, поэтому как раз вовремя подумать обо всех различных проблемах, которые вступают в игру. Это только частичный список, но он дает вам некоторое представление о том, насколько нестабильна ситуация в наши дни с корпоративными системами. А перед этим шоу в нашем предшоу-шуте мы говорили о вымогателе, который ударил кого-то, кого я знаю, что очень неприятно, когда кто-то захватывает ваш iPhone и требует от вас денег, чтобы получить доступ к вашему телефону. Но это случается, это случается с компьютерами, это происходит с системами, я видел только на днях, это происходит с миллиардерами с их яхтами. Представьте себе, что однажды вы отправитесь на свою яхту, пытаясь произвести впечатление на всех своих друзей, и вы даже не сможете ее включить, потому что какой-то вор украл доступ к элементам управления, панели управления. Я только что сказал на днях в интервью с кем-то, всегда есть ручное управление. Мол, я не большой поклонник всех подключенных автомобилей - даже автомобили могут быть взломаны. Все, что подключено к Интернету или к сети, в которую можно проникнуть, может быть взломано, что угодно.
Итак, вот лишь несколько моментов, которые следует рассмотреть с точки зрения определения степени серьезности ситуации. В наши дни веб-системы повсеместно распространяются. Сколько людей покупают вещи онлайн? В наши дни это только через крышу, поэтому Амазонка такая мощная сила в эти дни. Это потому, что так много людей покупают вещи онлайн.
Итак, вы помните, тогда, 15 лет назад, люди очень нервничали из-за того, что помещали свою кредитную карту в веб-форму для получения своей информации, и тогда аргумент был: «Хорошо, если вы передадите свою кредитную карту официанту в ресторан, значит, это одно и то же ». Итак, наш ответ - да, это одно и то же, есть все эти контрольные точки, или точки доступа, одна и та же вещь, разные стороны одной медали, куда людей можно поставить в опасности, где кто-то может взять ваши деньги, или кто-то может украсть у вас.
Затем IoT, конечно, расширяет границы угроз - я люблю это слово - на порядки. Я имею в виду, подумайте об этом - со всеми этими новыми устройствами повсюду, если кто-то сможет взломать систему, которая их контролирует, он может повернуть всех этих ботов против вас и вызвать множество проблем, так что это очень серьезная проблема. В наши дни у нас глобальная экономика, которая еще больше расширяет границы угроз, и, более того, у вас есть люди в других странах, которые могут получить доступ к Интернету так же, как вы и я, и если вы не знаете, как говорить по-русски, или любое количество других языков, вам будет трудно понять, что происходит, когда они взломают вашу систему. Так что у нас есть достижения в области сетей и виртуализации, и это хорошо.
Но у меня на правой стороне этой картины есть меч, и причина, по которой он у меня есть, заключается в том, что каждый меч режет в обе стороны. Это, как говорится, обоюдоострый меч, и это старое клише, но это значит, что меч, который у меня есть, может навредить вам или может навредить мне. Он может вернуться ко мне, либо отскочив назад, либо от того, кто его заберет. На самом деле это одна из басен Эзопа - мы часто даем нашим врагам инструменты нашего собственного уничтожения. Это действительно довольно убедительная сюжетная линия, связанная с кем-то, кто использовал лук и стрелу и сбил птицу, и птица увидела, как стрела поднималась, что перо одного из его друзей-птиц было на краю стрелы, на тыльной стороне стрелы, чтобы направлять его, и он подумал: «О, чувак, вот оно, мои собственные перья, моя собственная семья будет использована, чтобы убить меня». Это происходит постоянно, вы слышите, Статистика о том, что у вас есть пистолет в доме, вор может взять пистолет. Ну, это все правда. Итак, я приведу это в качестве аналогии, просто чтобы учесть, что все эти разные разработки имеют свои положительные и отрицательные стороны.
И, говоря о контейнерах, для тех из вас, кто действительно следит за передовыми достижениями в области корпоративных вычислений, контейнеры - это новейшая вещь, новейший способ предоставления функциональности, это действительно сочетание виртуализации в сервис-ориентированной архитектуре, по крайней мере, для микросервисов и их очень интересные вещи. Вы, конечно, можете запутать свои протоколы безопасности и протоколы приложений, а также свои данные и т. Д., Используя контейнеры, и это дает вам преимущество на некоторый период времени, но рано или поздно плохие парни поймут это, и тогда будет еще труднее помешать им воспользоваться вашими системами. Таким образом, существует глобальная рабочая сила, которая усложняет сеть и безопасность, и откуда люди входят в систему.
Мы получили войны браузеров, которые продолжаются быстро и требуют постоянной работы, чтобы обновляться и оставаться в курсе событий. Мы продолжаем слышать о старых браузерах Microsoft Explorer, о том, как они были взломаны и доступны там. Итак, в наши дни можно заработать больше денег на взломе, есть целая индустрия, чему меня научил мой партнер, доктор Блур, восемь лет назад - мне было интересно, почему мы так много видим, и он напомнил Я, это целая индустрия, занимающаяся взломом. И в этом смысле повествование, которое является одним из моих наименее любимых слов о безопасности, на самом деле очень нечестно, потому что повествование показывает вас во всех этих видео и любых новостных выпусках, некоторые взломы показывают какого-то парня в толстовке, сидя в его подвале в темной освещенной комнате, это совсем не так. Это вовсе не является представителем реальности. Это одинокие хакеры, очень мало одиноких хакеров, они там, они создают некоторые проблемы - они не вызовут больших проблем, но они могут заработать много денег. Так что происходит, когда хакеры входят и проникают в вашу систему, а затем продают этот доступ кому-то еще, кто оборачивается и продает его кому-то еще, а затем где-то в конце, кто-то использует этот взлом и использует вас. И есть бесчисленное множество способов воспользоваться украденными данными.
Я даже удивлялся тому, как мы очаровывали эту концепцию. Вы видите этот термин повсюду, «хакинг роста», как это хорошо. Хакерство роста, вы знаете, хакерство может быть хорошей вещью, если вы пытаетесь работать на хороших парней, если можно так выразиться, и взламываете систему, как мы постоянно слышим о Северной Корее и ее запусках ракет, потенциально хакерских - это хорошо , Но взлом часто бывает плохим. Так что теперь это гламурно, почти как Робин Гуд, когда мы гламурно Робин Гуд. И затем есть безналичное общество, что-то, что откровенно касается дневного света из меня. Все, что я думаю каждый раз, когда слышу, это «Нет, пожалуйста, не делай этого! Пожалуйста, не надо! »Я не хочу, чтобы все наши деньги исчезли. Итак, это лишь некоторые вопросы, которые нужно рассмотреть, и опять же, это игра в кошки-мышки; его никогда не остановить, всегда будут нужны протоколы безопасности и для продвижения протоколов безопасности. И для мониторинга ваших систем даже для того, чтобы знать и чувствовать, кто там, с пониманием, что это может быть даже внутренней работой. Таким образом, это постоянная проблема, это будет продолжающаяся проблема в течение достаточно долгого времени - не делайте ошибку в этом.
И с этим, я собираюсь передать это доктору Блору, который может поделиться с нами некоторыми мыслями о защите баз данных. Робин, убери это.
Робин Блур: Хорошо, один из интересных взломов, я думаю, это произошло около пяти лет назад, но в основном это была компания по обработке карт, которая была взломана. И было украдено большое количество карточных данных. Но для меня было интересным то, что это была тестовая база данных, в которую они фактически попали, и, вероятно, им было очень трудно попасть в настоящую, реальную базу данных карт обработки. Но вы знаете, как это происходит с разработчиками, они просто берут кусочек базы данных, запихивают ее туда. Чтобы прекратить это, нужно было быть гораздо бдительнее. Но есть много интересных хакерских историй, которые делают в одной области, это делает очень интересную тему.
Так что я собираюсь на самом деле, так или иначе, повторить некоторые вещи, которые сказал Эрик, но о безопасности данных легко думать как о статической цели; это проще, потому что легче анализировать статические ситуации, а затем думать о том, чтобы поставить защиту, защиту там, но это не так. Это движущаяся цель, и это одна из тех вещей, которая как бы определяет все пространство безопасности. Просто в том, как развиваются все технологии, развивается и технология плохих парней. Итак, краткий обзор: кража данных не является чем-то новым, на самом деле шпионаж данных - это кража данных, и я думаю, что это происходит уже тысячи лет.
Самым большим ограблением данных в этих терминах было то, что англичане взломали германские коды, а американцы взломали японские коды, и в обоих случаях они значительно сократили войну. И они просто крали полезные и ценные данные, конечно, это было очень умно, но, знаете, то, что происходит сейчас, очень умно во многих отношениях. Кибер-кража родилась в Интернете и взорвалась примерно в 2005 году. Я пошел и посмотрел все статистические данные, и когда вы начали становиться действительно серьезными и, так или иначе, удивительно высокими цифрами, начиная примерно с 2005 года. тогда. Многие игроки, правительства вовлечены, бизнес вовлечен, хакерские группы и отдельные лица.
Я уехал в Москву - должно быть, это было около пяти лет - и я провел много времени с парнем из Великобритании, который исследует все пространство хакерских атак. И он сказал, что - и я понятия не имею, правда ли это, у меня есть только его слово, но это звучит очень вероятно, - что в России есть нечто, называемое Business Network, а это группа хакеров, которые все, вы знаете, они вышли из руин КГБ. И они продают себя, не только, я имею в виду, я уверен, что российское правительство использует их, но они продают себя кому угодно, и ходили слухи, или он сказал, что по слухам, что различные иностранные правительства использовали Деловую сеть для правдоподобного отрицания , У этих парней были сети миллионов скомпрометированных ПК, с которых они могли атаковать. И у них были все инструменты, которые вы можете себе представить.
Итак, технология атаки и защиты развивалась. И предприятия обязаны заботиться о своих данных, независимо от того, владеют они ими или нет. И это начинает становиться все более понятным с точки зрения различных частей регулирования, которые фактически уже вступили в силу или вступают в силу. И, вероятно, кто-то улучшится, так или иначе, кто-то должен нести расходы на взлом таким образом, что у него появляется стимул закрыть эту возможность. Это одна из вещей, которые, я думаю, необходимы. Так что о хакерах они могут быть расположены где угодно. Особенно в вашей организации - очень много гениальных хаков, о которых я слышал, когда кто-то открывал дверь. Вы знаете, человек, это как ситуация с грабителями банков, почти всегда они говорили, что при хороших ограблениях банков есть инсайдер. Но инсайдеру нужно только выдавать информацию, поэтому трудно их получить, узнать, кто это был, и так далее, и тому подобное.
И может быть трудно привлечь их к ответственности, потому что если вы были взломаны группой людей в Молдове, даже если вы знаете, что это была та группа, как вы собираетесь устроить какое-то законное событие вокруг них? В своем роде, из одной юрисдикции в другую, просто, не существует очень хорошего набора международных соглашений, чтобы определить хакеров. Они делятся технологиями и информацией; во многом это с открытым исходным кодом. Если вы хотите создать свой собственный вирус, существует множество наборов вирусов с полностью открытым исходным кодом. И у них есть значительные ресурсы, есть ряд, у которых есть бот-сети на более чем миллионе скомпрометированных устройств в центрах обработки данных, на ПК и так далее. Некоторые из них являются прибыльными бизнесами, которые развиваются в течение длительного времени, а затем, как я уже говорил, существуют правительственные группы.Маловероятно, что, как сказал Эрик, вряд ли это явление когда-нибудь закончится.
Итак, это интересный хак, я просто подумал, что упомяну об этом, потому что это был довольно недавний хак; это случилось в прошлом году. В контракте DAO была уязвимость, связанная с крипто-монетой Etherium. И это обсуждалось на форуме, и в течение дня контракт DAO был взломан, и именно эта уязвимость была использована. 50 миллионов долларов в эфире были откачаны, что вызвало немедленный кризис в проекте DAO и закрыло его. И Этериум на самом деле боролся за то, чтобы не позволить хакеру получить доступ к деньгам, и они как бы сократили его прибыль. Но также считалось - не известно наверняка - что хакер фактически снизил цену эфира до своей атаки, зная, что цена эфира рухнет, и таким образом получил прибыль другим способом.
И это еще одна, если хотите, хитрость, которую могут использовать хакеры. Если они могут повредить цену вашей акции, и они знают, что они это сделают, то им просто необходимо укорачивать цену акции и совершать хакерство, так что, похоже, эти парни умны, вы знаете. И цена - это кража денег, срыв и выкуп, в том числе инвестиции, когда вы нарушаете и сокращаете акции, саботаж, кража личных данных, все виды мошенничества, просто ради рекламы. И это, как правило, политический или, очевидно, информационный шпионаж, и есть даже люди, которые зарабатывают на жизнь за счет багов, которые вы можете получить, пытаясь взломать Google, Apple, - даже Пентагон, на самом деле дает багов. И вы просто взломать; если он успешен, тогда вы просто идете и претендуете на свой приз, и никакой ущерб не причинен, так что это хорошо, вы знаете.
Я мог бы также упомянуть соблюдение и регулирование. Помимо отраслевых инициатив, существует множество официальных нормативных актов: HIPAA, SOX, FISMA, FERPA и GLBA - все это законодательство США. Есть стандарты; PCI-DSS стал довольно общим стандартом. И затем есть ISO 17799 о владении данными. Национальные правила отличаются от страны к стране, даже в Европе. И в настоящее время GDPR - глобальные данные, что это означает? Глобальное положение о защите данных, я думаю, оно стоит - но оно вступит в силу в следующем году, сказал. И самое интересное в этом то, что он применяется во всем мире. Если у вас есть 5000 или более клиентов, с которыми у вас есть личная информация, и они живут в Европе, тогда Европа фактически возьмет вас на себя, независимо от того, где находится ваша корпорация, или где она работает. А штрафы, максимальный штраф составляет четыре процента годового дохода, который просто огромен, так что это будет интересный поворот в мире, когда он вступит в силу.
Надо подумать об уязвимостях СУБД, большинство ценных данных фактически хранится в базах данных. Это ценно, потому что мы потратили очень много времени на то, чтобы сделать его доступным и организовать его, и это делает его более уязвимым, если вы на самом деле не применяете правильные ценные бумаги СУБД. Очевидно, что если вы планируете такие вещи, вам необходимо определить, какие уязвимые данные находятся в организации, учитывая, что данные могут быть уязвимы по разным причинам. Это могут быть данные клиента, но в равной степени это могут быть внутренние документы, которые будут полезны для шпионских целей и так далее. Политика безопасности, особенно в отношении безопасности доступа - которая в последнее время была, на мой взгляд, очень слабой, в новом материале с открытым исходным кодом - шифрование становится все более популярным, потому что оно довольно прочное.
Стоимость взлома безопасности, большинство людей не знали, но если вы действительно посмотрите на то, что произошло с организациями, которые пострадали от взломов безопасности, то окажется, что цена взлома безопасности часто намного выше, чем вы думаете. И еще одна вещь, о которой стоит подумать, это поверхность атаки, потому что любая часть программного обеспечения, работающая в вашей организации, представляет поверхность атаки. То же самое можно сказать и о любых устройствах, независимо от того, как они хранятся. Все это, поверхность атаки растет с интернетом вещей, поверхность атаки, вероятно, удвоится.
Итак, наконец, администратор базы данных и безопасность данных. Безопасность данных обычно является частью роли администраторов баз данных. Но это тоже сотрудничество. И это должно быть предметом корпоративной политики, иначе это, вероятно, не будет реализовано должным образом. Сказав это, я думаю, что могу передать мяч.
Эрик Кавана: Хорошо, позвольте мне дать ключи Вики. И вы можете поделиться своим экраном или перейти к этим слайдам, до вас, забрать его.
Вики Арфа: Нет, я начну с этих слайдов, большое спасибо. Так что, да, я просто хотел немного подумать и представиться. Я Вики Арфа. Я менеджер по управлению продуктами для продуктов SQL в программном обеспечении IDERA, и для тех из вас, кто, возможно, не знаком с нами, у IDERA есть ряд продуктовых линеек, но я здесь говорю о стороне SQL Server. Итак, мы осуществляем мониторинг производительности, соответствие требованиям безопасности, резервное копирование, инструменты администрирования - и это всего лишь их список. И, конечно, сегодня я хочу поговорить о безопасности и соответствии.
Основная часть того, о чем я хочу поговорить сегодня, - это не обязательно наши продукты, хотя я собираюсь показать некоторые примеры этого позже. Я хотел поговорить с вами больше о безопасности баз данных, о некоторых угрозах в мире безопасности баз данных прямо сейчас, о некоторых вещах, о которых нужно подумать, и о некоторых вводных идеях того, на что вам нужно обратить внимание, чтобы защитить свой SQL Серверные базы данных, а также чтобы убедиться, что они соответствуют нормативно-правовой базе, на которую вы можете распространяться, как уже упоминалось. Есть много разных правил; они работают в разных отраслях, в разных местах по всему миру, и об этом нужно думать.
Итак, я бы хотел немного остановиться и поговорить о состоянии утечки данных - и не повторять слишком много из того, что уже обсуждалось здесь, - я недавно просматривал это исследование Intel по безопасности и во всех их - я думаю, Около 1500 организаций, с которыми они общались - у них было в среднем шесть нарушений безопасности с точки зрения утраты данных, и 68 процентам из них требовалось раскрытие информации в некотором смысле, поэтому они влияли на цену акций или им приходилось отдавать должное мониторинг своих клиентов или сотрудников и т. д.
Некоторые интересные другие статистические данные о том, что внутренние субъекты, которые были ответственны за 43 процента из них. Таким образом, многие люди много думают о хакерах и подобных теневых квази-правительственных организациях или организованной преступности и т. Д., Но внутренние участники все еще принимают непосредственные меры против своих работодателей, в довольно высокой доле случаев. И от них иногда труднее защититься, потому что у людей могут быть законные причины иметь доступ к этим данным. Около половины этого, 43 процента были случайными потерями в некотором смысле. Так, например, в случае, когда кто-то забрал данные домой, а затем потерял отслеживание этих данных, что приводит меня к третьему пункту, а именно к тому, что материал на физическом носителе все еще был связан с 40 процентами нарушений. Итак, это USB-ключи, это ноутбуки людей, это фактические носители, которые были записаны на физические диски и вывезены из здания.
Если подумать, есть ли у вас разработчик, у которого есть рабочая копия вашей рабочей базы данных на их ноутбуке? Затем они садятся в самолет, выходят из самолета, получают зарегистрированный багаж и их ноутбук похищают. Теперь у вас произошла утечка данных. Вы можете не обязательно думать, что именно поэтому этот ноутбук был взят, он может никогда не появиться в дикой природе. Но это все еще то, что считается нарушением, это потребует раскрытия, вы будете иметь все последующие последствия потери этих данных, просто из-за потери этих физических носителей.
И еще одна интересная вещь заключается в том, что многие люди думают о кредитных данных и информации о кредитных картах как о наиболее ценных, но это уже не так. Эти данные ценны, номера кредитных карт полезны, но, честно говоря, эти цифры меняются очень быстро, тогда как личные данные людей не меняются очень быстро. Что-то, что недавно появилось в новостях, относительно недавно, VTech, производитель игрушек, имел эти игрушки, предназначенные для детей. И люди будут, у них будут имена детей, у них будет информация о том, где живут дети, у них были имена родителей, у них были фотографии детей. Ничего из этого не было зашифровано, потому что это не считалось важным. Но их пароли были зашифрованы. Ну, когда нарушение неизбежно произошло, вы говорите: «Хорошо, у меня есть список имен детей, имена их родителей, где они живут - вся эта информация там, и вы думаете, что пароль был самой важной частью этого? ”Это не было; люди не могут изменить эти аспекты, касающиеся их личных данных, их адреса и т. д. И поэтому информация на самом деле очень ценна и ее необходимо защищать.
Итак, я хотел поговорить о некоторых вещах, которые происходят, чтобы способствовать тому, как происходит утечка данных прямо сейчас. Одна из самых больших горячих точек, мест сейчас - это социальная инженерия. Таким образом, люди называют это фишингом, подделкой имени и т. Д., Когда люди получают доступ к данным, часто через внутренних участников, просто убеждая их, что они должны иметь доступ к ним. Итак, как раз на днях у нас был этот червь Google Docs. И что это произойдет - и я фактически получил его копию, хотя, к счастью, я не нажал на нее - вы получили от коллеги, говорящей: «Вот ссылка на Google Doc; вам нужно нажать на эту ссылку, чтобы просмотреть то, чем я только что поделился с вами ». Что ж, в организации, использующей Google Docs, это очень условно, вы будете получать десятки таких запросов в день. Если вы нажмете на него, он попросит у вас разрешения на доступ к этому документу, и, возможно, вы скажете: «Эй, это выглядит немного странно, но вы знаете, это также выглядит законно, так что я пойду дальше и нажму на него, »И как только вы это сделали, вы предоставили этой третьей стороне доступ ко всем вашим документам Google, и, таким образом, создали эту ссылку для этого внешнего участника, чтобы иметь доступ ко всем вашим документам на Google Диске. Это червь повсюду. За несколько часов он поразил сотни тысяч людей. И это была в основном фишинговая атака, которую самому Google пришлось закрыть, потому что он был очень хорошо выполнен. Люди влюбились в это.
Я упоминаю здесь о нарушении Snapchat HR. Это было просто делом кого-то, выдавая себя за генерального директора, который говорил в отделе кадров, говоря: «Мне нужна ваша электронная таблица». И они им поверили, и они создали таблицу с компенсацией 700 различным сотрудникам. информация, их домашние адреса и т. д. передали его другой стороне, фактически это не генеральный директор. Теперь данных не было, и у всех их сотрудников была личная, личная информация, доступная для использования. Итак, социальная инженерия - это то, о чем я упоминаю в мире баз данных, потому что это то, от чего вы можете попытаться защититься с помощью образования, но вы также должны просто помнить, что везде, где у вас есть человек, взаимодействующий с вашими технологиями, и если вы полагаетесь на их здравый смысл, чтобы предотвратить сбой, вы спрашиваете их много.
Люди делают ошибки, люди нажимают на вещи, которые им не должны иметь, люди влюбляются в хитрые уловки. И вы можете изо всех сил пытаться защитить их от этого, но это недостаточно сильно, вам нужно попытаться ограничить возможность случайного распространения этой информации в ваших системах баз данных. Еще одна вещь, о которой я хотел бы упомянуть: очевидно, что о ней много говорят, это вымогатели, бот-сети, вирусы - все эти разные автоматизированные способы. И вот что я думаю, что важно понять о вымогателях, так это то, что они действительно меняют модель прибыли для злоумышленников. В случае, если вы говорите о нарушении, они должны, в некотором смысле, извлечь данные и получить их для себя и использовать их. И если ваши данные неясны, если они зашифрованы, если они специфичны для конкретной отрасли, возможно, они не имеют никакого значения для них.
До этого момента люди, возможно, чувствовали, что это защита для них: «Мне не нужно защищать себя от взлома данных, потому что, если они собираются попасть в мою систему, все, что у них будет, - это я, фотостудия У меня есть список тех, кто придет в какие дни в следующем году. Кто заботится об этом? ». Ну, получается, что ответ вам небезразличен; Вы храните эту информацию, это важная для вашего бизнеса информация. Итак, используя вымогателей, злоумышленник скажет: «Ну, никто другой не даст мне денег за это, но вы это сделаете». Таким образом, они используют тот факт, что им даже не нужно получать данные, они даже не должны иметь нарушение, им просто нужно использовать инструменты безопасности оскорбительно против вас. Они попадают в вашу базу данных, зашифровывают ее содержимое и затем говорят: «Хорошо, у нас есть пароль, и вам придется заплатить нам 5000 долларов за этот пароль, иначе у вас просто больше не будет этих данных. »
И люди платят; им приходится делать это. MongoDB столкнулся с огромной проблемой пару месяцев назад, я думаю, что это было в январе, когда вымогатели поразили, я думаю, более миллиона баз данных MongoDB, которые они имеют в открытом доступе в Интернете, основываясь на некоторых настройках по умолчанию. И что еще хуже, это то, что люди платили, и поэтому другие организации приходили и перешифровывали или утверждали, что были теми, кто изначально их зашифровал, поэтому, когда вы платили свои деньги, и я думаю, что в этом случае они были прося что-то вроде 500 долларов, люди говорили: «Хорошо, я бы заплатил больше, чтобы заплатить исследователю, который пришел сюда, чтобы помочь мне понять, что пошло не так. Я просто заплачу 500 долларов ». И они даже не заплатили его нужному актеру, так что они были нагромождены десятью различными организациями, которые говорили им:« У нас есть пароль »или« У нас есть способ разблокировать выкупленные данные ». И вам придется заплатить всем им, чтобы, возможно, заставить его работать.
Также были случаи, когда у авторов вымогателей были ошибки, я имею в виду, что они не говорили о том, что это совершенно заурядная ситуация, поэтому даже после того, как на нее напали, даже после того, как вы заплатили, нет никакой гарантии, что вы получите все свои назад, некоторые из них также усложняются из-за оружия InfoSec. Таким образом, Shadow Brokers - это группа, которая выпускает инструменты, которые были из АНБ. Они были инструментами, разработанными государственным органом для целей шпионажа и фактически работающими против других государственных структур. Некоторые из них были действительно громкими атаками нулевого дня, которые в основном сводят на нет известные протоколы безопасности. Так, например, в протоколе SMB была серьезная уязвимость в одном из недавних дампов Shadow Brokers.
Таким образом, эти инструменты, которые появятся здесь, могут за пару часов действительно изменить игру на вас с точки зрения вашей поверхности атаки. Поэтому всякий раз, когда я думаю об этом, то, что на организационном уровне InfoSec безопасности является его собственной функцией, к этому нужно относиться серьезно. Всякий раз, когда речь шла о базах данных, я могу немного опустить это, вам не обязательно иметь полное представление о том, что происходит с Shadow Brokers, как администратор базы данных, но вы должны знать, что все это меняется То, что происходит, и то, в какой степени вы сохраняете свой собственный домен надежным и безопасным, действительно поможет вам в случае, если что-то вырвется из-под вас.
Итак, я хотел бы воспользоваться моментом, прежде чем перейти непосредственно к обсуждению SQL Server, чтобы на самом деле немного обсудить с нашими участниками дискуссии некоторые аспекты безопасности базы данных. Итак, я дошел до этого, некоторые вещи, которые мы не упомянули, я хотел поговорить об SQL-инъекции как векторе. Таким образом, это SQL-инъекция, очевидно, это способ, которым люди вставляют команды в систему базы данных, из-за неправильного ввода данных.
Эрик Кавана: Да, я на самом деле встретил парня - я думаю, что это было на базе ВВС Эндрюса - около пяти лет назад, консультант, с которым я разговаривал с ним в коридоре, и мы просто делились военными историями - без каламбура - и он упомянул, что его привел кто-то, чтобы проконсультироваться с довольно высокопоставленным военнослужащим, и парень спросил его: «Ну, откуда мы знаем, что ты хорош в том, что ты делаешь?», и то, и это. И когда он разговаривал с ними, он использовал на своем компьютере, когда он вошел в сеть, он использовал SQL-инъекцию, чтобы войти в реестр для этой базы и для этих людей. И он нашел людей, с которыми он разговаривал, и он просто показал его на своей машине! А парень сказал: «Как ты это сделал?» Он сказал: «Ну, я использовал SQL-инъекцию».
Итак, это было всего пять лет назад, и это было на базе ВВС, верно? Итак, я имею в виду, что с точки зрения довода "против" эта вещь все еще очень реальна, и ее можно использовать с действительно ужасающими эффектами. Я имею в виду, мне было бы любопытно узнать о любых военных историях, которые есть у Робина на эту тему, но все эти методы все еще актуальны. Они все еще используются во многих случаях, и это вопрос самообразования, верно?
Робин Блур: Ну да. Да, его можно защитить от внедрения SQL, выполняя эту работу. Легко понять, почему, когда идея была изобретена и впервые распространена, легко понять, почему она так чертовски успешна, потому что вы можете просто вставить ее в поле ввода на веб-странице и заставить ее вернуть данные для вас, или получить чтобы удалить данные в базе данных или что-то еще - вы можете просто ввести код SQL, чтобы сделать это. Но вот что меня заинтересовало, так это то, что вы знаете, что вам придется немного разбирать каждый введенный фрагмент данных, но вполне возможно обнаружить, что кто-то пытается это сделать. И это действительно, я думаю, что это действительно, потому что людям все еще сходит с рук это, я имею в виду просто странно, что не было простого способа с этим бороться. Вы знаете, что каждый мог легко использовать, я имею в виду, насколько я знаю, там не было, Вики, не так ли?
Вики Арфа: Ну, на самом деле, некоторые решения для заложников, такие как SQL Azure, я думаю, имеют довольно неплохие методы обнаружения, основанные на машинном обучении. Это, вероятно, то, что собирались увидеть в будущем, это то, что его попытка придумать один размер подходит всем. Я думаю, что ответ был не один размер подходит для всех, но у нас есть машины, которые могут узнать ваш размер и убедиться, что вы подходите к нему, верно? И поэтому, если у вас есть ложный положительный результат, это потому, что вы на самом деле делаете что-то необычное, а не потому, что вам пришлось пройти через все усилия и тщательно определить все, что может сделать ваше приложение.
Я думаю, что одна из причин, по которой он все еще так плодотворен, заключается в том, что люди все еще полагаются на сторонние приложения, а также приложения независимых поставщиков программного обеспечения, которые со временем разлагаются.Итак, вы говорите об организации, которая купила инженерное приложение, написанное в 2001 году. И они не обновили его, потому что с тех пор не было каких-либо серьезных функциональных изменений, и первоначальный автор этого был своего рода, они не были инженером Они не были экспертами по безопасности баз данных, они не сделали все правильно в приложении, и они оказались вектором. Насколько я понимаю, - я думаю, что это было серьезное нарушение целевых данных - вектор атаки был нанесен одним из их поставщиков кондиционеров, верно? Таким образом, проблема с этими третьими лицами, вы можете, если у вас есть собственный магазин разработки, вы можете иметь некоторые из этих правил, выполняя это в общем случае в любое время. Как организация вы можете запускать сотни или даже тысячи приложений со всеми различными профилями. Я думаю, что именно здесь машинное обучение придет и начнет нам очень помогать.
Моя история войны была образовательной жизнью. Я увидел атаку SQL-инъекцией, и мне никогда не приходило в голову, что используется простой читаемый SQL. Я делаю эти вещи, называемые обфусцированными праздничными открытками P SQL; Мне нравится делать, вы заставляете этот SQL выглядеть как можно более запутанным. Это запутанный конкурс кода на C ++, который продолжается уже несколько десятилетий, и такая же идея. Итак, на самом деле вы получили SQL-инъекцию, которая находилась в поле открытой строки, она закрыла строку, вставила точку с запятой, а затем вставила команду exec, которая затем имела ряд чисел, а затем она в основном использовала приведение команды, чтобы преобразовать эти числа в двоичные и затем преобразовать их, в свою очередь, в символьные значения и затем выполнить их. Таким образом, не то, чтобы вы видели что-то с надписью «Удалить стартап из рабочей таблицы», на самом деле оно было вставлено в числовые поля, что усложняло просмотр. И даже когда вы это увидели, чтобы определить, что происходит, потребовалось несколько реальных снимков SQL, чтобы понять, что происходит, и к тому времени, конечно, работа уже была выполнена.
Робин Блур: И одна из вещей, которая является явлением во всем мире хакерских атак, заключается в том, что если кто-то обнаруживает слабость и оказывается в программном обеспечении, которое обычно продается, вы знаете, одной из первых проблем является пароль базы данных. что вам дали, когда база данных была установлена, многие базы данных на самом деле были просто по умолчанию. И многие администраторы баз данных просто никогда не меняли его, и, следовательно, вы могли тогда попасть в сеть; Вы можете просто попробовать этот пароль, и если он сработает, вы просто выиграли в лотерею. И что интересно, вся эта информация очень эффективно и эффективно распространяется среди хакерских сообществ на сайтах даркнет. И они знают. Таким образом, они могут в значительной степени сделать то, что там есть, найти несколько экземпляров и просто автоматически навести на них какой-нибудь хакерский подвиг, и они в этом участвуют. И это, я думаю, что многие люди, которые, по крайней мере, находятся на периферии из всего этого, на самом деле не понимаю, как быстро хакерская сеть реагирует на уязвимость.
Вики Арфа: Да, это на самом деле поднимает еще одну вещь, которую я хотел бы упомянуть, прежде чем я продолжу, - это понятие заполнения учетных данных, которое часто всплывает, то есть когда ваши учетные данные были украдены для кого-либо в любом месте, в любое время. сайт, эти учетные данные будут пытаться повторно использовать по всем направлениям. Итак, если вы используете дублированные пароли, скажем, если ваши пользователи, даже, скажем так, кто-то может получить доступ через, как представляется, полностью действительный набор учетных данных. Итак, допустим, что я использовал мой один и тот же пароль в Amazon и в моем банке, а также на форуме, и что программное обеспечение форума было взломано, ну, у них есть мое имя пользователя и мой пароль. И затем они могут использовать то же имя пользователя в Amazon, либо использовать его в банке. А что касается банка, это был полностью действительный логин. Теперь вы можете совершать гнусные действия через полностью авторизованный доступ.
Итак, этот вид снова возвращается к тому, что я говорил о внутренних нарушениях и внутренних обычаях. Если в вашей организации есть люди, которые используют для внутреннего доступа тот же пароль, что и для внешнего доступа, у вас есть возможность, что кто-то придет и выдаст себя за вас с помощью взлома на каком-то другом сайте, о котором вы даже не знаете. И эти данные распространяются очень быстро. Есть списки, я думаю, что самая недавняя нагрузка на «если бы меня обстреляли» Троя Ханта, он сказал, что у него было полмиллиарда наборов полномочий, что, если учесть количество людей на планете, это действительно большое количество учетных данных, которые были сделаны доступными для заполнения учетных данных.
Итак, я собираюсь шагнуть немного глубже и поговорить о безопасности SQL Server. Теперь я хочу сказать, что я не буду пытаться дать вам все, что вам нужно знать для защиты вашего SQL Server в течение следующих 20 минут; это кажется чем-то сложным. Итак, для начала, я хочу сказать, что есть группы в сети и ресурсы в Интернете, которые вы, безусловно, можете найти в Google, есть книги, есть лучшие документы по Microsoft, есть виртуальная глава по безопасности для профессиональных сотрудников SQL Server, они находятся по адресу security.pass.org, и, как я полагаю, они проводят ежемесячные веб-трансляции и записи веб-трансляций, чтобы как-то подробно рассказать о том, как обеспечить безопасность SQL Server. Но это то, о чем я, говоря вам как специалистам по данным, как ИТ-специалистам, как администраторам баз данных, хочу, чтобы вы знали, что вам нужно знать о безопасности SQL Server.
Итак, первый - это физическая безопасность. Итак, как я уже говорил ранее, кража физических носителей все еще чрезвычайно распространена. И вот сценарий, который я привел с машиной dev, с копией вашей базы данных на машине dev, которая была украдена - это очень распространенный вектор, это вектор, о котором вам нужно знать и пытаться принять меры. Это также верно для безопасности резервного копирования, поэтому, когда вы создаете резервные копии своих данных, вам необходимо делать резервные копии в зашифрованном виде, вы должны создавать резервные копии в безопасном месте. Много раз эти данные, которые действительно были защищены в базе данных, как только они начинают выходить на периферию, на машины разработки, на тестовые машины, мы немного меньше заботимся о исправлении, мы получаем немного меньше Осторожнее с людьми, которые имеют к нему доступ. Следующее, что вы знаете, вы получили незашифрованные резервные копии базы данных, которые хранятся в общедоступном общем ресурсе вашей организации и доступны для использования многими людьми. Итак, подумайте о физической безопасности, и может ли кто-нибудь подойти и просто вставить USB-ключ в ваш сервер? Вы не должны позволять это.
Следующий вопрос, о котором я хочу подумать, - это безопасность платформы, поэтому обновленная ОС, актуальные исправления. Очень утомительно слышать, как люди говорят о том, чтобы остаться на старых версиях Windows, более старых версиях SQL Server, думая, что единственная цена в игре - это стоимость обновления лицензии, а это не так. Мы с охраной, это поток, который продолжает спускаться по склону, и со временем обнаруживается все больше подвигов. В этом случае Microsoft и другие группы, в зависимости от обстоятельств, обновят старые системы до определенного уровня, и в конечном итоге они перестанут поддерживать и больше не будут обновлять их, потому что это просто бесконечный процесс обслуживания.
Итак, вам нужно быть в поддерживаемой ОС, и вы должны быть в курсе ваших патчей, и мы недавно обнаружили, что, как и в случае с Shadow Brokers, в некоторых случаях Microsoft может иметь представление о предстоящих серьезных нарушениях безопасности до того, как они будут сделаны. общественности, до раскрытия, так что не позволяйте себе вывести все из строя. Я бы предпочел не брать время простоя, я бы подождал, прочитал каждое из них и решил. Вы можете не знать, каково его значение, пока не пройдет несколько недель после того, как вы узнаете, почему произошел этот патч. Так что оставайтесь на вершине этого.
Ваш брандмауэр должен быть настроен. Это было шокирующим из-за нарушения SNB, как много людей использовали более старые версии SQL Server с брандмауэром, полностью открытым для Интернета, так что любой мог подключиться и делать со своими серверами все, что он хотел. Вы должны использовать брандмауэр. То, что вам время от времени приходится настраивать правила или делать особые исключения для того, как вы ведете свой бизнес, является приемлемой ценой. Вам необходимо контролировать площадь поверхности в ваших системах баз данных - вы устанавливаете службы или веб-серверы, такие как IIS, на одном компьютере? Совместное использование того же дискового пространства, то же самое пространство памяти, что и ваши базы данных и ваши личные данные? Старайтесь не делать этого, старайтесь изолировать его, уменьшайте площадь поверхности, чтобы вам не приходилось слишком беспокоиться о том, чтобы убедиться, что все это безопасно поверх базы данных. Вы можете как-то физически их разделить, помостить, отделить их, дать себе немного передышки.
Вы не должны иметь супер администраторов, бегающих повсюду, способных иметь доступ ко всем вашим данным. Учетным записям администраторов ОС необязательно может потребоваться доступ к вашей базе данных или к базовым данным в базе данных с помощью шифрования, о котором мы поговорим через минуту. И доступ к файлам базы данных, вы также должны ограничить это. Это глупо, если вы скажете, что кто-то не может получить доступ к этим базам данных через базу данных; Сам по себе SQL Server не позволит им получить к нему доступ, но если тогда они могут обойтись, взять копию фактического файла MDF, переместить его просто так, присоединить его к своему собственному SQL Server, вы действительно не достигли очень многого.
Шифрование, так что шифрование - это тот знаменитый двусторонний меч. Существует множество различных уровней шифрования, которые вы можете выполнять на уровне ОС, и современный способ работы с SQL и Windows заключается в использовании BitLocker, а на уровне базы данных он называется TDE или прозрачным шифрованием данных. Таким образом, это оба способа сохранить ваши данные в зашифрованном виде в покое. Если вы хотите, чтобы ваши данные были зашифрованы более полно, вы можете сделать зашифрованные - извините, я вроде вышел вперед. Вы можете создавать зашифрованные соединения, чтобы, когда бы они ни находились в пути, они все еще были зашифрованы, так что, если кто-то прослушивает или кто-то находится в середине атаки, вы получаете некоторую защиту этих данных по проводам. Ваши резервные копии должны быть зашифрованы, как я уже сказал, они могут быть доступны для других, а затем, если вы хотите, чтобы они были зашифрованы в памяти и во время использования, у нас было шифрование столбцов, а затем в SQL 2016 есть понятие «всегда зашифровано». где он фактически зашифрован на диске, в памяти, на проводе, вплоть до приложения, которое фактически использует данные.
Теперь, все это шифрование не является бесплатным: есть загрузка ЦП, иногда шифрование столбцов и всегда зашифрованный случай, это влияет на производительность с точки зрения вашей способности выполнять поиск этих данных. Однако это шифрование, если оно правильно составлено, означает, что если кто-то получит доступ к вашим данным, ущерб будет значительно меньше, потому что они смогли получить его, а затем они ничего не смогут с ним сделать. Тем не менее, это также способ работы вымогателей, когда кто-то входит и включает эти элементы со своим собственным сертификатом или своим собственным паролем, и у вас нет к нему доступа. Вот почему так важно убедиться, что вы делаете это, и у вас есть доступ к нему, но вы не предоставляете его, открытое для других и злоумышленников.
И затем, принципы безопасности - я не собираюсь описывать этот момент, но убедитесь, что у вас нет всех пользователей, работающих в SQL Server в качестве супер-администратора. Ваши разработчики могут хотеть этого, разные пользователи могут хотеть этого - они разочарованы необходимостью запрашивать доступ к отдельным элементам - но вы должны быть осторожны с этим, и, хотя это может быть более сложным, предоставить доступ к объектам и базам данных и схемы, которые действительны для текущей работы, и есть особый случай, может быть, это означает специальный вход в систему, это не обязательно означает повышение прав для пользователя среднего случая.
И затем, есть соображения соответствия нормативным требованиям, которые связаны с этим, и некоторые случаи могут на самом деле как-то обойтись - так есть HIPAA, SOX, PCI - есть все эти разные соображения. И когда вы пройдете аудит, вы должны будете показать, что вы предпринимаете действия, чтобы соответствовать этому. И так, это очень много, чтобы отслеживать, я бы сказал, как список дел DBA, вы пытаетесь обеспечить физическую конфигурацию шифрования безопасности, вы пытаетесь убедиться, что доступ к этим данным проверяется в целях обеспечения соответствия убедитесь, что ваши чувствительные столбцы, что вы знаете, что они есть, где они, какие из которых вы должны шифровать и просматривать доступ. И убедитесь, что конфигурации соответствуют нормативным руководствам, которым вы подчиняетесь. И вы должны держать все это в курсе, как все меняется.
Итак, многое нужно сделать, и поэтому, если бы я оставил это здесь, я бы сказал, иди, сделай это. Но для этого есть много разных инструментов, и поэтому, если можно, в последние несколько минут, я хотел бы показать вам некоторые инструменты, которые у нас есть в IDERA для этого. И две вещи, о которых я хотел поговорить сегодня, - это SQL Secure и SQL Compliance Manager. SQL Secure - это наш инструмент, помогающий определить тип уязвимостей конфигурации. Ваши политики безопасности, ваши пользовательские разрешения, ваши настройки поверхности. И у него есть шаблоны, которые помогут вам соблюдать различные нормативные рамки. Это само по себе, эта последняя строка, может быть причиной для людей, чтобы рассмотреть это. Потому что прочитать эти разные правила и определить, что они означают, PCI, а затем перенести их на мой SQL Server в моем магазине, это большая работа. Это то, что вы могли бы заплатить за консультационные деньги; мы пошли и провели этот консалтинг, мы работали с различными аудиторскими компаниями и т. д., чтобы придумать, что это за шаблоны - что может пройти аудит, если они будут на месте. И тогда вы можете использовать эти шаблоны и видеть их в своей среде.
У нас также есть другой родственный инструмент в виде диспетчера соответствия SQL, и именно здесь SQL Secure касается параметров конфигурации. Диспетчер соответствия SQL - это вопрос о том, что, кем и когда было сделано. Итак, его аудит, так что он позволяет вам отслеживать активность как происходящую и позволяет выявлять и отслеживать, кто получает доступ к вещам. Был ли кто-то, прототипный пример того, как знаменитость была проверена в вашей больнице, кто-то шел и искал свою информацию, просто из любопытства? У них была причина сделать это? Вы можете взглянуть на историю аудита и посмотреть, что происходит, кто обращался к этим записям. И вы можете определить, что у этого есть инструменты, которые помогут вам определить чувствительные столбцы, поэтому вам не обязательно читать и делать все это самостоятельно.
Так что, если позволите, я собираюсь показать вам некоторые из этих инструментов здесь в эти последние несколько минут - и, пожалуйста, не рассматривайте это как всестороннюю демонстрацию. Я менеджер по продукту, а не инженер по продажам, поэтому я собираюсь показать вам некоторые вещи, которые, на мой взгляд, имеют отношение к этой дискуссии. Итак, это наш продукт SQL Secure. И, как вы можете видеть здесь, у меня была эта табель успеваемости высокого уровня. Я запустил это, я думаю, вчера. И это показывает мне некоторые вещи, которые настроены неправильно, и некоторые вещи, которые настроены правильно. Итак, вы можете увидеть довольно много более 100 различных проверок, которые мы сделали здесь. И я вижу, что мое резервное шифрование на резервных копиях, которые я делал, я не использовал резервное шифрование. Моя учетная запись SA с явным названием «Учетная запись SA» не отключена и не переименована. Роль общедоступного сервера имеет разрешение, так что это все, на что я мог бы обратить внимание при изменении.
У меня здесь настроена политика, поэтому, если я захочу установить новую политику, применимую к моим серверам, мы получим все эти встроенные политики. Итак, я буду использовать существующий шаблон политики, и вы увидите, что у меня есть CIS, HIPAA, PCI, SR и так далее, и мы фактически находимся в процессе постоянного добавления дополнительных политик, основанных на вещах, которые нужны людям на местах. И вы также можете создать новую политику, поэтому, если вы знаете, что ищет ваш аудитор, вы можете создать ее самостоятельно. И затем, когда вы это сделаете, вы можете выбрать среди всех этих различных настроек, которые вам нужно установить, в некоторых случаях у вас есть некоторые - позвольте мне вернуться и найти один из предварительно созданных. Это удобно, я могу выбрать, скажем, HIPAA - у меня уже есть HIPAA, мой плохой - PCI, и затем, когда я нажимаю здесь, я могу фактически увидеть внешнюю перекрестную ссылку на раздел правил, что это относится к. Так что это поможет вам позже, когда вы пытаетесь понять, почему я это устанавливаю? Почему я пытаюсь посмотреть на это? С каким разделом это связано?
У этого также есть хороший инструмент, который позволяет вам заходить и просматривать своих пользователей, поэтому одна из хитрых вещей в изучении ваших пользовательских ролей заключается в том, что на самом деле я собираюсь взглянуть здесь. Итак, если я покажу разрешения для моего, давайте посмотрим, давайте выберем пользователя здесь. Показать разрешения. Я могу видеть назначенные разрешения для этого сервера, но затем я могу щелкнуть здесь и рассчитать эффективные разрешения, и он даст мне полный список на основе, так что в этом случае это администратор, так что это не так интересно, но я мог просмотрите и выберите разных пользователей и посмотрите, какие у них действующие разрешения, основываясь на всех группах, к которым они могут принадлежать. Если вы когда-нибудь попытаетесь сделать это самостоятельно, это может быть немного хлопотно, чтобы выяснить, ОК, этот пользователь является членом этих групп и, следовательно, имеет доступ к этим вещам через группы и т. Д.
Таким образом, способ, которым работает этот продукт, заключается в том, что он делает снимки, поэтому на самом деле это не очень сложный процесс создания снимка сервера на регулярной основе, а затем он сохраняет эти снимки с течением времени, чтобы вы могли сравнивать изменения. Таким образом, это не непрерывный мониторинг в традиционном смысле, как инструмент мониторинга производительности; это то, что вы, возможно, настроили для запуска один раз в ночь, один раз в неделю - как бы часто вы ни считали действительным - так что тогда, когда вы выполняете анализ и делаете немного больше, вы фактически просто работаете в нашем инструменте. Вы не слишком часто подключаетесь к своему серверу, так что это довольно приятный маленький инструмент для работы с ним для обеспечения соответствия таким статическим настройкам.
Другой инструмент, который я хочу показать вам, - это наш инструмент Compliance Manager. Compliance Manager собирается осуществлять мониторинг более непрерывно. И он собирается увидеть, кто что делает на вашем сервере и позволит вам взглянуть на это. Итак, то, что я сделал здесь, в последние пару часов или около того, я на самом деле пытался создать некоторые небольшие проблемы. Итак, здесь я понял, является ли это проблемой или нет, я мог бы знать об этом, кто-то фактически создал логин и добавил его к роли сервера. Так что, если я пойду и посмотрю на это, я смогу увидеть - я думаю, я не могу щелкнуть правой кнопкой мыши там, я могу видеть, что происходит.Итак, это моя панель инструментов, и я вижу, что сегодня у меня было несколько неудачных входов в систему. У меня была куча действий безопасности, DBL активности.
Итак, позвольте мне перейти к моим событиям аудита и взглянуть. Здесь у меня есть события аудита, сгруппированные по категориям и целевому объекту, поэтому, если я взгляну на эту безопасность с более ранней версии, я увижу DemoNewUser, произошла эта авторизация на сервере создания. И я вижу, что логин SA создал эту учетную запись DemoNewUser, здесь, в 14:42. И затем, я вижу, что, в свою очередь, добавьте имя входа на сервер, этот DemoNewUser был добавлен в группу администраторов сервера, они были добавлены в группу настройки администратора, они были добавлены в группу sysadmin. Итак, вот что я хотел бы знать, что случилось. Я также настроил его так, что чувствительные столбцы в моих таблицах отслеживаются, чтобы я мог видеть, кто к нему обращался.
Итак, здесь у меня есть пара избранных, которые произошли на моем персональном столе из Adventure Works. И я могу взглянуть и увидеть, что пользователь SA в таблице Adventure Works выбрал первую десятку звезд от человека точка человека. Так что, возможно, в моей организации я не хочу, чтобы люди выбирали звезды от человека до человека, или я ожидаю, что это будут делать только определенные пользователи, и поэтому я собираюсь увидеть это здесь. Итак, то, что вам нужно с точки зрения аудита, мы можем настроить на основе структуры, и это немного более интенсивный инструмент. Он использует трассировку SQL или события SQLX, в зависимости от версии. И это то, что вам понадобится иметь запас мощности на вашем сервере для размещения, но это одна из тех вещей, вроде страховки, что было бы неплохо, если бы у нас не было страховки на автомобиль - это были бы расходы, которые мы бы не стали нужно брать - но если у вас есть сервер, на котором вам нужно следить за тем, кто что делает, вам, возможно, потребуется немного больше запаса и такой инструмент для этого. Используете ли вы наш инструмент или используете его самостоятельно, в конечном итоге вы будете нести ответственность за получение этой информации для целей соответствия нормативным требованиям.
Так что, как я уже сказал, не подробное демо, просто краткое, небольшое резюме. Я также хотел показать вам быстрый, маленький бесплатный инструмент в форме поиска столбцов SQL, который вы можете использовать для определения столбцов в вашей среде, которые представляются конфиденциальной информацией. Итак, у нас есть несколько конфигураций поиска, где он ищет разные имена столбцов, которые обычно содержат конфиденциальные данные, и затем я получил весь этот список, которые были идентифицированы. У меня их 120, а затем я экспортировал их сюда, чтобы я мог использовать их, чтобы сказать, давайте посмотрим и убедимся, что я отслеживаю доступ к отчеству, точечной ставке одного человека или ставке налога с продаж и т. Д.
Я знаю, что были правы в конце нашего времени здесь. И это все, что я на самом деле должен был показать вам, так что у меня есть вопросы?
Эрик Кавана: У меня есть пара хороших для вас. Позвольте мне прокрутить это здесь. Один из участников задавал действительно хороший вопрос. Один из них касается налога на производительность, поэтому я знаю, что он варьируется от решения к решению, но есть ли у вас общее представление о том, что такое налог на производительность за использование средств безопасности IDERA?
Вики Арфа: Итак, на SQL Secure, как я уже сказал, он очень низкий, он просто будет делать некоторые случайные снимки. И даже если вы работали довольно часто, он получает статическую информацию о настройках, и поэтому он очень низкий, почти незначительный. С точки зрения Compliance Manager это -
Эрик Кавана: Как один процент?
Вики Арфа: Если бы мне пришлось дать процентное число, да, это был бы один процент или ниже. Его основная информация о порядке использования SSMS и перехода на вкладку безопасности и расширения вещей. Что касается соответствия, то оно намного выше - вот почему я сказал, что ему нужно немного запаса - это своего рода намного больше, чем у вас с точки зрения мониторинга производительности. Теперь я не хочу пугать людей от этого, уловка с мониторингом соответствия, и если его аудит заключается в том, чтобы убедиться, что вы только проверяете, над чем вы собираетесь действовать. Итак, как только вы отфильтруете, чтобы сказать: «Эй, я хочу знать, когда люди получают доступ к этим конкретным таблицам, и я хочу знать, когда люди получают доступ, предпринимают эти конкретные действия», тогда это будет основано на том, как часто эти вещи происходит и сколько данных вы генерируете. Если вы скажете: «Я хочу, чтобы полный SQL каждого выбора, который когда-либо происходил в любой из этих таблиц», то это просто гигабайты и гигабайты данных, которые должны быть проанализированы SQL Server, сохранены в нашем продукте и т. Д. ,
Если вы оставите это до… это также будет больше информации, чем вы могли бы иметь дело с. Если бы вы могли взять его на меньший набор, чтобы вы получали пару сотен событий в день, то это, очевидно, намного меньше. Так что, на самом деле, в некотором смысле, небеса ограничены. Если вы включите все настройки для всего мониторинга для всего, тогда да, производительность будет снижена на 50 процентов. Но если вы собираетесь превратить его в более умеренный, обдуманный уровень, я бы, наверное, посмотрел на 10 процентов? Это действительно одна из тех вещей, которая будет зависеть от вашей рабочей нагрузки.
Эрик Кавана: Да правильно. Theres другой вопрос об оборудовании. А затем, когда в игру вступили поставщики оборудования и действительно сотрудничали с поставщиками программного обеспечения, я ответил через окно вопросов и ответов. Мне известен один конкретный случай, когда Cloudera работала с Intel, когда Intel вложила в них огромные средства, и часть исчисления заключалась в том, что Cloudera получит ранний доступ к разработке микросхем и, таким образом, сможет внедрить защиту на уровне микросхем. архитектура, которая довольно впечатляет. Но, тем не менее, это что-то, что будет там, и все еще может быть использовано обеими сторонами. Знаете ли вы о каких-либо тенденциях или тенденциях поставщиков оборудования сотрудничать с поставщиками программного обеспечения по протоколу безопасности?
Вики Арфа: Да, на самом деле, я считаю, что Microsoft сотрудничала для того, чтобы часть пространства памяти для некоторых операций шифрования фактически выполнялась на отдельных чипах на материнских платах, которые отделены от вашей основной памяти, так что некоторые из этих вещей физически отделен. И я полагаю, что на самом деле это было то, что пришло от Microsoft с точки зрения обращения к поставщикам, чтобы сказать: «Можем ли мы придумать способ сделать это, в основном его неадресуемой памятью, я не могу через переполнение буфера добраться до этой памяти потому что его даже нет, в некотором смысле, поэтому я знаю, что кое-что из этого происходит ».
Эрик Кавана: Да уж.
Вики Арфа: Скорее всего, это будут действительно крупные поставщики.
Эрик Кавана: Да уж. Мне любопытно наблюдать за этим, и, возможно, Робин, если у вас есть секундочка, мне было бы интересно узнать ваш опыт за эти годы, потому что, опять же, с точки зрения аппаратного обеспечения, с точки зрения реальной материальной науки, которая входит в то, что вы помещаете вместе со стороны поставщика эта информация может идти в обе стороны, и теоретически мы довольно быстро переходим к обеим сторонам, так есть ли какой-то способ использовать оборудование более осторожно, от проектирования до поддержки безопасности? Как вы думаете? Робин, ты отключен?
Робин Блур: Ага-ага. Извините, я здесь; Я просто обдумываю вопрос. Честно говоря, у меня нет мнения, это та область, на которую я не смотрел в значительной степени, так что я вроде, вы знаете, я могу придумать мнение, но я действительно не знаю. Я предпочитаю, чтобы вещи были безопасными в программном обеспечении, это просто то, как я играю, в основном.
Эрик Кавана: Да уж. Ну, ребята, мы прожжем через час и переоденемся здесь. Большое спасибо Вики Харп за ее время и внимание - за все ваше время и внимание; мы ценим, что вы пришли на эти вещи. Это большая сделка; это не собирается уходить в ближайшее время. Это игра в кошки-мышки, которая будет продолжать идти и идти и идти. И поэтому были благодарны, что некоторые компании там сосредоточены на обеспечении безопасности, но, как Вики даже упомянула и немного рассказала в своей презентации, в конце концов, о своих сотрудниках в организациях, которые должны очень тщательно обдумать эти вопросы. фишинговые атаки, такого рода социальная инженерия, и держись за свои ноутбуки - не оставляйте это в кафе! Измените свой пароль, сделайте основы, и вы получите 80 процентов пути.
Итак, с этим, ребята, собирались попрощаться с вами, еще раз спасибо за ваше время и внимание. Хорошо догоняю вас в следующий раз, позаботьтесь. Пока-пока.
Вики Арфа: Пока, спасибо.