Дом Базы данных Лучше спросить разрешения: лучшие практики для конфиденциальности и безопасности

Лучше спросить разрешения: лучшие практики для конфиденциальности и безопасности

Anonim

Сотрудники Techopedia, 10 мая 2017 г.

Вывод: ведущий Эрик Кавана обсуждает вопросы безопасности и разрешений с доктором Робином Блором и Вики Харп из IDERA.

Вы не вошли в систему. Пожалуйста, войдите или зарегистрируйтесь, чтобы увидеть видео.

Эрик Кавана: Хорошо, дамы и господа, привет и добро пожаловать снова. Сегодня среда, четверка восточных и в мире корпоративных технологий, что означает, что пришло время для Hot Technologies! Да, в самом деле. Представлено группой Bloor, конечно, при поддержке наших друзей в Techopedia. Сегодняшняя тема очень крутая: «Лучше спросить разрешения: лучшие практики для обеспечения конфиденциальности и безопасности». Это верно, это довольно сложная тема, многие об этом говорят, но довольно серьезная, и С каждым днем ​​это становится все серьезнее, честно говоря. Во многих организациях это серьезная проблема во многих отношениях. Мы поговорим об этом и поговорим о том, что вы можете сделать, чтобы защитить свою организацию от гнусных персонажей, которые, кажется, повсюду.

Итак, сегодняшний ведущий - Вики Харп, звонящая из IDERA. Вы можете увидеть Программное обеспечение IDERA на LinkedIn - я люблю новые функциональные возможности на LinkedIn. Хотя я могу сказать, что они натягивают некоторые строки определенным образом, не позволяя вам получить доступ к людям, пытаясь заставить вас купить эти премиальные членства. Вот, пожалуйста, у нас есть наш собственный Робин Блур, звонящий по телефону - сегодня он фактически находится в районе Сан-Диего. И вы действительно как ваш модератор / аналитик.

Так о чем мы говорим? Нарушения данных. Я только что взял эту информацию с IdentityForce.com, она уже отправлена ​​на гонки. Конечно, в этом году мы находимся в мае, и есть только тонна утечек данных, но есть и действительно огромные, конечно, Yahoo! был большой, и мы слышали о том, что правительство США взломали. Мы только что взломали выборы во Франции.

Это происходит повсеместно, продолжается и не останавливается, поэтому это реальность, это новая реальность, как они говорят. Нам действительно нужно подумать о способах обеспечения безопасности наших систем и наших данных. И это непрерывный процесс, поэтому как раз вовремя подумать обо всех различных проблемах, которые вступают в игру. Это только частичный список, но он дает вам некоторое представление о том, насколько нестабильна ситуация в наши дни с корпоративными системами. А перед этим шоу в нашем предшоу-шуте мы говорили о вымогателе, который ударил кого-то, кого я знаю, что очень неприятно, когда кто-то захватывает ваш iPhone и требует от вас денег, чтобы получить доступ к вашему телефону. Но это случается, это происходит с компьютерами, это происходит с системами, я видел только на днях, это происходит с миллиардерами с их яхтами. Представьте себе, что однажды вы отправитесь на свою яхту, пытаясь произвести впечатление на всех своих друзей, и вы даже не сможете ее включить, потому что какой-то вор украл доступ к элементам управления, панели управления. Я только что сказал на днях в интервью с кем-то, всегда есть ручное управление. Мол, я не большой поклонник всех подключенных автомобилей - даже автомобили могут быть взломаны. Все, что подключено к Интернету или подключено к сети, в которую можно проникнуть, может быть взломано, что угодно.

Итак, вот лишь несколько моментов, которые необходимо рассмотреть с точки зрения определения контекста серьезности ситуации. В наши дни веб-системы повсеместно распространяются. Сколько людей покупают вещи онлайн? В наши дни это просто сквозь крышу, поэтому Амазонка такая мощная сила в наши дни. Это потому, что так много людей покупают вещи онлайн.

Итак, вы помните, тогда, 15 лет назад, люди очень нервничали из-за того, что помещали свою кредитную карту в веб-форму для получения своей информации, и тогда аргумент был: «Хорошо, если вы передадите свою кредитную карту официанту в ресторан, то это одно и то же ». Итак, наш ответ - да, это одно и то же, есть все эти контрольные точки, или точки доступа, одна и та же вещь, разные стороны одной медали, куда людей можно поставить в опасности, где кто-то может взять ваши деньги, или кто-то может украсть у вас.

Затем IoT, конечно, расширяет границы угроз - я люблю это слово - на порядки. Я имею в виду, подумайте об этом - со всеми этими новыми устройствами везде, если кто-то может взломать систему, которая управляет ими, он может повернуть всех этих ботов против вас и вызвать множество проблем, так что это очень серьезная проблема. В наши дни у нас глобальная экономика, которая еще больше расширяет границы угроз, и, более того, у вас есть люди в других странах, которые могут получить доступ к Интернету так же, как вы и я, и если вы не знаете, как говорить по-русски или любой другой язык, вам будет трудно понять, что происходит, когда они взломают вашу систему. Итак, у нас есть достижения в области сетей и виртуализации, ну, это хорошо.

Но у меня на правой стороне этой картины есть меч, и причина, по которой он у меня есть, заключается в том, что каждый меч режет в обе стороны. Как говорят, это обоюдоострый меч, и это старое клише, но это означает, что меч, который у меня есть, может навредить вам или может навредить мне. Он может вернуться ко мне, либо отскочив назад, либо от того, кто его заберет. На самом деле это одна из басен Эзопа - мы часто даем нашим врагам инструменты нашего собственного уничтожения. Это действительно довольно убедительная сюжетная линия, и она имеет отношение к тому, кто использовал лук и стрелу и сбил птицу, и птица увидела, как стрела поднималась, что перо одного из его друзей-птиц было на краю стрелы, на тыльной стороне стрелы, чтобы направлять его, и он подумал: «О, чувак, вот оно, мои собственные перья, моя собственная семья будет использована, чтобы убить меня». Это происходит постоянно, вы слышите, Статистика о том, что у вас есть пистолет в доме, вор может взять пистолет. Ну, это все правда. Итак, я приведу это в качестве аналогии, просто чтобы учесть, что все эти различные события имеют как положительные, так и отрицательные стороны.

И, если говорить о контейнерах для тех из вас, кто действительно следит за передовыми достижениями в области корпоративных вычислений, контейнеры - это новейшая вещь, новейший способ предоставления функциональных возможностей, это действительно сочетание виртуализации в сервис-ориентированной архитектуре, по крайней мере для микросервисов, и это очень интересные вещи. Вы, конечно, можете запутать свои протоколы безопасности и протоколы приложений, а также свои данные и т. Д., Используя контейнеры, и это дает вам преимущество на некоторый период времени, но рано или поздно плохие парни поймут это, и тогда будет еще труднее помешать им воспользоваться вашими системами. Итак, есть глобальная рабочая сила, которая усложняет сеть и безопасность, и откуда люди входят в систему.

У нас есть войны браузеров, которые продолжаются быстро и требуют постоянной работы, чтобы обновляться и быть в курсе событий. Мы продолжаем слышать о старых браузерах Microsoft Explorer, о том, как они были взломаны и доступны там. Итак, в наши дни можно заработать больше денег на взломе, есть целая индустрия, этому меня научил мой партнер, доктор Блур, восемь лет назад - мне было интересно, почему мы так много видим, и он напомнил я, это целая индустрия, занимающаяся взломом. И в этом смысле повествование, которое является одним из моих наименее любимых слов о безопасности, на самом деле очень нечестно, потому что повествование показывает вас во всех этих видео и любых новостных выпусках, некоторые взломы показывают какого-то парня в толстовке, сидя в его подвале в темной освещенной комнате это совсем не так. Это вовсе не является представителем реальности. Это одинокие хакеры, очень мало одиноких хакеров, они там, они вызывают некоторые проблемы - они не вызовут больших неприятностей, но они могут заработать много денег. Так что происходит, когда хакеры входят и проникают в вашу систему, а затем продают этот доступ кому-то еще, кто оборачивается и продает его кому-то еще, а затем где-то в конце, кто-то использует этот взлом и пользуется вами. И есть бесчисленное множество способов воспользоваться украденными данными.

Я даже удивлялся тому, как мы очаровывали эту концепцию. Вы видите этот термин повсюду, «хакинг роста», как будто это хорошо. Хакерство роста, вы знаете, хакерство может быть хорошей вещью, если вы пытаетесь работать на хороших парней, если можно так выразиться, и взламываете систему, как мы постоянно слышим о Северной Корее и их ракетных запусках, которые потенциально могут быть взломаны - это хорошо. Но взлом часто бывает плохим. Так что теперь мы очаровываем это, почти как Робин Гуд, когда мы восхваляли Робин Гуда. И еще есть безналичное общество, что-то, что откровенно касается дневного света из меня. Все, что я думаю каждый раз, когда слышу, это «Нет, пожалуйста, не делай этого! Пожалуйста, не надо! »Я не хочу, чтобы все наши деньги исчезли. Итак, это только некоторые вопросы, которые нужно рассмотреть, и опять же, это игра в кошки-мышки; это никогда не остановится, всегда будут нужны протоколы безопасности и усовершенствования протоколов безопасности. И для мониторинга ваших систем даже для того, чтобы знать и чувствовать, кто там, с пониманием, что это может быть даже внутренней работой. Итак, это постоянная проблема, она будет продолжаться в течение достаточно долгого времени - не заблуждайтесь об этом.

И с этим я передам это доктору Блору, который может поделиться с нами некоторыми мыслями о защите баз данных. Робин, убери это.

Робин Блур: Хорошо, один из интересных взломов, я думаю, это произошло около пяти лет назад, но в основном это была компания по обработке карт, которая была взломана. И было украдено большое количество карточных данных. Но для меня было интересным то, что это была тестовая база данных, в которую они фактически попали, и, вероятно, им было очень трудно попасть в настоящую, реальную базу данных карт обработки. Но вы знаете, как это происходит с разработчиками, они просто берут кусочек базы данных, запихивают ее туда. Чтобы прекратить это, нужно было быть гораздо бдительнее. Но есть много интересных хакерских историй, которые делают в одной области, это очень интересная тема.

Итак, я собираюсь на самом деле, так или иначе, повторить некоторые вещи, которые сказал Эрик, но легко представить безопасность данных как статическую цель; это проще просто потому, что легче анализировать статические ситуации, а затем думать о том, чтобы поставить оборону, защиту там, но это не так. Это движущаяся цель, и это одна из вещей, которая как бы определяет все пространство безопасности. Просто в том, как развиваются все технологии, развивается и технология плохих парней. Итак, краткий обзор: кража данных не является чем-то новым, на самом деле шпионаж данных - это кража данных, и я думаю, что это происходит уже тысячи лет.

Самым большим ограблением данных в этих терминах было то, что англичане взломали германские коды, а американцы взломали японские коды, и в обоих случаях они значительно сократили войну. И они просто крали полезные и ценные данные, конечно, это было очень умно, но вы знаете, что происходит сейчас, очень умно во многих отношениях. Кибер-кража родилась в Интернете и взорвалась примерно в 2005 году. Я пошел и посмотрел все статистические данные, и когда вы начали становиться действительно серьезными и, так или иначе, удивительно высокими цифрами, начиная примерно с 2005 года. тогда. Многие игроки, правительства вовлечены, бизнес вовлечен, хакерские группы и отдельные лица.

Я поехал в Москву - должно быть, это было около пяти лет - и я провел много времени с парнем из Великобритании, который исследует все пространство хакерства. И он сказал, что - и я понятия не имею, правда ли это, у меня есть только его слово, но это звучит очень вероятно, - что в России есть нечто, называемое Business Network, которая представляет собой группу хакеров, которые все Вы знаете, они вышли из руин КГБ. И они продают себя, не только, я имею в виду, я уверен, что российское правительство использует их, но они продают себя кому-либо, и ходили слухи, или он сказал, что по слухам, что различные иностранные правительства использовали Деловую сеть для правдоподобное отрицание. У этих парней были сети миллионов скомпрометированных ПК, с которых они могли атаковать. И у них были все инструменты, которые вы можете себе представить.

Итак, технология атаки и защиты развивалась. И предприятия обязаны заботиться о своих данных, независимо от того, владеют они ими или нет. И это начинает становиться все более понятным с точки зрения различных частей регулирования, которые фактически уже вступили в силу или вступают в силу. И, вероятно, улучшится, кто-то, так или иначе, кто-то должен нести расходы на взлом таким образом, что они заинтересованы, чтобы закрыть возможность. Это одна из вещей, которые, я думаю, необходимы. Так что о хакерах они могут быть расположены где угодно. Особенно в вашей организации - очень много гениальных хаков, о которых я слышал, когда кто-то открывал дверь. Вы знаете, человек, это похоже на ситуацию с грабителями банков, почти всегда они говорили, что при хороших ограблениях банков есть инсайдеры. Но инсайдеру нужно только выдать информацию, поэтому трудно ее получить, узнать, кто это был, и так далее, и тому подобное.

И может быть трудно привлечь их к ответственности, потому что если вы были взломаны группой людей в Молдове, даже если вы знаете, что это была та группа, как вы собираетесь устроить какое-то законное событие вокруг них? Это как бы из одной юрисдикции в другую, просто не очень хороший набор международных договоренностей, чтобы отследить хакеров. Они делятся технологиями и информацией; во многом это с открытым исходным кодом. Если вы хотите создать свой собственный вирус, есть множество наборов вирусов с полностью открытым исходным кодом. И у них есть значительные ресурсы, было множество ботнетов на более чем миллионе скомпрометированных устройств в центрах обработки данных, на ПК и так далее. Некоторые из них являются прибыльными бизнесами, которые развиваются в течение длительного времени, а также, как я уже говорил, существуют правительственные группы. Вряд ли, как сказал Эрик, вряд ли это явление когда-нибудь закончится.

Итак, это интересный хак, я просто подумал, что упомяну об этом, потому что это был довольно недавний хак; это случилось в прошлом году. В контракте DAO была уязвимость, связанная с крипто-монетой Etherium. И это обсуждалось на форуме, и в течение дня контракт DAO был взломан, и именно эта уязвимость была использована. 50 миллионов долларов в эфире были откачаны, что вызвало немедленный кризис в проекте DAO и закрыло его. И Этериум на самом деле боролся за то, чтобы не позволить хакеру получить доступ к деньгам, и они как бы сократили его прибыль. Но также считалось - не известно наверняка - что хакер фактически снизил цену эфира до своей атаки, зная, что цена эфира рухнет, и таким образом получил прибыль другим способом.

И это еще одна, если хотите, хитрость, которую могут использовать хакеры. Если они могут повредить цену вашей акции, и они знают, что они это сделают, то им просто необходимо сократить цену на акции и взломать, так что, похоже, эти парни умны, вы знаете. И цена - это кража денег, срыв и выкуп, в том числе инвестиции, когда вы нарушаете и сокращаете акции, саботаж, кража личных данных, все виды мошенничества, просто ради рекламы. И это, как правило, политический или, очевидно, информационный шпионаж, и есть даже люди, которые зарабатывают на заработках за ошибки, которые вы можете получить, пытаясь взломать Google, Apple, Facebook - даже Пентагон, на самом деле дают за ошибки. И вы просто взломать; если это удачно, тогда вы просто идете и требуете свой приз, и никакого ущерба не нанесено, так что это хорошо, вы знаете.

Я мог бы также упомянуть соблюдение и регулирование. Помимо отраслевых инициатив, существует множество официальных нормативных документов: HIPAA, SOX, FISMA, FERPA и GLBA - все это законодательство США. Есть стандарты; PCI-DSS стал довольно общим стандартом. И еще есть ISO 17799 о владении данными. Национальные правила отличаются от страны к стране, даже в Европе. И в настоящее время GDPR - глобальные данные, что это означает? Глобальные правила защиты данных, я думаю, что это означает - но это вступает в силу в следующем году, сказал. И самое интересное в этом то, что он применяется во всем мире. Если у вас есть 5000 или более клиентов, с которыми у вас есть личная информация, и они живут в Европе, тогда Европа фактически возьмет вас на себя, независимо от того, где находится ваша корпорация, или где она работает. А штрафы, максимальный штраф составляет четыре процента годового дохода, который просто огромен, так что это станет интересным поворотом в мире, когда он вступит в силу.

Надо подумать об уязвимостях СУБД, большинство ценных данных фактически хранится в базах данных. Это ценно, потому что мы потратили очень много времени на то, чтобы сделать его доступным и организовать его хорошо, и это делает его более уязвимым, если вы на самом деле не применяете правильные ценные бумаги СУБД. Очевидно, что если вы планируете такие вещи, вам необходимо определить, какие уязвимые данные находятся в организации, учитывая, что данные могут быть уязвимы по разным причинам. Это могут быть данные клиента, но в равной степени это могут быть внутренние документы, которые будут полезны для шпионских целей и так далее. Политика безопасности, особенно в отношении безопасности доступа - которая в последнее время была, на мой взгляд, очень слабой, в новом материале с открытым исходным кодом - шифрование становится все более популярным, потому что оно довольно надежное.

Стоимость взлома безопасности, большинство людей не знали, но если вы посмотрите на то, что произошло с организациями, которые пострадали от взломов безопасности, то окажется, что цена взлома часто намного выше, чем вы думаете, И еще одна вещь, о которой стоит подумать, это поверхность атаки, потому что любая часть программного обеспечения, работающая в вашей организации, представляет поверхность атаки. То же самое можно сказать и о любых устройствах, независимо от того, как они хранятся. Это все, поверхность атаки растет с интернетом вещей, поверхность атаки, вероятно, удвоится.

Итак, наконец, администратор базы данных и безопасность данных. Безопасность данных обычно является частью роли администратора баз данных. Но это тоже сотрудничество. И это должно быть предметом корпоративной политики, иначе это, вероятно, не будет реализовано должным образом. Сказав это, я думаю, что могу передать мяч.

Эрик Кавана: Хорошо, позвольте мне дать ключи Вики. И вы можете поделиться своим экраном или перейти к этим слайдам, это ваше дело, уберите его.

Вики Харп: Нет, я начну с этих слайдов, большое спасибо. Так что, да, я просто хотел немного подумать и представиться. Я Вики Арфа. Я менеджер по управлению продуктами для продуктов SQL в программном обеспечении IDERA, и для тех из вас, кто, возможно, не знаком с нами, у IDERA есть несколько линий продуктов, но я здесь говорю о стороне SQL Server. Итак, мы осуществляем мониторинг производительности, соответствие требованиям безопасности, резервное копирование, инструменты администрирования - и это всего лишь их список. И, конечно, сегодня я хочу поговорить о безопасности и соответствии.

Основная часть того, о чем я хочу поговорить сегодня, - это не обязательно наши продукты, хотя я собираюсь показать некоторые примеры этого позже. Я хотел поговорить с вами больше о безопасности баз данных, о некоторых угрозах в мире безопасности баз данных прямо сейчас, о некоторых вещах, о которых нужно подумать, и о некоторых вводных идеях того, на что вам нужно обратить внимание, чтобы защитить свой SQL Серверные базы данных, а также чтобы убедиться, что они соответствуют нормативно-правовой базе, на которую вы можете распространяться, как уже упоминалось. Есть много разных правил; они работают в разных отраслях, в разных местах по всему миру, и об этом нужно думать.

Итак, я бы хотел немного остановиться и поговорить о состоянии утечки данных - и не повторять слишком много из того, что уже обсуждалось здесь, - я недавно просматривал это исследование Intel по безопасности и во всех их - я думаю, Около 1500 организаций, с которыми они общались - у них было в среднем шесть нарушений безопасности с точки зрения утраты данных, и 68 процентам из них требовалось раскрытие информации в некотором смысле, поэтому они влияли на цену акций или им приходилось отдавать должное мониторинг своих клиентов или сотрудников и т. д.

Некоторые интересные другие статистические данные о том, что внутренние субъекты, которые были ответственны за 43 процента из них. Таким образом, многие люди много думают о хакерах и подобных теневых квази-правительственных организациях или организованной преступности и т. Д., Но внутренние участники все еще принимают непосредственные меры против своих работодателей, в довольно высокой доле случаев. И от них иногда труднее защититься, потому что у людей могут быть законные причины иметь доступ к этим данным. Около половины этого, 43 процента были случайными потерями в некотором смысле. Так, например, в случае, когда кто-то забрал данные домой, а затем потерял отслеживание этих данных, что приводит меня к третьему пункту, а именно к тому, что материал на физическом носителе все еще был связан с 40 процентами нарушений. Итак, это USB-ключи, это ноутбуки людей, это фактические носители, которые были записаны на физические диски и вывезены из здания.

Если подумать, есть ли у вас разработчик, у которого есть рабочая копия вашей рабочей базы данных на их ноутбуке? Затем они садятся в самолет, выходят из самолета, получают зарегистрированный багаж и их ноутбук похищают. Теперь у вас произошла утечка данных. Вы можете не обязательно думать, что именно поэтому этот ноутбук был взят, он может никогда не появиться в дикой природе. Но это все еще то, что считается нарушением, это потребует раскрытия, вы будете иметь все последующие последствия потери этих данных, просто из-за потери этого физического носителя.

И еще одна интересная вещь заключается в том, что многие люди думают о кредитных данных и информации о кредитных картах как о наиболее ценных, но на самом деле это уже не так. Эти данные ценны, номера кредитных карт полезны, но, честно говоря, эти цифры меняются очень быстро, тогда как личные данные людей не меняются очень быстро. Что-то, что недавно появилось в новостях, относительно недавно, VTech, производитель игрушек, имел эти игрушки, предназначенные для детей. И люди будут, у них будут имена их детей, у них будет информация о том, где живут дети, у них будут имена их родителей, у них будут фотографии детей. Ничего из этого не было зашифровано, потому что это не считалось важным. Но их пароли были зашифрованы. Что ж, когда нарушение неизбежно произошло, вы говорите: «Хорошо, у меня есть список имен детей, имена их родителей, где они живут - вся эта информация там, и вы думаете, что пароль была самой ценной частью этого? »Это не было; люди не могут изменить эти аспекты, касающиеся их личных данных, их адреса и т. д. И поэтому информация на самом деле очень ценна и ее необходимо защищать.

Итак, я хотел поговорить о некоторых вещах, которые происходят, чтобы способствовать тому, как происходит утечка данных прямо сейчас. Одна из самых больших горячих точек, мест сейчас - это социальная инженерия. Люди называют это фишингом, имитацией и т. Д., Когда люди получают доступ к данным, часто через внутренних участников, просто убеждая их в том, что они должны иметь к ним доступ. Итак, как раз на днях у нас был этот червь Google Docs. И что это произойдет - и я на самом деле получил его копию, хотя, к счастью, я не нажал на нее - вы получили письмо от коллеги, говорящее: «Вот ссылка на Google Doc; вам нужно нажать на эту ссылку, чтобы просмотреть то, чем я только что поделился с вами ». Что ж, в организации, использующей Google Docs, это очень условно, вы будете получать десятки таких запросов в день. Если вы нажмете на него, он попросит у вас разрешения на доступ к этому документу, и, возможно, вы скажете: «Эй, это выглядит немного странно, но вы знаете, это также выглядит законно, поэтому я продолжу и нажмите на нее », и как только вы это сделали, вы предоставили этой третьей стороне доступ ко всем вашим документам Google, и, таким образом, создали эту ссылку для этого внешнего участника, чтобы иметь доступ ко всем вашим документам на Google Диске. Это червь повсюду. За несколько часов он поразил сотни тысяч людей. И это была в основном фишинговая атака, которую самому Google пришлось закрыть, потому что он был очень хорошо выполнен. Люди влюбились в это.

Я упоминаю здесь о нарушении Snapchat HR. Это было просто, когда кто-то писал по электронной почте, выдавая себя за генерального директора, отправляя электронное письмо в отдел кадров, говоря: «Мне нужно, чтобы вы отправили мне эту таблицу». И они поверили им, и они создали таблицу с 700 различными сотрудниками. «Информация о компенсации, их домашние адреса и т. д. были отправлены по электронной почте этой другой стороне, на самом деле это не был генеральный директор. Теперь данных не было, и вся личная, личная информация их сотрудников была там и доступна для использования. Итак, социальная инженерия - это то, о чем я упоминаю в мире баз данных, потому что это то, от чего вы можете попытаться защититься с помощью образования, но вы также должны просто помнить, что везде, где у вас есть человек, взаимодействующий с вашими технологиями, и если вы полагаетесь на их здравый смысл, чтобы предотвратить сбой, вы спрашиваете их много.

Люди делают ошибки, люди нажимают на вещи, которых им не должно быть, люди влюбляются в хитрые уловки. И вы можете очень стараться защитить их от этого, но это недостаточно сильно, вам нужно ограничить возможность случайного предоставления этой информации людьми в ваших системах баз данных. Еще одна вещь, о которой я хотел бы упомянуть: очевидно, что мы много говорим о вымогателях, бот-сетях, вирусах - все это разные автоматизированные способы. И вот что я думаю, что важно понять о вымогателях, так это то, что они действительно меняют модель прибыли для злоумышленников. В случае, если вы говорите о нарушении, они должны, в некотором смысле, извлечь данные и получить их для себя и использовать их. И если ваши данные неясны, если они зашифрованы, если это специфично для отрасли, возможно, они не имеют никакого значения для этого.

До этого момента люди могли чувствовать, что это защита для них: «Мне не нужно защищать себя от взлома данных, потому что, если они собираются проникнуть в мою систему, все, что у них будет Я фотостудия, у меня есть список тех, кто придет в какие дни в следующем году. Кто заботится об этом? ». Ну, получается, что ответ вам небезразличен; Вы храните эту информацию, это ваша критически важная информация. Итак, используя вымогателей, злоумышленник скажет: «Ну, никто больше не даст мне денег за это, кроме вас». Таким образом, они используют тот факт, что им даже не нужно выводить данные, они не даже не должно быть взлома, им просто нужно оскорбительно использовать средства безопасности против вас. Они попадают в вашу базу данных, зашифровывают ее содержимое, а затем говорят: «Хорошо, у нас есть пароль, и вам придется заплатить нам 5000 долларов за этот пароль, иначе у вас его просто нет». эти данные больше.

И люди платят; им приходится делать это. MongoDB столкнулся с огромной проблемой пару месяцев назад, я думаю, что это было в январе, когда вымогатели поразили, я думаю, более миллиона баз данных MongoDB, которые они имеют в открытом доступе в Интернете, основываясь на некоторых настройках по умолчанию. И что еще хуже, это то, что люди платили, и поэтому другие организации приходили и перешифровывали или утверждали, что были теми, кто изначально их зашифровал, поэтому, когда вы платили свои деньги, и я думаю, что в этом случае они были прося что-то вроде 500 долларов, люди говорили: «Хорошо, я бы заплатил больше, чтобы заплатить исследователю, который пришел сюда, чтобы помочь мне понять, что пошло не так. Я просто заплачу 500 долларов ». И они даже не платили его нужному актеру, поэтому им наваливали десять различных организаций, которые говорили им:« У нас есть пароль »или« Мы получили у вас есть способ разблокировать выкупленные данные ». И вам придется заплатить все из них, чтобы, возможно, заставить их работать.

Также были случаи, когда у авторов вымогателей были ошибки, я имею в виду, мы не говорим о том, что это совершенно заурядная ситуация, поэтому даже если на нее напали, даже если вы заплатили, нет никакой гарантии, что вы Я собираюсь вернуть все ваши данные, некоторые из них также усложняются из-за оружия InfoSec. Таким образом, Shadow Brokers - это группа, которая вытекла из инструментов АНБ. Они были инструментами, разработанными государственным органом для целей шпионажа и фактически работающими против других государственных структур. Некоторые из них были действительно громкими атаками нулевого дня, которые в основном сводят на нет известные протоколы безопасности. Так, например, в протоколе SMB была серьезная уязвимость в одном из недавних дампов Shadow Brokers.

Таким образом, эти инструменты, которые появятся здесь, могут за пару часов действительно изменить игру на вас с точки зрения вашей поверхности атаки. Поэтому, когда бы я ни думал об этом, на уровне организации InfoSec безопасности - это его собственная функция, к которой нужно относиться серьезно. Всякий раз, когда мы говорим о базах данных, я могу немного отнестись к этому, вам не обязательно иметь полное представление о том, что происходит с Shadow Brokers, как администратор базы данных, но вы должны знать, что все из них происходит смещение, происходит что-то, и поэтому в той степени, в которой вы сохраняете свой собственный домен надежным и безопасным, это действительно поможет вам в случае, если что-то вырвется из-под вас.

Итак, я хотел бы воспользоваться моментом, прежде чем перейти непосредственно к обсуждению SQL Server, чтобы на самом деле немного обсудить с нашими участниками дискуссии некоторые аспекты безопасности базы данных. Итак, я дошел до этого, некоторые вещи, которые мы не упомянули, я хотел поговорить об SQL-инъекции как о векторе. Итак, это SQL-инъекция, очевидно, это способ, которым люди вставляют команды в систему базы данных путем неправильного ввода данных.

Эрик Кавана: Да, я действительно встретил парня - я думаю, что это было на базе ВВС Эндрюса - около пяти лет назад, консультант, с которым я разговаривал с ним в коридоре, и мы просто делились военными историями - не каламбур - и он упомянул, что его привел кто-то, чтобы проконсультироваться с довольно высокопоставленным военнослужащим, и парень спросил его: «Ну, откуда мы знаем, что ты хорош в том, что делаешь?», И когда он разговаривал с ними, которые он использовал на своем компьютере, он попал в сеть, он использовал инъекцию SQL, чтобы войти в реестр электронной почты для этой базы и для этих людей. И он нашел электронную почту человека, с которым он разговаривает, и он просто показал ему свою электронную почту на своем компьютере! А парень сказал: «Как ты это сделал?» Он сказал: «Ну, я использовал SQL-инъекцию».

Итак, это было всего пять лет назад, и это было на базе ВВС, верно? Так что, с точки зрения контекста, эта вещь все еще очень реальна, и ее можно использовать с действительно ужасающими эффектами. Я имею в виду, мне было бы любопытно узнать о любых военных историях, которые есть у Робина на эту тему, но все эти методы все еще актуальны. Они все еще используются во многих случаях, и это вопрос самообразования, верно?

Робин Блур: Ну да. Да, можно защитить от внедрения SQL, выполнив всю работу. Легко понять, почему, когда идея была изобретена и впервые распространена, легко понять, почему она так чертовски успешна, потому что вы можете просто вставить ее в поле ввода на веб-странице и получить, чтобы она возвращала данные для вас, или получить чтобы удалить данные в базе данных или что-то еще - вы можете просто ввести код SQL, чтобы сделать это. Но вот что меня заинтересовало, так это то, что вы знаете, что вам придется немного разбирать каждый введенный фрагмент данных, но вполне возможно обнаружить, что кто-то пытается это сделать. И это действительно, я думаю, что это действительно так, потому что людям все еще это сходит с рук, я имею в виду, что это действительно странно, что не было простого способа с этим бороться. Вы знаете, что каждый мог легко использовать, я имею в виду, насколько я знаю, там не было, Вики, не так ли?

Вики Харп: Ну, на самом деле, некоторые решения для заложников, такие как SQL Azure, я думаю, имеют несколько довольно хороших методов обнаружения, основанных на машинном обучении. Это, вероятно, то, что мы собираемся увидеть в будущем, это то, что он пытается придумать, один размер подходит всем. Я думаю, что ответ был не один размер подходит всем, но у нас есть машины, которые могут узнать, каков ваш размер и убедиться, что вы подходите к нему, верно? И поэтому, если у вас ложный положительный результат, это потому, что вы на самом деле делаете что-то необычное, а не потому, что вам пришлось пройти через все кропотливое определение всего, что могло бы когда-либо делать ваше приложение.

Я думаю, что одна из причин, по которой он все еще так плодотворен, заключается в том, что люди все еще полагаются на сторонние приложения, а также приложения независимых поставщиков программного обеспечения, которые со временем разлагаются. Итак, вы говорите об организации, которая купила инженерное приложение, которое было написано в 2001 году. И они не обновили его, потому что с тех пор не было каких-либо серьезных функциональных изменений, и первоначальный автор этого был своего рода, они не были инженерами, они не были экспертами по безопасности баз данных, они не делали правильных вещей в приложении и в итоге оказались вектором. Насколько я понимаю, - я думаю, что это было серьезное нарушение целевых данных - вектор атаки был нанесен одним из их поставщиков кондиционеров, верно? Таким образом, проблема с этими третьими лицами, вы можете, если у вас есть собственный магазин разработки, вы можете иметь некоторые из этих правил, выполняя это в общем случае в любое время. Как организация вы можете запускать сотни или даже тысячи приложений со всеми различными профилями. Я думаю, что именно здесь машинное обучение придет и начнет нам очень помогать.

Моя история войны была образовательной жизнью. Я увидел атаку SQL-инъекцией, и мне никогда не приходило в голову, что используется простой читаемый SQL. Я делаю эти вещи, называемые обфусцированными праздничными открытками P SQL; Мне нравится делать, вы заставляете этот SQL выглядеть как можно более запутанным. Существует запутанный конкурс кода C ++, который проводится уже несколько десятилетий, и это своего рода идея. Итак, на самом деле вы получили SQL-инъекцию, которая находилась в поле открытой строки, она закрыла строку, вставила точку с запятой, а затем вставила команду exec, которая затем имела ряд чисел, а затем она в основном использовала приведение команды, чтобы преобразовать эти числа в двоичные и затем преобразовать их, в свою очередь, в символьные значения и затем выполнить их. Таким образом, вы не должны видеть что-то с надписью «Удалить стартап из рабочей таблицы», это на самом деле было вставлено в числовые поля, что усложнило просмотр. И даже когда вы это увидели, чтобы определить, что происходит, потребовалось несколько реальных снимков SQL, чтобы понять, что происходит, и к тому времени, конечно, работа уже была выполнена.

Робин Блур: И одна из вещей, которая является явлением во всем мире взлома, заключается в том, что если кто-то обнаруживает слабость, и это происходит в части программного обеспечения, которое обычно продается, вы знаете, одна из первых проблем - это пароль базы данных, который вы дали, когда база данных была установлена, многие базы данных на самом деле были просто по умолчанию. И многие администраторы баз данных просто никогда не меняли его, и, следовательно, вы могли тогда попасть в сеть; Вы можете просто попробовать этот пароль, и если он сработает, вы просто выиграли в лотерею. И что интересно, вся эта информация очень эффективно и эффективно распространяется среди хакерских сообществ на сайтах даркнет. И они знают. Таким образом, они могут в значительной степени разобраться в том, что там есть, найти несколько экземпляров и просто автоматически применить хакерский эксплойт, и они в этом. И это, я думаю, что многие люди, которые по крайней мере на периферия всего этого, на самом деле не понимаю, как быстро хакерская сеть реагирует на уязвимость.

Вики Харп: Да, это на самом деле поднимает еще одну вещь, которую я хотел упомянуть, прежде чем я продолжу, - это понятие набивки учетных данных, которое часто всплывает, то есть когда ваши учетные данные были украдены для кого-либо в любом месте. на любом сайте эти учетные данные будут пытаться повторно использовать по всем направлениям. Итак, если вы используете дублированные пароли, скажем, если ваши пользователи даже, скажем так, кто-то может получить доступ через, как представляется, полностью действительный набор учетных данных. Итак, допустим, что я использовал один и тот же пароль в Amazon и в моем банке, а также на форуме, и что программное обеспечение форума было взломано, ну, у них есть мое имя пользователя и мой пароль. И затем они могут использовать то же имя пользователя в Amazon, либо использовать его в банке. А что касается банка, это был полностью действительный логин. Теперь вы можете совершать гнусные действия через полностью авторизованный доступ.

Итак, этот вид снова возвращается к тому, что я говорил о внутренних нарушениях и внутренних обычаях. Если в вашей организации есть люди, которые используют для внутреннего доступа один и тот же пароль, который они используют для внешнего доступа, у вас есть возможность, что кто-то придет и выдаст себя за вас с помощью взлома на другом сайте, который вы используете даже не знаю о. И эти данные распространяются очень быстро. Есть списки, я думаю, что самая недавняя нагрузка на «если бы меня обстреляли» Троя Ханта, он сказал, что у него было полмиллиарда набора учетных данных, что, если учесть количество людей на планете, это действительно большое количество учетных данных, которые были сделаны доступными для заполнения учетных данных.

Итак, я собираюсь шагнуть немного глубже и поговорить о безопасности SQL Server. Теперь я хочу сказать, что я не буду пытаться дать вам все, что вам нужно знать для обеспечения безопасности вашего SQL Server в течение следующих 20 минут; это кажется чем-то сложным. Итак, для начала я хочу сказать, что есть группы в Интернете и ресурсы в Интернете, которые вы, безусловно, можете найти в Google, есть книги, есть лучшие документы по Microsoft, есть виртуальная глава по безопасности для профессиональных партнеров в SQL Server, они находятся на security.pass.org, и, как я полагаю, у них есть ежемесячные веб-трансляции и записи веб-трансляций, в которых подробно рассказывается о том, как обеспечить безопасность SQL Server. Но это то, о чем я, говоря вам как специалистам по данным, как ИТ-специалистам, как администраторам баз данных, хочу, чтобы вы знали, что вам нужно знать о безопасности SQL Server.

Итак, первый - это физическая безопасность. Итак, как я уже говорил ранее, кража физических носителей все еще чрезвычайно распространена. И вот сценарий, который я привел с машиной dev, с копией вашей базы данных на машине dev, которая была украдена - это чрезвычайно распространенный вектор, это вектор, о котором вам нужно знать и пытаться принять меры. Это также относится и к безопасности резервного копирования, поэтому, когда вы создаете резервные копии своих данных, вам необходимо делать резервные копии в зашифрованном виде, вы должны создавать резервные копии в безопасном месте. Много раз эти данные, которые действительно были защищены в базе данных, как только они начинают выходить на периферию, на машины разработки, на тестовые машины, мы немного меньше заботимся о исправлении, мы получаем немного меньше Осторожнее с людьми, которые имеют к нему доступ. Следующее, что вы знаете, у вас есть незашифрованные резервные копии базы данных, которые хранятся на общем ресурсе вашей организации, доступном для использования многими людьми. Итак, подумайте о физической безопасности, и может ли кто-нибудь подойти и просто вставить USB-ключ в ваш сервер? Вы не должны позволять это.

Следующий вопрос, о котором я хочу подумать, - это безопасность платформы, поэтому обновленная ОС, актуальные исправления. Очень утомительно слышать, как люди говорят о том, чтобы остаться на старых версиях Windows, более старых версиях SQL Server, думая, что единственная цена в игре - это стоимость обновления лицензии, а это не так. Мы в безопасности, это поток, который продолжает спускаться по склону, и с течением времени обнаруживается все больше подвигов. В этом случае Microsoft и другие группы, в зависимости от обстоятельств, обновят старые системы до определенного уровня, и в конечном итоге они потеряют поддержку и больше не будут обновлять их, потому что это просто бесконечный процесс поддержание.

Итак, вам нужно быть в поддерживаемой ОС, и вы должны быть в курсе своих патчей, и мы недавно обнаружили, что, как и в случае с Shadow Brokers, в некоторых случаях Microsoft может иметь представление о предстоящих серьезных нарушениях безопасности, предшествующих им. быть обнародованным до раскрытия, так что не позволяйте себе вывести все из строя. Я бы предпочел не брать время простоя, я бы подождал, прочитал каждое из них и решил. Вы можете не знать, каково его значение, пока не пройдет несколько недель после того, как вы узнаете, почему произошел этот патч. Так что оставайтесь на вершине этого.

Ваш брандмауэр должен быть настроен. Это было шокирующим из-за нарушения SNB, как много людей использовали более старые версии SQL Server с брандмауэром, полностью открытым для Интернета, так что любой мог подключиться и делать со своими серверами все, что он хотел. Вы должны использовать брандмауэр. То, что вам время от времени приходится настраивать правила или делать особые исключения для того, как вы ведете свой бизнес, является приемлемой ценой. Вам необходимо контролировать площадь поверхности в ваших системах баз данных - вы устанавливаете службы или веб-серверы, такие как IIS, на одном компьютере? Совместное использование того же дискового пространства, то же самое пространство памяти, что и ваши базы данных и ваши личные данные? Старайтесь не делать этого, старайтесь изолировать его, уменьшайте площадь поверхности, чтобы вам не пришлось сильно беспокоиться о том, чтобы убедиться, что все это безопасно поверх базы данных. Вы можете как-то физически их разделить, помостить, отделить их, дать себе немного передышки.

Вы не должны иметь супер администраторов, бегающих повсюду, способных иметь доступ ко всем вашим данным. Учетные записи администраторов ОС могут не обязательно иметь доступ к вашей базе данных или к базовым данным в базе данных посредством шифрования, о котором мы поговорим через минуту. И доступ к файлам базы данных, вы также должны ограничить это. Было бы глупо, если бы вы сказали, что кто-то не может получить доступ к этим базам данных через базу данных; Сам SQL Server не позволит им получить к нему доступ, но если тогда они могут обойтись, взять копию фактического файла MDF, переместить его просто так, присоединить его к своему собственному SQL Server, вы на самом деле не достигли много.

Шифрование, так что шифрование - это тот знаменитый двусторонний меч. Существует много разных уровней шифрования, которые вы можете выполнять на уровне ОС, и современный способ работы с SQL и Windows заключается в использовании BitLocker, а на уровне базы данных он называется TDE или прозрачным шифрованием данных. Таким образом, это оба способа сохранить ваши данные в зашифрованном виде в покое. Если вы хотите, чтобы ваши данные были зашифрованы более полно, вы можете сделать зашифрованные - извините, я вроде вышел вперед. Вы можете создавать зашифрованные соединения, чтобы, когда бы они ни находились в пути, они все еще были зашифрованы, так что, если кто-то прослушивает или кто-то находится в середине атаки, у вас есть некоторая защита этих данных по проводам. Ваши резервные копии должны быть зашифрованы, как я уже сказал, они могут быть доступны другим, а затем, если вы хотите, чтобы они были зашифрованы в памяти и во время использования, у нас было шифрование столбцов, а затем в SQL 2016 есть понятие «всегда зашифровано », где оно фактически зашифровано на диске, в памяти, на проводе, вплоть до приложения, которое фактически использует данные.

Теперь, все это шифрование не является бесплатным: есть загрузка ЦП, иногда для шифрования столбцов и всегда зашифрованный случай, это влияет на производительность с точки зрения вашей способности выполнять поиск на этих данных. Однако это шифрование, если оно правильно составлено, означает, что если кто-то получит доступ к вашим данным, ущерб будет значительно меньше, потому что он смог получить его, а затем он ничего не сможет с этим сделать. Тем не менее, это также способ, с помощью которого вымогатели работают: кто-то входит и включает эти элементы со своим собственным сертификатом или своим собственным паролем, а у вас нет к нему доступа. Вот почему важно убедиться, что вы делаете это, и у вас есть доступ к нему, но вы не даете это, открыты для других и злоумышленников.

И затем, принципы безопасности - я не буду описывать этот момент, но убедитесь, что у вас не каждый пользователь, работающий в SQL Server в качестве супер-администратора. Ваши разработчики могут хотеть этого, другие пользователи могут хотеть этого - они разочарованы необходимостью запрашивать доступ к отдельным элементам - но вы должны быть осторожны с этим, и даже если это может быть более сложным, предоставьте доступ к объектам и базы данных и схемы, которые действительны для текущей работы, и есть особый случай, может быть, это означает специальный вход в систему, это не обязательно означает повышение прав для обычного пользователя.

И затем, есть соображения соответствия нормативным требованиям, которые вписываются в это, и некоторые случаи могут на самом деле обойтись по-своему - так что есть HIPAA, SOX, PCI - есть все эти различные соображения. И когда вы пройдете аудит, вы должны будете показать, что вы предпринимаете действия, чтобы соответствовать этому. И так, это очень много, чтобы отслеживать, я бы сказал, как список дел администратора баз данных, вы пытаетесь обеспечить физическую конфигурацию шифрования безопасности, вы пытаетесь убедиться, что доступ к этим данным проверяется в целях обеспечения соответствия, убедитесь, что ваши конфиденциальные столбцы, что вы знаете, что они есть, где они находятся, какие из них вы должны шифровать и просматривать доступ. И убедитесь, что конфигурации соответствуют нормативным руководствам, которым вы подчиняетесь. И вы должны держать все это в курсе, как все меняется.

Так что это много, и если бы я оставил это здесь, я бы сказал, иди, сделай это. Но для этого есть много разных инструментов, и поэтому, если можно, в последние несколько минут, я хотел бы показать вам некоторые инструменты, которые у нас есть в IDERA для этого. И две вещи, о которых я хотел поговорить сегодня, - это SQL Secure и SQL Compliance Manager. SQL Secure - это наш инструмент, помогающий определить тип уязвимостей конфигурации. Ваши политики безопасности, ваши пользовательские разрешения, ваши настройки поверхности. И у него есть шаблоны, которые помогут вам соблюдать различные нормативные рамки. Это само по себе, эта последняя строка, может быть причиной для людей, чтобы рассмотреть это. Потому что читать эти разные правила и определять, что они означают, PCI, а затем доводить их до моего SQL Server в моем магазине, это большая работа. Это то, что вы могли бы заплатить за консультационные деньги; мы пошли и провели этот консалтинг, мы работали с различными аудиторскими компаниями и т. д., чтобы придумать, что это за шаблоны - то, что, вероятно, пройдет аудит, если они будут на месте. И тогда вы можете использовать эти шаблоны и видеть их в своей среде.

У нас также есть другой родственный инструмент в виде диспетчера соответствия SQL, и именно здесь SQL Secure касается параметров конфигурации. Диспетчер соответствия SQL - это вопрос о том, что, кем и когда было сделано. Итак, это аудит, поэтому он позволяет вам отслеживать активность по мере ее возникновения, а также выявлять и отслеживать, кто получает доступ к вещам. Был ли кто-то, прототипный пример того, как знаменитость была проверена в вашей больнице, кто-то шел и искал свою информацию, просто из любопытства? У них была причина сделать это? Вы можете взглянуть на историю аудита и посмотреть, что происходит, кто обращался к этим записям. И вы можете определить, что у этого есть инструменты, которые помогут вам определить чувствительные столбцы, так что вам не обязательно читать и делать все это самостоятельно.

Итак, если позволите, я собираюсь показать вам некоторые из этих инструментов здесь в последние несколько минут - и, пожалуйста, не рассматривайте это как углубленную демонстрацию. Я менеджер по продукту, а не инженер по продажам, поэтому я собираюсь показать вам некоторые вещи, которые, на мой взгляд, имеют отношение к этой дискуссии. Итак, это наш продукт SQL Secure. И как вы можете видеть здесь, у меня есть своего рода табель высокого уровня. Я запустил это, я думаю, вчера. И это показывает мне некоторые вещи, которые настроены неправильно, и некоторые вещи, которые настроены правильно. Итак, вы можете видеть, что здесь было сделано более 100 различных проверок. И я вижу, что мое резервное шифрование на резервных копиях, которые я делал, я не использовал резервное шифрование. Моя учетная запись SA с явным названием «Учетная запись SA» не отключена и не переименована. Роль общедоступного сервера имеет разрешение, так что это все, на что я мог бы обратить внимание при изменении.

У меня здесь настроена политика, поэтому, если я хочу настроить новую политику, чтобы применить ее к моим серверам, у нас есть все эти встроенные политики. Итак, я буду использовать существующий шаблон политики, и вы увидите, что у меня есть CIS, HIPAA, PCI, SR и т. Д., И мы фактически находимся в процессе постоянного добавления дополнительных политик, основанных на вещах, которые нужны людям на местах, И вы также можете создать новую политику, поэтому, если вы знаете, что ищет ваш аудитор, вы можете создать ее самостоятельно. И затем, когда вы это сделаете, вы можете выбрать среди всех этих различных настроек, которые вам нужно установить, в некоторых случаях у вас есть некоторые - позвольте мне вернуться и найти один из предварительно созданных. Это удобно, я могу выбрать, скажем, HIPAA - у меня уже есть HIPAA, мой плохой - PCI, а затем, когда я нажимаю здесь, я могу фактически увидеть внешнюю перекрестную ссылку на раздел регулирование, с которым это связано. Так что это поможет вам позже, когда вы пытаетесь понять, почему я это настраиваю? Почему я пытаюсь посмотреть на это? С каким разделом это связано?

Это также имеет хороший инструмент, который позволяет вам заходить и просматривать своих пользователей, поэтому одна из хитрых вещей в изучении ваших пользовательских ролей заключается в том, что, на самом деле, я собираюсь взглянуть здесь. Итак, если я покажу разрешения для моего, давайте посмотрим, давайте выберем пользователя здесь. Показать разрешения. Я могу видеть назначенные разрешения для этого сервера, но затем я могу щелкнуть здесь и рассчитать эффективные разрешения, и он даст мне полный список на основе, так что в этом случае это администратор, так что это не так интересно, но Я мог бы пройтись и выбрать разных пользователей и посмотреть, каковы их эффективные разрешения, основываясь на всех разных группах, к которым они могут принадлежать. Если вы когда-нибудь попытаетесь сделать это самостоятельно, это может быть немного хлопотно, чтобы выяснить, ОК, этот пользователь является членом этих групп и, следовательно, имеет доступ к этим вещам через группы и т. Д.

Таким образом, способ, которым работает этот продукт, заключается в том, что он делает снимки, поэтому на самом деле это не очень сложный процесс регулярного создания снимка сервера, а затем он сохраняет эти снимки с течением времени, чтобы вы могли сравнивать изменения. Таким образом, это не непрерывный мониторинг в традиционном смысле, как инструмент мониторинга производительности; это то, что вы могли бы настроить для запуска один раз в ночь, один раз в неделю - как бы часто вы ни считали действительным - так что тогда, когда вы делаете анализ и делаете немного больше, вы на самом деле просто работает в нашем инструменте. Вы не слишком часто подключаетесь к своему серверу, так что это довольно приятный маленький инструмент для работы с ним для обеспечения соответствия таким статическим настройкам.

Другой инструмент, который я хочу показать вам, - это наш инструмент Compliance Manager. Compliance Manager собирается осуществлять мониторинг более непрерывно. И он увидит, кто что делает на вашем сервере, и позволит вам взглянуть на это. Итак, то, что я сделал здесь, в последние пару часов или около того, я на самом деле пытался создать некоторые небольшие проблемы. Итак, здесь у меня есть проблема, или нет, я могу знать об этом, кто-то фактически создал логин и добавил его к роли сервера. Так что, если я пойду и посмотрю на это, я смогу увидеть - я думаю, я не могу щелкнуть правой кнопкой мыши там, я могу видеть, что происходит. Итак, это моя панель инструментов, и я вижу, что сегодня у меня было несколько неудачных входов в систему. У меня была куча действий безопасности, DBL активности.

Итак, позвольте мне перейти к моим событиям аудита и взглянуть. Здесь у меня есть события аудита, сгруппированные по категориям и целевому объекту, поэтому, если я взгляну на эту безопасность с более ранней версии, я вижу DemoNewUser, произошел этот вход в систему создания сервера. И я вижу, что логин SA создал эту учетную запись DemoNewUser, здесь, в 14:42. И затем я вижу, что, в свою очередь, добавьте логин на сервер, этот DemoNewUser был добавлен в группу администраторов сервера, они были добавлены в Настройте группу администратора, они были добавлены в группу sysadmin. Итак, это то, что я хотел бы знать, что произошло. Я также настроил его так, чтобы чувствительные столбцы в моих таблицах отслеживались, чтобы я мог видеть, кто к нему обращался.

Итак, здесь у меня есть несколько избранных, которые произошли на моем персональном столе из Adventure Works. И я могу взглянуть и увидеть, что пользователь SA в таблице Adventure Works выбрал первую десятку звезд от человека точка человека. Так что, возможно, в моей организации я не хочу, чтобы люди выбирали звезды от человека до человека, или я ожидаю, что это будут делать только определенные пользователи, и поэтому я собираюсь увидеть это здесь. Итак, то, что вам нужно с точки зрения аудита, мы можем настроить на основе структуры, и это немного более интенсивный инструмент. Он использует трассировку SQL или события SQLX, в зависимости от версии. И это то, что вам понадобится иметь запас мощности на вашем сервере для размещения, но это одна из тех вещей, вроде страховки, что было бы хорошо, если бы нам не нужно было иметь автострахование - это было бы стоимость, которую нам не пришлось бы брать на себя, но если у вас есть сервер, на котором вам нужно отслеживать, кто что делает, вам, возможно, потребуется немного больше запаса и подобный инструмент для этого. Используете ли вы наш инструмент или используете его самостоятельно, вы в конечном итоге будете нести ответственность за получение этой информации для целей соответствия нормативным требованиям.

Так что, как я уже сказал, не подробное демо, просто краткое, небольшое резюме. Я также хотел показать вам быстрый, маленький бесплатный инструмент в форме поиска столбцов SQL, который вы можете использовать для определения столбцов в вашей среде, которые представляются конфиденциальной информацией. Итак, у нас есть несколько конфигураций поиска, в которых он ищет разные имена столбцов, которые обычно содержат конфиденциальные данные, и затем у меня есть весь их список, который был идентифицирован. У меня их 120, а затем я экспортировал их сюда, чтобы я мог использовать их, чтобы сказать: давайте посмотрим и убедимся, что я отслеживаю доступ к второму имени, одному человеку, точечному лицу или налогу с продаж ставка и т. д.

Я знаю, что мы добираемся прямо в конце нашего времени здесь. И это все, что я на самом деле должен был показать вам, так что у меня есть вопросы?

Эрик Кавана: У меня есть пара хороших для вас. Позвольте мне прокрутить это здесь. Один из участников задавал действительно хороший вопрос. Один из них касается налога на производительность, поэтому я знаю, что он варьируется от решения к решению, но есть ли у вас общее представление о том, что такое налог на производительность за использование средств безопасности IDERA?

Вики Харп: Итак, в SQL Secure, как я уже сказал, он очень низкий, он просто будет делать некоторые случайные снимки. И даже если вы работали довольно часто, он получает статическую информацию о настройках, и поэтому он очень низкий, почти незначительный. С точки зрения Compliance Manager это -

Эрик Кавана: Как один процент?

Вики Харп: Если бы мне нужно было указать процентное число, да, это был бы один процент или меньше. Это основная информация о порядке использования SSMS, а также о переходе на вкладку безопасности и расширении. Что касается соответствия, то оно намного выше - вот почему я сказал, что ему нужно немного запаса - похоже, что оно намного превосходит то, что у вас есть с точки зрения мониторинга производительности. Теперь, я не хочу пугать людей от этого, хитрость с мониторингом соответствия, и если этот аудит заключается в том, чтобы убедиться, что вы только проверяете, над чем вы собираетесь действовать. Итак, когда вы отфильтруете, чтобы сказать: «Эй, я хочу знать, когда люди получают доступ к этим конкретным таблицам, и я хочу знать, когда люди получают доступ, предпринимают эти конкретные действия», тогда это будет основано на том, как часто эти вещи происходит и сколько данных вы генерируете. Если вы скажете: «Я хочу, чтобы полный текст SQL каждого выбора, который когда-либо происходил в любой из этих таблиц», это, возможно, будет гигабайтами и гигабайтами данных, которые должны быть проанализированы SQL Server, сохраненными в нашем продукте, и т.п.

Если вы оставите это до … это также будет больше информации, чем вы могли бы иметь дело с. Если бы вы могли взять это в меньший набор, так что вы получаете пару сотен событий в день, то это, очевидно, намного ниже. Так что, в некотором смысле, небо - это предел. Если вы включите все настройки для всего мониторинга для всего, тогда да, это будет снижение производительности на 50 процентов. Но если вы собираетесь превратить его в более умеренный, обдуманный уровень, я бы, наверное, посмотрел на 10 процентов? Это действительно одна из тех вещей, которая будет зависеть от вашей рабочей нагрузки.

Эрик Кавана: Да, верно. Есть еще один вопрос по поводу оборудования. А потом, в игру вступают поставщики оборудования и действительно сотрудничают с поставщиками программного обеспечения, и я ответил через окно вопросов и ответов. Мне известен один конкретный случай, когда Cloudera работала с Intel, когда Intel сделала такие огромные инвестиции в них, и часть исчисления заключалась в том, что Cloudera получит ранний доступ к разработке микросхем и, таким образом, сможет внедрить защиту на уровне микросхем. архитектура, которая довольно впечатляет. Но, тем не менее, это что-то, что получится там, и все еще может быть использовано обеими сторонами. Знаете ли вы о каких-либо тенденциях или тенденциях поставщиков оборудования сотрудничать с поставщиками программного обеспечения по протоколу безопасности?

Вики Харп: Да, на самом деле, я полагаю, что Microsoft сотрудничала с тем, чтобы некоторая часть пространства памяти для некоторых операций шифрования фактически выполнялась на отдельных микросхемах на материнских платах, которые отделены от вашей основной памяти, так что некоторые из этого материала физически отделены. И я полагаю, что на самом деле это было то, что пришло от Microsoft с точки зрения обращения к поставщикам, чтобы сказать: «Можем ли мы придумать способ сделать это, в основном это неадресуемая память, я не могу через переполнение буфера добраться до это воспоминание, потому что его даже нет, в некотором смысле, поэтому я знаю, что кое-что из этого происходит ».

Эрик Кавана: Да.

Вики Харп: Скорее всего, это будут действительно крупные продавцы.

Эрик Кавана: Да. Мне любопытно наблюдать за этим, и, может быть, Робин, если у вас есть секундочка, мне было бы интересно узнать ваш опыт за эти годы, потому что, опять же, с точки зрения аппаратного обеспечения, с точки зрения реальной материальной науки, которая идет в то, что вы собираете со стороны продавца, эта информация может идти в обе стороны, и теоретически мы довольно быстро переходим в обе стороны, так есть ли какой-то способ использовать оборудование более осторожно, от проектирования до поддержки безопасности? Как вы думаете? Робин, ты отключен?

Робин Блур: Да, да. Извини, я здесь; Я просто обдумываю вопрос. Честно говоря, у меня нет мнения, это та область, которую я не изучал достаточно подробно, поэтому я вроде как, вы знаете, могу придумать мнение, но на самом деле я не знаю. Я предпочитаю, чтобы вещи были безопасными в программном обеспечении, это просто способ, которым я играю, в основном.

Эрик Кавана: Да. Ну, ребята, мы прожгли час и переоделись здесь. Большое спасибо Вики Харп за ее время и внимание - за все ваше время и внимание; мы ценим, что вы пришли на эти вещи. Это большая сделка; это не собирается уходить в ближайшее время. Это игра в кошки-мышки, которая будет продолжать идти и идти и идти. И поэтому мы благодарны за то, что некоторые компании сосредоточены на обеспечении безопасности, но, как Вики даже упомянула и немного рассказала в своей презентации, в конце концов, это люди в организациях, которые должны очень тщательно обдумать об этих фишинг-атаках, такого рода социальной инженерии и о ваших ноутбуках - не оставляйте их в кафе! Измените свой пароль, сделайте основы, и вы получите 80 процентов пути.

Итак, с этим, ребята, мы попрощаемся, еще раз спасибо за ваше время и внимание. Мы встретимся с тобой в следующий раз, позаботься. Пока-пока.

Вики Арфа: Пока, спасибо.

Лучше спросить разрешения: лучшие практики для конфиденциальности и безопасности