Per personal de Techopedia, 27 d'octubre de 2016
Take away: L' amfitrió Eric Kavanagh discuteix la seguretat de la base de dades amb Robin Bloor, Dez Blanchfield i l'IDERA Rodriguez Ignacio.
Actualment no teniu la sessió iniciada. Inicieu la sessió o registreu-vos per veure el vídeo.
Eric Kavanagh: Hola i benvinguts, un cop més, a Hot Technologies. Em dic Eric Kavanagh; Avui seré el vostre amfitrió per a la transmissió web i és un tema candent i mai no serà un tema candent. Aquest és un tema candent a causa de, sincerament, de totes les infraccions que escoltem i us puc garantir que mai no s’anirà. Així que el tema d'avui, el títol exacte del programa que hauria de dir, és "El nou normal: fer front a la realitat d'un món no segur". És exactament el que estem tractant.
Allà tenim el vostre amfitrió, el vostre, realment. Des de fa uns anys, tingueu en compte que, probablement hauria d’actualitzar la meva foto; va ser 2010. El temps vola. Envieu-me un correu electrònic amb si voleu fer alguns suggeriments. Aquesta és la nostra diapositiva estàndard “en calent” de Hot Technologies. L’objectiu complet d’aquest espectacle és definir realment un espai en concret. Així que avui parlem de seguretat, òbviament. Estem adoptant un angle molt interessant, de fet, amb els nostres amics d’IDERA.
Tindré en compte que vosaltres, com a membres del nostre públic, teniu un paper important en el programa. Si us plau, no siguis tímid. Envieu-nos una pregunta en qualsevol moment i la posarem en contacte amb la pregunta i la pregunta si tenim el temps suficient. Avui tenim tres persones en línia: el doctor Robin Bloor, el Dez Blanchfield i l’Ignacio Rodríguez, que truquen des d’un lloc no divulgat. Així que primer de tot, Robin, ets el primer presentador. Us lliuraré les claus. Emporta-t'ho.
Robin Bloor: Està bé, gràcies per això, Eric. Protecció de bases de dades: suposo que podríem dir que la probabilitat que les dades més valuoses que realment presideixi alguna empresa es trobi en una base de dades. De manera que podríem parlar de tota una sèrie de coses de seguretat. Però el que pensava que faria és parlar del tema de la seguretat de bases de dades. No vull apartar res de la presentació que Ignacio farà.
Comencem, per tant, és fàcil pensar en la seguretat de les dades com a objectiu estàtic, però no ho és. És un objectiu en moviment. I això és important comprendre en el sentit que els entorns informàtics de la majoria de la gent, especialment els entorns informàtics de grans empreses, canvien tot el temps. I perquè estiguin canviant tot el temps, la superfície d’atac, les zones on algú pot intentar, d’una manera o altra, des de dins o des de fora, comprometre la seguretat de les dades, canvia tot el temps. I quan feu alguna cosa així, actualitzeu una base de dades, no teniu ni idea de si, fent això, heu creat algun tipus de vulnerabilitat. Però no en teniu consciència i potser no us n'assabentareu fins que passi alguna cosa dolenta.
Hi ha una breu visió general de la seguretat de les dades. En primer lloc, el robatori de dades no és res de nou i s’orienten les dades que són valuoses. Normalment és fàcil treballar per a una organització quines són les dades que necessiten per protegir-les. Un fet curiós és que el primer, o el que podríem afirmar que era el primer ordinador, va ser construït per la intel·ligència britànica durant la Segona Guerra Mundial amb un propòsit present, i que era robar dades de comunicacions alemanyes.
El robatori de dades ha estat part de la indústria informàtica des de la seva creació. Es va tornar molt més greu amb el naixement d’internet. Vaig mirar un registre del nombre d’incompliments de dades que es van produir any rere any. I el nombre s’havia disparat per sobre dels 100 el 2005 i a partir d’aquest moment s’ha tendit a empitjorar cada any.
Una gran quantitat de dades robades i un major nombre de hacks. I són els hacks que es denuncien. Hi ha un nombre molt gran d’incidents que es produeixen en què l’empresa mai no diu res perquè no hi ha res que l’obligui a dir res. Per tant, manté la incomplicació de dades. En el negoci de la pirateria hi ha molts actors: governs, empreses, grups de pirates informàtics, persones.
Una cosa que només crec que és interessant esmentar, quan vaig anar a Moscou, crec que fa uns quatre anys va ser una conferència de programari a Moscou, estava parlant amb un periodista especialitzat en l'àrea de pirateria de dades. I va afirmar - i estic segur que té raó, però no ho sé, que no sigui l'única persona que m'ha mencionat, però - hi ha una empresa russa que es diu The Russian Business Network, probablement té un rus. nom, però crec que aquesta és la traducció en anglès, que es contracta per piratejar.
Així que si sou una gran organització a qualsevol part del món i voleu fer alguna cosa per malmetre la vostra competència, podeu contractar aquestes persones. I si contracteu aquestes persones, obtindreu una versemblança molt versemblant sobre qui hi havia al darrere del pirateig. Perquè si es descobreix qui hi ha darrere del pirateig, indicarà que probablement algú a Rússia ho hagi fet. I no semblarà com si intentessis fer mal a un competidor. I crec que la xarxa empresarial russa ha estat contractada pels governs per fer coses com ara piratejar bancs per intentar esbrinar com es mouen els diners terroristes. I això es fa amb versemblants desconcertacions per part dels governs que mai no admetran que ho fessin mai.
La tecnologia d’atac i defensa evoluciona. Feia temps que anava al Chaos Club. Va ser un lloc a Alemanya on es podia registrar i només es podia seguir les converses de diverses persones i veure què hi havia disponible. I ho vaig fer quan mirava la tecnologia de seguretat, crec que cap al 2005. I ho vaig fer només per veure el que baixava i el que em va sorprendre va ser el nombre de virus, on bàsicament era un sistema de codi obert. Jo anava passant i les persones que havien escrit virus o virus millorats estaven enganxant el codi allà mateix perquè tothom el pogués utilitzar. I em va ocórrer en el moment que els hackers poden ser molt, molt intel·ligents, però hi ha una gran quantitat de pirates informàtics que no són necessàriament intel·ligents, però que utilitzen eines intel·ligents. I algunes d’aquestes eines són notablement intel·ligents.
I el punt final aquí: les empreses tenen el deure de tenir cura de les seves dades, siguin o no propietàries. I crec que cada cop s’està realitzant més del que solia ser. I cada vegada és més, diguem-ne, costós per a una empresa que realment se sotmeti a un pirateig. Quant als pirates informàtics, es poden localitzar en qualsevol lloc, potser difícilment de portar a la justícia, encara que siguin identificats adequadament. Molts d’ells molt qualificats. Recursos considerables, disposen de botnets arreu. Es creu que el recent atac de DDoS que es va produir prové de més de mil milions de dispositius. No sé si és cert o si és només un periodista que utilitza un número rodó, però, certament, es va fer servir un gran nombre de dispositius robot per atacar la xarxa DNS. Algunes empreses rendibles, hi ha grups governamentals, hi ha guerres econòmiques, hi ha ciberguerra, tot s’està passant per allà i és poc probable, crec que estiguéssim dient al principi, és poc probable que s’acabi.
Compliment i normatives: hi ha diverses coses que succeeixen realment. Hi ha moltes iniciatives de compliment que es basen en el sector, ja ho sabeu, el sector farmacèutic o el sector bancari o el sector de la salut, poden tenir iniciatives específiques que la gent pugui seguir, diverses classes de bones pràctiques. Però també hi ha moltes regulacions oficials que, perquè són lleis, tenen sancions per a qualsevol persona que incompleixi la llei. Els exemples nord-americans són HIPAA, SOX, FISMA, FERPA, GLBA. Hi ha alguns estàndards, PCI-DSS és un estàndard per a les empreses de targetes. ISO / IEC 17799 es basa en intentar obtenir un estàndard comú. Aquesta és la propietat de les dades. Les regulacions nacionals difereixen d’un país a un altre, fins i tot a Europa, o potser s’hauria de dir, sobretot a Europa on és molt confús. I hi ha una GDPR, una regulació global de protecció de dades que s'està negociant actualment entre Europa i els Estats Units per intentar harmonitzar-se en les regulacions perquè hi ha tantes, comunament com són, de fet, internacionals, i hi ha serveis en núvol que podríeu. No crec que les vostres dades fossin internacionals, però van ser internacionals tan bon punt vau entrar al núvol, perquè es va mudar fora del vostre país. Es tracta, doncs, d’un conjunt de normes que s’estan negociant, d’una manera o altra, per tractar la protecció de dades. I sobretot això té a veure amb les dades d’una persona, que, per descomptat, inclou gairebé totes les dades d’identitat.
Coses a pensar: vulnerabilitats de la base de dades. Hi ha una llista de vulnerabilitats que els proveïdors de bases de dades coneixen i denuncien quan són descoberts i pegats el més ràpidament possible, de manera que hi ha tot això. Hi ha coses que s’hi relacionen en termes d’identificació de dades vulnerables. Un dels grans i més reeixits resultats de les dades de pagament es va fer a una empresa de processament de pagaments. Posteriorment es va fer càrrec perquè havia de liquidar si no, però les dades no es van robar a cap de les bases de dades operatives. Les dades van ser robades a la base de dades de proves. Tot i així va passar que els desenvolupadors acabaven d’agafar un subconjunt de les dades que eren dades reals i les van utilitzar, sense cap tipus de protecció, en una base de dades de proves. La base de dades de proves va ser piratejada i es van treure una gran quantitat de dades financeres personals de la gent.
La política de seguretat, sobretot en relació a la seguretat d’accés pel que fa a bases de dades, qui pot llegir, qui pot escriure, qui pot concedir permisos, hi ha alguna manera que algú pugui eludir qualsevol cosa? Aleshores, per descomptat, hi ha xifrades de bases de dades. Hi ha el cost d’una falta de seguretat. No sé si es tracta d’una pràctica estàndard dins de les organitzacions, però sé que alguns, com ara caps de seguretat, intenten proporcionar als executius alguna idea de com és el cost d’una infracció de seguretat abans que passi abans que després. I, per a això, necessiten fer-ho per assegurar-se que obtinguin el pressupost adequat per poder defensar l’organització.
I després la superfície d’atac. La superfície d’atac sembla créixer tot el temps. És any rere any que la superfície d’atac sembla que creix. Així doncs, en resum, el rang és un altre punt, però la seguretat de les dades sol formar part del paper del DBA. Però la seguretat de les dades també és una activitat col·laborativa. Heu de tenir, si feu seguretat, heu de tenir una idea completa de les proteccions de seguretat per a l’organització en general. I cal que hi hagi una política corporativa al respecte. Si no hi ha polítiques corporatives, només acabes amb solucions a la mida. Ja sabeu, banda de goma i plàstic, intents per aturar la seguretat.
Un cop dit això, crec que lliuraré a Dez qui probablement us explicarà diverses històries de guerra.
Eric Kavanagh: Agafa-la, Dez.
Dez Blanchfield: Gràcies, Robin. Sempre és un acte difícil de seguir. Arribo a això des de l’extrem oposat de l’espectre per, suposo, donar-nos una idea de l’escala del repte que teniu a l’abast i per què hauríem de fer més que asseure’ns i prestar atenció a això . El repte que estem veient ara amb l’escala, la quantitat i el volum, la velocitat amb la qual estan passant aquestes coses, és que el que estic escoltant al voltant del lloc ara amb moltes CXO, no només CIO, però sens dubte Els CIO són els que assisteixen on s'atura la base, i consideren que les infraccions de dades es converteixen ràpidament en la norma. És una cosa que gairebé esperen que passi. Així doncs, ho miren des del punt de vista de: “Bé, bé, quan ens incomplim, no si, quan ens incomplim, què hem de fer al respecte?” I llavors les converses comencen, Què fan en els entorns i enrutadors tradicionals, conmutadors, servidors, detecció d’intrusions, inspecció d’intrusions? Què fan en els propis sistemes? Què fan amb les dades? I tot plegat torna a fer el que van fer amb les seves bases de dades.
Permeteu-me simplement tocar alguns exemples d'algunes coses que han capturat molta imaginació de la gent i després aprofundir-les per, despertar-les una mica. Així, en les notícies hem sabut que Yahoo, probablement el nombre més gran que la gent ha escoltat és d'aproximadament mig milió, però en realitat resulta que no és oficialment més com mil milions: vaig escoltar un nombre extravagant de tres mil milions, però això és gairebé la meitat de la població mundial, així que crec que és una mica elevat. Però ho he comprovat a diverses persones populars en espais rellevants que creuen que hi ha poc més de mil milions de registres que s’han tret a Yahoo. I aquest és només un número molest. Ara alguns jugadors es veuen i pensen, bé, només es tracta de comptes de correu web, no hi ha gran cosa, però, afegeix el fet que molts d’aquests comptes de correu web i un nombre curiós, superior al que m’havia previst, són realment comptes de pagament. És allà on la gent posa les dades de la targeta de crèdit i paga per eliminar els anuncis, perquè es nodreixen dels anuncis i, per tant, 4 o 5 dòlars al mes estan disposats a comprar un servei webmail i emmagatzematge al núvol que no tingui anuncis. i jo en sóc, i ho tinc en tres proveïdors diferents on tinc la targeta de crèdit.
Aleshores, el repte crida una mica més l'atenció perquè no es tracta només d'una cosa que diu: "Bé, Yahoo ha perdut, per exemple, entre 500 milions i 1.000 milions de comptes", 1.000 milions. sonen molt grans i comptes de correu web, però els detalls de la targeta de crèdit, nom, cognoms, adreça de correu electrònic, data de naixement, targeta de crèdit, número de pin, el que vulgueu, contrasenyes, i es converteix en un concepte molt més terrorífic. I de nou la gent em diu: "Sí, però és només un servei web, és només un correu electrònic, no és un gran problema". I després dic: "Sí, bé, és possible que el compte de Yahoo també s'hagi utilitzat als serveis de diners de Yahoo per comprar i vendre accions. ”Després és més interessant. I, a mesura que comenceu a aprofundir-hi, us adoneu que, d'acord, això és realment més que simples mares i pares a casa i els adolescents, amb comptes de missatgeria, en realitat això és una cosa en què la gent ha realitzat transaccions comercials.
Així doncs, aquest és un extrem de l’espectre. L’altre extrem de l’espectre és que un prestador de serveis sanitaris de pràctica general molt reduït a Austràlia va robar uns 1.000 registres. Era una feina interna, algú va marxar, només tenien curiositat, van sortir per la porta, en aquest cas es tractava d’un disquet de 3, 5 polzades. Va ser fa un temps, però es pot dir l’època dels mitjans de comunicació, però eren de tecnologia antiga. Però va resultar que el motiu pel qual van prendre les dades era que només tenien curiositat sobre qui hi havia. Perquè tenien molta gent en aquest petit poble, que era la nostra capital nacional, que eren polítics. I es va interessar per qui estava allà, on eren les seves vides i per tota aquesta informació. Així, doncs, amb un incompliment de dades molt reduït que es va fer internament, un nombre important de polítics en els detalls del govern australià van suposar ser publicats.
Hi hem de tenir en compte dos extrems diferents de l'espectre. Ara, la realitat és la magnífica escala d’aquestes coses, és bastant impressionant i tinc una diapositiva a la qual anirem saltant molt, molt ràpidament. Hi ha un parell de llocs web que recullen tot tipus de dades, però aquest particular és d’un especialista en seguretat que tenia el lloc web on podeu anar a buscar la vostra adreça de correu electrònic o el vostre nom i us mostrarà cada incident de dades. incomplir els darrers 15 anys que ha estat capaç de posar-se de mans i, a continuació, carregar-se a una base de dades i verificar-li, i us dirà si us han deixat lliurats, tal com és el terme. Però quan comenceu a mirar alguns d'aquests números i aquesta captura de pantalla no s'ha actualitzat amb la seva última versió, que inclou un parell, com ara Yahoo. Però només cal pensar en els tipus de serveis que hi ha aquí. Tenim Myspace, tenim LinkedIn, Adobe. Interessant d'Adobe perquè la gent es fixa i pensa, què significa Adobe? La majoria de nosaltres que descarreguem Adobe Reader d’alguna forma, molts de nosaltres hem comprat productes Adobe amb targeta de crèdit, és a dir, 152 milions de persones.
Ara, segons el punt de Robin anteriorment, es tracta de nombres molt grans, és fàcil deixar-los aclaparar. Què passa quan teniu 359 milions de comptes incomplits? Bé, hi ha un parell de coses. Robin ha destacat el fet que aquestes dades es troben sempre en una base de dades d'alguna forma. Aquí és el missatge crític. Gairebé ningú d’aquest planeta, del qual n’estic conscient, que gestiona un sistema de qualsevol forma, no l’emmagatzema en una base de dades. Però el que és interessant és que hi ha tres tipus de dades diferents en aquesta base de dades. Hi ha coses relacionades amb la seguretat com ara nom d’usuari i contrasenyes, que se solen xifrar, però sempre hi ha exemples on no ho són. Hi ha la informació real del client al voltant del perfil i les dades que han creat si es tracta d'un registre de salut o si es tracta d'un correu electrònic o d'un missatge instantani. I aleshores hi ha la lògica real incrustada, de manera que es podrien emmagatzemar procediments, pot ser un conjunt de regles, si + això + llavors + això. I, invariablement, només és un text ASCII enganxat a la base de dades, molt poca gent s’hi assegura pensant: “Bé, es tracta de regles comercials, així és com es mouen i controlen les nostres dades, potser hauríem de xifrar-les quan estigui en repòs i quan estigui en el moviment potser el desxifrem i el guardem a la memòria ", però idealment també ho hauria de ser.
Però es torna a aquest punt clau que totes aquestes dades es troben en una base de dades d’alguna forma i sovint el focus és, només històricament, ha estat en routers i commutadors i servidors i fins i tot en emmagatzematge, i no sempre a la base de dades. el darrere. Perquè pensem que tenim la vora de la xarxa coberta i és, com si fos, una típica antiga, que viu en un castell i hi poses un fossat al voltant i esperem que els dolents no hi vagin poder nedar. Però de sobte, els dolents van treballar com fer escales esteses i llançar-les sobre el fossat i pujar sobre el fossat i pujar per les parets. I, de sobte, el vostre fossat és inútil.
Així, ara estem en l'escenari en què les organitzacions estan en mode de recuperació en un esprint. Creen que són literalment a tots els sistemes, segons la meva opinió, i és sens dubte la meva experiència, en què no sempre són aquests unicorns web, com sovint ens referim a ells, més sovint que no són les organitzacions empresarials tradicionals que estan incomplint. I no cal tenir molta imaginació per saber qui són. Hi ha llocs web com un anomenat pastebin.net i si aneu a pastebin.net i simplement escriviu llista de correu electrònic o llista de contrasenyes, acabareu sumant centenars de milers d’entrades al dia que s’afegeixen on les persones llisten conjunts de dades d’exemples de fins a mil registres de nom, cognoms, dades de la targeta de crèdit, nom d’usuari, contrasenya, contrasenyes desxifrades, per cert. On les persones puguin agafar aquesta llista, aneu a verificar-ne tres o quatre i decidiu que sí, vull comprar aquesta llista i normalment hi ha algun tipus de mecanisme que us ofereix algun tipus d’entrada anònima a la persona que ven les dades.
El que és interessant és que, un cop l’empresari afiliat s’adona que pot fer això, no es fa tanta imaginació adonar-se que si gastes 1.000 dòlars americans per comprar una d’aquestes llistes, què és el primer que fas amb això? No aneu a provar i fer el seguiment dels comptes, en torneu a col·locar a pastbin.net i en vendeu dues còpies per 1.000 dòlars cadascuna i obteniu un benefici de 1.000 dòlars. I es tracta de nens que fan això. Hi ha algunes organitzacions professionals extremadament grans a tot el món que ho fan per guanyar-se la vida. Fins i tot hi ha nacions estatals que ataquen altres estats. Ja sabeu, es parla molt de l'Amèrica que ataca la Xina, la Xina que ataca Amèrica, no és tan senzill, però hi ha, definitivament, organitzacions governamentals que incomplen sistemes que funcionen invariablement per bases de dades. No és només el cas de petites organitzacions, sinó també de països versus països. Ens torna a trobar a aquesta qüestió, on s’emmagatzemen les dades? Es troba en una base de dades. Quins controls i mecanismes hi ha? O invariablement no es xifren, i si es xifren, no sempre són totes les dades, potser és la contrasenya que es salta i xifra.
Al nostre voltant, tenim diversos reptes sobre què hi ha en aquestes dades i sobre com proporcionem l'accés a les dades i el compliment del SOX. Així, si penses en la gestió de la riquesa o la banca, tens organitzacions que es preocupen pel repte credencial; tens organitzacions que es preocupen pel compliment de l’espai corporatiu; teniu requisits de compliment i regulacions del govern; ja teniu escenaris en què tenim bases de dades en premissa; tenim bases de dades en centres de dades de tercers; Tenim bases de dades assegudes en entorns de núvols, de manera que els seus entorns de núvol sempre no sempre són al país. I, per tant, es converteix en un repte cada vegada més gran, no només des del punt de vista de la seguretat pura que no siguem piratats, sinó també, com podem complir tots els diferents nivells de compliment? No només els estàndards HIPAA i ISO, sinó que hi ha literalment dotzenes i dotzenes i desenes d’aquests a nivell estatal, nacional i global que traspassen les fronteres. Si feu negocis amb Austràlia, no podeu moure les dades del govern. Les dades privades australianes no poden deixar la nació. Si ets a Alemanya és encara més rigorós. I sé que Amèrica avança molt ràpidament per això per diversos motius.
Però em torna a portar a tot aquest repte de com saps el que passa a la base de dades, com la monitoritzes, com dius qui fa què passa a la base de dades, qui té visualitzacions de diverses taules i files i columnes i camps., quan el llegeixen, amb quina freqüència el llegeixen i qui el fa un seguiment? I crec que això em porta al meu punt final abans de lliurar al nostre convidat d’avui qui ens ajudarà a parlar de com resoldrem aquest problema. Però vull deixar-nos amb aquest pensament i, és a dir, es centra molt en el cost per al negoci i el cost per a l’organització. I no anem a abordar aquest punt en detall avui, però només vull deixar-ho en la nostra ment per reflexionar i és que hi ha una estimació aproximada d’entre 135 i 585 dòlars americans per registre per netejar després d’un incompliment. Així, la inversió que realitzeu en la vostra seguretat en routers i commutadors i servidors és bona i bona i tallafocs, però, quant heu invertit en la seguretat de la vostra base de dades?
Però és una economia falsa i quan fa temps que es va produir l’incompliment de Yahoo, i ho tinc per una bona autoritat, és aproximadament mil milions de comptes, no 500 milions. Quan Verizon va comprar l'organització per quelcom de 4.300 milions de dòlars, tan bon punt el trencament va sol·licitar un miler de milions de dòlars, o bé un descompte. Ara, si feu les matemàtiques i dius que hi ha aproximadament mil milions de registres que es van incomplir, un descompte de mil milions de dòlars, els pressupostos de 135 a 535 dòlars per netejar un registre ara es converteixen en 1 dòlars. Cosa que, de nou, és farsa. Netejar milers de registres no costa ni un dòlar. Un dòlar per registre de neteja de mil milions de registres per incomplir aquesta mida. Ni tan sols podeu publicar un comunicat de premsa per aquest tipus de costos. I així sempre ens centrem en els reptes interns.
Però crec que és una de les coses, i ens hauria de prendre molt seriosament a nivell de base de dades, per la qual cosa es tracta d’un tema molt important per parlar, i és que mai no parlem de l’ésser humà. peatge Quin és el peatge humà en què incorrem? I en faré un exemple abans d’embolicar-me ràpidament. LinkedIn: el 2012, el sistema de LinkedIn va ser piratejat. Hi va haver diversos vectors i no hi entraré. I es van robar centenars de milions de comptes. La gent diu que hi ha uns 160 milions d’imparells, però en realitat és un nombre molt més gran, pot arribar a ser uns 240 milions. Però aquest incompliment no es va anunciar fins a principis d’aquest any. Han passat quatre anys en què hi ha registres de centenars de milions de persones. Ara, hi havia algunes persones que pagaven serveis amb targetes de crèdit i algunes persones amb comptes gratuïts. Però és interessant a LinkedIn, perquè no només van accedir a les dades del vostre compte si us van incomplir, sinó que també van tenir accés a tota la informació del vostre perfil. Així, a qui vau estar connectat i a totes les connexions que teníeu, i al tipus de llocs de treball que tenien i al tipus de competències que tenien, i durant quant temps treballaven a les empreses i tota aquesta informació i les seves dades de contacte.
Penseu, doncs, sobre el repte que tenim per aconseguir les dades d’aquestes bases de dades, per protegir i gestionar els propis sistemes de bases de dades, i el flux d’impacte, el nombre humà d’aquestes dades existint durant quatre anys. I és probable que algú pugui passar-se a les vacances en algun lloc del sud-est asiàtic i que tinguin les seves dades des de fa quatre anys. I algú podria haver comprat un cotxe, haver obtingut un préstec a casa o haver comprat deu telèfons durant l'any a les targetes de crèdit, on van crear una identificació falsa sobre aquestes dades que hi havia des de feia quatre anys, perquè fins i tot les dades de LinkedIn us donaven prou informació per crea un compte bancari i un fals identificador: i pugeu a l’avió, aneu de vacances, aterreu i se’ls llença a la presó. I per què són llançats a la presó? Bé, perquè t’han robat el DNI. Algú va crear una identificació falsa i va actuar com tu i centenars de milers de dòlars. Això ho van fer quatre anys i ni tan sols en sabíeu. Com que està fora, només va passar.
Per tant, crec que ens porta a aquest repte bàsic de com sabem el que està passant a les nostres bases de dades, com el seguim, com el controlem? Tinc ganes d’escoltar com els nostres amics d’IDERA han trobat una solució per solucionar-ho. I amb això, lliuraré.
Eric Kavanagh: Bé, Ignacio, el pis és teu.
Ignacio Rodríguez: D' acord. Bé, benvinguda a tothom. Em dic Ignacio Rodriguez, més conegut com Iggy. Estic amb IDERA i un productor de productes de seguretat. Temes realment bons que acabem de tractar, i realment ens hem de preocupar pels incompliments de dades. Hem de dur les polítiques de seguretat endurides, hem d’identificar les vulnerabilitats i avaluar els nivells de seguretat, controlar els permisos d’usuaris, controlar la seguretat del servidor i complir les auditories. He estat fent auditories en la meva història passada, principalment per part d'Oracle. N’he fet algunes a SQL Server i les feia amb eines o, bàsicament, scripts casolans, que era fantàstic, però heu de crear un repositori i assegurar-vos que el repositori era segur, havent de mantenir constantment els scripts amb canvis dels auditors., que tens tu.
De manera que, en eines, si hagués sabut que IDERA estava fora i tingués una eina, jo probablement l’hauria adquirit. Però, de totes maneres, parlarem de Secure. És un dels nostres productes de la nostra línia de productes de seguretat i el que fa bàsicament és mirar les polítiques de seguretat i fer una correspondència a les directrius reguladores. Podeu visualitzar un historial complet de la configuració de SQL Server i bàsicament també podeu fer una línia de referència d'aquestes configuracions i després comparar-les amb els canvis futurs. Podeu crear una instantània, que és una línia de referència de la vostra configuració i, a continuació, ser capaç de fer un seguiment de si s'han canviat alguna d'aquestes coses i també se us avisarà si es canvien.
Una de les coses que fem bé és prevenir el risc i violacions de seguretat. La targeta d’informe de seguretat us ofereix una vista de les vulnerabilitats de seguretat més importants dels servidors i, a més, cada verificació de seguretat es classifica en risc alt, mitjà o baix. Ara, en aquestes categories o controls de seguretat, es poden modificar. Diguem que si teniu alguns controls i utilitzeu una de les plantilles que tenim i decidiu, bé, els nostres controls realment indiquen o desitgeu que aquesta vulnerabilitat no sigui realment una elevada, sinó una mitjana, o viceversa. Pot ser que tingueu algunes etiquetes com a mitjanes, però a la vostra organització els controls que vulgueu etiquetar o que considereu alts, tots aquests paràmetres es poden configurar per l’usuari.
Un altre problema crític que hem de mirar és identificar les vulnerabilitats. Comprendre qui té accés a què i identificar cadascun dels drets efectius de l'usuari sobre tots els objectes SQL Server. Amb l’eina que podrem recórrer i veure els drets sobre tots els objectes de SQL Server i aviat veurem una captura de pantalla d’aquí. També informem i analitzem els permisos d’usuaris, grups i funcions. Una de les altres funcions és la de lliurar informes detallats de risc de seguretat. Disposem d’informes excepcionals i conté paràmetres flexibles per crear els tipus d’informes i mostrar les dades que requereixen els auditors, els agents de seguretat i els gestors.
També podem comparar els canvis de seguretat, de risc i de configuració al llarg del temps, com he esmentat. I això és amb les instantànies. I es poden configurar aquestes instantànies en la mesura del que vulgueu fer-les (mensuals, trimestrals, anuals) que es poden programar dins de l'eina. I, de nou, podeu fer comparacions per veure què ha canviat i el que és bo és que si tinguéssiu una infracció podríeu crear una instantània després de corregir-la, fer una comparació i veureu que hi havia un nivell alt. risc associat a la instantània anterior i, a continuació, a l'informe, en la següent instantània es veu que es va corregir que ja no era un problema. És una bona eina d’auditoria que podríeu donar a l’auditor, un informe que podríeu donar als auditors i dir: “Mira, teníem aquest risc, l’hem mitigat, i ara ja no és un risc”. I, de nou, jo esmentat amb les instantànies, podeu alertar quan canvia una configuració, i si es canvia una configuració i es detecta un risc nou, també se us notificarà.
Tenim algunes preguntes sobre l'arquitectura de SQL Server amb Secure i vull fer una correcció a la diapositiva aquí on es diu "Servei de col·lecció". No tenim cap servei, hauria d'haver estat "Servidor de gestió i recollida. "Tenim la nostra consola i el servidor de gestió i col·lecció i tenim una captura sense agent que sortirà a les bases de dades que s'han registrat i recopilaran les dades mitjançant treballs. I tenim un repositori de SQL Server i treballem juntament amb SQL Server Reporting Services per programar informes i crear informes personalitzats també. Ara en una targeta d’informe de seguretat aquesta és la primera pantalla que veureu quan s’iniciï SQL Secure. Veureu fàcilment quins elements crítics heu detectat. I, de nou, tenim els màxims, els mitjans i els mínims. I després també tenim les polítiques que estan en joc amb les comprovacions de seguretat particulars. Tenim una plantilla HIPAA; tenim plantilles de nivell 1, 2 i 3 de seguretat IDERA; tenim directrius PCI. Aquestes són totes les plantilles que podeu utilitzar i, de nou, podeu crear la vostra pròpia plantilla, basada també en els vostres propis controls. I, de nou, es poden modificar. Podeu crear el vostre. Qualsevol de les plantilles existents es pot utilitzar com a línia de referència, i després podeu modificar les que vulgueu.
Una de les coses més bones és fer veure qui té permisos. Amb aquesta pantalla, podrem veure quins són els accessos de SQL Server a l'empresa i podreu veure tots els drets i permisos assignats i efectius a la base de dades del servidor a nivell d'objectes. Això ho fem aquí. Podreu seleccionar, de nou, les bases de dades o els servidors, i després podreu obtenir l’informe dels permisos de SQL Server. Així, capaç de veure qui té quin accés a què? Una altra característica tan agradable és que podreu comparar la configuració de seguretat. Suposem que teníeu una configuració estàndard que calia establir a tota la vostra empresa. Aleshores, podríeu fer una comparació de tots els servidors i veure quines configuracions es van establir als altres servidors de l'empresa.
De nou, les plantilles de polítiques, aquestes són algunes de les plantilles que tenim. Bàsicament, de nou, n'utilitza un, per crear-ne el teu. Podeu crear la vostra pròpia política, tal i com es veu aquí. Utilitzeu una de les plantilles i podeu modificar-les segons calgui. També podem visualitzar els drets efectius de SQL Server. Això verificarà i demostrarà que els permisos estan correctament definits per als usuaris i els rols. Un cop més, podeu sortir cap allà, mirar i veure i verificar que el permís s’estableixi correctament per als usuaris i els rols. A continuació, amb els drets d’accés a l’objecte de SQL Server, podeu navegar i analitzar l’arbre d’objectes SQL Server des del nivell del servidor fins als papers i els punts finals del nivell d’objecte. I podeu veure de forma immediata els permisos heretats assignats i efectius i les propietats relacionades amb la seguretat a nivell d'objecte. D’aquesta manera, s’ofereix una bona vista dels accessos que teniu als objectes de la base de dades i dels quals té accés.
Tenim, de nou, els nostres informes. Són informes enllaunats, tenim diversos que podeu seleccionar per fer els vostres informes. I molts d'ells es poden personalitzar o podeu tenir els vostres informes de clients i utilitzar-los conjuntament amb els serveis d'informació i poder crear els vostres propis informes personalitzats. Ara, les comparacions d’instantània, es tracta d’una característica molt maca, crec, on podeu sortir i podeu fer una comparació de les vostres instantànies que heu fet i mirar si hi ha alguna diferència en el nombre. Hi ha algun objecte afegit, hi ha hagut permís que ha canviat, qualsevol cosa que puguem veure quins canvis s'han realitzat entre les diferents instantànies. Hi ha qui els mirarà a nivell mensual: faran una instantània mensual i, a continuació, fan una comparació cada mes per veure si ha canviat alguna cosa. I si no se suposava que s’hagués canviat res, qualsevol cosa que anés a les reunions de control de canvis i veieu que s’han canviat alguns permisos, podeu tornar a mirar per veure què s’ha produït. Aquesta és una característica força agradable aquí on podeu fer la comparació, de nou, de tot el que s’audita a la instantània.
A continuació, la vostra comparació d’avaluació. Aquesta és una altra bona característica que tenim on podeu sortir-hi i veure les avaluacions i, a continuació, fer-ne una comparació i observar que la comparació aquí tenia un compte SA que no estava desactivat en aquesta instantània recent que he fet. ara es corregeix. És una cosa molt maca on es pot demostrar que, d’acord, teníem algun risc, van ser identificats per l’eina i ara hem mitigat aquests riscos. I, de nou, es tracta d’un bon informe per demostrar als auditors que de fet aquests riscos han estat mitigats i cuidats.
En resum, la seguretat de la base de dades és fonamental, i crec que moltes vegades ens fixem en incompliments que provenen de fonts externes i, de vegades, no fem gaire cas als incompliments interns i això és algunes de les coses que necessiteu estar atents. I Secure us ajudarà allà per assegurar-vos que no hi ha cap privilegi que no cal assignar, ja sabeu, assegureu-vos que totes aquestes seguretat estiguin configurades correctament als comptes. Assegureu-vos que els vostres comptes de SA tinguin contrasenyes. També comproveu quant a les vostres claus de xifratge? S'han exportat? Només cal comprovar diverses coses diferents i us advertirem si hi ha cap problema i a quin nivell d'emissió es troba. Necessitem una eina, molts professionals necessiten eines per gestionar i supervisar els permisos d’accés a la base de dades, i realment busquem proporcionar una àmplia capacitat per controlar els permisos de bases de dades i fer el seguiment d’activitats d’accés i mitigar el risc d’incompliments.
Ara, una altra part dels nostres productes de seguretat és que hi ha un WebEx que es va cobrir i part de la presentació de la qual vam parlar anteriorment eren dades. Sabeu qui està accedint a què, què teniu, i aquesta és la nostra eina de SQL Compliance Manager. I hi ha un WebEx gravat en aquesta eina i això us permetrà controlar qui accedeix a quines taules, quines columnes podeu identificar a taules que tenen columnes sensibles, fins a la data de naixement, informació del pacient, aquest tipus de taules i realment vegeu qui té accés a aquesta informació i si s’hi accedeix.
Eric Kavanagh: Està bé, així que aprofundim en les preguntes. Potser, Dez, t’ho llanço a tu primer, i Robin, tot plegat com puguis.
Dez Blanchfield: Sí, m'ha agradat fer una pregunta a la diapositiva 2a i 3a . Quin és el cas típic d’ús que veieu per a aquesta eina? Quins són els tipus d’usuaris més habituals que veieu que ho adopten i ho fan en joc? I a la part posterior, el model típic d’ús que utilitzem, com van? Com s’està implementant?
Ignacio Rodriguez: D’acord, el cas d’ús típic que tenim són els DBA als quals se’ls ha assignat la responsabilitat del control d’accés de la base de dades, que s’assegura que tots els permisos s’estableixen de la manera que han de ser, seguint un seguiment i els seus estàndards. en el seu lloc. Ja sabeu, aquests determinats comptes d’usuari només poden tenir accés a aquestes taules particulars, etcètera. I el que estan fent amb això és assegurar-se que aquests estàndards s'han establert i que aquests estàndards no han canviat al llarg del temps. I aquesta és una de les coses més importants per a les que la gent la fa servir per rastrejar i identificar si s’estan fent canvis que no es coneixen.
Dez Blanchfield: Perquè són els por, no? És possible que tingueu un document d’estratègia, diguem-ne, un document d’estratègia, que tingueu polítiques que ho fonamentin, que tingueu conformitat i governança al respecte i seguiu les polítiques, us adheriu a la governança i feu llum verda i tot seguit, un mes després, algú llança un canvi i, per algun motiu, no passa pel mateix tauler de revisió de canvis ni pel procés de canvi, o sigui el que sigui, o el projecte acaba de continuar i ningú ho sap.
Teniu cap exemple que pugueu compartir, i ho sé, òbviament, no sempre és una cosa que compartiu, ja que els clients estan una mica preocupats per això, no cal que necessitem anomenar noms necessàriament, sinó que ens doneu un exemple d’on us potser ho heu vist realment, ja ho sabeu, una organització ha posat en marxa sense adonar-se’n i només han trobat alguna cosa i s’han adonat: “Guau, valia la pena deu vegades, només hem trobat alguna cosa que no ens adonem”. algun exemple en què la gent hagi posat en pràctica això i després hagi descobert que tenien un problema més gran o un problema real que no se n’adonaven que tenien i, a continuació, s’afegiran immediatament a la llista de targetes de Nadal?
Ignacio Rodriguez: Bé, crec que el més gran que hem vist o hem denunciat és el que acabo d’esmentar, pel que fa a l’accés que algú havia tingut. Hi ha desenvolupadors i quan van implementar l'eina realment no es van adonar que la quantitat X d'aquests desenvolupadors tenien tant accés a la base de dades i tenien accés a objectes concrets. I una altra cosa són els comptes de només lectura. Hi havia alguns comptes de només lectura, han descobert que aquests comptes de només lectura són realment, han inserit dades i també han suprimit privilegis. Aquí és on hem vist algun benefici per als usuaris. La gran cosa, una vegada més, que hem escoltat que a la gent li agrada és poder, un cop més, fer un seguiment dels canvis i assegurar-se que res no els cega.
Dez Blanchfield: Com ha destacat Robin, tens escenaris que la gent no pensa sovint, oi? Quan esperem, pensem que, si ho fem tot segons les regles, ho penso, i estic segur que també ho veieu; digueu-me si no esteu d'acord amb les organitzacions. molt a l’hora d’elaborar l’estratègia i la política, el compliment i la governança i els indicadors de la informació i els informes, que sovint s’aconsegueixen tan fixats en això, no pensen en els valors superiors. I Robin va tenir un exemple realment fantàstic que vaig a robar-lo, perdó Robin, però l'exemple és l'altre cop que es realitza una còpia en directe de la base de dades, una instantània i la posarà a prova de desenvolupament, oi? Fem dev, fem proves, fem UAT, fem integració de sistemes, tot aquest tipus de coses i aleshores fem un munt de proves de compliment. Sovint, es fa un test de prova, UAT, SIT, que només ens assegurem que és segur i segur, però no tothom ho fa. Aquest exemple que Robin va donar amb una còpia d’una còpia en directe de la base de dades posada en prova amb entorn de desenvolupament per veure si encara funciona amb les dades en viu. Molt poques empreses s’asseuen i pensen: “Fins i tot això és possible o és possible?” Sempre estan fixades en els productes de producció. Com és el viatge d’implementació? Parlem de dies, setmanes, mesos? Què sembla un desplegament regular per a una organització de mida mitjana?
Ignacio Rodriguez: Dies. Ni tan sols són dies, vull dir, són només un parell de dies. Acabem d’afegir una característica on podem registrar molts, molts servidors. En lloc d’haver d’anar allà dins de l’eina i dir que teníeu 150 servidors, havíeu d’anar allà individualment i registrar els servidors, ara no cal que ho feu. Hi ha un fitxer CSV que creeu i el suprimim automàticament i no el guardem per problemes de seguretat. Però és una altra cosa que hem de tenir en compte, és que tindreu un fitxer CSV amb username / password.
El que fem és que automàticament ho eliminem de nou, però és una opció que teniu. Si voleu entrar-hi individualment i registrar-los i no voleu assumir aquest risc, podeu fer-ho. Però si voleu utilitzar un fitxer CSV, poseu-lo en una ubicació segura, apunteu l’aplicació a aquesta ubicació, s’executarà aquell fitxer CSV i, automàticament, s’esborrarà un cop acabat. I anirà a assegurar-se que comprovarà que el fitxer s'ha suprimit. El pol més llarg de la sorra que teníem per a la implementació va ser el registre dels servidors reals.
Dez Blanchfield: D'acord. Ara parlava d’informes. Podeu donar-nos una mica més de detalls i informació detallada sobre com s’inclouen els informes previ a l’hora d’informar al voltant, només, suposo, el component de descobriment de mirar què hi ha i informar-ne, l’estat actual de la nació, què és el que precedeix construïts i pre-cuits fins als informes sobre l'estat de compliment i seguretat actuals, i fins a quin punt són extensibles? Com es basen en aquestes?
Ignacio Rodriguez: D'acord. Alguns dels informes que tenim, comptem amb informes que versen sobre el servidor creuat, comprovacions d’inici de sessió, filtres de recollida de dades, historial d’activitats i després informes d’avaluació de riscos. I també qualsevol compte de Windows sospitós. Hi ha molts, molts. Consulteu els accessos SQL sospitosos, els accessos al servidor i el mapeig d’usuaris, els permisos d’usuaris, tots els permisos d’usuari, els rols del servidor, els papers de la base de dades, alguna quantitat de vulnerabilitat que tenim o els informes d’autenticació en mode mixt, les bases de dades d’habilitats per a convidats, la vulnerabilitat del sistema operatiu mitjançant XPS, els procediments ampliats, i després els rols fixos vulnerables. Aquests són alguns dels informes que tenim.
Dez Blanchfield: I heu comentat que són prou significatius i molts d'ells, la qual cosa és lògic. Què tan fàcil és adaptar-lo? Si faig un informe i obtenc aquest gran gràfic, però vull treure algunes peces que realment no m'interessen i afegir un parell d'altres funcions, hi ha algun guionista d'informació, hi ha algun tipus d'interfície i eina per configurar i personalitzar o fins i tot crear un altre informe des de zero?
Ignacio Rodriguez: Dirigiríem els usuaris perquè utilitzessin el Microsoft SQL Report Services i tinguem molts clients que realment prendran alguns dels informes, els personalitzaran i els planificaran quan vulguin. Alguns d'aquests nois volen veure aquests informes de forma mensual o setmanal, i hauran de rebre la informació que tenim, la traslladaran als Serveis d'informes i la faran des d'allà. No tenim un escriptor d’informes integrat amb la nostra eina, però aprofitem els Serveis d’informació.
Dez Blanchfield: Crec que aquest és un dels reptes més grans amb aquestes eines. Podeu accedir-hi i trobar coses, però heu de ser capaç de treure-ho, informar-lo a persones que no són necessàriament DBA i enginyers de sistemes. Hi ha un paper interessant en la meva experiència i és que, ja ho sabeu, els agents de risc sempre han estat a les organitzacions i que han estat principalment al voltant i hi ha una gamma completament diferent de riscos que hem vist recentment, mentre que ara amb dades Les violacions que es converteixen no només en una cosa sinó en un tsunami real, la CRO ha passat de ser, ja sabeu, la RRHH i el compliment i la salut laboral i la seguretat enfocada ara al risc cibernètic. Ja ho sabeu, la violació, la pirateria informàtica, la seguretat, molt més tècnica. I és cada cop més interessant perquè hi ha molts CROs que provenen d’un pedigrí MBA i no d’un pedigrí tècnic, per la qual cosa s’han de moure el cap, què és el que això suposa per a la transició entre el risc cibernètic a passar a un CRO, etcètera. Però el més important que volen és només informar sobre visibilitat.
Ens podeu dir alguna cosa al voltant del posicionament pel que fa al compliment? Ofbviament, un dels principals punts forts és que es pot veure el que passa, el podeu supervisar, el podeu aprendre, el podeu informar, el podeu reaccionar, fins i tot, podeu impedir algunes coses. El repte general és el compliment del govern. Hi ha parts claus que enllacen deliberadament amb els requisits de compliment existents o el compliment de la indústria com PCI, o alguna cosa així actualment, o hi ha alguna cosa que surt del full de ruta? S'adapta, per algun tipus, al marc dels gustos dels estàndards COBIT, ITIL i ISO? Si despleguem aquesta eina, ens proporciona una sèrie de comprovacions i saldos que s’ajusten a aquells marcs o com la podem integrar en aquests marcs? Quina és la posició que teniu en compte aquest tipus de coses?
Ignacio Rodriguez: Sí, hi ha plantilles que oferim amb l'eina. I tornem a arribar al punt on reevaluem les nostres plantilles i anirem afegint i aviat n'hi haurà més. FISMA, FINRA, algunes plantilles addicionals que tenim, i normalment revisem les plantilles i mirem per veure què ha canviat, què hem d’afegir? I en realitat volem arribar al punt en què, ja sabeu, els requisits de seguretat han canviat bastant, així que estem buscant una manera de fer que aquest sigui expansible sobre la marxa. Això és el que estem contemplant en el futur.
Però ara mateix estem estudiant potser crear plantilles i poder obtenir les plantilles d’un lloc web; podeu descarregar-los. És així com ho gestionem: les gestionem a través de plantilles i estem buscant maneres en el futur per fer-ho fàcilment expansible i ràpid. Perquè quan solia fer auditories, ja sabeu, les coses canvien. Arribaria un auditor un mes i el mes següent volen veure alguna cosa diferent. Aleshores aquest és un dels reptes amb les eines, és poder fer aquests canvis i obtenir allò que necessiteu, i és a quin tipus d’interès a on volem arribar.
Dez Blanchfield: Suposo que el repte d'un auditor canvia regularment a la vista que el món es mou més ràpidament. I, una vegada, el requisit des del punt de vista de l'auditoria, segons la meva experiència, seria només el compliment comercial pur, i es va convertir en el compliment tècnic i ara és el compliment operatiu. I hi ha tots aquests altres, ja sabeu, que cada dia algú apareix i no us permeten mesurar-vos en alguna cosa com l'operació ISO 9006 i 9002, sinó que estudien tot tipus de coses. I veig ara que les sèries 38.000 estan esdevenint una gran cosa també en ISO. Imagino que això serà cada cop més difícil. Estic a punt de lliurar-ho a Robin perquè he estat bloquejant l'amplada de banda.
Moltes gràcies per veure-ho i, sens dubte, passaré més temps per conèixer-ho perquè realment no em vaig adonar que realment era tot això en profunditat. Així que, gràcies, Ignacio, ara vaig a donar a Robin. Una gran presentació, gràcies. Robin, a tu mateix.
Robin Bloor: D'acord Iggy, et diré Iggy, si està bé. El que em molesta, i crec que a la llum d’algunes de les coses que va dir Dez en la seva presentació, hi ha una gran quantitat de coses que hi ha, que heu de dir que la gent no està cuidant les dades. Ja ho sabeu, sobretot quan es tracta del fet que només veieu una part de l’iceberg i probablement hi ha moltes coses que no reporten ningú. Estic interessat en la vostra perspectiva sobre quants dels clients que coneixeu o clients potencials dels quals coneixeu tenen el nivell de protecció que ofereixen, no només amb això, però també la vostra tecnologia d’accés a les dades? Vull dir: qui és allà fora equipat adequadament per fer front a l’amenaça, és la pregunta?
Ignacio Rodriguez: Qui està equipat adequadament? Vull dir, molts clients que realment no hem adreçat a cap tipus d’auditoria, ja ho sabeu. N’han tingut alguns, però l’important és intentar estar al dia i intentar mantenir-lo i assegurar-se. El gran problema que hem vist és, i fins i tot el que he tingut quan feia el compliment, és: si utilitzessis els vostres scripts, ho faríeu una vegada cada trimestre quan entraran els auditors i heu trobat un problema. Bé, suposa que, ja és massa tard, les auditories hi són, els auditors són allà, volen el seu informe, ho marquen. I, a continuació, obtenim una marca o se'ns va dir, bé, hem de solucionar aquests problemes, i aquí és on entraria. Seria més una cosa de tipus proactiu on es pugui trobar el risc i mitigar el risc. el que busquen els nostres clients Una manera de ser una mica proactiva en contraposició a ser reactius quan els auditors entren i troben que alguns dels accessos no estan allà on han d'estar, altres persones tenen privilegis administratius i no haurien de tenir-ne, aquest tipus de coses. És aquí on hem vist molts comentaris, a la gent els agrada l'eina i la fan servir.
Robin Bloor: D'acord, em plantejo una altra pregunta, que és, en cert sentit, també una pregunta òbvia, però sóc curiosa. Quantes persones us acudeixen realment arran d’un pirateig? On, ja ho sabeu, esteu aconseguint el negoci, no perquè tinguessin en compte el seu entorn i pensaven que s’havien d’assegurar de manera molt més organitzada, sinó que hi esteu simplement perquè ja han patit una part dolor.
Ignacio Rodriguez: En els meus temps aquí a IDERA no n’he vist un. Per ser sincer amb vosaltres, la majoria de les interaccions que he tingut amb els clients amb els quals he estat involucrat tenen moltes ganes i intenten començar a auditar i a començar a buscar privilegis, etcètera. Com he dit, jo mateix, no he experimentat en la meva època aquí, que hem tingut algú que hagi arribat a post-incompliment que conec.
Robin Bloor: Ah, això és interessant. Hauria pensat que hi hauria hagut almenys uns quants. Realment ho estic estudiant, però també hi afegeixo totes les complexitats que realment fan que les dades siguin segures en tota l'empresa i en totes les activitats que realitzeu. Oferiu consultoria directament per ajudar la gent a sortir? Vull dir, és clar que es poden comprar eines, però, segons la meva experiència, sovint la gent compra eines sofisticades i les utilitza molt malament. Oferiu consultoria específica: què fer, a qui formar-vos i coses així?
Ignacio Rodriguez: Hi ha alguns serveis que podríeu, fins i tot donar suport a serveis, que permetran que es produís alguna cosa. Però, pel que fa a consultoria, no proporcionem serveis de consultoria sinó formació, ja sabeu, com utilitzar aquestes eines i coses similars, algunes de les quals es tractaran amb el nivell de suport. Però de per si no tenim un departament de serveis que surti i fa això.
Robin Bloor: D'acord. En termes de la base de dades que porteu, la presentació aquí només menciona Microsoft SQL Server: també feu Oracle?
Ignacio Rodriguez: primer anirem ampliant-nos al terreny d’Oracle amb Compliance Manager. Començarem un projecte amb això, així que anem a mirar d’expandir-ho a Oracle.
Robin Bloor: És probable que vagis a un altre lloc?
Ignacio Rodriguez: Sí, això és el que hem de mirar als fulls de ruta i veure com estan les coses, però algunes de les coses que estem plantejant és la que també hem de atacar altres plataformes de bases de dades.
Dr Robin Bloor: També estava interessat en la divisió, no tinc cap imatge preconcebuda, però pel que fa a desplegaments, quant a això es desplega realment al núvol o és gairebé tot a la premissa. ?
Ignacio Rodriguez: Tot en premissa. Estem estudiant estendre Secure també per cobrir Azure, sí.
Robin Bloor: Aquesta era la qüestió Azure, encara no hi esteu però hi aneu, té molt sentit.
Ignacio Rodriguez: Sí, hi anirem molt aviat.
Robin Bloor: Sí, bé, la meva comprensió de Microsoft és que hi ha una gran quantitat d’accions amb Microsoft SQL Server a Azure. S’està convertint, si voleu, en una part clau del que ofereixen. L’altra pregunta que m’interessa: no és tècnica, és com una pregunta de com s’interessa: qui és el comprador d’això? El departament de TI us rep el servei informàtic o us n'adrecen OSC o hi ha diferents persones? Quan es planteja alguna cosa així, es tracta de mirar tota una sèrie de coses per protegir el medi ambient? Quina situació hi ha?
Ignacio Rodríguez: és una barreja. Tenim OSC, moltes vegades que l’equip de vendes es posarà en contacte amb els DBA. I després els DBA, de nou, han estat agrupats per aconseguir que hi hagi algun tipus de polítiques de processos d’auditoria. A partir d’aquí, avaluaran les eines i informaran la cadena i prendran una decisió sobre quina part volen comprar. Però és una bossa mixta de qui es posarà en contacte amb nosaltres.
Robin Bloor: D'acord. Crec que tornaré a Eric ara perquè hem fet una mica l'hora, però pot haver-hi algunes preguntes d'audiència. Eric?
Eric Kavanagh: Sí, segur, hem cremat molts continguts aquí. Aquí hi ha una bona pregunta que us enviaré un dels assistents. Està parlant del blockchain i de què parles, i es pregunta: hi ha alguna manera possible de migrar una part de només lectura d'una base de dades SQL a una cosa similar a la que ofereix blockchain? És una cosa difícil.
Ignacio Rodriguez: Sí, seré sincer amb vosaltres, no tinc resposta a això.
Eric Kavanagh: El llançaré a Robin. No sé si heu sentit aquesta pregunta, Robin, però només es pregunta: hi ha alguna manera de migrar la part de només lectura de una base de dades SQL a alguna cosa semblant a la que ofereix el blockchain? Què penses sobre això?
Robin Bloor: És com si migreu la base de dades també migraràs el trànsit de bases de dades. Hi ha un conjunt de complexitats relacionades amb això. Però no ho faríeu per cap altre motiu que no sigui inviolable. Com que una blockchain serà més lenta d’accedir, així que ja sabeu, si la velocitat és cosa vostra i gairebé sempre és això, no ho faríeu. Però si voleu proporcionar un xifrat d'accés xifrat per part d'ell a algunes persones que feien aquest tipus de coses, podríeu fer-ho, però hauríeu de tenir una raó molt bona. És molt més probable que el deixeu allà on es troba i que el proveïu.
Dez Blanchfield: Sí, hi estic d'acord si puc pesar ràpidament. Crec que el repte de la blockchain, fins i tot la blockchain, que s’utilitza públicament, s’utilitza a bitcoin, és difícil trobar-la més enllà de quatre transaccions al minut de manera distribuïda. No tant pel desafiament de càlcul, encara que hi ha, els nodes complets simplement són difícils de mantenir-se al dia amb els volums de la base de dades que es mouen cap enrere i cap endavant i la quantitat de dades que es copien perquè es tracta de tractaments ara, no només de megafonia.
Però també, crec que el repte clau és que cal canviar l’arquitectura de l’aplicació perquè en una base de dades es tracta principalment de portar tot a una ubicació central i teniu aquest model de tipus client-servidor. Blockchain és la inversa; es tracta d’exemplars distribuïts. És més com en BitTorrent de moltes maneres, i és que hi ha moltes còpies de les mateixes dades. I, ja ho sabeu, com Cassandra i bases de dades a la memòria on la distribuïu i molts servidors us poden proporcionar còpies de les mateixes dades fora d’un índex distribuït. Crec que les dues parts clau, com heu dit, Robin, són: una, si voleu assegurar-la i assegureu-vos que no es pot robar ni piratejar, això és fantàstic, però no és necessàriament una plataforma transaccional encara, i nosaltres Ho he experimentat amb el projecte bitcoin. Però en teoria altres ho han resolt. Però també, arquitectònicament, moltes de les aplicacions no saben com preguntar i llegir des d'una blockchain.
Hi ha molta feina a fer. Però crec que el punt clau de la pregunta que hi ha, simplement si puc, és la raó de traslladar-la a una cadena de blocs, crec que la pregunta que es fa és: podeu treure les dades d’una base de dades i posar-la en una forma que sigui. més segur? I la resposta és que la podeu deixar a la base de dades i simplement xifrar-la. Ara hi ha moltes tecnologies. Només cal xifrar les dades en repòs o en moviment. No hi ha cap raó per la qual no es poden tenir dades xifrades a la memòria ni a la base de dades del disc, cosa que és un repte molt més senzill perquè no es produeix un canvi arquitectònic únic. Invariablement, la majoria de plataformes de bases de dades, en realitat només són una funció que s’activa.
Eric Kavanagh: Sí, tenim una darrera pregunta que us enviaré, Iggy. És força bo. Des d’una perspectiva de SLA i de planificació de capacitats, quin tipus d’impostos hi ha mitjançant l’ús del vostre sistema? En altres paraules, alguna sobrecàrrega de latència addicional o de cabal si, en un sistema de bases de dades de producció, algú vol implicar la tecnologia IDERA aquí?
Ignacio Rodriguez: Realment no veiem gaire impactes. Un cop més, és un producte sense agents i tot depèn, com he comentat abans, de les instantànies. Secure es basa en les instantànies. Sortirà d'allà i realment crearà una feina que sortirà allà en funció dels intervals que hagueu seleccionat. O bé ho voleu fer, de nou, setmanalment, diàriament, mensualment. Sortirà allà i executarà aquesta tasca i, a continuació, recollirà les dades de les instàncies. Aleshores, la càrrega torna als serveis de gestió i recollida, un cop comences a fer les comparacions i tot això, la càrrega a la base de dades no hi té un paper. Tota aquesta càrrega es troba ara al servidor de gestió i recollida, pel que fa a les comparacions i tota la informació i tot això. L’única vegada que toqueu la base de dades és sempre quan es fa l’instantània real. I, realment, no hem rebut cap informe que això sigui perjudicial per als entorns de producció.
Eric Kavanagh: Sí, aquest és un punt molt bo que fas aquí. Bàsicament només podeu definir quantes instantànies feu, quin és aquest interval de temps i en funció del que pugui passar, però és una arquitectura molt intel·ligent. Això és bo, home. Doncs bé, vostès estan al capdavant per intentar protegir-nos de tots els hackers dels que vam parlar els primers 25 minuts del programa. I són fora d’aquí, gent, no s’equivoquen.
Bé, escolteu, publicarem un enllaç a aquesta transmissió web, els arxius, al nostre lloc dins l'analisis.com. Podeu trobar coses a SlideShare, a YouTube. I gent, coses bones. Gràcies pel vostre temps, Iggy, per cert m'agrada el vostre sobrenom. Amb això us acomiadarem, amics. Moltes gràcies pel vostre temps i atenció. Ens posarem al dia la propera vegada. Adeu.
