Casa Bases de dades És millor demanar permís: bones pràctiques per a privadesa i seguretat

És millor demanar permís: bones pràctiques per a privadesa i seguretat

Anonim

Per personal de Techopedia, 10 de maig de 2017

Take away: l' amfitrió Eric Kavanagh discuteix la seguretat i els permisos amb el doctor Robin Bloor i l'IDERA, Vicky Harp.

Actualment no teniu la sessió iniciada. Inicieu la sessió o registreu-vos per veure el vídeo.

Eric Kavanagh: D' acord, senyores i benvinguts, hola i benvinguts de nou. És un dimecres, són quatre orientals i al món de la tecnologia empresarial, cosa que vol dir que torna a ser el moment de Hot Technologies. Sí, efectivament. Presentat pel Grup Bloor per descomptat, impulsat pels nostres amics de Techopedia. El tema d’avui és molt fantàstic: “Millor demanar permís: bones pràctiques per a la privadesa i la seguretat.” És així, és un tema difícil, molta gent parla d’això, però és bastant seriós i realment cada cop és més seriós, francament. És un problema greu de moltes maneres per a moltes organitzacions. Parlarem d’això i parlarem del que podeu fer per protegir la vostra organització dels nefastos personatges que semblen haver-hi arreu.

Així doncs, la presentadora actual és Vicky Harp que truca des d'IDERA. Podeu veure el programari IDERA a LinkedIn: m’encanta la nova funcionalitat a LinkedIn. Tot i que puc dir que estan traient algunes cadenes de certes maneres, que no et permeten accedir a la gent, intentant aconseguir que compres aquestes membres. Allà on aneu, tenim el nostre propi Robin Bloor, que forma part. Actualment es troba a la zona de San Diego. I el vostre veritablement com a moderador / analista.

Aleshores, de què parlem? Incompliments de dades. Acabo de treure aquesta informació a IdentityForce.com, ja surt a les curses. Ja estem al maig d'aquest curs i, simplement, hi ha moltes infraccions de dades. Hi ha algunes realment enormes, per descomptat, per Yahoo! va ser un gran, i vam saber dir, per descomptat, que el govern dels Estats Units estava piratat. Acabem de piratejar les eleccions franceses.

Això passa a tot arreu, continua i no s’aturarà, per tant, és una realitat, és la nova realitat, segons diuen. Cal pensar en formes de fer complir la seguretat dels nostres sistemes i de les nostres dades. I és un procés continu, per la qual cosa ha arribat el moment de pensar en totes les diferents qüestions que entren en joc. Es tracta només d'una llista parcial, però això us ofereix algunes perspectives sobre la importància de precària que hi ha avui dia amb els sistemes empresarials. I abans d’aquest espectacle, al nostre avantguard pre-show parlàvem de ransomware que ha tocat a algú que conec, que és una experiència molt desagradable, quan algú es fa càrrec de l’iPhone i us demana diners perquè tingueu accés de nou al vostre telèfon. Però passa, passa a ordinadors, passa a sistemes, vaig veure només l’altre dia, els passa als multimilionaris amb els seus iots. Imagineu-vos que anireu al vostre iot un dia, intentant impressionar a tots els vostres amics i ni tan sols podeu encendre-ho, perquè algun lladre ha robat l’accés als controls, al tauler de control. Acabo de dir que l’altre dia en una entrevista a algú, sempre teniu la substitució manual. Com, no sóc un gran fan de tots els cotxes connectats, fins i tot els cotxes es poden piratejar. Es pot piratejar qualsevol cosa que estigui connectat a Internet o connectat a una xarxa que pugui ser penetrada.

A continuació, es presenten només alguns punts que cal considerar en termes d’enquadrar el context de la gravetat de la situació. Els sistemes basats en la web es troben arreu en aquests dies, continuen proliferant. Quanta gent compra coses per Internet? Actualment és només a través del terrat, és per això que Amazon és avui una força tan poderosa. És perquè tanta gent compra coses per Internet.

Llavors, recordeu, aleshores, fa 15 anys, la gent estava molt nerviosa per posar la seva targeta de crèdit en un formulari web per obtenir la seva informació, i aleshores, l’argument era: “Bé, si entregueu la targeta de crèdit a un cambrer a aleshores és el mateix. ”Així doncs, la nostra resposta és que sí, és el mateix, hi ha tots aquests punts de control o punts d’accés, el mateix, diferent costat de la mateixa moneda, on es pot posar la gent. en perill, on algú pot treure els vostres diners o algú us pot robar.

Aleshores, IoT, per descomptat, amplia el paisatge amenaçador (m’encanta aquesta paraula) per ordres de magnitud. Vull dir-ho, penseu-hi, amb tots aquests nous dispositius a tot arreu, si algú pot piratejar un sistema que els controla, pot convertir tots aquests robots en contra i causar molts problemes, així que és un problema molt greu. Tenim una economia global en aquests dies, que amplia el paisatge amenaçador i, a més, tens persones d’altres països que poden accedir al web de la mateixa manera que tu i jo, i si no saps parlar rus. o qualsevol altre idioma, us costarà molt entendre què passa quan es piquen al vostre sistema. Així, doncs, tenim avenços en xarxa i virtualització, bé.

Però a la part dreta d’aquest quadre hi tinc aquí una espasa i la raó per la qual la tinc és perquè cada espasa talla les dues maneres. És una espasa de doble tall, com diuen, i és un clixé vell, però vol dir que l’espasa que tinc pot fer-te mal o em pot perjudicar. Em pot tornar, ja sigui rebotant o algú agafant-ho. És realment una de les faules d’Esop: sovint donem als nostres enemics les eines de la nostra pròpia destrucció. Realment és la història interessant i té a veure amb algú que utilitzava un llaç i una fletxa i va disparar un ocell i l'ocell va veure, mentre la fletxa sortia, que la ploma d'un dels seus amics està a la vora de la fletxa, a la part de darrere de la fletxa per guiar-la, i es va pensar a si mateix: "Oh home, aquí, les meves plomes, la meva pròpia família seran utilitzades per enderrocar-me". Això passa tot el temps. estadístiques sobre vostè té una pistola a la casa, el lladre pot agafar la pistola. Bé, tot això és cert. Així, doncs, ho estic llançant com a analogia només per considerar, totes aquestes novetats tenen aspectes positius i negatius.

I, a dir, els contenidors per a aquells que realment segueixen l’avantguarda de la informàtica empresarial, els contenidors són l’última cosa, la darrera manera d’oferir funcionalitat, realment és el matrimoni de la virtualització en l’arquitectura orientada al servei, almenys per als microservicis i és. coses molt interessants. Certament, podeu utilitzar els contenidors de seguretat, els vostres protocols d’aplicació i les vostres dades, etc. mitjançant l’ús de contenidors, i això us proporciona un avanç durant un període de temps, però tard o d’hora, els dolents es donaran compte i, aleshores serà encara més difícil evitar que s’aprofiten dels vostres sistemes. Així, hi ha això, hi ha força de treball global que complica la seguretat i la xarxa, i des d’on es connecta la gent.

Tenim les guerres de navegadors que continuen a la bona velocitat i requereixen un treball constant per actualitzar-se i estar al capdavant de les coses. Seguim sentint informació sobre els antics navegadors de Microsoft Explorer, com estaven piratejats i disponibles al seu interior. Així, doncs, hi ha més diners per guanyar en els pirates informàtics en aquests dies, hi ha tota una indústria, això és el que el meu company, el doctor Bloor, em va ensenyar fa vuit anys: em vaig preguntar per què ho veiem molt, i va recordar. jo, és tota una indústria implicada en la pirateria. I en aquest sentit, la narració, que és una de les meves paraules menys preferides sobre seguretat, és realment molt deshonesta, perquè la narració us mostra en tots aquests vídeos i qualsevol tipus de notícia sobre alguna pirateria que mostren a un noi amb caputxa asseguda. a la seva planta baixa del soterrani, a una cambra d'il·luminació fosca, no és gens. Això no és gens representatiu de la realitat. Es tracta de pirates informàtics solitaris, hi ha molt pocs pirates informàtics solitaris, són fora, provoquen alguns problemes: no causen el gran problema, però poden guanyar molts diners. El que passa és que els pirates informàtics entren i penetren en el vostre sistema i, a continuació, venen aquest accés a algú altre, que fa la volta i el ven a algú, i en algun lloc de la línia d'algú, algú explota aquest pirateig i se n'aprofita. I hi ha infinites maneres d’aprofitar les dades robades.

Fins i tot m’he meravellat de com hem estat glamurint aquest concepte. Veus aquest terme a tot arreu, "hacking de creixement", com si és una cosa bona. Ja sabeu que la pirateria de creixement pot ser bona cosa, si intenteu treballar per als bons nois per dir-ho i piratejar-vos en un sistema, com si seguim sentint informació sobre Corea del Nord i els llançaments de míssils, possiblement serien piratejats … Això és bó. Però la pirateria sovint és una cosa dolenta. Així que ara ho estem glamuritzant, gairebé com Robin Hood, quan vam glamuritzar Robin Hood. I, a continuació, hi ha la societat sense diners, cosa que sincerament em preocupa els dies de llum. Tot el que penso cada cop que escolto és: "No, no ho facis! Si us plau, no! ”No vull que tots els nostres diners desapareguin. De manera que es tracta només d’alguns problemes a tenir en compte i, de nou, es tracta d’un joc de gats i ratolins; mai no s’aturarà, sempre hi haurà la necessitat de protocols de seguretat i d’avançar protocols de seguretat. I per controlar els vostres sistemes, fins i tot per conèixer i detectar qui hi ha, i la comprensió que pot ser fins i tot un treball interior. Per tant, és un problema continuat, serà un problema continuat durant força temps, no us equivoqueu al respecte.

I amb això, vaig a lliurar-ho al doctor Bloor, que pugui compartir amb nosaltres algunes reflexions sobre la seguretat de bases de dades. Robin, treu-ho.

Robin Bloor: D' acord, un dels interessants embuts, crec que es va produir fa uns cinc anys, però bàsicament es tractava d'una empresa de processament de targetes piratada. I es van robar una gran quantitat de dades de la targeta. Però l’interessant, per a mi, va ser el fet que eren les bases de dades de proves que realment van incorporar i, probablement, el cas que tenien moltes dificultats per entrar en la base de dades real i realitzada de targetes de processament. Però ja sabeu com passa amb els desenvolupadors, simplement prenen un tall d'una base de dades, la fan per allà. Hauria d'haver hagut d'haver tingut molta més vigilància per aturar-ho. Però hi ha moltes històries interessants de pirateria, és que en un àmbit és un tema molt interessant.

Per tant, repetiré, d’una manera o altra, algunes de les coses que va dir Eric, però és fàcil pensar en la seguretat de les dades com a objectiu estàtic; és més fàcil només perquè és més fàcil analitzar situacions estàtiques i, després, pensar en posar-hi defenses, defenses, però no ho és. És l'objectiu en moviment i aquesta és una de les coses que defineixen el conjunt de l'espai de seguretat. La forma en què evoluciona tota la tecnologia evoluciona, la tecnologia dels dolents també evoluciona. Per tant, una breu visió general: el robatori de dades no és cap novetat, de fet, l’espionatge de dades és el robatori de dades i això ja fa milers d’anys, crec.

El més important en aquestes termes fou el britànic que trencava els codis alemanys i els nord-americans que trencaven els codis japonesos, i gairebé en els dos casos van escurçar la guerra considerablement. I només estaven robant dades útils i valuoses, és clar que era molt intel·ligent, però ja sabeu, el que passa ara mateix és molt intel·ligent en molts aspectes. El robatori cibernètic va néixer amb internet i va esclatar cap al 2005. Vaig anar a mirar totes les estadístiques i quan vas començar a posar-te realment seriós i, d’alguna manera o altra, uns números notablement alts a partir del 2005. aleshores. Hi participen molts jugadors, governs, empreses, grups de pirates informàtics i individus.

Vaig anar a Moscou (deu haver estat uns cinc anys) i, de fet, vaig passar molt de temps amb un home del Regne Unit que investiga tot l'espai de pirateria. I va dir que –i no tinc ni idea de si això és cert, només tinc la seva paraula, però sembla molt probable - que a Rússia hi ha alguna cosa anomenat Business Network, que és un grup de pirates informàtics que són tots, ja ho sabeu, van sortir de les ruïnes del KGB. I es venen ells mateixos, no només, vull dir, estic segur que el govern rus els utilitza, sinó que es venen a qualsevol, i es rumorejava, o va dir que es rumorejava, que diversos governs estrangers utilitzaven la xarxa empresarial per plausible desconfiança. Aquests nois tenien xarxes de milions d’ordinadors compromesos dels quals podien atacar. I tenien totes les eines que us podeu imaginar.

Així doncs, la tecnologia d’atac i defensa va evolucionar. I les empreses tenen el deure de tenir cura de les seves dades, siguin o no propietàries. I això comença a ser molt més clar pel que fa als diferents reglaments vigents o que entren en vigor. I és probable que millorin, algú d'una manera o altra, algú ha de suportar el cost de la pirateria, de manera que se'ls incenti a tancar la possibilitat. Aquesta és una de les coses que suposo que és necessària. Així doncs, sobre els pirates informàtics, es poden localitzar a qualsevol lloc. Especialment dins de la vostra organització: una gran quantitat d’enginyosos hacks que he sentit a parlar d’algú que obria la porta. Ja sabeu, la persona, és com la situació dels atracadors bancaris, gairebé sempre que deien en bons robatoris bancaris que hi ha una persona privilegiada. Però l’informat només necessita donar informació, de manera que és difícil aconseguir-los, saber qui era, etcètera.

I potser serà difícil portar-los a la justícia, perquè si un grup de persones a Moldàvia t'han pirat, encara que saps que va ser aquest grup, com faràs que es produeixi algun tipus de fet legal al seu voltant? És una mena de, d’una jurisdicció a una altra, és simplement, no hi ha un conjunt molt adequat d’acords internacionals per definir els pirates informàtics. Comparteixen tecnologia i informació; gran part és de codi obert. Si voleu crear el vostre propi virus, hi ha un munt de kits de virus, de codi completament obert. I tenen recursos considerables, hi ha hagut botnets en més d’un milió de dispositius compromesos en centres de dades i en PC, etc. Alguns són negocis rendibles que porten molt de temps i, després, he esmentat grups governamentals. És poc probable, com va dir Eric, és poc probable que aquest fenomen s’acabi mai.

Es tracta, doncs, d’un interessant hack que només pensava esmentar, perquè era un hack força recent; va passar l'any passat. Hi va haver una vulnerabilitat en el contracte DAO associat a la moneda Crypto Etherium. I es va discutir en un fòrum, i en un dia es va piratejar el contracte DAO, utilitzant precisament aquesta vulnerabilitat. Es van sufocar 50 milions de dòlars en èter, provocant una immediata crisi en el projecte DAO i el va tancar. I Etherium, en realitat, va lluitar per intentar evitar que el pirata informàtic accedís als diners, i això va reduir el seu consum. Però també es va creure –no se sap amb certesa– que el pirata informàtic va escurçar el preu de l’èter abans del seu atac, sabent que el preu de l’èter s’esfondraria, i per tant va aconseguir un benefici d’una altra manera.

I aquesta és una altra estratagema que poden utilitzar els pirates informàtics. Si poden perjudicar el preu de les seves accions i saben que ho faran, només cal que redueixin el preu de les accions i facin el pirateig, de manera que és bo, aquests nois són intel·ligents? I el preu és el robatori de diners, la interrupció i el rescat, incloses les inversions, on es trenca i es redueix l'acció, el sabotatge, el robatori d'identitat, tot tipus d'estafa, només per publicitat. I acostuma a ser polític, o, òbviament, que espiona informació i, fins i tot, hi ha persones que es guanyen la vida dels insectes que podeu obtenir intentant piratejar Google, Apple, Facebook, fins i tot el Pentàgon, realment dóna recompenses d’errors. I simplement pirategeu; Si té èxit, només cal que reclamis el teu premi i no es fa cap desperfecte, així que això és bo.

També pot esmentar el compliment i la regulació. A banda de les iniciatives del sector, hi ha moltes regulacions oficials: HIPAA, SOX, FISMA, FERPA i GLBA són tota la legislació nord-americana. Hi ha estàndards; PCI-DSS s’ha convertit en un estàndard força general. I després hi ha ISO 17799 sobre propietat de dades. La normativa nacional difereix país per país, fins i tot a Europa. I, actualment, el GDPR, el Global Data, en què serveix? Crec que el Reglament mundial sobre protecció de dades, però, a partir de l'any vinent, va dir. I l’interessant és que s’aplica a tot el món. Si teniu 5.000 o més clients sobre els quals teniu informació personal i viuen a Europa, realment Europa us portarà a la vostra tasca, sigui quina sigui la vostra empresa que tingui la seu social o on opera. I les penalitzacions, la pena màxima és el quatre per cent dels ingressos anuals, cosa que és enorme, de manera que això suposarà un gir interessant al món quan entri en vigor.

Coses a pensar, bé, les vulnerabilitats del SGBD, la majoria de les dades valuoses són realment assegudes a les bases de dades. És valuós perquè hem dedicat molt temps a posar-lo a l’abast i a organitzar-lo bé i això ho fa més vulnerable, si no apliques els títols adequats de DBMS. Evidentment, si teniu previst fer coses com aquesta, heu d’identificar quines dades vulnerables hi ha a tota l’organització, tenint en compte que les dades poden ser vulnerables per diferents motius. Es poden tractar de dades de clients, però també podrien ser documents interns que serien valuosos per a propòsits d'espionatge, etc. La política de seguretat, sobretot en relació a la seguretat d’accés, que en els meus darrers temps ha estat molt feble en les novetats de codi obert, el xifrat s’està utilitzant més perquè és força sòlid.

El cost d'una infracció de seguretat, la majoria de la gent no ho sabia, però si realment es fixa el que ha passat amb les organitzacions que han patit incompliments de seguretat, resulta que el cost d'una falta de seguretat sovint és molt més elevat del que creus. . I l’altra cosa que cal pensar és la superfície d’atac, perquè qualsevol programari en qualsevol part que s’execute amb les vostres organitzacions presenta una superfície d’atac. De la mateixa manera que qualsevol dels dispositius, també ho fan les dades, sigui quina sigui la seva emmagatzematge. Tot, la superfície de l’atac creix amb l’internet de les coses, probablement la superfície d’atac es duplicarà.

Així doncs, finalment, DBA i seguretat de dades. La seguretat de les dades sol formar part del paper del DBA. Però també és col·laboratiu. I necessita estar sotmès a polítiques corporatives, altrament probablement no s’implementarà bé. Dit això, crec que puc passar la pilota.

Eric Kavanagh: Va bé, deixa'm donar les claus de Vicky. I podeu compartir la pantalla o moure’s a aquestes diapositives, us correspon, traieu-la.

Vicky Harp: No, començaré amb aquestes diapositives, moltes gràcies. Així que sí, només volia prendre un moment ràpid i presentar-me. Sóc Vicky Harp. Sóc gerent, administrador de productes per a productes SQL del programari IDERA i, per a aquells que potser no ens coneixeu, IDERA té diverses línies de productes, però estic aquí per parlar de les coses de SQL Server. Per tant, fem supervisió de rendiment, compliment de seguretat, còpia de seguretat, eines d’administració i només és un tipus de llistat d’elles. I per descomptat, del que estic aquí per parlar-ne és seguretat i compliment.

El gruix del que vull parlar avui no és necessàriament els nostres productes, tot i que sí que penso mostrar alguns exemples d’això més endavant. Volia parlar-vos més sobre seguretat de bases de dades, algunes de les amenaces en el món de la seguretat de bases de dades ara, algunes coses a pensar i algunes de les idees introductòries sobre què heu de mirar per assegurar el vostre SQL Bases de dades del servidor i també per assegurar-se que compleixen el marc regulatori a què pot estar sotmès, com es va esmentar. Hi ha moltes regulacions diferents; passen per diferents indústries, diferents llocs del món i són coses que cal pensar.

Així doncs, vull tenir una estona i parlar sobre l’estat de les incomplències de les dades –i no repetir massa el que ja s’ha parlat aquí–, vaig examinar recentment aquest estudi d’investigació en seguretat Intel i, a través dels seus, crec. 1500 organitzacions més o menys amb què van parlar: van tenir una mitjana de sis incompliments de seguretat, pel que fa a incompliments de pèrdua de dades, i el 68 per cent de les que havien requerit la divulgació en algun sentit, de manera que van afectar el preu de les accions o van haver de fer algun crèdit supervisió dels seus clients o empleats, etc.

Algunes altres estadístiques interessants són els actors interns responsables del 43%. Així doncs, molta gent pensa molt en els pirates informàtics i aquest tipus d’organitzacions quasi governamentals ombrívoles o del crim organitzat, etc., però els actors interns continuen actuant directament contra els seus empresaris, en una proporció força elevada dels casos. I de vegades són més difícils de protegir, perquè les persones poden tenir raons legítimes per tenir accés a aquestes dades. Al voltant de la meitat d’això, el 43 per cent va suposar pèrdua accidental en algun sentit. Així, per exemple, en el cas en què algú es va endur les dades a casa i després va perdre el seguiment d’aquestes dades, el que em porta a aquest tercer punt, que és que encara hi havia un 40% dels incompliments en matèries físiques. Així doncs, es tracta de claus USB, és a dir, ordinadors portàtils de la gent, és un material real que es va gravar en discos físics i es va treure de l'edifici.

Si hi penseu, teniu un desenvolupador que tingui una còpia evolutiva de la vostra base de dades de producció al portàtil? Després van a pujar en un avió i baixen de l'avió, reben l'equipatge comprovat i el robador portàtil els roba. Ara heu tingut un incompliment de dades. Potser no necessàriament penseu que per això es va agafar aquest ordinador portàtil, potser no es mostrarà mai en plena naturalesa. Però això no deixa de ser una infracció: requereix divulgar-vos, tindreu tots els efectes aigües avall d’haver perdut aquestes dades només per la pèrdua d’aquests mitjans físics.

I l’altra cosa interessant és que molta gent està pensant en les dades de crèdit i la informació de la targeta de crèdit com la més valuosa, però ja no és així. Aquestes dades són valuoses, els números de targetes de crèdit són útils, però, sincerament, es canvien molt ràpidament, mentre que les dades personals de les persones no es canvien gaire. Alguna cosa de la notícia recent, relativament recent, VTech, fabricant de joguines tenia aquestes joguines pensades per a nens. I la gent, tindria el nom dels fills, tindria informació sobre on viuen els nens, tenien els noms dels pares, tenien fotografies dels nens. Res d'això va ser xifrat, perquè no es considerava important. Però les seves contrasenyes estaven xifrades. Doncs bé, quan la infracció inevitablement es va produir, estàs dient: "D'acord, així que tinc una llista de noms dels fills, els noms dels pares, on viuen; tota aquesta informació hi és fora i estàs pensant que la contrasenya va ser la part més valuosa d’això? ”No va ser; les persones no poden canviar aquests aspectes sobre les seves dades personals, la seva adreça, etc. Per tant, la informació és molt valuosa i cal protegir-la.

Així doncs, volia parlar d'algunes de les coses que estan passant, per contribuir a la manera com s'estan produint incompliments de dades en aquest moment. Un dels grans punts forts, ara mateix, és l’enginyeria social. De manera que la gent l’anomena phishing, hi ha una suplantació, etc., on la gent té accés a les dades, sovint a través d’actors interns, només per convèncer-los que se suposa que hi haurien d’accés. Així, només l’altre dia, teníem aquest cuc de Google Docs que passava. I què passaria –i en realitat vaig rebre una còpia, tot i que afortunadament no he fet clic sobre ella–, rebia un correu electrònic d’un company dient: “Aquí hi ha un enllaç de Google Doc; cal fer clic en això per veure el que acabo de compartir amb vosaltres. ”Bé, que en una organització que utilitza Google Docs, això és molt convencional, rebreu desenes d’aquestes sol·licituds al dia. Si feu clic en ell, us demanaria permís per accedir a aquest document i potser diríeu: "Hola, sembla una mica estrany, però ja sabeu, també és legítim, així que us avançaré fes-hi clic "i, tan aviat, ho vas donar a aquest tercer accés a tots els teus documents de Google, creant aquest enllaç perquè aquest actor extern tingui accés a tots els teus documents a Google Drive. Això va arrasar per tot el lloc. Va colpejar centenars de milers de persones en qüestió d’hores. I aquest va ser fonamentalment un atac de phishing que el mateix Google va acabar havent de tancar, perquè estava molt ben executat. La gent va caure per això.

Esmento aquí la bretxa de recursos humans de SnapChat. Aquesta era només una qüestió simple de que algú enviava un missatge de correu electrònic, fent pensar que eren el conseller delegat, enviant un correu electrònic al departament de recursos humans, dient-li: "Necessito que m'envieu aquest full de càlcul". I ells els van creure i van posar un full de càlcul amb 700 empleats diferents. la informació de compensació, les adreces de casa, etc., la van enviar per correu electrònic a aquesta altra part, en realitat no era el conseller delegat. Ara, les dades estaven fora, i tota la informació personal i privada dels seus empleats estava fora i disponible per a la seva explotació. Per tant, l’enginyeria social és una cosa que ho menciono en el món de les bases de dades, perquè això és una cosa que es pot intentar defensar mitjançant l’educació, però només cal recordar que en qualsevol lloc que tingui una persona que interactuï amb la seva tecnologia i si es basa en el seu bon criteri per evitar una paralització, se’ls demana a molts.

La gent s’equivoca, la gent fa clic en coses que no haurien d’haver, la gent s’aconsegueix per malicioses. I es pot intentar molt dur per protegir-los, però no és prou fort, cal intentar limitar la possibilitat que les persones donin aquesta informació accidentalment als sistemes de bases de dades. L’altra cosa que volia esmentar que, òbviament, parlem molt són ransomware, botnets, virus, totes aquestes maneres automatitzades. Llavors, el que crec que és important comprendre sobre el ransomware és que realment canvia el model de benefici dels atacants. En el cas que es tracti d’un incompliment, en algun sentit, han d’extreure dades i tenir-ne per elles mateixes i fer-ne ús. I si les vostres dades són obscures, si estan xifrades, si és específica del sector, potser no tenen cap valor.

Fins a aquest moment, la gent podia haver semblat que era una protecció per a ells: "No necessito protegir-me dels incompliments de dades, ja que si van a entrar en el meu sistema, tots hauran de tenir és, sóc un estudi de fotografia, tinc una llista de qui vindrà els dies per al proper any. A qui li importa això? ”Bé, resulta que la resposta és que t'importa això; emmagatzeneu aquesta informació, és la vostra informació crítica sobre el negoci. Així, si utilitzeu ransomware un atacant dirà: "Bé, ningú més em donarà diners per això, però ho fareu". Així doncs, aprofiten el fet que ni tan sols han de treure les dades, sí que no? ni tan sols heu de patir una infracció, només necessiten utilitzar eines de seguretat de manera ofensiva contra vosaltres. S'introdueixen a la vostra base de dades, xifren el contingut de la mateixa i després diuen: "D'acord, tenim la contrasenya i hauràs de pagar-nos 5.000 dòlars per obtenir aquesta contrasenya, o simplement no la tens. aquestes dades ja "

I la gent paga; es troben que han de fer això. Fa uns mesos que MongoDB tenia un gran problema, suposo que va ser al gener, on el ransomware va arribar a la impressió, més d’un milió de bases de dades MongoDB que tenen en públic a Internet, basades en alguns paràmetres predeterminats. I el que va empitjorar encara és que la gent pagués i, per tant, vinguessin altres organitzacions i re-xifressin o afirmessin que eren les que l'havien xifrat originalment, així que quan pagueu els vostres diners, i crec que en aquest cas eren. demanant una cosa així com 500 dòlars, la gent diria: “D’acord, pagaria més que pagar a un investigador per entrar aquí per ajudar-me a esbrinar què va passar. Només pagaré els 500 dòlars. ”I ni tan sols el pagaven a l’actor adequat, de manera que haurien acumulat deu organitzacions diferents que els deien:“ Tenim la contrasenya ”o“ Hem tingut T’han obtingut la manera de desbloquejar les teves dades distribuïdes ”. Hauríeu de pagar totes per poder funcionar.

També hi ha hagut casos en què els autors de ransomware tenien errors, és a dir, no estem parlant d’una situació perfectament superior a la taula, de manera que fins i tot una vegada que l’han atacat, fins i tot un cop pagats, no hi ha cap garantia de que per recuperar totes les dades, algunes de les coses també seran complicades amb les eines InfoSec armades. Així, Shadow Brokers és un grup que ha estat filtrant eines que eren de l'ANS. Eren eines dissenyades per les entitats governamentals per a l’espionatge i funcionaven efectivament contra altres entitats governamentals. Alguns d'aquests han estat atacs reals de zero dies de gran nivell, que bàsicament fan que els protocols de seguretat coneguts només es deixin de banda. Així, hi va haver una vulnerabilitat important en el protocol SMB, per exemple, en un dels recents abocadors de Shadow Brokers.

Així doncs, aquestes eines que surten aquí poden, en qüestió d'un parell d'hores, canviar realment el joc a la vostra superfície d'atac. Així que, sempre que penso en això, és una cosa que a nivell organitzatiu, la seguretat d’InfoSec és la seva pròpia funció, s’ha de prendre seriosament. Sempre que parlem de bases de dades, puc eliminar-ho una mica, no necessàriament heu de tenir com a administrador de bases de dades una comprensió completa del que passa amb els Shak Brokers aquesta setmana, però heu de ser conscients que tot D’aquests canvien, hi ha coses en marxa i, per tant, fins a quin punt mantingueu el vostre domini estret i segur, us ajudarà en el cas que se us extreguin les coses.

Per tant, he volgut passar un moment aquí, abans de parlar de SQL Server específicament, per tenir una discussió oberta amb els nostres panelistes sobre algunes de les consideracions sobre la seguretat de la base de dades. Per tant, he arribat a aquest punt, algunes de les coses que no hem esmentat, volia parlar sobre la injecció SQL com a vector. Així doncs, es tracta d’una injecció SQL, òbviament és la manera com les persones insereixen comandes en un sistema de base de dades, mitjançant un malformat d’entrades.

Eric Kavanagh: Sí, en realitat vaig conèixer a un noi (crec que va ser a la base de la Força Aèria d’Andrews) fa uns cinc anys, un consultor que estava parlant amb ell al passadís i només érem un tipus de compartir històries de guerra, sense cap intenció. - i va esmentar que algú l’havia portat per consultar-se amb un membre de la força militar altament elevat i el noi li va preguntar: “Bé, com sabem que sou bo del que feu?” I això i això . I, mentre estava parlant amb els que utilitzava al seu ordinador, s'havia entrat a la xarxa, va utilitzar la injecció SQL per entrar al registre de correu electrònic d'aquesta base i per a aquelles persones. I va trobar el correu electrònic de la persona amb qui parlava i només li va mostrar el seu correu electrònic a la seva màquina. I el tipus va ser com "Com vas fer això?" Va dir: "Bé, vaig utilitzar injecció SQL".

Aleshores, això fa només cinc anys i era a una base de la Força Aèria, oi? Així doncs, vull dir que, en termes de context, aquesta cosa encara és molt real i es pot utilitzar amb efectes realment terrorífics. Vull dir, tindria curiositat per conèixer alguna història de guerra que té Robin sobre el tema, però totes aquestes tècniques continuen sent vàlides. En molts casos es continuen fent servir, i es tracta d’educar-vos, oi?

Robin Bloor: Bé, sí. Sí, és possible defensar-se de la injecció de SQL fent els treballs. És fàcil entendre per què quan es va inventar la idea i va proliferar per primera vegada, és fàcil comprendre per què va tenir un èxit tan dolent, perquè només podríeu enganxar-la en un camp d’entrada d’una pàgina web i aconseguir que us retornés dades o obtenir per eliminar dades de la base de dades, o qualsevol cosa, només podríeu injectar codi SQL per fer-ho. Però el que m’interessa és que, ja ho sabeu, haureu de fer una mica d’analització, de totes les dades que s’hi van introduir, però és possible detectar que algú intenta fer-ho. I realment, crec que és realment, perquè la gent encara se n'escapa, vull dir que és realment estrany que no hi hagi hagut una manera fàcil de lluitar contra això. Ja sabeu, que tothom pot utilitzar fàcilment, vull dir, fins on sé, no hi ha hagut, Vicky, no hi ha estat?

Vicky Harp: Bé, en realitat algunes de les solucions d’ostatges, com SQL Azure, crec que tenen alguns mètodes de detecció força bons que es basen en l’aprenentatge de màquines. Probablement això és el que veurem en el futur, és una cosa que està intentant arribar a la mida única per a tots. Crec que la resposta és que no hi ha cap mida, però tenim màquines que puguin aprendre quina és la vostra mida i assegurar-vos que s’adapta a ella, oi? I, per tant, si teniu un fals positiu, és perquè realment esteu fent alguna cosa inusual, no és perquè hagueu de passar i identificar acuradament tot allò que la vostra aplicació pugui fer.

Crec que una de les raons per les quals és encara tan prolífica és que la gent encara confia en aplicacions de tercers, i les aplicacions d’ISV i aquelles que es tanquen amb el pas del temps. Per tant, parleu d’una organització que ha comprat una aplicació d’enginyeria que es va escriure el 2001. I no l’han actualitzada perquè no hi ha hagut canvis funcionals importants des d’aleshores i l’autor original d’aquesta era, no eren un enginyer, no eren un expert en seguretat de bases de dades, no feien les coses de la manera correcta en l'aplicació i acaben sent un vector. La meva comprensió és que –crec que va ser l’incompliment de dades de Target, el realment important–, el vector d’atac havia estat a través d’un dels seus proveïdors d’aire condicionat, oi? Per tant, el problema que tingueu aquests tercers pot ser que, si teniu el vostre propi botiga de desenvolupament, podeu tenir algunes d’aquestes regles al seu lloc, fent-ho de forma genèrica sempre que sigui. Com a organització, podeu tenir en funcionament centenars o fins i tot milers d’aplicacions, amb tots els perfils diferents. Crec que és allà on aprendrà l'aprenentatge automàtic i ens ajudarà molt.

La meva història de guerra era educativa. Vaig veure un atac d'injecció SQL i alguna cosa que no m'havia ocorregut mai és que utilitzeu un simple SQL. Faig aquestes coses que s’anomenen targetes de vacances P SQL ofuscades; M'agrada fer-ho, feu que aquest aspecte SQL sigui el més confús possible. Ja fa dècades que hi ha un concurs de codis C ++ ofuscat i que és de la mateixa idea. De manera que el que realment va obtenir va ser la injecció SQL que es trobava en un camp de cadena oberta, va tancar la cadena, va posar el punt i coma, i després va posar una comanda exec que llavors tenia una sèrie de números i, bàsicament, utilitzava la emetent ordre per emetre aquests números en binaris i, després, per convertir-los en valors de caràcters i després executar-los. Per tant, no és com si haguéssiu vist una cosa que deia: "Eliminar la posada en marxa de la taula de producció", en realitat estava rellotjat en camps numèrics que feien molt més difícil veure-ho. Fins i tot, una vegada que ho vau veure, per identificar el que estava passant, es van prendre algunes fotos reals de SQL, per poder imaginar el que estava passant, moment en què el treball ja havia estat fet.

Robin Bloor: I una de les coses que només és un fenomen en el món del pirateria és que si algú troba una debilitat i es troba en un programari que generalment s’ha venut, ja sabeu, un dels primers problemes és la contrasenya de la base de dades que us va rebre quan es va instal·lar una base de dades, moltes de les bases de dades en realitat eren només les predeterminades. I moltes DBA simplement no l’han canviat mai, i per tant podríeu aconseguir entrar a la xarxa; només podríeu provar aquesta contrasenya i si funcionava, bé, heu guanyat a la loteria. I l’interessant és que tota aquesta informació circula de manera molt eficaç i eficaç entre les comunitats de pirateria als llocs web de Darknet. I ho saben. Aleshores, poden aprofitar gairebé tot allò que hi ha, trobar-ne alguns casos i llançar automàticament alguna explotació de pirates informàtics, i ja són. Crec que hi ha molta gent que almenys està a la perifèria de tot això, en realitat no entenc la rapidesa que la xarxa de pirateria respon a la vulnerabilitat.

Vicky Harp: Sí, en realitat es presenta una altra cosa que volia esmentar abans de seguir endavant, que és aquesta noció de farciment de credencials, que és una cosa que s'ha publicat molt, i és que una vegada les robes han estat robades a algú en qualsevol lloc., a qualsevol lloc, es prova de reutilitzar les credencials a tota la taula. Per tant, si utilitzeu contrasenyes duplicades, digueu que, si els vostres usuaris són, fins i tot, posem-ho així, algú podria tenir accés mitjançant el que sembla que és un conjunt de credencials completament vàlid. Per tant, diguem que he utilitzat la meva contrasenya a Amazon i al meu banc, i també a un fòrum i que el programari de fòrum ha estat piratat, bé, tenen el meu nom d’usuari i la meva contrasenya. I després poden utilitzar aquest mateix nom d'usuari a Amazon, o bé utilitzar-lo al banc. Pel que fa al banc, es tractava d'un inici de sessió completament vàlid. Ara, podeu emprendre accions nefastes mitjançant l’accés totalment autoritzat.

Aleshores, aquest tipus de dades es remunten al que deia sobre els incompliments interns i els usos interns. Si teniu persones de la vostra organització que utilitzen la mateixa contrasenya per a l'accés intern que les fan per a l'accés extern, teniu la possibilitat que algú vingui a venir-hi i que us intervingui mitjançant una infracció en algun altre lloc que feu. ni tan sols en sé. I aquestes dades es difonen molt ràpidament. Hi ha llistes de, crec que la càrrega més recent de Troy Hunt "ha estat indicat per ell", va dir que tenia mig miler de milions de credencials, que és, si es té en compte el nombre de persones que hi ha al planeta, és una el nombre real de credencials que s'han posat a disposició per omplir les credencials.

Per tant, vaig a aprofundir una mica més i parlaré de la seguretat de SQL Server. Ara vull dir que no intentaré donar-vos tot el que heu de saber per protegir el vostre SQL Server en els propers 20 minuts; sembla un ordre alt. Així, fins i tot, vull dir que hi ha grups en línia i recursos en línia que certament podeu Google, hi ha llibres, hi ha documents de bones pràctiques a Microsoft, hi ha un capítol virtual de seguretat per als associats professionals de SQL Server, es troben a security.pass.org i tenen, crec, les transmissions web mensuals i els enregistraments de transmissions web per superar de forma real la seguretat de SQL Server. Aquestes són algunes de les coses que jo, parlant de vostè com a professionals de les dades, com a professionals de les TI, com a DBA, vull que sàpigues que necessites saber amb la seguretat de SQL Server.

Així doncs, el primer és seguretat física. Així doncs, com he dit anteriorment, el robatori de suports físics és encara molt habitual. Així, doncs, l'escenari que vaig donar amb la màquina dev, amb una còpia de la base de dades de la màquina dev que es roba, és un vector molt comú, és un vector que heu de tenir en compte i intentar prendre accions. També és cert per a la seguretat de còpia de seguretat, de manera que sempre que facis una còpia de seguretat de les vostres dades, haureu de fer una còpia de seguretat de les dades xifrades, cal que feu una còpia de seguretat en una ubicació segura. Moltes vegades aquestes dades realment protegides a la base de dades, tan bon punt comencen a sortir a les ubicacions de la perifèria, a les màquines dev, a les màquines de prova, fem una mica menys cura amb el pegat, fem una mica menys cura de les persones que hi tenen accés. El següent que ho sabeu, tindreu les còpies de seguretat de bases de dades no xifrades emmagatzemades en una participació pública de l’organització disponibles per a la seva explotació per part de moltes persones diferents. Així doncs, penseu en la seguretat física i tan simple com algú pot pujar i posar una clau USB al vostre servidor? No hauríeu de permetre això.

L’article següent en què vull que hi penseu és la seguretat de la plataforma, els sistemes operatius actualitzats, els pedaços actualitzats. És molt molest escoltar la gent parlant de romandre en versions anteriors de Windows, versions anteriors de SQL Server, pensant que l’únic cost en joc és el cost de l’actualització de llicències, que no és el cas. Estem amb seguretat, és un corrent que continua baixant pel turó i amb el pas del temps es van trobant més explotacions. Microsoft en aquest cas, i altres grups segons el cas, actualitzaran els sistemes més antics fins a un moment i, eventualment, no podran actualitzar-los, ja que no els actualitzaran, perquè és només un procés que no acaba de fer-ho. manteniment.

Per tant, cal estar en un sistema operatiu suportat i cal estar al dia en els vostres pedaços, i recentment ho hem trobat com amb Shadow Brokers, en alguns casos Microsoft pot tenir informació sobre els futurs incompliments de seguretat anteriors. que es fa públic abans de la seva divulgació, així que no us deixeu deixar fora de tot. Prefereixo no prendre el temps d’inactivitat, preferiria esperar i llegir cada un d’ells i decidir. És possible que no sàpigues quin és el valor fins unes setmanes a la baixa de la línia després d’assabentar-te el perquè d’aquest pegat. Per tant, seguiu al capdamunt.

Hauríeu de tenir configurat el tallafoc. Va ser sorprenent la infracció del SNB de la quantitat de persones que utilitzaven versions anteriors de SQL Server amb el tallafoc completament obert a Internet, de manera que qualsevol persona pogués entrar i fer el que volgués amb els seus servidors. Hauríeu d’utilitzar un tallafoc. El fet que de vegades hagi de configurar les regles o fer excepcions específiques per a la manera de realitzar la vostra empresa és un preu que pagueu bé. Heu de controlar la superfície dels sistemes de base de dades. Estan co-instal·lant serveis o servidors web com IIS a la mateixa màquina? Compartiu el mateix espai de disc, compartiu el mateix espai de memòria que les vostres bases de dades i les vostres dades privades? Proveu de no fer-ho, intenteu aïllar-lo, manteniu la superfície més petita, de manera que no us haureu de preocupar tant per assegurar-vos que tot això estigui segur a la base de dades. Podeu separar-los físicament, formar-vos una plataforma, separar-los, donar-vos una mica d’espai per respirar.

No hauríeu de tenir súper administradors que corren a tot arreu per poder tenir accés a totes les vostres dades. És possible que els comptes d’administració del sistema operatiu no necessàriament tinguin accés a la vostra base de dades o a les dades subjacents de la base de dades mitjançant xifratge, de la qual parlarem en un minut. I l’accés als fitxers de bases de dades, també cal restringir-ho. És una tonteria si haguessis de dir, bé, algú no pot accedir a aquestes bases de dades a través de la base de dades; El propi SQL Server no els permetrà accedir-hi, però si poden passar per aquí, prendre una còpia del fitxer MDF real, traslladar-lo simplement, connectar-lo al seu propi SQL Server, realment no ho heu aconseguit. molt.

Xifrat, per tant, el xifrat és la famosa espasa de dues vies. Hi ha molts nivells de xifrat que es poden fer a nivell de sistema operatiu i la manera contemporània de fer les coses per a SQL i Windows és amb BitLocker i, a nivell de base de dades, es diu TDE o xifrat de dades transparent. Es tracta, doncs, de totes dues maneres de mantenir les dades encriptades en repòs. Si voleu mantenir les dades xifrades de manera més comprensiva, podeu fer-ho xifrat; ho sento, però he avançat. Podeu fer connexions xifrades de manera que sempre que estigui en trànsit, encara es xifra, de manera que si algú escolta o té un home enmig d'un atac, teniu una certa protecció sobre aquestes dades. Cal xifrar les vostres còpies de seguretat, com he dit, pot ser que siguin accessibles per a altres, i, si voleu que es xifri a la memòria i durant l’ús, tenim xifrat de columnes i, en aquest moment, SQL 2016 té aquesta noció de “sempre. xifrat ”on realment es xifra al disc, a la memòria, al cable, fins a l’aplicació que està fent ús de les dades.

Ara, tot aquest xifrat no és gratuït: hi ha despesa de CPU, de vegades hi ha el xifrat de columnes i el cas sempre xifrat; hi ha implicacions sobre el rendiment en termes de la vostra capacitat de fer cerques d’aquestes dades. Tanmateix, aquest xifratge, si es combina correctament, significa que si algú hauria d’accedir a les vostres dades, els danys es redueixen molt, perquè han pogut obtenir-lo i no poden fer res amb ell. Tanmateix, aquesta és també la forma en què funciona ransomware, és que algú entra i activa aquests articles, amb el seu propi certificat o la seva pròpia contrasenya i no hi teniu accés. Per tant, és per això que és important assegurar-se que esteu fent i que hi teniu accés, però no ho esteu donant, obert a altres persones i atacants.

I, després, principis de seguretat: no vaig a reduir aquest punt, però assegureu-vos que no teniu tots els usuaris que utilitzin SQL Server com a super administrador. Pot ser que els seus desenvolupadors ho desitgin, els diferents usuaris ho poden desitjar, que estan frustrats per haver de demanar accés per a articles individuals, però cal ser diligent al respecte i, tot i que pot ser més complicat, donar accés als objectes i les bases de dades i els esquemes que són vàlids per al treball en curs, i hi ha un cas especial, potser això vol dir un inici de sessió especial, no significa necessàriament una elevació de drets per a un usuari mitjà.

I, després, hi ha consideracions de compliment regulatori que poden comportar-se i en alguns casos, en realitat, poden desaparèixer a la seva manera, de manera que hi ha HIPAA, SOX, PCI, hi ha totes aquestes consideracions diferents. I quan passeu per una auditoria, us haureu de demostrar que esteu prenent accions per mantenir-vos en compliment. I, per tant, és molt pendent de fer el seguiment, diria que com a llista de tasques de DBA, estàs intentant assegurar la configuració de xifrat físic de seguretat, estàs intentant assegurar-te que s’està verificant l’accés a aquestes dades. per als vostres propòsits de compliment, assegureu-vos que les vostres columnes sensibles ja sabeu què són, on són, quines hauríeu de xifrar i veure l'accés. I assegureu-vos que les configuracions s’ajusten a les directrius reguladores a les que us sotmeteu. I heu de mantenir tot això actualitzat a mesura que les coses canvien.

Per tant, fa molt i, per tant, si el deixés només allà, diria que vagi a fer-ho. Però hi ha moltes eines diferents i, per tant, si en els últims minuts he volgut mostrar-vos algunes de les eines que tenim a IDERA. I els dos dels quals volia parlar avui són SQL Secure i SQL Compliance Manager. SQL Secure és la nostra eina per ajudar a identificar el tipus de vulnerabilitats de la configuració. Les vostres polítiques de seguretat, els vostres permisos d’usuari, les configuracions de la vostra superfície. I té plantilles per ajudar-vos a complir amb diferents marcs normatius. Això per si mateix, aquesta última línia, podria ser el motiu perquè la gent ho consideri. Com que llegiu aquestes diferents regulacions i identifiqueu el que signifiquen, PCI i, tot seguit, tot el que heu baixat al meu servidor SQL a la meva botiga, és molt important. Això és una cosa que podríeu pagar molts consells per fer. Hem realitzat aquesta consultoria, hem treballat amb les diferents empreses auditores, etc., per conèixer quines són aquestes plantilles, cosa que és probable que passi una auditoria si hi ha lloc. A continuació, podeu utilitzar aquestes plantilles i veure-les al vostre entorn.

També tenim un altre tipus d’eina germà en forma de SQL Compliance Manager i aquí és SQL Secure sobre configuració de configuració. SQL Compliance Manager tracta de veure què va fer qui, quan. Es tracta d'auditoria, de manera que permet supervisar l'activitat a mesura que es produeix i permet detectar i fer un seguiment de qui accedeix a les coses. Hi havia algú, l'exemple prototípic de ser una celebritat al vostre hospital, algú anava buscant la seva informació només per curiositat? Tenien un motiu per fer-ho? Podeu fer un cop d’ull a l’historial de l’auditoria i veure què passava, qui estava accedint a aquests registres. I podeu identificar que té eines que us ajudaran a identificar columnes sensibles, de manera que no necessàriament heu de llegir i fer-ho tot vosaltres mateixos.

Així que, si ho puc, vaig a avançar i us mostraré algunes d’aquestes eines aquí en aquests darrers minuts, i si us plau, no ho considereu com una demostració en profunditat. Sóc responsable de productes, no enginyer en vendes, així que us mostraré algunes de les coses que crec que són rellevants per a aquesta discussió. Per tant, aquest és el nostre producte SQL Secure. I, com podeu veure aquí, tinc una mena d’informació d’alt nivell. Crec això, crec, ahir. I em mostra algunes de les coses que no estan configurades correctament i algunes de les coses que s’han configurat correctament. Per tant, podeu veure que hi ha moltes més de 100 revisions diferents que hem fet aquí. I veig que el meu xifrat de còpia de seguretat de les còpies de seguretat que he estat fent, no he estat utilitzant el xifrat de còpia de seguretat. El meu compte SA, anomenat explícitament "compte SA" no està desactivat ni es canvia de nom. El paper del servidor públic té permís, per tant, totes aquestes coses que voldria mirar de canviar.

Tinc la política configurada aquí, així que si volia configurar una nova política per aplicar-los als meus servidors, tenim totes aquestes polítiques integrades. Així doncs, faré servir una plantilla de polítiques existent i podreu veure que tinc CIS, HIPAA, PCI, SR i que segueixen, i en realitat estem en procés d’afegir contínuament polítiques addicionals, en funció de les coses que necessiten el camp. . I també podeu crear una nova política, de manera que si sabeu el que busca el vostre auditor, podeu crear-la vosaltres mateixos. Aleshores, quan ho facis, pots triar entre tots aquests diferents paràmetres, els que has de tenir, en alguns casos, en tens: deixar-me tornar i trobar-ne un dels preconstruïts. Això és convenient, puc triar, per exemple, HIPAA: ja tinc HIPAA, el meu malament - PCI, i, a mesura que faig clic aquí, realment puc veure la referència creuada externa a la secció de la regulació a la qual es relaciona. Així, això us ajudarà més endavant, quan intenteu esbrinar per què estic definint això? Per què intento mirar això? Amb quina secció es relaciona?

També té una bona eina perquè us permetrà accedir als vostres usuaris i navegar, per la qual cosa una de les coses més complicades d'explorar els vostres rols d'usuari és que, realment, vaig a fer una ullada aquí. Per tant, si mostro permisos per a la meva, veiem, triem un usuari aquí. Mostra permisos. Puc veure els permisos assignats per aquest servidor, però a continuació puc fer clic aquí i calcular els permisos efectius i em donarà la llista completa en funció, així que en aquest cas és administrador, per tant no és tant emocionant, però Podria recórrer i escollir els diferents usuaris i veure quins són els seus permisos efectius en funció de tots els grups que pertanyin. Si mai intenteu fer-ho pel vostre compte, en realitat pot ser una mica complicat, per esbrinar, D'acord aquest usuari és membre d'aquests grups i per tant té accés a aquestes coses a través de grups, etc.

Per tant, la forma en què funciona aquest producte és que es fan instantànies, de manera que realment no és un procés gaire difícil fer una instantània del servidor de forma regular i, a continuació, manté aquestes instantànies amb el pas del temps de manera que pugueu comparar els canvis. Per tant, aquest no és un seguiment continu en el sentit tradicional de com una eina de control de rendiment; és una cosa que potser heu configurat per funcionar una vegada per nit, un cop per setmana, tot i que sovint creieu que és vàlid, de manera que, sempre que feu l'anàlisi i feu una mica més, realment sou només treballem dins de la nostra eina. No esteu connectant-vos gaire al vostre servidor, de manera que es tracta d'una eina molt maca per treballar, per complir amb aquest tipus de configuració estàtica.

L’altra eina que vull mostrar-vos és la nostra eina Gestor de compliment. Compliance Manager farà un seguiment de forma més contínua. I veureu qui fa el que fa al vostre servidor i us permetrà fer una ullada. Aleshores, el que he fet aquí, durant les últimes dues hores més o menys, he intentat crear alguns petits problemes. Per tant, aquí tinc si es tracta d’un problema o no, potser ho sé, algú ha creat un login i l’ha afegit a un rol de servidor. Aleshores, si entro a fer una ullada, puc veure … suposo que no puc fer clic amb el botó dret, puc veure què passa. Llavors, aquest és el meu tauler de control i puc veure que he tingut diverses sessions d’inici de sessió fallides una mica abans d’avui. Vaig tenir un munt d’activitats de seguretat, DBL.

Per tant, deixa'm passar els meus esdeveniments d'auditoria i fer una ullada. Aquí tinc els meus esdeveniments d'auditoria agrupats per categoria i objecte de destinació, així que si faig una ullada a aquesta seguretat anteriorment, puc veure DemoNewUser, es va produir aquest login de creació al servidor. I veig que la SA d’inici de sessió va crear aquest compte DemoNewUser, aquí, a les 14:42 i, a continuació, puc veure que, al seu torn, afegir l’inici de sessió al servidor, aquest DemoNewUser es va afegir al grup d’administració del servidor, es van afegir al configuració del grup d'administració, es van afegir al grup sysadmin. Aleshores, això és una cosa que voldria saber que havia passat. També ho he configurat perquè es facin el seguiment de les columnes sensibles de les meves taules, de manera que veig qui hi ha accedit.

Per tant, aquí tinc un parell de seleccionats que han tingut lloc a la taula de la meva persona, de Adventure Works. Puc fer una ullada i veure que l’usuari SA de la taula d’Aventes d’Aventura va seleccionar una de les deu millors estrelles de la persona dot punt. Així que potser a la meva organització no vull que la gent faci estel·les selectes entre una persona o una persona, o espero que només hi hagi alguns usuaris, i així ho veuré aquí. Per tant, el que necessiteu pel que fa a la vostra auditoria, podem configurar-lo en funció del marc i això és una mica més una eina intensiva. Utilitza esdeveniments SQL Trace o SQLX, segons la versió. I és una cosa que haureu de tenir una sala al vostre servidor per allotjar-vos-hi, però és una d'aquestes coses, una assegurança semblant, que és bo si no haguéssim de tenir una assegurança de cotxe. cost que no hauríem d’assumir, però si teniu un servidor on haureu de fer un seguiment de qui fa què, potser haureu de tenir una mica de capçalera addicional i una eina com aquesta per fer-ho. Tant si utilitzeu la nostra eina com si la feu rodar vosaltres mateixos, finalment serà responsable de tenir aquesta informació amb finalitats de compliment regulatori.

Així com he dit, no és una demostració en profunditat, només un resum, poc i ràpid. També volia mostrar-vos una eina ràpida, poc gratuïta, en forma d'aquesta cerca de columnes SQL, que és una cosa que podeu utilitzar per identificar quines columnes del vostre entorn semblen ser informació sensible. Per tant, tenim diverses configuracions de cerca on es busquen els diferents noms de les columnes que solen contenir dades confidencials i, a continuació, tinc tota aquesta llista que s'han identificat. En tinc 120, i després les vaig exportar, de manera que puc fer-ne ús per dir-ho, anem a buscar i assegurem-me que segueixo l’accés al nom mig, una persona o una persona o l’impost de vendes. tarifa, etc.

Sé que aquí acabem justament al final dels nostres temps. I això és tot el que realment havia de mostrar, així que hi ha alguna pregunta?

Eric Kavanagh: Tinc un parell de bons per a vosaltres. Deixa'm desplaçar aquí. Un dels assistents va fer una pregunta realment bona. Un dels quals pregunta sobre l’impost de rendiment, així que sé que varia de solució a solució, però teniu alguna idea general de què suposa l’impost de rendiment per utilitzar eines de seguretat IDERA?

Vicky Harp: Així, a SQL Secure, com he dit, és molt baix, només tindrà algunes instantànies. I fins i tot si heu estat funcionant força sovint, obteniu informació estàtica sobre la configuració i, per tant, és molt baixa, gairebé menyspreable. En termes de Compliance Manager, és:

Eric Kavanagh: com un tant per cent?

Arpa de Vicky: Si hagués de donar un percentatge, sí, seria igual o inferior. És informació bàsica sobre l’ordre d’utilitzar SSMS i entrar a la pestanya de seguretat i ampliar les coses. Pel que fa a la línia de compliment, és molt més gran, és per això que he dit que necessita una mica de capçalera; és com si fos molt superior al que teniu en termes de control de rendiment. Ara, no vull espantar la gent, el truc amb la supervisió de la conformitat, i si es tracta d'auditoria és assegurar-se que només està auditant el que es portarà a terme. Així doncs, un cop us filtreu per dir: "Hola, vull saber quan la gent accedeix a aquestes taules específiques i vull saber cada vegada que la gent accedeix, realitzeu aquestes accions", llavors es basarà en la freqüència amb què es fan aquestes coses. que passa i quantes dades estàs generant. Si dius, "Vull que el text complet de SQL de cada selecció que passi en alguna d'aquestes taules", només serà possible que siguin gigabytes i gigabytes de dades que SQL Server emmagatzemaran al nostre producte, etc.

Si ho manteniu a baix, també obtindreu més informació de la que podríeu tractar. Si podríeu reduir-lo a un conjunt més reduït, de manera que esteu rebent un parell de cent esdeveniments al dia, és evident que és molt menor. De manera que, d’alguna manera, realment, el cel és el límit. Si activeu tots els paràmetres de control de tot, llavors sí, serà un èxit de rendiment del 50 per cent. Però, si voleu convertir-lo en un nivell més moderat i considerat, potser el globus ocular és un 10 per cent? Realment, és una d’aquestes coses que dependrà molt de la vostra càrrega de treball.

Eric Kavanagh: Sí, no. Hi ha una altra pregunta sobre el maquinari. I després, hi ha venedors de maquinari que entren en el joc i col·laboren realment amb venedors de programari i vaig respondre a través de la finestra de Q&A. Conec un cas concret, de Cloudera que treballava amb Intel, on Intel va fer una gran inversió en ells, i una part del càlcul va ser que Cloudera obtindria un accés primerenc al disseny de xip i, per tant, podia afegir seguretat al nivell de xip del. arquitectura, que és força impressionant. Però, tot i així, és una cosa que sortirà allà, i encara es pot explotar per les dues parts. Coneixeu alguna tendència o alguna tendència de venedors de maquinari per col·laborar amb venedors de programari en protocol de seguretat?

Vicky Harp: Sí, efectivament, crec que Microsoft ha col·laborat per tal que hi hagi algun espai de memòria d'alguns dels treballs de xifrat, com ara, que es produeixi en xips separats de plaques base separades de la vostra memòria principal, de manera que alguns d’aquestes coses està separat físicament. I crec que realment va ser una cosa que provenia de Microsoft en termes de sortir als venedors per dir: "Podem trobar una manera de fer això, bàsicament és una memòria inadequable, no puc passar per un desbordament de buffer arribar a aquesta memòria, perquè en algun sentit ni tan sols hi és, així que sé que està passant alguna cosa d’això. ”

Eric Kavanagh: Sí.

Vicky Harp: Això serà, òbviament, els venedors realment grans.

Eric Kavanagh: Sí. Tinc curiositat per mirar-ho, i potser Robin, si en tens un segon, tindria curiositat per conèixer la teva experiència al llarg dels anys, perquè de nou, en termes de maquinari, en termes de la ciència material actual. En el que us ajunteu des del costat del venedor, aquesta informació pot anar a ambdues parts, i teòricament ens dirigim a ambdues parts bastant ràpidament, de manera que hi ha alguna manera d’utilitzar el maquinari amb més cura, des d’una perspectiva de disseny per reforçar la seguretat? Què penses? Robin, estàs en silenci?

Robin Bloor: Sí, sí. Ho sento, sóc aquí; Només estic pensant en la pregunta. Per ser sincer, no tinc una opinió, és un àmbit que no he examinat a fons significatiu, així que sóc una mica, ja ho sabeu, puc inventar una opinió, però realment no ho sé. Prefereixo que les coses estiguin segures en el programari, bàsicament és la manera que jo juguo.

Eric Kavanagh: Sí. Bé, gent, hem cremat al llarg d'una hora i canviem aquí. Moltes gràcies a Vicky Harp pel seu temps i atenció, pel vostre temps i atenció; us agraïm que us presenteu per aquestes coses. És un gran problema; no s’anirà a desaparèixer en cap moment. Es tracta d’un joc de gats i ratolins que continuarà continuant i continuant. I, per tant, agraïm que algunes empreses estiguin fora, centrades en l’avaluació de la seguretat, però com Vicky fins i tot va fer al·lusió i va parlar una mica en la seva presentació, al final del dia, és gent de les organitzacions que necessita pensar amb molta cura. sobre aquests atacs de phishing, aquest tipus d'enginyeria social i mantingueu-vos als ordinadors portàtils, no ho deixeu a la cafeteria! Canvieu la contrasenya, feu els conceptes bàsics i obtindreu el 80 per cent del camí.

Així que, amb això, gent, us acomiadarem, un cop més, gràcies un cop més pel vostre temps i atenció. Ens atendrem la propera vegada, tingueu cura. Adeu.

Arpa de Vicky: Adéu, gràcies.

És millor demanar permís: bones pràctiques per a privadesa i seguretat