Персоналом Техопедии, 27 октября 2016 г.
Вывод: ведущий Эрик Кавана обсуждает вопросы безопасности баз данных с Робином Блором, Дезом Бланчфилдом и Игнасио Родригесом из IDERA.
Вы не вошли в систему. Пожалуйста, войдите или зарегистрируйтесь, чтобы увидеть видео.
Эрик Кавана: Здравствуйте и еще раз добро пожаловать в Hot Technologies. Меня зовут Эрик Кавана; Я буду вашим организатором веб-трансляции сегодня, и это горячая тема, и она никогда не станет горячей. Сейчас это горячая тема, честно говоря, из-за всех нарушений, о которых мы слышали, и я могу гарантировать вам, что она никогда не исчезнет. Таким образом, тема сегодняшнего дня, точное название шоу, которое я должен сказать, звучит так: «Новая норма: общение с реальностью небезопасного мира». Это как раз то, с чем мы имеем дело.
У нас есть ваш хозяин, ваш действительно, прямо там. Обратите внимание, что несколько лет назад я должен обновить свою фотографию; Это был 2010 год. Время летит. Отправьте мне письмо с, если вы хотите сделать несколько предложений. Так что это наш стандартный «горячий» слайд для Hot Technologies. Вся цель этого шоу на самом деле определить конкретное пространство. Итак, сегодня мы говорим о безопасности, очевидно. На самом деле, мы подходим к этому очень интересно с нашими друзьями из IDERA.
И я укажу, что вы, как члены нашей аудитории, играете важную роль в программе. Пожалуйста, не стесняйся. Отправьте нам вопрос в любое время, и мы поставим его в очередь на вопросы и ответы, если у нас будет достаточно времени для этого. Сегодня у нас в сети трое людей, доктор Робин Блур, Дез Бланчфилд и Игнасио Родригес, которые звонят из неизвестного места. Итак, прежде всего, Робин, ты первый ведущий. Я передам тебе ключи. Унеси это.
Доктор Робин Блур: Хорошо, спасибо за это, Эрик. Защита базы данных - я полагаю, мы могли бы сказать, что вероятность того, что наиболее ценные данные, которыми фактически руководит любая компания, находится в базе данных. Итак, есть целый ряд вопросов безопасности, о которых мы могли бы поговорить. Но то, что я думал, я бы сделал, это поговорить о безопасности базы данных. Я не хочу ничего отнимать от презентации, которую собирается сделать Игнасио.
Итак, начнем с того, что безопасность данных легко представить как статическую цель, но это не так. Это движущаяся цель. И это очень важно понимать в том смысле, что ИТ-среды большинства людей, особенно ИТ-среды крупных компаний, постоянно меняются. И поскольку они все время меняются, поверхность атаки, области, в которых кто-то может попытаться, так или иначе, изнутри или снаружи, поставить под угрозу безопасность данных, постоянно меняется. И когда вы делаете что-то подобное, вы обновляете базу данных, вы не представляете, создали ли вы просто какую-то уязвимость для себя. Но вы не знаете и, возможно, никогда не узнаете, пока не случится что-то паршивое.
Там краткий обзор безопасности данных. Прежде всего, кража данных не является чем-то новым, и ценные данные являются целевыми. Для организации, как правило, легко определить, какие данные им необходимы для максимальной защиты. Любопытным фактом является то, что первый, или то, что мы могли бы назвать первым компьютером, был создан британской разведкой во время Второй мировой войны с одной целью - украсть данные из немецких сообщений.
Таким образом, кража данных была частью ИТ-индустрии с самого начала. С появлением интернета стало намного серьезнее. Я просматривал журнал количества утечек данных, которые происходили из года в год. И это число взлетело выше 100 к 2005 году, и с этого момента оно становилось все хуже и хуже с каждым годом.
Большие объемы данных были украдены, и произошло большее количество взломов. И это те хаки, о которых сообщается. Существует очень большое количество инцидентов, которые происходят, когда компания никогда ничего не говорит, потому что ничто не заставляет ее что-либо говорить. Таким образом, он хранит нарушение данных тихо. В хакерском бизнесе много игроков: правительства, бизнес, хакерские группы, частные лица.
Одна вещь, о которой я просто думаю, что интересно упомянуть, когда я приехал в Москву, я думаю, это было где-то около четырех лет назад, это была конференция по программному обеспечению в Москве, я разговаривал с журналистом, который специализировался в области взлома данных. И он утверждал - и я уверен, что он прав, но я не знаю этого, кроме того, что он единственный человек, который когда-либо упоминал это мне, но - есть российский бизнес под названием Российская бизнес-сеть, у него, вероятно, есть русский имя, но я думаю, что это английский перевод, который на самом деле нанят для взлома.
Поэтому, если вы большая организация в любой точке мира и хотите что-то сделать, чтобы нанести ущерб конкурентам, вы можете нанять этих людей. И если вы нанимаете этих людей, вы получаете весьма правдоподобное отрицание того, кто стоял за взломом. Потому что, если он вообще обнаружит, кто стоит за взломом, он укажет, что это, вероятно, кто-то в России сделал это. И это не будет похоже на то, что вы пытаетесь нанести вред конкуренту. И я считаю, что российская сеть деловых кругов фактически была нанята правительствами для совершения таких действий, как взлом банков, чтобы попытаться выяснить, как движутся деньги террористов. И это сделано с вероятным отрицанием со стороны правительств, которые никогда не признают, что они действительно когда-либо делали это.
Технологии атаки и защиты развиваются. Давным-давно я ходил в Клуб Хаоса. Это был сайт в Германии, где вы могли зарегистрироваться, и вы могли просто следить за разговорами разных людей и видеть, что было доступно. И я сделал это, когда я смотрел на технологию безопасности, я думаю, примерно в 2005 году. И я сделал это, просто чтобы увидеть, что тогда пошло вниз, и меня поразило количество вирусов, где это была в основном система с открытым исходным кодом. Я продолжал, и люди, которые писали вирусы или усовершенствованные вирусы, просто размещали код там, чтобы кто-нибудь мог его использовать. И мне пришло в голову, что хакеры могут быть очень, очень умными, но есть очень много хакеров, которые вовсе не обязательно умны, но используют умные инструменты. И некоторые из этих инструментов удивительно умны.
И последний момент: предприятия обязаны заботиться о своих данных, независимо от того, владеют они ими или нет. И я думаю, что это становится все более и более осознанным, чем раньше. И это становится все более и более, скажем, дорогим для бизнеса, чтобы фактически подвергнуться взлому. Что касается хакеров, их можно найти где угодно, может быть, их трудно привлечь к ответственности, даже если они правильно идентифицированы. Многие из них очень опытные. Значительные ресурсы, у них есть ботнеты повсюду. Считалось, что недавняя DDoS-атака произошла с более чем миллиарда устройств. Я не знаю, правда ли это, или это просто репортер, использующий круглое число, но, безусловно, большое количество роботизированных устройств использовалось для атаки на сеть DNS. Некоторые прибыльные предприятия, есть правительственные группы, есть экономические войны, есть кибервойны, все происходит там, и это маловероятно, я думаю, что мы говорили в предварительном шоу, это вряд ли когда-либо закончится.
Соблюдение и нормативы - на самом деле существует ряд вещей. Вы знаете, что существует множество инициатив по соблюдению нормативных требований, которые основаны на отдельных секторах - фармацевтический, банковский, или медицинский сектор - могут иметь конкретные инициативы, которым могут следовать люди, различные виды наилучшей практики. Но есть также много официальных нормативных актов, которые, поскольку они являются законами, налагают штрафы на тех, кто нарушает закон. Примерами США являются HIPAA, SOX, FISMA, FERPA, GLBA. Есть некоторые стандарты, PCI-DSS - это стандарт для карточных компаний. ИСО / МЭК 17799 основан на попытках получить общий стандарт. Это право собственности на данные. Национальные правила различаются в разных странах, даже в Европе, или, возможно, следует сказать, особенно в Европе, где это очень запутанно. И есть GDPR, глобальное положение о защите данных, которое в настоящее время обсуждается между Европой и Соединенными Штатами, чтобы попытаться согласовать правила, потому что существует так много, как правило, международных, и есть облачные сервисы, которые вы могли бы Не думаю, что ваши данные были международными, но они стали международными, как только вы попали в облако, потому что они вышли из вашей страны. Так что это набор правил, которые так или иначе обсуждаются для защиты данных. И большая часть этого имеет отношение к данным человека, который, конечно, включает в себя почти все данные идентичности.
Что нужно подумать: уязвимости базы данных. Существует список уязвимостей, о которых производители баз данных сообщают и о которых сообщают, когда они обнаруживаются и исправляются как можно быстрее, поэтому все это есть. Есть вещи, которые относятся к этому с точки зрения выявления уязвимых данных. Один из самых больших и успешных способов взлома данных о платежах был сделан компании, занимающейся обработкой платежей. Впоследствии это было принято, потому что в противном случае оно должно было быть ликвидировано, но данные не были украдены ни из одной из действующих баз данных. Данные были украдены из тестовой базы данных. Случилось так, что разработчики просто взяли подмножество данных, которые были настоящими данными, и использовали их без какой-либо защиты в тестовой базе данных. Тестовая база данных была взломана, и из нее было взято очень много личных финансовых данных людей.
Политика безопасности, особенно в отношении безопасности доступа в отношении баз данных, кто может читать, кто может писать, кто может предоставлять разрешения, есть ли способ, которым кто-нибудь может обойти это? Тогда, конечно, шифрование из баз данных позволяет это. Там стоимость взлома безопасности. Я не знаю, является ли это стандартной практикой в организациях, но я знаю, что некоторые, например, начальники службы безопасности пытаются дать руководителям некоторое представление о том, какова цена нарушения безопасности на самом деле, прежде чем это произойдет, а не после. И им, в некотором роде, нужно сделать это, чтобы удостовериться, что они получают правильную сумму бюджета, чтобы иметь возможность защитить организацию.
А затем поверхность атаки. Поверхность атаки, кажется, растет все время. Год за годом поверхность атаки только растет. Итак, в целом, диапазон - это еще один момент, но безопасность данных обычно является частью роли администратора баз данных. Но безопасность данных также является совместной деятельностью. Вы должны иметь, если вы занимаетесь безопасностью, вам нужно иметь полное представление о мерах безопасности для организации в целом. И здесь должна быть корпоративная политика. Если нет корпоративных политик, вы просто получаете частичные решения. Вы знаете, резиновая лента и пластик вроде как пытаются остановить безопасность.
Сказав это, я думаю, что передам Дезу, который, вероятно, расскажет вам различные истории о войне.
Эрик Кавана: Убери это, Дез.
Дез Бланчфилд: Спасибо, Робин. Это всегда тяжелый акт для подражания. Я собираюсь подойти к этому с противоположного конца спектра, чтобы, я думаю, дать нам представление о масштабе стоящей перед вами задачи и о том, почему мы должны делать больше, чем просто сидеть и обращать на это внимание., Проблема, которую мы наблюдаем сейчас с масштабом, количеством и объемом, скоростью, с которой происходят эти вещи, заключается в том, что сейчас я слышу о множестве CXO, не только CIO, но и, конечно, ИТ-директора - это те, кто присутствуют там, где доллар останавливается: они считают, что взлом данных быстро становится нормой. Это то, чего они почти ожидают. Таким образом, они смотрят на это с точки зрения: «Хорошо, хорошо, когда нас нарушают - не, если - когда мы нарушаемся, что нам нужно делать с этим?» И затем разговоры начинаются вокруг, что они делают в традиционных периферийных средах и маршрутизаторах, коммутаторах, серверах, обнаружении вторжений, проверке вторжений? Что они делают в самих системах? Что они делают с данными? И затем все возвращается к тому, что они сделали со своими базами данных.
Позвольте мне коснуться нескольких примеров некоторых из этих вещей, которые поразили воображение многих людей, а затем углубиться, чтобы немного их разбить. Итак, мы слышали в новостях, что Yahoo - вероятно, самая большая цифра, которую люди слышали, - около полумиллиона, но на самом деле оказывается, что это неофициально больше, чем миллиард - я слышал диковинную цифру в три миллиарда, но это почти половина населения мира, поэтому я думаю, что это немного выше. Но я проверил это от ряда людей в соответствующих местах, которые считают, что из Yahoo было взломано чуть более миллиарда записей. И это просто ошеломляющее число. Теперь некоторые игроки выглядят и думают, ну, это просто учетные записи веб-почты, ничего страшного, но потом, вы добавляете тот факт, что многие из этих учетных записей веб-почты и, как ни странно, большое число, больше, чем я ожидал, на самом деле являются платными учетными записями. Именно здесь люди вводят данные своей кредитной карты и платят за удаление рекламы, потому что им надоели рекламные объявления, и поэтому 4 или 5 долларов в месяц они готовы покупать службу веб-почты и облачного хранилища, в которой нет рекламы., и я один из них, и у меня есть это через трех разных провайдеров, где я подключаю свою кредитную карту.
Таким образом, задача привлекает к себе немного больше внимания, потому что это не просто что-то однозначное: «О, хорошо, Yahoo потеряла, скажем, от 500 миллионов до 1000 миллионов учетных записей», 1000 миллионов делают это звучат очень громко, и учетные записи веб-почты, но данные кредитной карты, имя, фамилия, адрес электронной почты, дата рождения, кредитная карта, пин-код, все, что вы хотите, пароли, и тогда это становится гораздо более пугающей концепцией. И снова мне говорят: «Да, но это всего лишь веб-сервис, это просто веб-почта, ничего страшного». А потом я говорю: «Да, хорошо, эта учетная запись Yahoo, возможно, также использовалась в денежных сервисах Yahoo, чтобы купить и продавать акции. »Тогда это становится более интересным. И когда вы начинаете углубляться в это, вы понимаете, что, на самом деле, это больше, чем просто мамы и папы дома, и подростки с учетными записями сообщений, это на самом деле то, где люди совершали деловые операции.
Так что это один конец спектра. Другой конец спектра состоит в том, что у очень маленького поставщика медицинских услуг в Австралии было украдено около 1000 записей. Это была внутренняя работа, кто-то ушел, им просто было любопытно, они вышли за дверь, в данном случае это была 3, 5-дюймовая дискета. Это было совсем недавно - но вы можете рассказать об эпохе СМИ - но они были на старых технологиях. Но оказалось, что причина, по которой они взяли данные, заключалась в том, что им было просто любопытно, кто там был. Потому что в этом маленьком городке, который был нашей национальной столицей, было много людей, которые были политиками. И их интересовало, кто там и где их жизнь, и вся эта информация. Таким образом, с очень небольшим нарушением данных, которое было сделано внутри, значительно большее количество политиков в деталях австралийского правительства, предположительно, было открыто.
У нас есть два разных конца спектра для рассмотрения. Теперь реальность такова, что масштабы этих вещей просто ошеломляют, и у меня есть слайд, к которому мы собираемся быстро и очень быстро перейти. Есть несколько веб-сайтов, на которых перечислены все виды данных, но этот конкретный принадлежит специалисту по безопасности, у которого был веб-сайт, на котором вы можете перейти и найти свой адрес электронной почты или ваше имя, и он будет показывать вам каждый случай данных нарушить за последние 15 лет, что он смог получить в свои руки, а затем загрузить в базу данных и проверить, и он скажет вам, были ли вы pwned, как термин. Но когда вы начинаете смотреть на некоторые из этих чисел, и этот скриншот не был обновлен с его последней версией, которая включает пару, например, Yahoo. Но просто подумайте о видах услуг здесь. У нас есть Myspace, у нас есть LinkedIn, Adobe. Adobe интересна тем, что люди смотрят и думают, ну что значит Adobe? Большинство из нас, кто загружает Adobe Reader той или иной формы, многие из нас купили продукты Adobe с помощью кредитной карты, это 152 миллиона человек.
Теперь, к точке зрения Робина, это очень большие цифры, их легко разбить. Что происходит, когда у вас есть 359 миллионов аккаунтов, которые были взломаны? Ну, есть пара вещей. Робин подчеркнул тот факт, что эти данные неизменно находятся в базе данных в той или иной форме. Это критическое сообщение здесь. Мне известно, что почти никто на этой планете, который управляет системой любой формы, не хранит ее в базе данных. Но что интересно, в этой базе данных есть три разных типа данных. Есть вещи, связанные с безопасностью, такие как имена пользователей и пароли, которые обычно зашифрованы, но неизменно есть множество примеров, где их нет. Есть фактическая информация о клиенте вокруг его профиля и данных, которые они создавали, является ли это медицинским отчетом или электронным письмом или мгновенным сообщением. Кроме того, существует фактическая встроенная логика, так что это могут быть хранимые процедуры, это может быть целый набор правил, если + то + то + то. И неизменно это просто текст ASCII, застрявший в базе данных, очень немногие люди сидят и думают: «Ну, это бизнес-правила, это то, как наши данные перемещаются и контролируются, мы должны потенциально зашифровать это, когда они находятся в покое, и когда они находятся в Движение, может быть, мы расшифруем и сохраним в памяти », но в идеале это должно быть так же.
Но возвращается к этому ключевому моменту, что все эти данные находятся в базе данных некоторой формы и чаще всего, просто исторически, были на маршрутизаторах и коммутаторах и серверах и даже хранилище, и не всегда в базе данных в задний конец. Потому что мы думаем, что у нас есть границы сети, и это, вроде как, типичная старая жизнь в замке, и вы кладете вокруг него ров, и вы надеетесь, что плохие парни не собираются уметь плавать. Но вдруг плохие парни решили, как сделать удлиненные лестницы и перебросить их через ров, перелезть через ров и взобраться на стены. И вдруг твой ров практически бесполезен.
Итак, мы сейчас находимся в сценарии, когда организации в спринте находятся в режиме догоняющего. Они буквально пронизывают все системы, на мой взгляд, и, конечно, мой опыт в том, что не всегда это просто веб-единороги, как мы часто на них ссылаемся, чаще всего это традиционные корпоративные организации, которые нарушаются. И вам не нужно много воображения, чтобы узнать, кто они. Существуют такие сайты, как один, называемый pastebin.net, и если вы перейдете на pastebin.net и просто введете список адресов электронной почты или список паролей, вы получите сотни тысяч записей в день, которые добавляются, когда люди публикуют примеры наборов данных Между прочим, до тысячи записей имени, фамилии, данных кредитной карты, имени пользователя, пароля, расшифрованных паролей. Там, где люди могут взять этот список, пойти и проверить три или четыре из них и решить, что да, я хочу купить этот список, и обычно есть какая-то форма механизма, обеспечивающая своего рода анонимный шлюз для человека, продающего данные.
Теперь интересно то, что как только аффилированный предприниматель осознает, что он может это сделать, ему не нужно много воображения, чтобы осознать, что, если вы потратите 1000 долларов США на покупку одного из этих списков, что вы первым делом сделаете с ним? Вы не пытаетесь отследить учетные записи, вы помещаете их копию на pastbin.net, продаете две копии по 1000 долларов каждая и получаете 1000 долларов прибыли. И это дети, которые делают это. В мире есть несколько очень крупных профессиональных организаций, которые делают это для жизни. Есть даже государства-нации, которые нападают на другие государства. Вы знаете, много говорят о том, что Америка нападает на Китай, Китай нападает на Америку, это не так просто, но есть определенные правительственные организации, которые нарушают системы, которые неизменно работают на базе данных. Это не просто случай маленьких организаций, это также страны против стран. Это возвращает нас к вопросу о том, где хранятся данные? Это в базе данных. Какие элементы управления и механизмы там? Или неизменно они не зашифрованы, и если они зашифрованы, это не всегда все данные, может быть, это просто пароль, который солен и зашифрован.
И в связи с этим у нас есть ряд проблем с тем, что находится в этих данных и как мы предоставляем доступ к данным и соответствию SOX. Поэтому, если вы думаете об управлении активами или банковском деле, у вас есть организации, которые беспокоятся о проблемах с полномочиями; у вас есть организации, которые беспокоятся о соблюдении в корпоративном пространстве; у вас есть государственное соответствие и нормативные требования; у вас есть сценарии, где у нас есть локальные базы данных; у нас есть базы данных в сторонних дата-центрах; у нас есть базы данных в облачных средах, поэтому их облачные среды не всегда бывают в стране. И поэтому это становится все более серьезной задачей, и не только с точки зрения безопасности, которую мы не будем взламывать, но и как мы соблюдаем все различные уровни соответствия? Не только стандарты HIPAA и ISO, но буквально десятки и десятки и десятки из них на государственном, национальном и глобальном уровнях, которые пересекают границы. Если вы ведете бизнес с Австралией, вы не можете перемещать правительственные данные. Любые частные данные Австралии не могут покинуть страну. Если вы в Германии, это еще строже. И я знаю, что Америка очень быстро продвигается в этом направлении по ряду причин.
Но это снова возвращает меня к этой задаче: откуда вы знаете, что происходит в вашей базе данных, как вы это контролируете, как вы говорите, кто что делает в базе данных, у кого есть представления различных таблиц, строк, столбцов и полей?, когда они читают это, как часто они читают это и кто отслеживает это? И я думаю, что это подводит меня к моей последней точке, прежде чем я передам слово нашему гостю, который собирается помочь нам поговорить о том, как мы решаем эту проблему. Но я хочу оставить нас с этой одной мыслью, а именно, большое внимание уделяется затратам для бизнеса и стоимости для организации. И сегодня мы не будем подробно останавливаться на этом вопросе, но я просто хочу оставить это в наших умах для размышлений, и это то, что есть приблизительная оценка от 135 до 585 долл. США на запись, которую нужно очистить после нарушения. Таким образом, вы вкладываете средства в свою безопасность, связанные с маршрутизаторами, коммутаторами и серверами, и это хорошо, а также брандмауэры, но сколько вы вложили в безопасность вашей базы данных?
Но это ложная экономика, и когда недавно произошел взлом Yahoo, и у меня есть авторитет, это примерно миллиард аккаунтов, а не 500 миллионов. Когда Verizon купила организацию примерно за 4, 3 миллиарда, как только произошло нарушение, они попросили вернуть миллиард долларов или скидку. Теперь, если вы посчитаете и скажете, что было нарушено примерно миллиард записей, скидка в миллиард долларов, то оценка от 135 до 535 долларов для очистки записи теперь составляет 1 доллар. Что опять-таки фарс. Это не стоит $ 1, чтобы очистить миллиард записей. По 1 доллару за запись, чтобы очистить миллиард записей за нарушение этого размера. Вы даже не можете выпустить пресс-релиз по такой цене. И поэтому мы всегда ориентируемся на внутренние проблемы.
Но я думаю, что это одна из вещей, и нам следует очень серьезно относиться к этому на уровне базы данных, поэтому для нас это очень и очень важная тема, и мы никогда не говорим о людях. Потери. Каковы человеческие потери, которые мы несем в этом? И я возьму один пример, прежде чем я быстро завершу. LinkedIn: в 2012 году система LinkedIn была взломана. Было несколько векторов, и я не буду вдаваться в подробности. И сотни миллионов аккаунтов были украдены. Люди говорят, что около 160 с лишним миллионов, но на самом деле это гораздо большее число, это может быть около 240 миллионов. Но это нарушение не было объявлено до начала этого года. Это четыре года, что сотни миллионов записей людей существуют. Теперь некоторые люди платили за услуги с помощью кредитных карт, а некоторые имели бесплатные аккаунты. Но LinkedIn интересно, потому что они не только получили доступ к деталям вашего аккаунта, если вы были взломаны, но они также получили доступ ко всей информации вашего профиля. Итак, с кем вы были связаны, и с какими связями у вас было, и с какими видами работы они работали, с какими типами навыков у них было, как долго они работали в компаниях, и вся такая информация, а также с их контактными данными.
Итак, подумайте о проблеме, с которой мы сталкиваемся при защите данных в этих базах данных, а также о защите самих систем баз данных и управлении ими, а также о потоке воздействия, при котором человеческие жертвы этих данных существуют уже четыре года. И вероятность того, что кто-то может оказаться в отпуске где-нибудь в Юго-Восточной Азии, и у него есть свои данные в течение четырех лет. И кто-то, возможно, купил машину, получил кредит на жилье или купил десять телефонов в течение года на кредитных картах, где они создали фальшивый идентификатор для этих данных, который был там в течение четырех лет - потому что даже данные LinkedIn дали вам достаточно информации, чтобы создать банковский счет и фальшивое удостоверение личности - и вы садитесь в самолет, отправляетесь в отпуск, приземляетесь и попадаете в тюрьму. И почему тебя бросают в тюрьму? Ну, потому что у тебя украли удостоверение личности. Кто-то создал фальшивое удостоверение личности и вел себя так же, как вы и сотни тысяч долларов, и они делали это четыре года, а вы даже не знали об этом. Потому что это там, это просто случилось.
Поэтому я думаю, что это подводит нас к этой основной задаче: как мы узнаем, что происходит в наших базах данных, как мы это отслеживаем, как мы это отслеживаем? И я с нетерпением жду возможности услышать, как наши друзья из IDERA нашли решение для решения этой проблемы. И с этим я передам.
Эрик Кавана: Хорошо, Игнасио, вам слово.
Игнасио Родригес: Хорошо. Ну, добро пожаловать всем. Меня зовут Игнасио Родригес, более известный как Игги. Я из IDERA и менеджер по продуктам безопасности. Действительно хорошие темы, которые мы только что затронули, и нам действительно нужно беспокоиться о нарушениях данных. Нам нужны усиленные политики безопасности, мы должны выявлять уязвимости и оценивать уровни безопасности, контролировать пользовательские разрешения, контролировать безопасность сервера и выполнять аудит. Я занимался одитингом в своей прошлой истории, в основном на стороне Oracle. Я сделал некоторые на SQL Server и делал их с помощью инструментов или, в основном, доморощенных скриптов, что было здорово, но вы должны создать репозиторий и убедиться, что репозиторий был защищен, постоянно поддерживая скрипты с изменениями от аудиторов., что там у вас.
Итак, в инструментах, если бы я знал, что IDERA был там и имел инструмент, я бы, скорее всего, купил бы его. Но в любом случае мы будем говорить о безопасности. Это один из наших продуктов в линейке продуктов для обеспечения безопасности, и в основном мы смотрим на политики безопасности и сопоставляем их с нормативными рекомендациями. Вы можете просмотреть полную историю настроек SQL Server, а также в основном выполнить базовую оценку этих настроек, а затем сравнить их с будущими изменениями. Вы можете создать снимок, который является базовой линией ваших настроек, а затем сможете отслеживать, были ли изменены какие-либо из этих объектов, а также получать оповещения, если они были изменены.
Одна из вещей, которую мы делаем хорошо, это предотвращение угроз безопасности и нарушений. Отчет по безопасности дает вам представление об основных уязвимостях безопасности на серверах, а затем также каждая проверка безопасности относится к категории высокого, среднего или низкого риска. Теперь в отношении этих категорий или проверок безопасности все они могут быть изменены. Скажем, если у вас есть какие-то элементы управления и вы используете один из имеющихся у нас шаблонов, и вы решили, что наши элементы управления действительно указывают или хотят, чтобы эта уязвимость была не слишком высокой, а средней, или наоборот. У вас могут быть некоторые, которые помечены как средние, но в вашей организации элементы управления, которые вы хотите пометить, или считать их высокими, все эти параметры настраиваются пользователем.
Еще одна критическая проблема, на которую мы должны обратить внимание - это выявление уязвимостей. Понимание того, кто имеет к чему доступ, и определение каждого из действующих прав пользователя для всех объектов SQL Server. С помощью этого инструмента мы сможем просмотреть и просмотреть права на все объекты SQL Server, и вскоре мы увидим скриншот этого. Мы также сообщаем и анализируем права пользователей, групп и ролей. Одной из других функций является предоставление подробных отчетов о рисках безопасности. У нас есть готовые отчеты, которые содержат гибкие параметры для создания типов отчетов и отображения данных, которые требуются аудиторам, сотрудникам службы безопасности и менеджерам.
Как я уже говорил, мы также можем сравнивать изменения в безопасности, рисках и конфигурации с течением времени. И это со снимками. И эти снимки могут быть настроены так, как вы хотите - ежемесячно, ежеквартально, ежегодно - которые могут быть запланированы в инструменте. И, опять же, вы можете делать сравнения, чтобы увидеть, что изменилось и что в этом хорошего: если у вас было нарушение, вы можете создать моментальный снимок после его исправления, сделать сравнение, и вы увидите, что был высокий уровень риск, связанный с предыдущим снимком, а затем отчетом, на следующем снимке вы увидите, что после исправления он больше не является проблемой. Это хороший инструмент аудита, который вы могли бы дать аудитору, отчет, который вы могли бы дать аудиторам и сказать: «Посмотрите, у нас был этот риск, мы его уменьшили, и теперь он больше не является риском». И, опять же, я упомянуто со снимками, которые вы можете предупреждать, когда конфигурация изменяется, и если конфигурация изменена и обнаружена, что представляет новый риск, вы также будете уведомлены об этом.
У нас есть некоторые вопросы по нашей архитектуре SQL Server с Secure, и я хочу внести исправление в слайд, где говорится «Служба сбора». У нас нет никаких служб, это должны быть «Сервер управления и сбора. «У нас есть консоль, а затем наш сервер управления и сбора данных, и у нас есть захват без агента, который будет передаваться в зарегистрированные базы данных и собирать данные с помощью заданий. И у нас есть репозиторий SQL Server, и мы работаем вместе со службами отчетов SQL Server, чтобы планировать отчеты и создавать собственные отчеты. Теперь на карточке отчета по безопасности это первый экран, который вы увидите при запуске SQL Secure. Вы легко увидите, какие критические предметы у вас есть, что он обнаружил. И, опять же, у нас есть максимумы, медиумы и минимумы. И затем у нас также есть политики, которые играют с конкретными проверками безопасности. У нас есть шаблон HIPAA; у нас есть шаблоны IDERA уровня безопасности 1, 2 и 3; у нас есть рекомендации по PCI. Это все шаблоны, которые вы можете использовать, и, опять же, вы можете создать свой собственный шаблон, также основанный на ваших собственных элементах управления. И, опять же, они могут быть изменены. Вы можете создать свой собственный. Любой из существующих шаблонов может быть использован в качестве базового уровня, тогда вы можете изменять их по своему усмотрению.
Одна из приятных вещей - посмотреть, у кого есть разрешения. На этом экране мы увидим, какие учетные записи SQL Server находятся на предприятии, и вы сможете увидеть все назначенные и действующие права и разрешения в базе данных сервера на уровне объектов. Мы делаем это здесь. Вы снова сможете выбрать базы данных или серверы, а затем сможете получить отчет о разрешениях SQL Server. Так что в состоянии увидеть, у кого есть к чему доступ. Еще одна приятная особенность - вы сможете сравнивать настройки безопасности. Допустим, у вас были стандартные настройки, которые нужно было установить на вашем предприятии. Затем вы сможете сравнить все ваши серверы и посмотреть, какие настройки были установлены на других серверах вашего предприятия.
Опять же, шаблоны политики, вот некоторые из шаблонов, которые у нас есть. Вы в основном снова используете один из них, создаете свой собственный. Вы можете создать свою собственную политику, как показано здесь. Используйте один из шаблонов, и вы можете изменять их по мере необходимости. Мы также можем просматривать действующие права на SQL Server. Это проверит и докажет, что разрешения правильно установлены для пользователей и ролей. Опять же, вы можете пойти туда, посмотреть, увидеть и проверить, правильно ли установлены разрешения для пользователей и ролей. Затем с правами доступа к объектам SQL Server вы можете просматривать и анализировать дерево объектов SQL Server от уровня сервера до ролей и конечных точек уровня объекта. И вы можете мгновенно просматривать назначенные и действующие унаследованные разрешения и связанные с безопасностью свойства на уровне объекта. Это дает вам хорошее представление о доступах к вашим объектам базы данных и о том, кто имеет к ним доступ.
Мы, опять же, наши отчеты, которые мы имеем. Это консервированные отчеты, у нас есть несколько, из которых вы можете выбрать, чтобы составить отчет. И многие из них могут быть настроены или вы можете иметь свои отчеты клиентов и использовать их в сочетании со службами отчетов и иметь возможность создавать свои собственные пользовательские отчеты оттуда. Теперь Сравнение снимков, это довольно крутая функция, я думаю, куда вы можете пойти и сравнить ваши снимки, которые вы сделали, и посмотреть, есть ли различия в числе. Были ли добавлены какие-либо объекты, были ли разрешения, которые изменились, все, что мы могли бы увидеть, какие изменения были внесены между различными снимками. Некоторые люди будут смотреть на них на ежемесячном уровне - они будут делать ежемесячный снимок, а затем будут делать сравнение каждый месяц, чтобы увидеть, изменилось ли что-нибудь. И если не было ничего, что должно было быть изменено, ничего, что было отправлено на собрания по управлению изменениями, и вы видите, что некоторые разрешения были изменены, вы можете вернуться и посмотреть, что произошло. Это очень хорошая функция, где вы можете снова сравнить все, что проверено в моментальном снимке.
Тогда ваше сравнение оценки. У нас есть еще одна приятная особенность, где вы можете пойти посмотреть на оценки, а затем сравнить их и заметить, что для сравнения здесь использовалась учетная запись SA, которая не была отключена в этом недавнем снимке, который я сделал. сейчас исправлено. Это очень хорошая вещь, где вы можете показать, что, хорошо, у нас был некоторый риск, они были идентифицированы инструментом, и теперь мы уменьшили эти риски. И, опять же, это хороший отчет, чтобы показать аудиторам, что на самом деле эти риски были смягчены и о них позаботились.
Таким образом, безопасность базы данных очень важна, и я думаю, что много раз мы смотрим на нарушения, поступающие из внешних источников, и иногда мы действительно не уделяем слишком много внимания внутренним нарушениям, и это то, что мы нужно остерегаться. И Secure поможет вам в этом убедиться, что нет никаких привилегий, которые не нужно назначать, вы знаете, убедитесь, что все эти параметры безопасности правильно установлены для учетных записей. Убедитесь, что ваши учетные записи SA имеют пароли. Также проверяет, насколько ваши ключи шифрования экспортированы? Просто несколько разных вещей, которые мы проверяем, и мы предупредим вас о том, была ли проблема, и на каком уровне она существует. Нам нужен инструмент, многим профессионалам нужны инструменты для управления и контроля разрешений доступа к базе данных, и мы на самом деле рассматриваем предоставление обширной возможности для контроля разрешений базы данных и отслеживания действий доступа и снижения риска взлома.
Теперь другая часть наших продуктов для обеспечения безопасности состоит в том, что есть WebEx, который был покрыт, и частью презентации, о которой мы говорили ранее, были данные. Вы знаете, кто к чему, что у вас есть, и это наш инструмент SQL Compliance Manager. И на этом инструменте есть записанный WebEx, который позволит вам отслеживать, кто какие таблицы имеет доступ, какие столбцы, вы можете идентифицировать таблицы с чувствительными столбцами, такие как дата рождения, информация о пациенте, эти типы таблиц и на самом деле посмотреть, кто имеет доступ к этой информации и доступ к ней.
Эрик Кавана: Хорошо, так что давайте углубимся в вопросы, я думаю, здесь. Может быть, Дез, я сначала брошу это тебе, и Робин, перезвони, как сможешь.
Дез Бланчфилд: Да, мне не терпелось задать вопрос со 2- го и 3- го слайдов. Какой типичный вариант использования вы видите для этого инструмента? Кто из наиболее распространенных типов пользователей, которые вы видите, внедряют это и запускают в игру? И в конце концов, типичная модель сценария использования, как они это делают? Как это реализуется?
Игнасио Родригес: Хорошо, типичный пример использования, который у нас есть, это администраторы баз данных, которым была назначена ответственность за контроль доступа к базе данных, которые следят за тем, чтобы все разрешения были установлены так, как им нужно, а затем отслеживают и их стандарты. на месте. Вы знаете, что эти определенные учетные записи пользователей могут иметь доступ только к этим конкретным таблицам и так далее. И что они делают с этим, так это удостоверяются, что эти стандарты были установлены, и эти стандарты не изменились со временем. И это одна из самых важных вещей, которую люди используют для отслеживания и выявления изменений, о которых неизвестно.
Дез Бланчфилд: Потому что они страшные, не так ли? Возможно, у вас есть, скажем, стратегический документ, у вас есть политики, которые лежат в основе этого, у вас есть соответствие и управление под ним, и вы следуете политикам, вы придерживаетесь управления, и оно получает зеленый свет и затем внезапно через месяц кто-то выкатывает изменение, и по какой-то причине оно не проходит через ту же доску обзора изменений или процесс изменений, или что бы это ни было, или проект только продвигается, и никто не знает.
Есть ли у вас какие-либо примеры, которыми вы можете поделиться - и я знаю, что, очевидно, это не всегда то, чем вы делитесь, потому что клиенты немного обеспокоены этим, поэтому нам не нужно обязательно называть имена - но приведите нам пример того, где вы Возможно, вы видели это на самом деле, вы знаете, организация внедрила это, не осознавая этого, и они просто нашли что-то и поняли: «Вау, это стоило десять раз, мы просто нашли то, чего не осознали». какой-нибудь пример, когда люди реализовали это, а затем обнаружили, что у них была большая проблема или реальная проблема, о которой они не подозревали, и тогда вас сразу же добавили в список рождественских открыток?
Игнасио Родригес: Ну, я думаю, что самая большая вещь, которую мы видели или сообщили, - это то, что я только что упомянул, что касается доступа, который был у кого-то. Есть разработчики, и когда они внедрили инструмент, они действительно не осознавали, что многие из этих разработчиков имели такой большой доступ к базе данных и имели доступ к определенным объектам. И еще одна вещь - это учетные записи только для чтения. У них было несколько учетных записей только для чтения, которые выяснили, что на самом деле эти учетные записи только для чтения имеют вставки данных и удаления прав. Вот где мы увидели некоторую пользу для пользователей. Опять же, самое важное, что мы слышали, что людям нравится, снова иметь возможность отслеживать изменения и следить за тем, чтобы их ничто не ослепляло.
Дез Бланчфилд: Ну, как подчеркнул Робин, у вас есть сценарии, которые люди не часто продумывают, верно? Когда мы смотрим в будущее, мы думаем, вы знаете, если мы делаем все в соответствии с правилами, и я нахожу, и я уверен, что вы тоже это видите - скажите мне, если вы не согласны с этим - организации так фокусируются в значительной степени на разработку стратегии и политики и соблюдения и управления и KPI и отчетности, что они часто настолько зациклены на этом, что они не думают о выбросах. И у Робина был действительно отличный пример, который я собираюсь украсть у него - извините, Робин, - но в другой раз это живая копия базы данных, снимок и ее тестирование, верно? Мы делаем dev, мы делаем тесты, мы делаем UAT, мы делаем системную интеграцию, все в таком роде, а затем мы делаем кучу тестов на соответствие. Часто dev test, UAT, SIT содержат компонент соответствия, где мы просто следим за тем, чтобы все было здорово и безопасно, но не все это делают. Этот пример, который Робин предоставил с копией действующей копии базы данных, помещенной в тест со средой разработки, чтобы проверить, работает ли она с действительными данными. Очень немногие компании бездельничают и думают: «Это вообще случается или это возможно?» Они всегда зациклены на производстве. Как выглядит путь реализации? Мы говорим о днях, неделях, месяцах? Как выглядит обычное развертывание для организации среднего размера?
Игнасио Родригес: Дни. Это даже не дни, я имею в виду, это всего лишь пара дней. Мы только что добавили функцию, в которой мы можем зарегистрировать множество серверов. Вместо того, чтобы идти туда в инструменте и говорить, что у вас 150 серверов, вы должны были войти туда индивидуально и зарегистрировать серверы - теперь вам не нужно это делать. Существует файл CSV, который вы создаете, и мы автоматически удаляем его и не храним там из-за проблем безопасности. Но это еще одна вещь, которую мы должны рассмотреть, у вас будет файл CSV с именем пользователя / паролем.
Что мы делаем, мы автоматически, мы удаляем его снова, но у вас есть такая возможность. Если вы хотите пойти туда индивидуально и зарегистрировать их и не хотите идти на такой риск, тогда вы можете это сделать. Но если вы хотите использовать файл CSV, поместите его в безопасное место, укажите приложение в этом месте, оно запустит этот файл CSV, а затем автоматически настроит удаление этого файла после завершения. И он пойдет и убедитесь, что файл удален. Самым длинным полюсом в песке, который у нас был до реализации, была регистрация реальных серверов.
Дез Бланчфилд: Хорошо. Теперь вы говорили об отчетах. Можете ли вы дать нам немного больше подробностей и понимания того, что происходит заранее, до того, как сообщать о том, что там есть, и сообщать об этом, о текущем состоянии нации, о том, что предваряется? составлены и предварительно запечены, насколько отчеты о текущем состоянии соответствия и безопасности, а затем, насколько легко они расширяются? Как мы опираемся на них?
Игнасио Родригес: Хорошо. В некоторых отчетах, которые у нас есть, у нас есть отчеты, которые касаются кросс-сервера, проверок входа в систему, фильтров сбора данных, истории действий и затем отчетов об оценке рисков. А также любые подозрительные учетные записи Windows. Здесь много, много здесь. См. Подозрительные входы в SQL, входы на сервер и сопоставление пользователей, разрешения пользователей, все разрешения пользователей, роли серверов, роли баз данных, некоторую степень уязвимости, которую мы имеем, или отчеты о проверке подлинности в смешанном режиме, базы данных гостевого разрешения, уязвимости ОС через XPS, расширенные процедуры, а затем уязвимые фиксированные роли. Это некоторые из отчетов, которые мы имеем.
Дез Бланчфилд: И вы упомянули, что они достаточно значительны и их много, что логично. Насколько мне легко адаптировать его? Если я запускаю отчет и получаю этот большой большой график, но я хочу вынуть некоторые части, которые меня не особо интересуют, и добавить пару других функций, есть ли средство для создания отчетов, есть какой-то интерфейс и инструмент для настройки и адаптации или даже потенциально для создания другого отчета с нуля?
Игнасио Родригес: Тогда мы бы поручили пользователям использовать службы отчетов Microsoft SQL, чтобы сделать это, и у нас есть много клиентов, которые фактически берут некоторые из отчетов, настраивают и планируют их, когда захотят. Некоторые из этих ребят хотят видеть эти отчеты ежемесячно или еженедельно, и они возьмут информацию, которая у нас есть, перенесут ее в службы отчетов и затем сделают это оттуда. У нас нет составителя отчетов, интегрированного с нашим инструментом, но мы действительно пользуемся услугами Reporting Services.
Дез Бланчфилд: Я думаю, что это одна из самых больших проблем с этими инструментами. Вы можете попасть туда и найти что-то, но тогда вам нужно уметь это извлекать, сообщать об этом людям, которые не обязательно являются администраторами баз данных и системными инженерами. В моем опыте появилась интересная роль, которая заключается в том, что, как вы знаете, специалисты по риску всегда были в организациях, и что они в основном присутствовали, и совсем другой диапазон рисков, с которыми мы столкнулись в последнее время, тогда как теперь с данными нарушения, ставшие не просто вещью, а настоящим цунами, CRO теперь перешел от того, что вы знаете, к HR и соответствию требованиям, а также к охране труда и технике безопасности в настоящее время к кибернетическому риску. Вы знаете, взлом, взлом, безопасность - намного более технический. И это становится интересным, потому что есть много CRO, которые происходят из родословной MBA, а не из технической родословной, поэтому им приходится разбираться, вроде того, что это означает для перехода между кибер-риском и переходом к CRO и так далее. Но большая вещь, которую они хотят, это просто отчеты о видимости.
Можете ли вы рассказать нам что-нибудь о позиционировании в отношении соответствия? Очевидно, что одной из сильных сторон этого является то, что вы можете видеть, что происходит, вы можете следить за этим, вы можете учиться, вы можете сообщать об этом, вы можете реагировать на это, вы можете даже предупреждать некоторые вещи. Главной задачей является соблюдение правил управления. Существуют ли ключевые части этого, которые преднамеренно связаны с существующими требованиями соответствия или отраслевым соответствием, такими как PCI, или что-то подобное в настоящее время, или это что-то, что входит в план действий? Вписывается ли это в рамки стандартов COBIT, ITIL и ISO? Если мы развернули этот инструмент, он дает нам серию сдержек и противовесов, которые вписываются в эти структуры, или как мы встраиваем его в эти структуры? Где позиция с такими вещами в виду?
Игнасио Родригес: Да, у нас есть шаблоны, которые мы поставляем с этим инструментом. И мы снова приближаемся к тому моменту, когда мы переоцениваем наши шаблоны, и мы собираемся добавлять, и скоро будет еще больше. FISMA, FINRA, некоторые дополнительные шаблоны, которые у нас есть, и мы обычно просматриваем шаблоны и смотрим, что изменилось, что нам нужно добавить? И мы на самом деле хотим добраться до того момента, когда, вы знаете, требования к безопасности довольно сильно изменились, поэтому мы ищем способ сделать это расширяемым на лету. Это то, на что мы смотрим в будущем.
Но сейчас мы рассматриваем, возможно, создание шаблонов и возможность получать шаблоны с веб-сайта; Вы можете скачать их. И вот как мы справляемся с этим - мы обрабатываем их с помощью шаблонов, и мы ищем пути в будущем, чтобы сделать это легко расширяемым и быстрым. Потому что когда я делал одитинг, все меняется. Одитор приезжает один месяц, а в следующем месяце они хотят увидеть что-то другое. Тогда это одна из проблем, связанных с инструментами, - это возможность вносить эти изменения и получать то, что вам нужно, и именно здесь мы хотим добраться.
Дез Бланчфилд: Я думаю, что задача аудитора меняется регулярно в свете того факта, что мир движется быстрее. И когда-то требованием с точки зрения аудита, по моему опыту, было просто коммерческое соответствие, а затем оно стало техническим, а теперь - эксплуатационным. И есть все эти другие, вы знаете, каждый день кто-то появляется, и они не просто измеряют вас на чем-то вроде работы ISO 9006 и 9002, они смотрят на все виды вещей. И я вижу, что теперь серия 38 000 становится большой вещью и в ISO. Я предполагаю, что это будет становиться все более и более сложным. Я собираюсь передать Робин, потому что я тратил пропускную способность.
Спасибо, что вы это поняли, и я определенно собираюсь потратить больше времени на то, чтобы узнать это, потому что я на самом деле не осознавал, что на самом деле это было достаточно глубоко. Итак, спасибо, Игнасио, я сейчас передам слово Робину. Отличная презентация, спасибо. Робин, к тебе.
Доктор Робин Блур: Хорошо, Игги, я назову тебя Игги, если все в порядке. Что меня смущает, и я думаю, что в свете некоторых вещей, которые Дез сказал в своей презентации, происходит очень много всего, что нужно сказать, что люди действительно не следят за данными. Вы знаете, особенно когда дело доходит до того факта, что вы видите только часть айсберга и, вероятно, многое происходит, о чем никто не сообщает. Мне интересно ваше мнение о том, сколько из ваших знакомых или потенциальных клиентов имеют уровень защиты, который вы предлагаете, не только с этим, но и ваша технология доступа к данным? Я имею в виду, кто там должным образом подготовлен для борьбы с угрозой, вопрос?
Игнасио Родригес: Кто правильно экипирован? Я имею в виду, многие клиенты, которые у нас действительно не обращались ни к какому виду аудита, вы знаете. У них было что-то, но самое главное - не отставать от этого, стараться поддерживать и удостовериться. Большая проблема, которую мы видели, - и даже у меня есть, когда я выполнял соответствие, - если вы запускали свои сценарии, вы делали это один раз в квартал, когда приходили аудиторы и вы обнаруживали проблему. Ну, угадайте, что, уже слишком поздно, аудит есть, аудиторы там, они хотят, чтобы их отчет был, они помечают его. И тогда либо мы получим оценку, либо нам сказали, эй, нам нужно исправить эти проблемы, и вот где это может произойти. Это было бы более упреждающим типом, где вы можете найти свой риск и уменьшить риск, и это что ищут наши клиенты. Способ быть несколько упреждающим, а не реагирующим, когда аудиторы приходят и обнаруживают, что некоторые доступы не там, где они должны быть, у других людей есть административные привилегии, и у них не должно быть таких вещей. И именно здесь мы увидели много отзывов о том, что людям нравится инструмент и для чего он используется.
Д-р Робин Блур: Хорошо, у меня есть еще один вопрос, который, в некотором смысле, тоже очевиден, но мне просто любопытно. Сколько людей на самом деле приходят к вам после взлома? Где, вы знаете, вы получаете бизнес не потому, что они смотрели на свое окружение и полагали, что их нужно защищать гораздо более организованно, а на самом деле вы там просто потому, что они уже перенесли некоторые из боль.
Игнасио Родригес: В свое время здесь, в IDERA, я не видел ни одного. Честно говоря, большая часть взаимодействия с клиентами, с которыми я был связан, скорее связана с ожиданием, попыткой начать аудит и поиском привилегий и так далее. Как я уже сказал, я сам не испытывал здесь своего времени, что у нас был кто-то, кто пришел после взлома, о котором я знаю.
Доктор Робин Блур: О, это интересно. Я бы подумал, что их будет хотя бы несколько. Я на самом деле смотрю на это, но также добавляю к нему все сложности, которые на самом деле делают данные безопасными для всего предприятия всеми способами и в каждой выполняемой вами деятельности. Вы предлагаете консультацию напрямую, чтобы помочь людям? Я имею в виду, ясно, что вы можете покупать инструменты, но по моему опыту, часто люди покупают сложные инструменты и используют их очень плохо. Вы предлагаете конкретную консультацию - что делать, кого обучать и тому подобное?
Игнасио Родригес: Есть некоторые службы, которые вы могли бы, в том числе вспомогательные, позволили бы некоторым из них произойти. Но что касается консультирования, мы не предоставляем никаких консультационных услуг, а обучаем, как вы знаете, как использовать инструменты и тому подобное, некоторые из них будут решаться на уровне поддержки. Но по сути у нас нет отдела обслуживания, который выходит и делает это.
Доктор Робин Блур: Хорошо. С точки зрения базы данных, которую вы освещаете, в презентации просто упоминается Microsoft SQL Server - а вы тоже используете Oracle?
Игнасио Родригес: Мы собираемся расширяться в область Oracle с Compliance Manager в первую очередь. Мы собираемся начать проект с этим, поэтому мы будем смотреть на расширение этого в Oracle.
Доктор Робин Блур: А вы, вероятно, поедете куда-нибудь еще?
Игнасио Родригес: Да, это то, что мы должны посмотреть на дорожные карты и посмотреть, как обстоят дела, но это то, что мы рассматриваем, это то, что другие платформы баз данных нам нужно атаковать также.
Д-р Робин Блур: Меня также интересовал раскол, у меня нет предвзятого представления об этом, но с точки зрения развертываний, сколько из этого фактически развернуто в облаке, или это почти все на месте ?
Игнасио Родригес: Все на месте. Мы также планируем расширить Secure, чтобы охватить Azure.
Доктор Робин Блур: Это был вопрос Azure, вы еще не пришли, но идете туда, это имеет большой смысл.
Игнасио Родригес: Да, мы собираемся туда очень скоро.
Д-р Робин Блур: Да, хорошо, насколько я понимаю из Microsoft, в Azure очень много действий с Microsoft SQL Server. Это становится, если хотите, ключевой частью того, что они предлагают. Другой вопрос, который меня как бы интересует - это не технический вопрос, это скорее вопрос "как дела" - кто покупатель для этого? К вам обращается ИТ-отдел, к вам обращаются ОГО, или это разные люди? Когда рассматривается что-то подобное, является ли это частью рассмотрения целого ряда вещей для защиты окружающей среды? Какая там ситуация?
Игнасио Родригес: Это смесь. У нас есть ОГО, часто отдел продаж связывается с администраторами баз данных. А затем администраторы баз данных были также уполномочены внедрять какие-то политики аудита. Затем они оценят инструменты, составят отчет о цепочке и примут решение, какую часть они хотят купить. Но это смешанная сумка того, кто с нами свяжется.
Доктор Робин Блур: Хорошо. Я думаю, что сейчас вернусь к Эрику, потому что мы вроде как сделали час, но могут быть некоторые вопросы аудитории. Эрик?
Эрик Кавана: Да, конечно, мы прожили много хорошего контента здесь. Вот один действительно хороший вопрос, который я передам вам от одного из участников. Он говорит о блокчейне и о чем вы говорите, и спрашивает, есть ли возможный способ перенести часть базы данных SQL, доступную только для чтения, к чему-то похожему на то, что предлагает блокчейн? Это довольно сложно.
Игнасио Родригес: Да, я буду честен с вами, у меня нет ответа на этот вопрос.
Эрик Кавана: Я передам это Робину. Я не знаю, слышал ли ты этот вопрос, Робин, но он просто спрашивает, есть ли способ перенести часть базы данных SQL, предназначенную только для чтения, в нечто похожее на то, что предлагает блокчейн? Что ты об этом думаешь?
Доктор Робин Блур: Это похоже на миграцию базы данных, а также на трафик базы данных. Существует целый ряд сложностей, связанных с этим. Но вы не сделаете это ни по какой другой причине, кроме как сделать данные неприкосновенными. Поскольку доступ к блокчейну будет медленнее, так что, знаете, если вам важна скорость - а она почти всегда - то вы бы этого не делали. Но если бы вы хотели предоставить, зашифрованному ключу, доступ к части этого для некоторых людей, занимающихся такими вещами, вы могли бы сделать это, но у вас должна быть очень веская причина. У вас гораздо больше шансов оставить его там, где он есть, и обеспечить его там, где он есть.
Дез Бланчфилд: Да, я согласен с этим, если смогу быстро взвесить. Я думаю, что проблема блокчейна, даже публичного блокчейна, который используется публично, используется в биткойнах - нам трудно масштабировать его больше, чем четыре транзакции в минуту, полностью распределенным способом. Не так много из-за сложности вычислений, хотя она существует, полные узлы просто не могут не отставать от объемов баз данных, движущихся вперед и назад, и от объема копируемых данных, потому что сейчас это концерты, а не только мегабайты.
Кроме того, я думаю, что ключевая проблема заключается в том, что вам нужно изменить архитектуру приложения, потому что в базе данных речь идет преимущественно о переносе всего в центральное место, и у вас есть такая модель типа клиент-сервер. Блокчейн обратный; это о распределенных копиях. Это больше похоже на BitTorrent во многих отношениях, и это то, что множество копий с одними и теми же данными. И, вы знаете, как Cassandra и базы данных в памяти, где вы распространяете ее, и множество серверов могут выдавать вам копии одних и тех же данных из распределенного индекса. Я думаю, что две ключевые части, как вы сказали, Робин, таковы: одна, если вы хотите обезопасить ее и убедиться, что она не может быть украдена или взломана, это здорово, но это еще не обязательно транзакционная платформа, и мы Я испытал это на проекте Биткойн. Но в теории другие решили это. Но также архитектурно, что многие приложения просто не знают, как запрашивать и читать из блокчейна.
Там много работы предстоит сделать. Но я думаю, что ключевой вопрос в этом вопросе, если я могу, это обоснование переноса его в цепочку блоков, я думаю, что вопрос, который задают, заключается в том, можете ли вы взять данные из базы данных и поместить их в какую-то форму, более безопасный? И ответ таков: вы можете оставить его в базе данных и просто зашифровать. Сейчас много технологий. Просто зашифруйте данные в покое или в движении. Нет никаких причин, по которым вы не можете иметь зашифрованные данные в памяти и в базе данных на диске, что гораздо проще, потому что у вас нет ни одного архитектурного изменения. Неизменно большинство платформ баз данных, на самом деле это просто функция, которая включается.
Эрик Кавана: Да, у нас есть последний вопрос, который я тебе передам, Игги. Это довольно хороший. С точки зрения SLA и планирования мощности, какой налог взимается при использовании вашей системы? Другими словами, какие-либо дополнительные задержки или издержки пропускной способности, если в производственной системе баз данных кто-то хочет задействовать здесь технологию IDERA?
Игнасио Родригес: Мы действительно не видим особого влияния. Опять же, это продукт без агента, и все зависит, как я уже говорил, от снимков. Безопасность основана на снимках. Он пойдет туда и на самом деле создаст работу, которая пойдет туда на основе интервалов, которые вы выбрали. Либо вы хотите сделать это, опять же, еженедельно, ежедневно, ежемесячно. Он пойдет туда и выполнит эту работу, а затем соберет данные из экземпляров. В этот момент нагрузка затем возвращается к службам управления и сбора, как только вы начинаете выполнять сравнения и все такое, нагрузка на базу данных не играет в этом никакой роли. Вся эта нагрузка теперь лежит на сервере управления и сбора, что позволяет выполнять сравнения, всю отчетность и все такое. Единственный раз, когда вы попадаете в базу данных, всегда происходит моментальный снимок. И у нас не было никаких сообщений о том, что это действительно наносит ущерб производственной среде.
Эрик Кавана: Да, это действительно хорошая мысль, которую вы делаете там. По сути, вы можете просто установить, сколько снимков вы делаете, какой интервал времени, и в зависимости от того, что это может быть, но это очень разумная архитектура. Это хорошо, чувак. Ну, вы, ребята, находитесь на переднем крае, пытаясь защитить нас от всех тех хакеров, о которых мы говорили в первые 25 минут шоу. И они там, ребята, не ошибаются.
Что ж, послушайте, мы разместим ссылку на эту веб-трансляцию, архивы на нашем сайте insideanalysis.com. Вы можете найти материал на SlideShare, вы можете найти его на YouTube. И люди, хорошие вещи. Спасибо за ваше время, Игги, кстати, мне нравится ваше прозвище. С этим мы прощаемся с вами, ребята. Большое спасибо за ваше время и внимание. Мы встретимся с вами в следующий раз. Пока-пока.