Tag væk: Værten Eric Kavanagh diskuterer sikkerhed og tilladelser med Dr. Robin Bloor og IDERAs Vicky Harp.
Du er ikke logget ind. Log ind eller tilmeld dig for at se videoen.
Eric Kavanagh: OK, mine damer og herrer, hej og velkommen tilbage igen. Det er en onsdag, dets fire østlige og i verden af virksomhedsteknologi, der betyder, at det igen er tid for Hot Technologies! Ja bestemt. Præsenteret af Bloor Group selvfølgelig, drevet af vores venner på Techopedia. Emnet for i dag er et rigtig coolt emne: ”Bedre at bede om tilladelse: bedste praksis for privatlivets fred og sikkerhed.” Det er rigtigt, det er et hårdt emne, mange mennesker taler om det, men det er et ret seriøst emne, og det bliver virkelig mere alvorligt hver dag helt ærligt. Det er et alvorligt problem på mange måder for mange organisationer. Vi skulle tale om det og skulle tale om, hvad du kan gøre for at beskytte din organisation mod de ubehagelige karakterer, der ser ud til at være overalt i disse dage.
Så dagens programleder er Vicky Harp, der ringer ind fra IDERA. Du kan se IDERA-software på LinkedIn - Jeg elsker den nye funktionalitet på LinkedIn. Selvom jeg kan fortælle, at de trækker nogle strenge på bestemte måder, ikke lader dig få adgang til folk, prøver at få dig til at købe disse premium-medlemskaber. Der går du, vi har vores helt egen Robin Bloor, der ringer op - han er faktisk i San Diego-området i dag. Og din virkelig som din moderator / analytiker.
Så hvad taler vi om? Overtrædelse af data. Jeg har lige taget disse oplysninger fra IdentityForce.com, det er allerede væk til løbene. Var der i maj selvfølgelig i år, og der er bare et ton af dataovertrædelser, der er selvfølgelig nogle virkelig enorme af Yahoo! var en stor en, og vi hørte selvfølgelig om, at den amerikanske regering blev hacket. Vi havde netop de franske valg hacket.
Dette sker overalt, det fortsætter og det stopper ikke, så det er en realitet, det er den nye virkelighed, som de siger. Vi har virkelig brug for at tænke på måder til at håndhæve sikkerheden i vores systemer og vores data. Og det er en løbende proces, så det er lige i tide til at tænke over alle de forskellige spørgsmål, der kommer i spil. Dette er kun en delvis liste, men dette giver dig et perspektiv på, hvor usikker situationen er i dag med virksomhedssystemer. Og inden dette show talte vi i vores pre-show skænderi om ransomware, der har ramt nogen, jeg kender, hvilket er en meget ubehagelig oplevelse, når nogen overtager din iPhone og kræver penge for dig at få adgang til din telefon tilbage. Men det sker, det sker med computere, det sker med systemer, jeg så lige den anden dag, det sker med milliardærer med deres lystbåde. Forestil dig at gå til din yacht en dag og forsøge at imponere alle dine venner, og du kan ikke engang tænde den, fordi en tyv har stjålet adgang til kontrollerne, kontrolpanelet. Jeg sagde lige forleden i et interview til nogen, har altid den manuelle tilsidesættelse. Som om jeg ikke er en stor fan af alle de tilsluttede biler - selv biler kan blive hacket. Alt, hvad der er forbundet med internettet eller tilsluttet et netværk, der kan gennemtrænges, kan hackes, hvad som helst.
Så her er bare et par ting, du skal overveje med hensyn til at indramme forholdene for, hvor alvorlig situationen er. Web-baserede systemer er overalt i disse dage, de fortsætter med at sprede sig. Hvor mange mennesker køber ting online? Det er lige gennem taget i disse dage, det er derfor Amazon er en så stærk styrke i disse dage. Det er fordi så mange mennesker køber ting online.
Så husker du dengang, for 15 år siden, var folk temmelig nervøse over at lægge deres kreditkort i en webformular for at få deres information, og dengang var argumentet: ”Nå, hvis du overleverer dit kreditkort til en tjener på en restaurant, så er det den samme ting. ”Så vores svar er ja, det er den samme ting, der er alle disse kontrolpunkter, eller adgangspunkter, samme ting, forskellige sider af den samme mønt, hvor folk kan sættes i fare, hvor nogen kan tage dine penge, eller nogen kan stjæle fra dig.
Derefter udvider IoT naturligvis truslen - jeg elsker det ord - efter størrelsesordrer. Jeg mener, tænk over det - med alle disse nye enheder overalt, hvis nogen kan hacke ind i et system, der kontrollerer dem, kan de vende alle disse bots mod dig og forårsage masser af problemer, så det er et meget alvorligt problem. Vi har en global økonomi i disse dage, som udvider trusselbildet endnu mere, og hvad der mere er, du har mennesker i andre lande, der kan få adgang til internettet på samme måde som du og jeg kan, og hvis du ikke ved, hvordan man taler russisk, eller et hvilket som helst antal andre sprog, vil du have svært ved at forstå, hvad der sker, når de hacker ind på dit system. Så vi har fremskridt inden for netværk og virtualisering, det er godt, det er godt.
Men jeg har til højre for dette billede her, et sværd, og grunden til at jeg har det der, er fordi hvert sværd skærer begge veje. Det er et dobbeltkantet sværd, som de siger, og det er en gammel kliché, men det betyder, at det sværd, jeg har, kan skade dig, eller det kan skade mig. Det kan komme tilbage på mig, enten ved at hoppe tilbage eller ved at nogen tager det. Det er faktisk et af Aesops Fables - vi giver ofte vores fjender værktøjet til vores egen ødelæggelse. Det er virkelig den overbevisende historie og har at gøre med nogen, der brugte en bue og pil og skød ned en fugl og fuglesaven, da pilen var ved at komme op, at fjederen fra en af dens fuglevenner var på kanten af pilen, på bagsiden af pilen for at lede den, og han tænkte for sig selv, ”Åh mand, her er det, mine egne fjer, min egen familie vil blive brugt til at fange mig ned.” Det sker hele tiden, hører du statistik om du har en pistol i huset, tyven kan tage pistolen. Nå, alt dette er sandt. Så når jeg kaster dette ud som en analogi bare for at overveje, har alle disse forskellige udviklinger positive sider og negative sider.
Og taler om, containere til dem af jer, der virkelig følger forkant med enterprise computing, containere er den nyeste ting, den nyeste måde at levere funktionalitet, det er virkelig ægteskabet med virtualisering i den serviceorienterede arkitektur, i det mindste for mikroservices og dens meget interessante ting. Du kan helt sikkert tilsløre dine sikkerhedsprotokoller og dine applikationsprotokoller og dine data og så videre ved at bruge containere, og det giver dig et forskud i et stykke tid, men før eller senere vil de slemme gutter finde ud af det, og så bliver det endnu sværere at forhindre dem i at udnytte dine systemer. Så det er der, den globale arbejdsstyrke, der komplicerer netværket og sikkerheden, og hvor folk logger ind fra.
Vi har fået browserkrigene, der fortsætter med at blive fortsat, og kræver konstant arbejde for at opdatere og holde sig på toppen af tingene. Vi hører fortsat om de gamle Microsoft Explorer-browsere, hvordan de blev hacket og tilgængelige derinde. Så der er flere penge at tjene til at hacke i disse dage, der er en hel branche, dette er noget, som min partner, Dr. Bloor, lærte mig for otte år siden - jeg spekulerede på, hvorfor ser vi så meget af det, og han mindede om mig, det er en hel branche involveret i hacking. Og i den forstand er fortællingen, som er et af mine mindst foretrukne ord om sikkerhed, virkelig meget uærlig, fordi fortællingen viser dig i alle disse videoer og enhver form for nyhedsdækning noget hacking, de viser en fyr i en hættetrøje, siddende i hans kælder i et mørkt oplyst rum, det er slet ikke tilfældet. Det er slet ikke repræsentativt for virkeligheden. Det er ensomme hackere, der er meget få ensomme hackere, de er derude, de skaber problemer - de vil ikke forårsage de store problemer, men de kan tjene en hel masse penge. Så hvad der sker er, at hackerne kommer ind og trænger ind i dit system og sælger derefter adgangen til en anden, der vender rundt og sælger det til en anden, og derefter et sted nede på linjen, udnytter nogen det hack og drager fordel af dig. Og der er utallige måder at drage fordel af stjålne data på.
Jeg har endda undret mig selv over, hvordan vi har glamouriseret dette koncept. Du ser dette udtryk overalt, "væksthacking" er som det er en god ting. Væksthacking, du ved, kan hacking være en god ting, hvis du prøver at arbejde for de gode fyre så at sige og hacke ind i et system, som vi fortsat hører om med Nordkorea og deres missil-lanceringer, der potentielt bliver hacket - det er godt . Men hacking er ofte en dårlig ting. Så nu glamouriserede det, næsten som Robin Hood, da vi glamouriserede Robin Hood. Og så er der det kontantløse samfund, noget der ærligt talt angår dagslyset ud af mig. Alt hvad jeg tror, hver gang jeg hører det, er: ”Nej, gør det ikke! Vær venlig ikke! ”Jeg ønsker ikke, at alle vores penge forsvinder. Så dette er bare nogle spørgsmål, der skal overvejes, og igen, det er et katte-og-mus-spil; det vil aldrig stoppe, der vil altid være et behov for sikkerhedsprotokoller og til at fremme sikkerhedsprotokoller. Og til overvågning af dine systemer til endda at kende og føle dem derude, med forståelsen er, at det endda kan være et internt job. Så det er et løbende problem, det vil være et løbende problem i ganske lang tid - gør ingen fejl ved det.
Og med det overleverer jeg det til Dr. Bloor, som kan dele med os nogle tanker om sikring af databaser. Robin, tag det væk.
Robin Bloor: OK, en af de interessante hacks, jeg tror, det skete for omkring fem år siden, men dybest set var det et kortbehandlingsfirma, der blev hacket. Og et stort antal kortoplysninger blev stjålet. Men det interessante ved mig, for mig, var det faktum, at det var testdatabasen, som de faktisk kom ind i, og det var sandsynligvis tilfældet, at de havde en hel del vanskeligheder med at komme ind i den faktiske, reelle database med behandlingskort. Men du ved, hvordan det er med udviklere, de tager bare et klip af en database, skubber den ind der. Der skulle have været langt mere årvågenhed for at stoppe det. Men der er masser af interessante hackinghistorier, det gør i et område, det gør et meget interessant emne.
Så jeg vil faktisk på en eller anden måde gentage nogle af de ting, som Eric sagde, men det er let at tænke på datasikkerhed som et statisk mål; det er lettere bare fordi det er lettere at analysere statiske situationer og derefter tænke på at sætte forsvar ind, forsvar der, men det er ikke. Dets bevægelige mål, og det er en af de ting, den slags definerer hele sikkerhedsrummet. Det er bare på den måde, som al teknologi udvikler sig, teknologien til de dårlige fyre udvikler sig også. Så en kort oversigt: Datatyveri er ikke noget nyt, faktisk, dataspionage er datatyveri, og det har foregået i tusinder af år, tror jeg.
De største data-heist i disse termer var briterne, der bryder de tyske koder, og amerikanerne, der brød de japanske koder, og stort set i begge tilfælde forkortede de krigen meget betydeligt. Og de stjal bare nyttige og værdifulde data, det var selvfølgelig meget kløgt, men du ved, hvad der sker lige nu er meget klogt på mange måder. Cybertyveri blev født med internettet og eksploderede omkring 2005. Jeg gik og kiggede på alle statistikkerne, og da du begyndte at blive virkelig alvorlig og på en eller anden måde bemærkelsesværdigt høje tal startende i omkring 2005. Det er lige blevet værre siden derefter. Mange spillere, regeringer er involveret, virksomheder er involveret, hackergrupper og enkeltpersoner.
Jeg tog til Moskva - det må have været omkring fem år - og jeg tilbragte faktisk meget tid sammen med en fyr fra England, som undersøgte hele hacking-pladsen. Og han sagde det - og jeg har ingen idé om, hvorvidt dette er sandt, jeg har kun fået sit ord for det, men det lyder meget sandsynligt - at der i Rusland er noget der kaldes Business Network, som er en gruppe af hackere, der alle er, du ved, de kom ud af ruinerne af KGB. Og de sælger sig selv, ikke bare, jeg mener, jeg er sikker på, at den russiske regering bruger dem, men de sælger sig selv til nogen, og det blev rygtet, eller han sagde, at det var rygtet, at forskellige udenlandske regeringer brugte Business Network til en troværdig fornægtelse . Disse fyre havde netværk på millioner af kompromitterede pc'er, som de kunne angribe fra. Og de havde alle de værktøjer, du kan forestille dig.
Så teknologien til angreb og forsvar udviklede sig. Og virksomheder har en omhuepligt over deres data, uanset om de ejer dem eller ej. Og det er begyndt at blive meget klarere med hensyn til de forskellige reguleringsstykker, der faktisk allerede er i kraft, eller som træder i kraft. Og sandsynligvis forbedres, nogen på en eller anden måde, er nogen nødt til at bære omkostningerne ved hacking på en sådan måde, at de er incitament til at lukke muligheden. Det er en af de ting, som jeg gætter er nødvendigt. Så hvad angår hackere, kan de være placeret hvor som helst. Især inden for din organisation - en masse af de geniale hacks, som jeg har hørt om involveret nogen, der åbner døren. Du ved, personen, det er ligesom bankrøver situationen, næsten altid plejede de at sige i gode bankrøver der er en insider. Men insideren behøver kun at give information, så det er vanskeligt at få dem, at vide, hvem det var, og så videre og så videre.
Og det kan være svært at bringe dem til retfærdighed, for hvis du er blevet hacket af en gruppe mennesker i Moldova, selvom du ved, at det var denne gruppe, hvordan skal du så få en slags juridisk begivenhed til at ske omkring dem? Dens slags, fra en jurisdiktion til en anden, det er retfærdigt, der er ikke et meget godt sæt internationale arrangementer til at fastklemme hackerne. De deler teknologi og information; meget af det er open source. Hvis du vil bygge din egen virus, er der masser af virussæt derude - fuldstændig open source. Og de har betydelige ressourcer, der har været et antal, der har haft botnet i mere end en million kompromitterede enheder i datacentre og på pc'er og så videre. Nogle er rentable virksomheder, der har været i lang tid, og derefter er der regeringsgrupper, som jeg nævnte.Det er usandsynligt, som Eric sagde, det er usandsynligt, at dette fænomen nogensinde vil ende.
Så dette er et interessant hack, jeg tænkte bare, at jeg nævner det, fordi det var et temmelig nyligt hack; det skete sidste år. Der var en sårbarhed i DAO-kontrakten forbundet med Etherium-kryptomønten. Og det blev drøftet på et forum, og inden for et døgn blev DAO-kontrakten hacket, ved hjælp af denne sårbarhed nøjagtigt. 50 millioner dollars i ether blev forsinket, hvilket medførte en øjeblikkelig krise i DAO-projektet og lukker det ned. Og Etherium kæmpede faktisk for at forsøge at forhindre hackeren i at få adgang til pengene, og de formindskede slags hans tag. Men man troede også - ikke kendt med sikkerhed - at hacker faktisk korterede prisen på ether inden hans angreb, vel vidende, at prisen på ether ville kollapse, og dermed tjente på en anden måde.
Og det er en anden, hvis du vil, stratagem, som hackerne kan bruge. Hvis de kan skade din aktiekurs, og de ved, at de gør det, så er det kun nødvendigt for dem at afkorte aktiekursen og gøre hacket, så det er slags, disse fyre er smarte, ved du. Og prisen er direkte tyveri af penge, forstyrrelse og løsepenge, inklusive investeringer, hvor du forstyrrer og afkorter aktien, sabotage, identitetstyveri, alle former for svindel, bare for reklame skyld. Og det har en tendens til at være politisk eller åbenlyst informationsspionering, og der er endda mennesker, der tjener til livets ophold af bug-bounties, som du kan få ved at prøve at hacke Google, Apple, - selv Pentagon giver faktisk bug-beløb. Og du bare hacker; hvis det er vellykket, skal du bare gå og kræve din præmie, og der skades ingen skade, så det er en dejlig ting, ved du.
Jeg kan lige så godt nævne overholdelse og regulering. Bortset fra sektorinitiativer er der masser af officielle regler: HIPAA, SOX, FISMA, FERPA og GLBA er alle amerikanske love. Der er standarder; PCI-DSS er blevet en ret generel standard. Og derefter er der ISO 17799 om ejerskab af data. Nationale regler adskiller sig fra land til land, også i Europa. Og i øjeblikket er GDPR - de globale data, hvad står det for? Den globale databeskyttelsesforordning tror jeg, den står for - men den træder i kraft næste år, sagde til. Og det interessante ved det er, at det gælder overalt i verden. Hvis du har 5.000 eller flere kunder, som du har fået personlige oplysninger om, og de bor i Europa, vil Europa faktisk tage dig til opgaven, uanset om din virksomhed faktisk har hovedkvarter, eller hvor det fungerer. Og sanktionerne, den maksimale straf er fire procent af de årlige indtægter, som bare er enorm, så det vil være en interessant vri på verden, når det træder i kraft.
Ting at tænke på, ja, DBMS sårbarheder, de fleste af de værdifulde data sidder faktisk i databaser. Det er værdifuldt, fordi vi har lagt meget tid på at gøre det tilgængeligt og organisere det godt, og det gør det mere sårbart, hvis du ikke rent faktisk anvender de rigtige DBMS-værdipapirer. Naturligvis, hvis du planlægger sådanne ting, skal du identificere, hvilke sårbare data der er i hele organisationen, idet du husker, at data kan være sårbare af forskellige grunde. Det kan være kundedata, men det kan ligeledes være interne dokumenter, der ville være værdifulde til spionageformål og så videre. Sikkerhedspolitikken, især i relation til adgangssikkerhed - som i nyere tid har været meget svag i de nye open source-ting - kommer kryptering mere i brug, fordi dens smukke bundsolid.
Omkostningerne ved et sikkerhedsbrud, vidste de fleste ikke, men hvis du faktisk ser på hvad der skete med organisationer, der har lidt sikkerhedsbrud, viser det sig, at omkostningerne ved et sikkerhedsbrud ofte er langt højere, end du tror, det ville være. Og så er den anden ting at tænke på angrebets overflade, fordi ethvert stykke software overalt, der kører med dine organisationer, præsenterer en angrebsflade. Så gør enhver af enhederne, og dataene gør det, uanset hvordan de er gemt. Det hele er angrebsoverfladen vokser med tingenes internet, angrebsoverfladen vil sandsynligvis fordobles.
Så endelig DBA og datasikkerhed. Datasikkerhed er normalt en del af DBAs-rollen. Men dets samarbejde. Og det skal være underlagt virksomhedspolitik, ellers bliver det sandsynligvis ikke implementeret godt. Når det er sagt, tror jeg, jeg kan passere bolden.
Eric Kavanagh: Okay, lad mig give nøglerne til Vicky. Og du kan dele din skærm eller flytte til disse dias, det er op til dig, tage den væk.
Vicky Harp: Nej, jeg starter med disse lysbilleder, tak så meget. Så ja, jeg ville bare tage et hurtigt øjeblik og introducere mig selv. Im Vicky Harp. Jeg er en manager, produktstyring af SQL-produkter hos IDERA-software, og for dem af jer, der måske ikke er bekendt med os, har IDERA et antal produktlinjer, men jeg taler her for SQL-serverens side af tingene. Og så gør vi præstationsovervågning, sikkerhedsoverholdelse, sikkerhedskopiering, administrationsværktøjer - og dets bare slags liste over dem. Og selvfølgelig, hvad jeg er her for at tale om i dag, er sikkerhed og overholdelse.
Hovedparten af det, jeg vil tale om i dag, er ikke nødvendigvis vores produkter, selvom jeg agter at vise nogle eksempler på det senere. Jeg ville tale mere med dig om databasesikkerhed, nogle af truslerne i databasesikkerhedens verden lige nu, nogle ting at tænke på og nogle af de indledende ideer om, hvad du har brug for at se på for at sikre din SQL Serverdatabaser og også for at sikre, at de overholder de lovgivningsmæssige rammer, som du muligvis er underlagt, som nævnt. Der er mange forskellige regler på plads; de går på forskellige industrier, forskellige steder rundt om i verden, og det er ting, man skal tænke på.
Så jeg vil gerne tage et øjeblik og tale om tilstanden af dataovertrædelser - og ikke at gentage for meget af det, der allerede er diskuteret her - jeg kiggede over denne Intel-sikkerhedsundersøgelsesundersøgelse for nylig og på tværs af deres - jeg tror 1500 organisationer, de talte med - de havde i gennemsnit seks sikkerhedsovertrædelser, hvad angår brud på datatab, og 68 procent af dem havde krævet oplysning i en eller anden forstand, så de påvirkede aktiekursen, eller de måtte gøre noget kredit overvågning for deres kunder eller deres ansatte osv.
Nogle interessante andre statistikker er, at interne aktører, der var ansvarlige for 43 procent af dem. Så mange mennesker tænker meget på hackere og denne slags lyssky kvasi-regeringsorganisationer eller organiseret kriminalitet osv., Men interne aktører griber stadig direkte ind mod deres arbejdsgivere, i en temmelig høj andel af sagerne. Og disse er undertiden sværere at beskytte imod, fordi folk kan have legitime grunde til at have adgang til disse data. Cirka halvdelen af dette var 43 procent utilsigtet tab i en eller anden forstand. Så for eksempel i det tilfælde, hvor nogen tog data med hjem og derefter mistede oversigten over disse data, hvilket fører mig til dette tredje punkt, som er, at ting til fysiske medier stadig var involveret i 40 procent af overtrædelserne. Så det er USB-nøgler, det er folkets bærbare computere, det er faktiske medier, der blev brændt på fysiske diske og taget ud af bygningen.
Hvis du tænker over, har du en udvikler, der har en dev-kopi af din produktionsdatabase på deres bærbare computer? Så går de op i et fly, og de går ud af flyet, og de får den kontrollerede bagage, og deres bærbare computer er stjålet. Du har nu haft et dataovertrædelse. Du tror måske ikke nødvendigvis, at det er grunden til, at den bærbare computer blev taget, den vil måske aldrig nogensinde dukke op i naturen. Men det er stadig noget, der regner som en overtrædelse, det vil kræve videregivelse, og du får alle downstream-virkningerne af at have mistet disse data, bare på grund af tabet af det fysiske medie.
Og den anden interessante ting er, at mange mennesker tænker på kreditdata og kreditkortoplysninger som de mest værdifulde, men det er ikke rigtig tilfældet mere. Disse data er værdifulde, kreditkortnumre er nyttige, men ærligt ændres disse numre meget hurtigt, mens folkets personlige data ikke ændres meget hurtigt. Noget, som den seneste nyhed, relativt nyligt, VTech, en legetøjsfabrikant, havde disse legetøj, der var designet til børn. Og folk ville, de ville have deres børn navne, de ville have oplysninger om hvor børnene bor, de havde deres forældres navn, de havde fotografier af børnene. Intet af det blev krypteret, fordi det ikke blev betragtet som vigtigt. Men deres adgangskoder blev krypteret. Når overtrædelsen uundgåeligt skete, sagde du: ”OK, så jeg har en liste over børnenavne, deres forældres navn, hvor de bor - alle disse oplysninger er derude, og du tænker, at adgangskoden var den mest værdifulde del af det? ”Det var ikke; folk kan ikke ændre disse aspekter ved deres personlige data, deres adresse osv. Og så oplysninger er faktisk meget værdifulde og de skal beskyttes.
Så ville tale om nogle af de ting, der foregår, for at bidrage til den måde, dataovertrædelser sker lige nu. Et af de store hotspots, rum lige nu er social engineering. Så folk kalder det phishing, der er efterligning osv., Hvor folk får adgang til data, ofte gennem interne aktører, ved blot at overbevise dem om, at de skulle have adgang til det. Så lige den anden dag havde vi denne Google Docs-orm, der gik rundt. Og hvad det ville ske - og jeg modtog faktisk en kopi af det, selvom jeg heldigvis ikke klikkede på det - du kom fra en kollega og sagde: ”Her er et Google Doc-link; skal du klikke på dette for at se, hvad jeg lige har delt med dig. ”Nå, at i en organisation, der bruger Google Dokumenter, det er meget konventionelt, vil du få snesevis af disse anmodninger om dagen. Hvis du klikkede på det, ville det bede dig om tilladelse til at få adgang til dette dokument, og måske ville du sige: ”Hej, det ser lidt underligt ud, men du ved, det ser også legit ud, så jeg går videre og klikker på det, ”Og så snart du gjorde det, gav du denne tredjepart adgang til alle dine Google-dokumenter, og så skabte dette link for denne eksterne aktør for at få adgang til alle dine dokumenter på Google Drev. Dette ormede overalt. Det ramte hundredtusinder af mennesker i løbet af få timer. Og dette var grundlæggende et phishing-angreb, som Google selv endte med at lukke ned, fordi det var meget godt udført. Folk faldt for det.
Jeg nævner her SnapChat HR-overtrædelsen. Dette var bare et simpelt spørgsmål om nogen at indtaste, at han var den administrerende direktør, indtog på HR-afdelingen og sagde: ”Jeg har brug for dig til dette regneark.” Og de troede på dem, og de satte et regneark med 700 forskellige medarbejderes kompensation information, deres hjemmeadresser osv., redigerede den til denne anden part, det var faktisk ikke CEO. Nu var dataene ude, og alle deres ansatte personlige, private oplysninger var derude og tilgængelige til udnyttelse. Så social engineering er noget, som jeg nævner det i en verden af databaser, fordi dette er noget, du kan prøve at forsvare imod gennem uddannelse, men du skal også bare huske, at hvor som helst, hvor du har en person, der interagerer med din teknologi, og hvis du stoler på deres gode dømmekraft for at forhindre en strømbrud, spørger du en masse af dem.
Folk begår fejl, folk klikker på ting, som de ikke burde have, folk falder for kløgtige russe. Og du kan prøve meget hårdt for at beskytte dem mod det, men det er ikke stærkt nok, du er nødt til at forsøge at begrænse muligheden for, at folk ved en fejltagelse giver disse oplysninger i dine databasesystemer. Den anden ting, som jeg ønskede at nævne, som åbenlyst talte om meget, er ransomware, botnets, vira - alle disse forskellige automatiserede måder. Og så, hvad jeg synes er vigtigt at forstå om ransomware, er det virkelig ændrer profitmodellen for angribere. I tilfælde af, at du taler om et brud, er de nødt til i en eller anden forstand at udtrække data og have dem for sig selv og gøre brug af dem. Og hvis dine data er uklare, hvis de er krypterede, hvis de er branchespecifikke, har de måske ikke nogen værdi for det.
Indtil dette tidspunkt har folk måske følt sig som at det var en beskyttelse for dem, ”Jeg behøver ikke at beskytte mig mod et dataovertrædelse, for hvis de kommer ind i mit system, er alt hvad de vil have, jeg er et fotograferingsstudie , Jeg har en liste over hvem der kommer på hvilke dage for det næste år. Hvem er interesseret i det? ”Nå, det viser sig, at svaret er, at du er interesseret i det; du gemmer disse oplysninger, det er dine forretningskritiske oplysninger. Så ved hjælp af ransomware vil en angriber sige, "Nå, ingen andre vil give mig penge til dette, men du vil." Så de udnytter det faktum, at de ikke engang behøver at få dataene ud, de behøver ikke engang at har et brud, de skal bare bruge sikkerhedsværktøjer offensivt mod dig. De kommer ind i din database, de krypterer indholdet i den, og så siger de: ”OK, vi har adgangskoden, og du bliver nødt til at betale os $ 5.000 for at få den adgangskode, ellers behøver du ikke have disse data mere. ”
Og folk betaler sig; de finder sig selv nødt til at gøre det. MongoDB havde lidt af et enormt problem for et par måneder siden, jeg gætte, det var i januar, hvor ransomware ramte, tror jeg, over en million MongoDB-databaser, de har offentligt til internettet, baseret på nogle standardindstillinger. Og hvad der gjorde det endnu værre er, at folk betalte, og at andre organisationer ville komme ind og kryptere eller hævde at have været dem, der oprindeligt havde krypteret det, så når du betalte dine penge, og jeg tror i det tilfælde var de beder om noget som $ 500, ville folk sige, “OK, jeg ville betale mere end det for at betale en forsker for at komme ind her for at hjælpe mig med at finde ud af, hvad der gik galt. Jeg betaler bare $ 500. ”Og de var ikke engang at betale den til den rigtige skuespiller, så de vil blive stablet videre med ti forskellige organisationer, der siger dem,“ Weve har adgangskoden, ”eller“ Weve har vejen for dig at låse dine løsepenge op . ”Og du skal betale dem alle for eventuelt at få det til at fungere.
Der har også været tilfælde, hvor ransomware-forfatterne havde bugs, jeg mener, ikke talte om, at det var en perfekt overordnet situation, så selv når det er blevet angrebet, selv når du har betalt, er der ingen garanti for, at du vil få alle dine data tilbage, noget af dette bliver kompliceret så godt med våbnede InfoSec-værktøjer. Så Shadow Brokers er en gruppe, der lækker værktøjer, der var fra NSA. De var værktøjer designet af regeringsenheden med henblik på spionage og faktisk arbejder mod andre regeringsenheder. Nogle af disse har været virkelig høje profil nul-dages angreb, der dybest set får de kendte sikkerhedsprotokoller bare til at falde til side. Og så var der for eksempel en stor sårbarhed i SMB-protokollen i en af de seneste dumpe af Shadow Brokers.
Og så disse værktøjer, der kommer ud her, i løbet af et par timer virkelig kan ændre spillet på dig med hensyn til din angrebsflade. Så hver gang jeg tænker på dette, det er noget, der på organisatorisk niveau, sikkerhedsinfoSec er dens egen funktion, skal det tages alvorligt. Hver gang vi talte om databaser, kan jeg fjerne det lidt, du behøver ikke nødvendigvis at have som databaseadministrator fuld forståelse af, hvad der sker med Shadow Brokers denne uge, men du skal være opmærksom på, at alle disse skifter , der er ting, der sker, og så den grad, i hvilken du holder dit eget domæne stramt og sikkert, det vil virkelig hjælpe dig i tilfælde af, at ting slags bliver revet ud under dig.
Så jeg ønskede at tage et øjeblik her, før jeg gik videre til at tale specifikt om SQL Server, for faktisk at have lidt af en åben diskussion med vores paneldeltagere om nogle af overvejelserne med databasesikkerhed. Så jeg har nået dette punkt, nogle af de ting, vi ikke har nævnt, ville jeg tale om SQL-injektion som en vektor. Så dette er SQL-injektion, det er naturligvis den måde, hvorpå folk indsætter kommandoer i et databasesystem, ved slags misdannelse af input.
Eric Kavanagh: Ja, jeg mødte faktisk en fyr - jeg tror, det var i Andrews Air Force base - for cirka fem år siden, en konsulent, som jeg talte med ham på gangen, og vi delte bare slags krigsfortællinger - ingen ordspil beregnet - og han nævnte, at han var blevet bragt ind af nogen for at konsultere et relativt højtstående medlem af militæret, og fyren spurgte ham, ”Nå, hvordan ved vi, at du er god til det, du gør?” og det og det. Og mens han talte med dem, han brugte på sin computer, hed kom ind i netværket, brugte han SQL-injektion for at komme ind i registreringsdatabasen for den base og for disse mennesker. Og han fandt de personer, som han talte med, og han viste ham bare sine på sin maskine! Og fyren var som, "Hvordan gjorde du det?" Han sagde, "Nå, jeg brugte SQL-injektion."
Så det var bare fem år siden, og det var ved en flyvevåbenbase, ikke? Så jeg mener, hvad angår ulemper, er denne ting stadig meget reel, og den kunne bruges med virkelig skræmmende effekter. Jeg mener, jeg er nysgerrig efter at kende eventuelle krigshistorier, som Robin har om emnet, men alle disse teknikker er stadig gyldige. De bruges stadig i mange tilfælde, og det er et spørgsmål om at uddanne dig selv, ikke?
Robin Bloor: Altså ja. Ja, det er muligt at forsvare sig mod SQL-injektion ved at udføre arbejdet. Det er let at forstå, hvorfor når ideen blev opfundet og først spredte, er det let at forstå, hvorfor det var så forbandet vellykket, fordi du bare kunne sætte den i et inputfelt på en webside og få den til at returnere data til dig, eller få det for at slette data i databasen, eller hvad som helst - du kan bare injicere SQL-kode for at gøre det. Men det er det, der interesserede mig, er, at det er du ved, at du bliver nødt til at gøre en lille smule parsing af hvert stykke data, der blev indtastet, men det er ganske muligt at se, at nogen forsøger at gøre det. Og det er virkelig, tror jeg, det er virkelig, fordi folk stadig slipper af med det, jeg mener, det er bare virkelig underligt, at der ikke har været en nem måde at bekæmpe det på. Du ved, at alle let kunne bruge, jeg mener, så vidt jeg ved, der ikke har været, Vicky, der?
Vicky Harp: Nå, faktisk nogle af gidsløsningerne, som SQL Azure, synes jeg har nogle ret gode opdagelsesmetoder, der er baseret på maskinlæring. Det, der sandsynligvis var, hvad der ville se i fremtiden, er noget, det prøver at komme med den ene størrelse passer til alle. Jeg tror, at svaret har været der, at der ikke er én størrelse, der passer til alle, men vi har maskiner, der kan lære, hvad din størrelse er, og sikre dig, at du passer til det, ikke? Og så hvis du har en falsk positiv, er det fordi du faktisk laver noget usædvanligt, ikke fordi du har været nødt til at gennemgå og omhyggeligt identificere alt, hvad din applikation nogensinde kan gøre.
Jeg tror, en af grundene til, at det virkelig stadig er så udbredt, er, at folk stadig er afhængige af tredjepartsapplikationer, og applikationer fra ISV'er, og disse er udtværet over tid.Så du taler om en organisation, der har købt en ingeniørapplikation, der blev skrevet i 2001. Og de har ikke opdateret den, fordi der ikke har været nogen større funktionelle ændringer siden da, og den oprindelige forfatter af det var slags, de var ikke en ingeniør , de var ikke databasesikkerhedsekspert, de gjorde ikke tingene på den rigtige måde i applikationen og de ender med at blive en vektor. Min forståelse er, at - jeg tror, det var målet om dataovertrædelse, den rigtig store, - angrebsvektoren havde været via en af deres klimaanlægeleverandører, ikke? Så problemet med disse tredjeparter, kan du, hvis du ejer din egen udviklingsbutik, kan du måske have nogle af disse regler på plads og gøre det generisk når som helst. Som en organisation kan du have hundreder eller endda tusinder af applikationer, der kører, med alle de forskellige profiler. Jeg tror, det er her maskinlæring kommer til at begynde at hjælpe os meget.
Min krigshistorie var lærerig. Jeg fik se et SQL-injektionsangreb, og noget, der aldrig var kommet op for mig, er at bruge almindelig læsbar SQL. Jeg gør disse ting, der kaldes tilsløret P SQL-feriekort; Jeg kan godt lide at gøre, du får denne SQL til at se så forvirrende ud som muligt. Theres tilsløret C ++ -kodekonkurrence, der er foregået i årtier nu, og dens slags den samme idé. Så hvad du faktisk fik, var SQL-injektionen, der lå i et åbent strengfelt, det lukkede strengen, det satte i semikolonet, og så satte det en exec-kommando, der derefter havde en række numre, og så brugte den dybest set casting-kommando for at caste disse numre i binær og derefter casting dem på sin side til tegnværdier og derefter udføre det. Så det er ikke som du fik at se noget, der sagde, "Slet start fra produktionsbordet", det var faktisk fyldt i numeriske felter, der gjorde det meget sværere at se. Og selv når du så det, for at identificere, hvad der skete, tog det nogle rigtige SQL-skud for at være i stand til at finde ud af, hvad der skete, på hvilket tidspunkt selvfølgelig arbejdet allerede var blevet udført.
Robin Bloor: Og en af de ting, der bare er et fænomen i hele hackingverdenen, er, at hvis nogen finder en svaghed, og det sker i et stykke software, der generelt er solgt, ved du, et af de tidlige problemer er databaseadgangskoden at du fik, da en database blev installeret, var en masse databaser faktisk bare en standard. Og en masse DBA'er har simpelthen aldrig ændret det, og derfor kunne du formår at komme ind i netværket da; du kunne bare prøve det kodeord, og hvis det fungerede, så vandt du bare lotteriet. Og det interessante er, at al denne information cirkuleres meget effektivt og effektivt blandt hacking-samfundene på darknet-websteder. Og de ved det. Så de kan stort set gøre en fejring af hvad der er derude, finde et par tilfælde og bare automatisk kaste noget hacking udnytte det, og de er i. Og det er, tror jeg, at mange mennesker, der i det mindste er på periferien af alt dette, forstår faktisk ikke, hvor hurtigt hackingnetværket reagerer på sårbarhed.
Vicky Harp: Ja, det bringer faktisk en anden ting op, som jeg ville nævne, før jeg går videre, hvilket er denne opfattelse af legitimationsstopning, som er noget, der har dukket meget op, hvilket er, at når dine legitimationsoplysninger er blevet stjålet for nogen overalt, når som helst site, vil disse legitimationsoplysninger blive forsøgt genbrugt overalt. Så hvis du bruger duplikat-adgangskoder, hvis du siger, hvis dine brugere er, endda, lad os sige det på den måde, kan nogen muligvis få adgang via det, der ser ud til at være et fuldstændigt gyldigt sæt legitimationsoplysninger. Så lad os sige, at jeg har brugt min samme adgangskode hos Amazon og i min bank, og også på et forum, og at forum-softwaren blev hacket, ja, de har mit brugernavn og mit kodeord. Og de kan derefter bruge det samme brugernavn hos Amazon, eller de bruger det i banken. Og hvad banken angår, var det en fuldstændig gyldig login. Nu kan du foretage afskyelige handlinger via den fuldstændigt autoriserede adgang.
Så den slags vender tilbage til det, jeg sagde om de interne overtrædelser og de interne anvendelser. Hvis du har fået folk i din organisation, der bruger deres samme adgangskode til intern adgang, som de gør for ekstern adgang, har du muligheden for, at der kommer nogen ind og forkynder dig via et brud på et andet sted, som du ikke engang kender til. Og disse data spredes meget hurtigt. Der er lister over, jeg tror, at den seneste belastning til "er jeg blevet fyret" af Troy Hunt, sagde han, at han havde en halv milliard sæt legitimationsoplysninger, hvilket er - hvis du overvejer antallet af mennesker på planeten - det er en rigtig stort antal legitimationsoplysninger, der er blevet stillet til rådighed til udfyldning af legitimationsoplysninger.
Så jeg kommer til at gå lidt dybere og tale om SQL Server-sikkerhed. Nu vil jeg sige, at jeg ikke vil prøve at give dig alt hvad du behøver at vide for at sikre din SQL Server i de næste 20 minutter; det virker lidt af en høj ordre. Så for endda at starte, vil jeg sige, at der er grupper online og ressourcer online, som du helt sikkert kan Google, der er bøger, der er dokumenter med bedste praksis på Microsoft, der er et virtuelt sikkerhedskapitel for professionelle medarbejdere på SQL Server, theyre på security.pass.org, og de har, efter min mening, månedlige webcasts og optagelser af webcasts til en slags gennemgang af den rigtige, dybtgående, hvordan man gør SQL Server-sikkerhed. Men dette er nogle af de ting, som jeg taler til dig som datapersonale, som it-fagfolk, som DBA'er, jeg vil have dig til at vide, at du har brug for at vide om SQL Server-sikkerhed.
Så den første er fysisk sikkerhed. Så som jeg sagde tidligere, er det stadig ekstremt almindeligt at stjæle fysiske medier. Og så scenariet, som jeg gav med dev-maskinen, med en kopi af din database på dev-maskinen, der bliver stjålet - det er en ekstremt almindelig vektor, det er en vektor, du skal være opmærksom på og prøve at tage handling imod. Det er også tilfældet for sikkerhedskopiering, så når du sikkerhedskopierer dine data, skal du sikkerhedskopiere dem krypteret, skal du tage sikkerhedskopi til et sikkert sted. Mange gange er disse data, der virkelig blev beskyttet i databasen, så snart de begynder at komme ud i periferilokaliteter, på dev-maskiner, på testmaskiner, vi bliver lidt mindre omhyggelige med at lappe, vi bliver lidt mindre være forsigtig med de mennesker, der har adgang til det. Den næste ting, du ved, har du fået ukrypterede database-sikkerhedskopier, der er gemt på en offentlig andel i din organisation til rådighed til udnyttelse af en masse forskellige mennesker. Så tænk på fysisk sikkerhed og kan så simpelt som nogen gå op og bare sætte en USB-nøgle på din server? Det skal du ikke tillade.
Det næste punkt, jeg vil have dig til at tænke på, er platformsikkerhed, så opdateret operativsystem, up-to-date programrettelser. Det er meget trættende at høre folk tale om at blive i ældre versioner af Windows, ældre versioner af SQL Server og tænke, at de eneste omkostninger i spillet er omkostningerne ved licensopgradering, hvilket ikke er tilfældet. Vi er med sikkerhed, det er en strøm, der fortsætter med at gå ned ad bakken, og når tiden går, findes der flere udnyttelse. Microsoft i dette tilfælde og andre grupper, som det er tilfældet, vil de opdatere ældre systemer til et punkt, og til sidst falder de ud af support, og de vil ikke opdatere dem længere, fordi det bare er en uendelig vedligeholdelsesproces.
Og så skal du være på et understøttet operativsystem, og du skal være opdateret om dine programrettelser, og vi har fundet for nylig som hos Shadow Brokers, i nogle tilfælde kan Microsoft have indblik i kommende større sikkerhedsbrud, inden de bliver foretaget offentligt, før afsløringen, så lad ikke dig selv blive alle vridd i orden. Id hellere ikke tage nedetid, id snarere vente og læse hver enkelt af dem og beslutte. Du ved muligvis ikke, hvad værdien af det er, før nogle uger nede på linjen, efter at du har fundet ud af, hvorfor denne programrettelse opstod. Så bliv oven på det.
Du skal have din firewall konfigureret. Det var chokerende i SNB-overtrædelsen, hvor mange mennesker, der kørte ældre versioner af SQL Server med firewallen helt åben for internettet, så hvem som helst kunne komme ind og gøre hvad de vil med deres servere. Du skal bruge en firewall. Det faktum, at du lejlighedsvist skal konfigurere reglerne eller foretage specifikke undtagelser for den måde, du gør din virksomhed på, er en OK pris at betale. Du er nødt til at kontrollere overfladearealet i dine databasesystemer - installerer du tjenester eller webservere som IIS på samme maskine? Deler du den samme diskplads, deler den samme hukommelsesplads som dine databaser og dine private data? Prøv ikke at gøre det, prøv at isolere det, hold overfladearealet mindre, så du ikke behøver at bekymre dig så meget om at sikre dig, at alt dette er sikkert oven på databasen. Du kan slags fysisk adskille dem, platform, adskille dem, give dig selv en lille smule åndedrætsværelse.
Du skal ikke have superadminer, der løber rundt overalt, og som har adgang til alle dine data. OS-admin-konti er muligvis ikke nødvendigvis nødt til at have adgang til din database eller til de underliggende data i databasen via kryptering, som vi godt taler om i et minut. Og adgangen til databasefilerne, skal du også begrænse det. Det er slags fjollet, hvis du skulle sige, ja, nogen kan ikke få adgang til disse databaser via databasen; SQL Server selv tillader dem ikke adgang til den, men hvis de så kan gå rundt, tage en kopi af den faktiske MDF-fil, flytte den ganske enkelt så vedhæfte den til deres egen SQL Server, du har virkelig ikke virkelig opnået meget.
Kryptering, så kryptering er det berømte tovejs sværd. Der er mange forskellige niveauer af kryptering, som du kan gøre på OS-niveau og den moderne måde at gøre ting på for SQL og Windows er med BitLocker og på databaseniveau kaldes det TDE eller gennemsigtig datakryptering. Så disse er begge måder at slags holde dine data krypteret i hvile. Hvis du vil holde dine data krypteret mere omfattende, kan du gøre krypteret - beklager, jeg har slags skridt foran. Du kan lave krypterede forbindelser, så hver gang den er i transit, er den stadig krypteret, så hvis nogen lytter eller har en mand midt i et angreb, har du en vis beskyttelse af disse data over ledningen. Dine sikkerhedskopier skal krypteres, som jeg sagde, de kan være tilgængelige for andre, og hvis du vil have det til at være krypteret i hukommelsen og under brug, har vi fået kolonnekryptering og derefter har SQL 2016 denne opfattelse af "altid krypteret" hvor det faktisk er krypteret på disk, i hukommelse, på ledningen, helt til det program, der faktisk bruger dataene.
Nu er al denne kryptering ikke gratis: Der er CPU-overhead, nogle gange for kolonnekryptering og den altid krypterede sag, er der implikationer for ydeevnen med hensyn til din evne til at søge på disse data. Men denne kryptering, hvis den er korrekt sammensat, betyder det, at hvis nogen skulle få adgang til dine data, er skaden kraftigt reduceret, fordi de var i stand til at få dem, og så er de ikke i stand til at gøre noget med det. Dette er dog også den måde, som ransomware fungerer på, er at nogen går ind og tænder disse elementer, med deres eget certifikat eller deres eget kodeord, og du har ikke adgang til det. Så det er derfor, det er vigtigt at sikre, at du gør dette, og at du har adgang til det, men du giver ikke det, åbent for andre og angribere at gøre.
Og derefter sikkerhedsprincipper - Jeg vil ikke uddybe dette punkt, men sørg for, at du ikke har enhver bruger, der kører i SQL Server som superadministrator. Dine udviklere vil måske have det, forskellige brugere vil måske have det - de er frustrerede over at skulle bede om adgang til individuelle elementer - men du skal være omhyggelig med det, og selvom det kan være mere kompliceret, giver du adgang til objekterne og databaserne og de skemaer, der er gyldige til igangværende arbejde, og der er en særlig sag, måske betyder det en særlig login, det betyder ikke nødvendigvis en forhøjelse af rettighederne for den gennemsnitlige sagsbruger.
Og så er de overholdelser af lovgivningsmæssig overholdelse, der passer til dette, og nogle tilfælde kan faktisk slags gå af på deres egen måde - så der er HIPAA, SOX, PCI - der er alle disse forskellige overvejelser. Og når du gennemgår en revision, forventes det, at du viser, at du træffer foranstaltninger for at forblive i overensstemmelse med dette. Og så, dette er meget at holde styr på, jeg vil sige som en DBA-liste over to-do, du prøver at sikre den fysiske sikkerhedskrypteringskonfiguration, du prøver at sikre dig, at adgangen til disse data bliver revideret for dine overholdelsesformål , skal du sørge for, at dine følsomme kolonner, at du ved, hvad de er, hvor de er, hvilke, du skal kryptere og se adgang til. Og sørg for, at konfigurationer er i overensstemmelse med de lovgivningsmæssige retningslinjer, som du er underlagt. Og du er nødt til at holde dette hele ajour, når tingene ændrer sig.
Så det er meget at gøre, og så hvis jeg skulle forlade det bare der, ville jeg sige gå gør det. Men der er mange forskellige værktøjer til det, og så hvis jeg måske i de sidste få minutter, ville jeg vise dig nogle af de værktøjer, vi har på IDERA til det. Og de to, jeg ønskede at tale om i dag, er SQL Secure og SQL Compliance Manager. SQL Secure er vores værktøj til at hjælpe med at identificere slags konfigurationssårbarheder. Dine sikkerhedspolitikker, dine bruger tilladelser, dine overfladekonfigurationer. Og det har skabeloner, der hjælper dig med at overholde forskellige lovgivningsmæssige rammer. Det i sig selv, den sidste linje, kan være grunden til, at folk overvejer det. Fordi at læse gennem disse forskellige regler og identificere, hvad disse betyder, PCI og derefter tage det helt ned til min SQL Server i min butik, det er en masse arbejde. Det er noget, du kan betale en masse konsulentpenge at gøre; Vi er gået og lavet det rådgivning, vi har arbejdet med de forskellige revisionsfirmaer osv. for at finde ud af, hvad disse skabeloner er - noget, der sandsynligvis vil bestå en revision, hvis disse er på plads. Og så kan du bruge disse skabeloner og se dem i dit miljø.
Vi har også et andet søsterværktøj i form af SQL Compliance Manager, og det er her SQL Secure handler om konfigurationsindstillinger. SQL Compliance Manager handler om at se, hvad der blev gjort af hvem, hvornår. Så dets revision, så det giver dig mulighed for at overvåge aktiviteten, som den forekommer, og lade dig registrere og spore, hvem der får adgang til tingene. Var der nogen, det prototype eksempel på at være en berømthed, der blev tjekket ind på dit hospital, var der nogen der kiggede på deres information lige ud af nysgerrighed? Har de en grund til at gøre det? Du kan se på revisionshistorikken og se, hvad der foregik, hvem der fik adgang til disse poster. Og du kan identificere, at dette har værktøjer, der hjælper dig med at identificere følsomme kolonner, så du ikke nødvendigvis behøver at læse igennem og gøre det hele selv.
Så hvis jeg måske, vil jeg gå foran og vise dig nogle af disse værktøjer her i disse sidste par minutter - og vær venlig ikke at betragte det som en dybdegående demo. Jeg er en produktchef, ikke en salgsingeniør, så jeg vil vise dig nogle af de ting, som jeg synes er relevante for denne diskussion. Så dette er vores SQL Secure-produkt. Og som du kan se her, har Ive slags dette rapport på højt niveau. Jeg kørte dette, tror jeg, i går. Og det viser mig nogle af de ting, der ikke er konfigureret korrekt, og nogle af de ting, der er konfigureret korrekt. Så du kan se temmelig mange over 100 forskellige kontroller, som vi har gjort her. Og jeg kan se, at min backupkryptering på de sikkerhedskopier, jeg har lavet, ikke har brugt backupkryptering. Min SA-konto, der eksplicit kaldes “SA-konto”, er ikke deaktiveret eller omdøbt. Den offentlige serverrolle har tilladelse, så dette er alle ting, som jeg måske vil se på at ændre.
Ive har opstillet politikken her, så hvis jeg ønskede at oprette en ny politik, der skal anvendes på mine servere, så har vi alle disse indbyggede politikker. Så jeg bruger en eksisterende politikskabelon, og du kan se, at jeg har CIS, HIPAA, PCI, SR og foregår, og vi er faktisk i færd med kontinuerligt at tilføje yderligere politikker, baseret på de ting, folk har brug for i marken. Og du kan også oprette en ny politik, så hvis du ved, hvad din revisor leder efter, kan du oprette den selv. Og når du gør det, kan du vælge mellem alle disse forskellige indstillinger, hvad du skal have indstillet, i nogle tilfælde har du nogle - lad mig gå tilbage og finde en af de forudbyggede. Dette er praktisk, jeg kan vælge, sige, HIPAA - Jeg har allerede fået HIPAA, min dårlige - PCI, og så, når jeg klikker rundt her, kan jeg faktisk se den eksterne krydshenvisning til det afsnit i forordningen, at dette er relateret til. Så det vil hjælpe dig senere, når du prøver at finde ud af, hvorfor jeg sætter dette ind? Hvorfor prøver jeg at se på dette? Hvilket afsnit er dette relateret til?
Dette har også et dejligt værktøj, idet det giver dig mulighed for at gå ind og gennemse dine brugere, så en af de vanskelige ting ved at udforske dine brugerroller, er, at jeg faktisk tager et kig her. Så hvis jeg viser tilladelser til mine, lad os se, kan vi vælge en bruger her. Vis tilladelser. Jeg kan se de tildelte tilladelser til denne server, men så kan jeg klikke her nede og beregne de effektive tilladelser, og det giver mig den fulde liste baseret på, så i dette tilfælde er dette admin, så det er ikke så spændende, men jeg kunne gå igennem og vælg de forskellige brugere og se, hvad deres effektive tilladelser er, baseret på alle de forskellige grupper, som de muligvis hører til. Hvis du nogensinde prøver at gøre dette på egen hånd, kan det faktisk være lidt besværligt at finde ud af, OK denne bruger er medlem af disse grupper og har derfor adgang til disse ting via grupper osv.
Den måde, hvorpå dette produkt fungerer, er det, at det tager snapshots, så det er virkelig ikke en meget vanskelig proces at tage et snapshot af serveren regelmæssigt, og derefter holder de disse snapshots over tid, så du kan sammenligne for ændringer. Så dette er ikke en kontinuerlig overvågning i traditionel forstand som et værktøj til overvågning af ydeevne; dette er noget, som du måske har konfigureret til at køre en gang om natten, en gang om ugen - dog ofte synes du, at det er gyldigt, så at når du er ved at analysere og du gør lidt mere, arbejder du faktisk bare i vores værktøj. Du forbinder ikke så meget tilbage til din server, så dette er et temmelig dejligt lille værktøj at arbejde med, så du overholder de slags statiske indstillinger.
Det andet værktøj, jeg vil vise dig, er vores Compliance Manager-værktøj. Compliance Manager overvåger på en mere kontinuerlig måde. Og det kommer til at se, hvem der gør hvad på din server og giver dig mulighed for at se på det. Så hvad jeg har gjort her i de sidste par timer, har jeg faktisk forsøgt at skabe nogle små problemer. Så her har jeg fået, om det er et problem eller ej, jeg ved måske om det, nogen har faktisk oprettet et login og føjet det til en serverrolle. Så hvis jeg går ind og kigger på det, kan jeg se - jeg kan vel ikke højreklikke der, kan jeg se, hvad der sker.Så dette er mit betjeningspanel, og jeg kan se, at jeg havde et antal mislykkede logins lidt tidligere i dag. Jeg havde en masse sikkerhedsaktiviteter, DBL-aktivitet.
Så lad mig gå over til mine revisionsbegivenheder og se på. Her har Ive fået mine revisionsbegivenheder grupperet efter kategori og målobjekt, så hvis jeg ser på den sikkerhed fra tidligere, kan jeg se DemoNewUser, dette oprettede server login opstod. Og jeg kan se, at login-SA oprettede denne DemoNewUser-konto her, kl. 02:42. Og så kan jeg se, at der igen tilføjes login til serveren, denne DemoNewUser blev føjet til serveradministratorgruppen, de blev føjet til opsætningsadministratorgruppen, de blev føjet til sysadmin-gruppen. Så det var noget, som jeg gerne vil vide, at der var sket. Ive fik det også konfigureret, så de følsomme kolonner i mine tabeller spores, så jeg kan se, hvem der har fået adgang til den.
Så her har Ive fået et par udvalgte, der er sket på mit personbord fra Adventure Works. Og jeg kan se og se, at bruger SA på bordet Adventure Works lavede en udvalgt topstjerne fra person dot person. Så måske i min organisation ønsker jeg ikke, at folk skal vælge stjerner fra personprik person, eller jeg forventer, at kun visse brugere gør det, og så vil jeg se dette her. Så det, hvad du har brug for i forbindelse med din revision, vi kan indstille det op ud fra rammerne, og dette er lidt mere et intensivt værktøj. Det bruger SQL Trace eller SQLX begivenheder, afhængigt af versionen. Og det er noget, som du bliver nødt til at have nogle lofter på din server for at rumme, men det er en af disse ting, slags lignende forsikring, hvilket er rart, hvis vi ikke skulle have en bilforsikring - det ville være en omkostning, som vi ikke ville nødt til at tage - men hvis du har en server, hvor du har brug for at holde styr på, hvem der gør hvad, skal du muligvis have lidt ekstra lofterum og et værktøj som dette for at gøre dette. Uanset om du bruger vores værktøj eller er selv at rulle det, er du i sidste ende ansvarlig for at have disse oplysninger til overholdelse af lovgivningen.
Så som jeg sagde, ikke en dybdegående demo, bare en hurtig, lille oversigt. Jeg ønskede også at vise dig et hurtigt, lille gratis værktøj i form af denne SQL Column Search, som er noget, du kan bruge til at identificere, hvilke kolonner i dit miljø, der ser ud til at være følsomme oplysninger. Så vi har et antal søgekonfigurationer, hvor det er på udkig efter de forskellige navne på kolonner, der ofte indeholder følsomme data, og så har Ive hele denne liste over dem, der er identificeret. Ive fik 120 af dem, og så eksporterede jeg dem her, så jeg kan bruge dem til at sige, lader kigge og sikre mig, at jeg sporer adgang til mellemnavnet, en person prik person eller momssats osv.
Jeg ved, at vi kom lige i slutningen af vores tid her. Og det er alt, hvad jeg faktisk måtte vise dig, så spørgsmål til mig?
Eric Kavanagh: Jeg har et par gode til dig. Lad mig rulle dette op her. En af de deltagende stillede et rigtig godt spørgsmål. En af dem spørger om resultatafgift, så jeg ved, at den varierer fra løsning til løsning, men har du nogen generel idé om, hvad resultatafgiften er til at bruge IDERA-sikkerhedsværktøjer?
Vicky Harp: Så på SQL Secure er det, som sagt, meget lavt, det vil bare tage nogle lejlighedsvise øjebliksbilleder. Og selvom du har kørt temmelig ofte, er det at få statiske oplysninger om indstillinger, og derfor er det meget lavt, næsten ubetydeligt. Med hensyn til Compliance Manager er det—
Eric Kavanagh: Som en procent?
Vicky Harp: Hvis jeg skulle give et procenttal, ja, ville det være en procent eller lavere. Dets grundlæggende oplysninger om rækkefølgen af at bruge SSMS og gå ind i sikkerhedsfanen og udvide ting. På overholdelsessiden er det meget højere - det er derfor, jeg sagde, at det har brug for en lille loftshøjde - det er ligesom det, der er langt ud over det, du har med hensyn til præstationsovervågning. Nu vil jeg ikke skræmme folk væk fra det, tricket med overvågning af overholdelse, og hvis dets revision er at sikre, at du kun reviderer, hvad du vil tage skridt til. Så når du først har filtreret ned for at sige, "Hej, jeg vil vide, når folk får adgang til disse bestemte tabeller, og jeg vil vide, når folk får adgang til, tage disse bestemte handlinger," så vil det være baseret på, hvor ofte disse ting er sker, og hvor mange data genererer du. Hvis du siger: "Jeg vil have den fulde SQL for hvert valg, der nogensinde sker på nogen af disse tabeller," det er bare sandsynligvis gigabyte og gigabyte med data, der skal analyseres af SQL Server gemt, flyttet til vores produkt osv. .
Hvis du holder det nede på et - vil det også være mere information, end du sandsynligvis kunne håndtere. Hvis du kunne tage det ned til et mindre sæt, så du får et par hundrede begivenheder om dagen, er det åbenbart meget lavere. Så virkelig på nogle måder er skyene grænsen. Hvis du tænder for alle indstillinger på al overvågning for alt, så ja, det bliver et 50 procent præstationshit. Men hvis du vil gøre det til en slags mere moderat, betragtet niveau, ville jeg måske øjeæble 10 procent? Det er virkelig en af disse ting, at det vil være meget afhængig af din arbejdsbyrde.
Eric Kavanagh: Yeah sikkert. Der er endnu et spørgsmål om hardware. Og så kom der hardware-leverandører ind i spillet og samarbejdede virkelig med softwareleverandører, og jeg svarede gennem Q & A-vinduet. Jeg kender til et bestemt tilfælde, hvor Cloudera arbejdede med Intel, hvor Intel foretog den enorme investering i dem, og en del af beregningen var, at Cloudera ville få tidlig adgang til chipdesign og dermed kunne bage sikkerhed i chip-niveauet for arkitektur, som er temmelig imponerende. Men det er ikke desto mindre, det er noget, der kommer derude, og stadig kan udnyttes af begge sider. Kender du til tendenser eller tendenser hos hardwareleverandører til at samarbejde med softwareleverandører om sikkerhedsprotokol?
Vicky Harp: Ja, faktisk tror jeg, at Microsoft har samarbejdet for at have noget af, som f.eks. Hukommelsesområdet til noget af krypteringsarbejdet, der faktisk sker på separate chips på bundkort, der er adskilt fra din hovedhukommelse, så nogle af disse ting er fysisk adskilt. Og jeg tror, at det faktisk var noget, der kom fra Microsoft med hensyn til at gå ud til sælgerne for at sige: ”Kan vi finde en måde at gøre dette på, dybest set dets ikke-adresserbare hukommelse, kan jeg ikke gennem en bufferoverløb komme til denne hukommelse , fordi det ikke engang er der, i en eller anden forstand, så jeg ved, at noget af det sker. ”
Eric Kavanagh: Ja.
Vicky Harp: Det er helt klart sandsynligvis de rigtig store leverandører.
Eric Kavanagh: Ja. Jeg er nysgerrig efter at se efter det, og måske Robin, hvis du har et hurtigt sekund, er jeg nysgerrig efter at kende din oplevelse i årenes løb, for igen, hvad angår hardware, hvad angår den faktiske materialevidenskab, der går ind på, hvad du lægger sammen fra sælgersiden kunne disse oplysninger gå til begge sider, og teoretisk går vi til begge sider ret hurtigt, så er der en måde at bruge hardware mere omhyggeligt fra et designperspektiv til at styrke sikkerheden? Hvad synes du? Robin, er du på stum?
Robin Bloor: Ja ja. Jeg beklager, jeg er her; Jeg overvejer bare spørgsmålet. For at være ærlig, jeg har ikke fået en mening, det er et område, som jeg ikke har kigget på i betydelig dybde, så jeg er slags, du ved, jeg kan opfinde en mening, men jeg ved ikke rigtig. Jeg foretrækker, at tingene er sikre i software, det er netop den måde, jeg spiller, dybest set.
Eric Kavanagh: Ja. Vi har brændt en times tid og skift her. Stor tak til Vicky Harp for hendes tid og opmærksomhed - for al din tid og opmærksomhed; vi værdsætter, at du møder op for disse ting. Det er en big deal; det vil ikke forsvinde når som helst snart. Det er et katte-og-mus-spil, der vil fortsætte med at gå og gå og gå. Og så var de taknemmelige for, at nogle virksomheder er derude, der fokuserer på at muliggøre sikkerhed, men som Vicky endda henviste til og snakede lidt om i sin præsentation til sidst på dagen, dets folk i organisationer, der har brug for at tænke meget nøje om disse phishing-angreb, den slags social engineering, og hold dine bærbare computere - lad dem ikke være på kaffebaren! Skift din adgangskode, gør det grundlæggende, og du får 80 procent af vejen dertil.
Så med det, folk, ville tage dig farvel, endnu en gang tak for din tid og opmærksomhed. Kom godt i gang næste gang, pas på. Hej hej.
Vicky Harp: Se, tak.