Tekijä Techopedia Staff, 27. lokakuuta 2016
Takeaway: Isäntä Eric Kavanagh keskustelee tietokantojen turvallisuudesta Robin Bloorin, Dez Blanchfieldin ja IDERAn Ignacio Rodriguezin kanssa.
Et ole tällä hetkellä kirjautunut sisään. Kirjaudu sisään tai kirjaudu sisään nähdäksesi videon.
Eric Kavanagh: Hei ja tervetuloa taas kerran Hot Technologiesiin. Nimeni on Eric Kavanagh; Olen tänään webcast-isäntäsi. Se on kuuma aihe, eikä siitä tule koskaan aihetta. Tämä on kuuma aihe nyt, suoraan sanottuna, kaikista rikkomuksista, joista kuulemme, ja voin taata, että se ei koskaan katoa. Joten tänään aihe, minun on sanottava tarkka nimen otsikko, on ”Uusi normaali: käsitteleminen turvattoman maailman todellisuudesta”. Juuri kyseessä on juuri tämä.
Meillä on isäntäsi, todella sinun, täällä. Muutaman vuoden takaa, minun pitäisi todennäköisesti päivittää valokuvaani; se oli 2010. Aika lentää. Lähetä minulle sähköpostia, jos haluat tehdä ehdotuksia. Joten tämä on vakio "kuuma" dia Hot Technologies -tuotteille. Tämän näyttelyn koko tarkoitus on todella määritellä tietty tila. Joten tänään puhumme tietysti turvallisuudesta. Otamme siihen erittäin mielenkiintoisen näkökulman, itse asiassa, IDERA-ystävämme kanssa.
Ja huomautan, että teillä yleisön jäseninämme on merkittävä rooli ohjelmassa. Älä ole ujo. Lähetä meille kysymys milloin tahansa, ja me jätämme sen kyselyyn ja vastaukseen, jos meillä on siihen riittävästi aikaa. Meillä on tänään verkossa kolme ihmistä, tohtori Robin Bloor, Dez Blanchfield ja Ignacio Rodriguez, joka soittaa saapumattomasta paikasta. Joten ensinnäkin, Robin, olet ensimmäinen esittäjä. Annan sinulle avaimet. Ota se pois.
Dr. Robin Bloor: Okei, kiitos siitä, Eric. Tietokannan suojaaminen - luulen, että voimme sanoa, että todennäköisyys, että kaiken yrityksen arvokkaimmat tiedot tosiasiallisesti johtaa, on tietokannassa. Joten on olemassa joukko turvallisuuteen liittyviä asioita, joista voimme puhua. Mutta ajattelin tekeväni puhua tietokannan suojaamisesta. En halua viedä mitään esityksestä, jonka Ignacio aikoo antaa.
Joten aloitetaan, on helppo ajatella tietoturvaa staattisena kohteena, mutta se ei ole. Se on liikkuva kohde. Ja tämä on erityisen tärkeää ymmärtää siinä mielessä, että useimpien ihmisten IT-ympäristö, erityisesti suurten yritysten IT-ympäristö, muuttuu koko ajan. Ja koska ne muuttuvat koko ajan, hyökkäyspinta, alueet, joilla joku voi yrittää tavalla tai toisella joko sisäpuolelta tai ulkopuolelta vaarantaa tietoturva, muuttuvat koko ajan. Ja kun teet jotain, kun päivität tietokantaa, et tiedä, oletko juuri luonut tällä tavalla jonkinlaisen haavoittuvuuden itsellesi. Mutta et ole tietoinen etkä saa koskaan saada selville, ennen kuin jotain surkeaa tapahtuu.
Siellä on lyhyt kuvaus tietoturvasta. Ensinnäkin, tietovarkaudet eivät ole mitään uutta ja arvokasta tietoa kohdistetaan. Organisaatiolle on yleensä helppo selvittää, mitä tietoja he tarvitsevat parhaan mahdollisen suojauksen tarjoamiseksi. Utelias tosiasia on, että ensimmäisen, tai mitä voimme väittää olevansa ensimmäinen tietokone, rakensi Britannian tiedustelupalvelu toisen maailmansodan aikana yhden tarkoituksen ajatellen, ja se oli tietojen varastaminen Saksan viestinnästä.
Joten tietojen varastaminen on ollut osa IT-alaa melko paljon sen alkamisesta lähtien. Siitä tuli paljon vakavampi Internetin syntymän myötä. Tarkastelin lokia tietojen rikkomusten lukumäärästä, jota tapahtui vuosi toisensa jälkeen. Ja lukumäärä oli noussut yli 100 vuoteen 2005 mennessä, ja siitä lähtien sen taipumus kasvaa entisestään.
Suuremmat määrät tietoja varastetaan ja suurempi määrä hakkerointeja tapahtuu. Ja nämä ovat hakkereita, joista ilmoitetaan. On olemassa erittäin suuri määrä tapauksia, joissa yritys ei koskaan sano mitään, koska mikään ei pakota sitä sanomaan mitään. Joten se pitää tietojen rikkomuksen hiljaisena. Hakkerointiliiketoiminnassa on monia toimijoita: hallitukset, yritykset, hakkeriryhmät, yksityishenkilöt.
Yksi asia, jonka mielestäni on mielenkiintoista mainita, kun menin Moskovaan, mielestäni se oli joskus noin neljä vuotta sitten, se oli ohjelmistokonferenssi Moskovassa, puhuin toimittajalle, joka oli erikoistunut tietojen hakkerointiin. Ja hän väitti - ja olen varma, että hän on oikeassa, mutta en tiedä sitä muuta kuin hän on ainoa henkilö, joka on koskaan maininnut sen minulle, mutta - siellä on venäläinen yritys nimeltään The Russian Business Network, sillä luultavasti on venäläinen nimi, mutta mielestäni se on englanninkielinen käännös, joka todella palkattiin hakkeroimaan.
Joten jos olet suuri organisaatio kaikkialla maailmassa ja haluat tehdä jotain vahingoittaaksesi kilpailuasi, voit palkata nämä ihmiset. Ja jos palkkaat nämä ihmiset, saat erittäin uskottavaa uskoa siihen, kuka oli hakkeroinnin takana. Koska jos lainkaan löydetään kuka on takana, se osoittaa, että todennäköisesti joku Venäjällä teki sen. Ja ei näytä siltä, että yrität vahingoittaa kilpailijaa. Ja uskon, että hallitukset ovat todella palkanneet Venäjän yritysverkoston tekemään asioita, kuten hakkeroimaan pankkeihin yrittääkseen selvittää, kuinka terroristien raha liikkuu. Ja se tehdään uskottavalla kieltäytymisellä hallitusten toimesta, jotka eivät koskaan myönnä, että he todella ovat koskaan tehneet niin.
Hyökkäys- ja puolustustekniikka kehittyy. Kauan sitten käyin Chaos Clubissa. Se oli Saksalainen sivusto, jossa voit rekisteröityä ja seurata eri ihmisten keskusteluja ja nähdä mitä oli saatavilla. Ja tein niin, kun tarkastelin turvatekniikkaa, ajattelen vuoden 2005 ympärille. Ja tein sen vain nähdäkseni, mitä sitten meni alas ja minua hämmästytti virusten määrä, missä se oli pohjimmiltaan avoimen lähdekoodin järjestelmä. Jatkoin, ja ihmiset, jotka olivat kirjoittaneet viruksia tai parannettuja viruksia, tarttuivat vain koodiin ylös kenenkään käytettäväksi. Ja minulle tapahtui tuolloin, että hakkerit voivat olla erittäin, erittäin älykkäitä, mutta siellä on todella paljon hakkereita, jotka eivät välttämättä ole älykkäitä, mutta käyttävät älykkäitä työkaluja. Ja jotkut näistä työkaluista ovat erittäin älykkäitä.
Ja viimeinen kohta: yrityksillä on velvollisuus huolehtia tiedoistaan riippumatta siitä, omistavatko he ne vai eivät. Ja mielestäni siitä on tulossa enemmän ja enemmän tapana kuin ennen. Ja siitä tulee yhä enemmän, sanotaan, kallista, että yritys todella käy läpi hakkeroinnin. Hakkereista voidaan löytää missä tahansa, ja niitä saattaa olla vaikea saattaa oikeuden eteen, vaikka he olisivatkin oikein tunnistettu. Monet heistä ovat erittäin taitavia. Huomattavia resursseja, heillä on bottiverkkoja kaikkialla. Äskettäin tapahtuneen DDoS-hyökkäyksen uskottiin olevan peräisin yli miljardista laitteesta. En tiedä onko se totta vai onko kyse vain pyöreää numeroa käyttävästä toimittajasta, mutta varmasti paljon robottilaitteita käytettiin hyökkäykseen DNS-verkkoon. Jotkut kannattavat yritykset, siellä on hallitusryhmiä, siellä on taloudellista sodankäyntiä, on kybersotaa, kaikki tapahtuu siellä, ja se on epätodennäköistä, luulen, että sanoimme esillä, se ei todennäköisesti koskaan lopu.
Vaatimustenmukaisuus ja määräykset - on olemassa monia asioita, joita todella jatketaan. On monia sektoripohjaisia sääntöjen noudattamista koskevia aloitteita, tiedättekö - lääketeollisuuden, pankkisektorin tai terveydenhoitoalan - mahdolliset erityisaloitteet, joita ihmiset voivat seurata, erilaisia hyviä käytäntöjä. Mutta on myös monia virallisia määräyksiä, joissa koska ne ovat lakia, niille on määrätty seuraamuksia jokaiselle, joka rikkoo lakia. Yhdysvaltain esimerkkejä ovat HIPAA, SOX, FISMA, FERPA, GLBA. Siellä on joitain standardeja, PCI-DSS on standardi korttiyhtiöille. ISO / IEC 17799 perustuu yrittämiseen saada yhteinen standardi. Tämä on tietojen omistusoikeus. Kansalliset määräykset eroavat maittain, jopa Euroopassa, tai pitäisi sanoa, etenkin Euroopassa, jossa se on hyvin hämmentävä. Ja siellä on GDPR, maailmanlaajuinen tietosuoja-asetus, jota neuvotellaan parhaillaan Euroopan ja Yhdysvaltojen välillä yrittääkseen yhdenmukaistaa säännöksiä, koska niitä on niin paljon, yleisesti ottaen, että ne ovat käytännössä kansainvälisiä, ja silloin on pilvipalveluita, joita saatat Älä usko, että tietosi olivat kansainvälisiä, mutta ne menivät kansainvälisiksi heti, kun menit pilveen, koska ne muuttivat maastasi. Joten nämä ovat joukko asetuksia, joista neuvotellaan tavalla tai toisella tietosuojan käsittelemiseksi. Ja suurin osa tästä on tekemistä yksilön tietojen kanssa, mikä tietysti sisältää melkein kaikki henkilöllisyystiedot.
Mieti: tietokannan haavoittuvuudet. On luettelo haavoittuvuuksista, jotka tietokantatoimittajat tietävät ja ilmoittavat, kun ne löydetään ja korjataan mahdollisimman nopeasti, joten kaikki tämä on olemassa. Siihen liittyy asioita, jotka liittyvät haavoittuvien tietojen tunnistamiseen. Yksi suurimmista ja menestyneimmistä maksutietojen hakkeroista tehtiin maksun käsittelyyritykselle. Myöhemmin se otettiin haltuun, koska se joutui selvitystilaan, jos ei, mutta tietoja ei varastettu mistään operatiivisesta tietokannasta. Tiedot varastettiin testitietokannasta. Juuri niin tapahtui, että kehittäjät olivat juuri ottaneet osajoukon todellisesta tiedosta ja käyttäneet sitä testitietokannassa ilman minkäänlaista suojausta. Testitietokantaan hakkeroitiin, ja siitä otettiin hirvittävä määrä ihmisten henkilökohtaisia taloudellisia yksityiskohtia.
Turvallisuuspolitiikka, erityisesti tietokantojen käyttöoikeuksien turvallisuuden suhteen, jotka osaavat lukea, jotka voivat kirjoittaa, jotka voivat myöntää luvat, onko kukaan mahdollista, että kuka tahansa voi kiertää tämän? Sitten tietysti tietokantojen salaus sallii sen. Turvallisuusrikkomus maksaa. En tiedä, onko se organisaatioiden vakiokäytäntö, mutta tiedän, että jotkut, kuten pääturvallisuushenkilöt, yrittävät tarjota avainhenkilöille jonkinlaisen käsityksen siitä, mitkä tietoturvaloukkauksen kustannukset todellisuudessa ovat, ennen kuin se tapahtuu eikä sen jälkeen. Ja heidän, tavallaan, on tehtävä se varmistaakseen, että he saavat oikean määrän budjettia voidakseen puolustaa organisaatiota.
Ja sitten hyökkäyspinta. Hyökkäyspinta näyttää kasvavan koko ajan. On vuosi vuodelta, hyökkäyspinta näyttää vain kasvavan. Joten yhteenvetona, alue on toinen kohta, mutta tietoturva on yleensä osa DBA: n roolia. Mutta tietoturva on myös yhteistyötoimintaa. Sinulla on oltava, jos teet turvallisuutta, sinulla on oltava täysi käsitys koko organisaation suojaussuojauksista. Ja tästä on oltava yrityspolitiikka. Jos yritystoimintaa ei ole, päädyt vain osittain ratkaisuihin. Kuminauha ja muovi yrittävät estää turvallisuuden tapahtumisen.
Joten kun olen sanonut, luulen luovuttavani Dezille, joka todennäköisesti aikoo antaa sinulle erilaisia sotajuttuja.
Eric Kavanagh: Ota se pois, Dez.
Dez Blanchfield: Kiitos, Robin. Se on aina vaikea seurata. Tulen tässä spektrin vastakkaisesta päästä vain antamaan meille käsityksen haasteesi laajuudesta ja miksi meidän pitäisi tehdä muutakin kuin vain istua ja kiinnittää huomiota tähän . Haaste, jonka näemme nyt asteikolla, määrällä ja äänenvoimakkuudella, näiden asioiden nopeudella, on se, että kuulen nyt paikan ympäri paljon CXO: ta, ei vain CIO: ta, mutta varmasti CIO: t ovat niitä, jotka ovat läsnä siellä, missä puku pysähtyy. Heidän mielestään tietojen rikkomuksista tulee nopeasti normeja. Se on jotain mitä he melkein odottavat tapahtuvan. Joten he katsovat tätä näkökulmasta: "Okei, hyvin, kun meitä rikotaan - ellei - kun meitä rikotaan, mitä meidän on tehtävä tässä?" Ja sitten keskustelut alkavat noin, mitä he tekevät perinteisissä reunaympäristöissä ja reitittimissä, kytkimissä, palvelimissa, tunkeutumisen havaitsemisessa, tunkeutumisen tarkastuksessa? Mitä he tekevät itse järjestelmissä? Mitä he tekevät tietojen kanssa? Ja sitten kaikki palaa takaisin siihen, mitä he tekivät tietokannoillaan.
Saanen vain koskettaa muutamia esimerkkejä joistakin näistä asioista, jotka ovat vallanneet paljon ihmisten mielikuvitusta, ja poraamaan sen sitten jonkin verran. Joten olemme kuulleet uutisissa, että Yahoo - luultavasti suurin lukumäärä, jonka ihmiset ovat kuullut, on noin puoli miljoonaa, mutta tosiasiallisesti osoittautuu, että se on epävirallisesti enemmän kuin miljardi -, kuulin ulkomaalaisen luvun, kolme miljardia, mutta se on melkein puolet maailman väestöstä, joten se on mielestäni vähän korkea. Mutta olen saanut sen varmentaa useilta asiaankuuluvien tilojen ihmisiltä, jotka uskovat, että Yahoo: sta on rikottu hieman yli miljardi levyä. Ja tämä on vain mielenkiintoinen numero. Nyt jotkut pelaajat katsovat ja ajattelevat, no, se on vain webmail-tilejä, ei iso juttu, mutta lisäät sitten tosiasian, että monet niistä webmail-tileistä ja uteliaasti suuri määrä, suurempi kuin olin odottanut, ovat todella maksettuja tilejä. Siellä ihmiset laittavat luottokorttitietonsa ja maksavat mainosten poistamisesta, koska he ovat kyllästyneitä mainoksiin ja niin 4 tai 5 dollaria kuukaudessa he ovat valmiita ostamaan verkkoposti- ja pilvipalvelupalvelun, jolla ei ole mainoksia, ja olen yksi niistä, ja minulla on kolme eri tarjoajaa, joihin kytken luottokorttini.
Joten sitten haaste saa hieman enemmän huomion tarttumista, koska se ei ole vain jotain, joka on ulkona yhtenä rivinä sanomalla: ”No, Yahoo on menettänyt, sanotaan, välillä 500–1000 miljoonaa tiliä”, 1 000 miljoonaa tekee siitä kuulostavat erittäin isoilta, ja webmail-tilit, mutta luottokorttitiedot, etunimi, sukunimi, sähköpostiosoite, syntymäaika, luottokortti, pin-numero, mitä haluat, salasanat, ja sitten siitä tulee paljon pelottavampi käsite. Ja taas ihmiset sanovat minulle: "Kyllä, mutta se on vain verkkopalvelua, se on vain webmailia, ei iso juttu." Ja sitten sanon: "Kyllä, no, että Yahoo-tiliä on ehkä käytetty myös Yahoo-rahapalveluissa ostaakseen ja myydä osakkeita. ”Sitten siitä tulee mielenkiintoisempaa. Ja kun alkaa tutkia sitä, huomaat, että okei, tämä on oikeastaan muuta kuin pelkästään kotona toimivia äitejä ja isiä ja teini-ikäisiä, joilla on viestintätilit, tämä on oikeastaan jotain, missä ihmiset ovat suorittaneet liiketoimia.
Joten se on spektrin yksi pää. Taajuuden toisessa päässä on, että hyvin pienellä yleisellä käytännöllä terveydenhuollon tarjoajalla Australiassa varastettiin noin 1 000 tietuetta. Oli sisäinen työ, joku lähti, he olivat vain uteliaita, he kävelivät ulos ovesta, tässä tapauksessa se oli 3, 5 tuuman levyke. Se oli vähän aikaa sitten - mutta voitte kertoa median aikakauden - mutta ne olivat vanhan tekniikan mukaisia. Mutta kävi ilmi, että syy he ottivat tiedot olivat se, että he olivat vain uteliaita siitä, kuka siellä oli. Koska heillä oli melko paljon ihmisiä tässä pienessä kaupungissa, joka oli meidän kansallispääkaupunkimme, jotka olivat poliitikkoja. Ja he olivat kiinnostuneita siitä, kuka siellä oli ja missä heidän elämänsä oli, ja kaikenlaisesta tiedosta. Joten hyvin pienellä sisäisesti tehdyllä tietoturvaloukkauksella huomattavasti suuri määrä poliitikkoja Australian hallituksen yksityiskohdista väitettiin olevan julkisuudessa.
Meillä on siellä kaksi erillistä spektrin päätä harkittavana. Nyt todellisuus on näiden asioiden pelkkä mittakaava on vain varsin hämmästyttävä, ja minulla on dia, johon me hyppäämme täällä erittäin, hyvin nopeasti. Muutamassa verkkosivustossa on luettelo kaikenlaisista tiedoista, mutta tämä on tietoturva-asiantuntijalta, jolla oli verkkosivusto, johon voit mennä etsimään sähköpostiosoitettasi tai nimesi, ja se näyttää sinulle kaikki tietoon liittyvät tapaukset rikkomus viimeisen 15 vuoden aikana, että hän on voinut saada käsiinsä ja ladata sen sitten tietokantaan ja varmistaa, ja se kertoo, olitko pwned, kuten termi on. Mutta kun alkaa tarkastella joitain näistä numeroista, eikä tätä kuvakaappausta ole päivitetty hänen viimeisimmälle versioon, joka sisältää parin, kuten Yahoo. Mutta ajatelkaa vain täällä olevia palveluita. Meillä on Myspace, meillä on LinkedIn, Adobe. Adoben kiinnostavuus, koska ihmiset katsovat ja ajattelevat hyvin, mitä Adobe tarkoittaa? Suurin osa meistä, jotka lataavat Adobe Reader -muodon jossain muodossa, monet meistä ovat ostaneet Adobe-tuotteita luottokortilla, eli 152 miljoonaa ihmistä.
Nyt, Robinin aikaisemmin sanomalla, nämä ovat erittäin suuria lukuja, on helppo hämmästyttää heitä. Mitä tapahtuu, kun sinulla on 359 miljoonaa tiliä, joita on rikottu? No, siinä on pari asiaa. Robin korosti sitä tosiseikkaa, että nämä tiedot ovat aina muodossa, joka on jossain muodossa. Se on täällä kriittinen viesti. Melkein kukaan tällä planeetalla, josta olen tietoinen, joka ylläpitää minkään muotoista järjestelmää, ei tallenna sitä tietokantaan. Mutta mikä on mielenkiintoista, siinä tietokannassa on kolme erityyppistä tietoa. Siellä on tietoturvaan liittyviä asioita, kuten käyttäjätunnuksia ja salasanoja, jotka yleensä ovat salattuja, mutta aina on paljon esimerkkejä, joissa he eivät ole. Heidän profiilinsa ympärillä on todellisia asiakkaan tietoja ja tietoja, joita he ovat luoneet riippumatta siitä, onko kyseessä terveystiedot tai sähköposti vai pikaviesti. Ja sitten siellä on varsinainen upotettu logiikka, joten tämä voisi olla tallennettu menettely, se voi olla koko joukko sääntöjä, jos + tämä + sitten + tuo. Ja se on aina tietokantaan juuttunut ASCII-teksti, hyvin harvat ihmiset istuvat siellä ajatteleen: "No, nämä ovat liiketoimintasääntöjä. Näin tietomme liikkuvat ja hallitaan, meidän pitäisi mahdollisesti salata tämä, kun se on levossa ja kun se on Ehkä me salata sen ja pidämme sen muistissa ”, mutta ihannetapauksessa sen pitäisi todennäköisesti olla myös.
Mutta palataan tähän avainkysymykseen, että kaikki nämä tiedot ovat jossain muodossa olevassa tietokannassa ja keskitytään usein historiallisesti reitittimiin ja kytkimiin ja palvelimiin ja jopa tallennukseen, eikä aina tietokantaan osoitteessa takaosa. Koska uskomme, että verkon reuna on peitetty ja se on kuin tavallinen vanha, eräänlainen, asuu linnassa ja laitat vallihaun sen ympärille, ja toivot, että pahat pojat eivät aio pystyä uimaan. Mutta sitten yhtäkkiä pahat pojat kehittivät, kuinka tehdä laajennetut tikkaat ja heittää ne vallihaaran yli, kiivetä vallihaaran yli ja kiivetä seinät ylös. Ja yhtäkkiä valheesi on melko turha.
Joten olemme nyt skenaariossa, jossa organisaatiot ovat kiinni-tilassa sprintissä. Ne ovat kirjaimellisesti kaikissa järjestelmissä, mielestäni ja varmasti kokemukseni, että ei ole aina vain näitä web-yksisorvisia, kuten usein viitataan niihin, useimmiten rikotaan perinteisiä yritysorganisaatioita. Ja sinun ei tarvitse olla paljon mielikuvitusta selvittääksesi kuka he ovat. Siellä on verkkosivuja, kuten nimin pastebin.net, ja jos siirryt pastebin.net-verkkoon ja kirjoitat vain sähköposti- tai salasanaluetteloon, lopputuloksena on satoja tuhansia merkintöjä päivässä, joita lisätään missä ihmiset luettelevat esimerkkejä tietoryhmistä jopa tuhat tietuetta etunimesta, sukunimesta, luottokorttitiedoista, käyttäjänimi, salasana, salatut salasanat, muuten. Missä ihmiset voivat tarttua luetteloon, mennä ja tarkistaa kolme tai neljä niistä ja päättää, että jeep, haluan ostaa sen luettelon, ja siellä on yleensä jonkinlainen mekanismi, joka tarjoaa jonkinlaisen nimettömän yhdyskäytävän tietoja myyvälle henkilölle.
Nyt on mielenkiintoista, että kun tytäryritysyrittäjä tajuaa voivansa tehdä tämän, ei vie niin paljon mielikuvitusta ymmärtää, että jos kulutat 1 000 dollaria ostaaksesi yhden näistä luetteloista, mikä on ensimmäinen asia, jonka teet sen kanssa? Et mene ja yritä seurata tilejä. Laitat kopion siitä takaisin pastbin.netiin ja myyt kaksi kopiota 1 000 dollarilla ja ansaitset 1 000 dollaria voittoa. Ja nämä ovat lapsia, jotka tekevät tämän. On joitain erittäin suuria ammattijärjestöjä ympäri maailmaa, jotka tekevät tämän elantonsa vuoksi. On jopa osavaltioita, jotka hyökkäävät toisiin valtioihin. Tiedätkö, että Amerikassa on paljon puhetta Kiinaan hyökkäämiseen, Kiina hyökkää Amerikkaan, se ei ole aivan niin yksinkertaista, mutta on ehdottomasti valtionhallinnon organisaatioita, jotka rikkovat järjestelmiä, jotka ovat aina tietokantojen ylläpitämiä. Kyse ei ole vain pienistä organisaatioista, vaan myös maista verrattuna maihin. Se palauttaa meidät takaisin kysymykseen, missä tietoja säilytetään? Se on tietokannassa. Mitä valvontaa ja mekanismeja siellä on? Tai aina, että niitä ei ole salattu, ja jos ne ovat salattuja, se ei ole aina kaikkia tietoja, ehkä se on vain suolattu ja salattu salasana.
Ja käärittynä tähän, meillä on joukko haasteita sen suhteen, mitä kyseisissä tiedoissa on ja miten tarjoamme pääsyn tietoihin ja SOX-noudattamista. Joten jos ajattelet varainhoitoa tai pankkitoimintaa, sinulla on organisaatioita, jotka huolehtivat valtakirjahaasteesta; sinulla on organisaatioita, jotka huolehtivat vaatimustenmukaisuudesta yritystilassa; sinulla on hallituksen vaatimustenmukaisuus- ja viranomaisvaatimukset sinulla nyt skenaarioita, joissa meillä on ennakkotietokannat; meillä on tietokantoja kolmansien osapuolten tietokeskuksissa; meillä on tietokannat istuvissa pilviympäristöissä, joten sen pilviympäristöt eivät aina ole maassa. Joten tästä on tulossa yhä suurempi haaste, ei pelkästään puhtaasta turvallisuudesta, niin että emme saa-hakkeroita, vaan myös miten voimme täyttää kaikki vaatimustasot? Ei vain HIPAA- ja ISO-standardit, mutta niitä on kirjaimellisesti kymmeniä ja kymmeniä ja kymmeniä valtion, kansallisella ja globaalilla tasolla ylittäviä rajoja. Jos harjoitat liiketoimintaa Australian kanssa, et voi siirtää hallituksen tietoja. Mitkään Australian yksityiset tiedot eivät voi poistua maasta. Jos olet Saksassa, se on vielä tiukempi. Ja tiedän, että Amerikka etenee hyvin nopeasti myös tästä useista syistä.
Mutta se palauttaa minut takaisin siihen koko haasteeseen, kuinka tiedät, mitä tietokannassa tapahtuu, miten valvot sitä, kuinka kerrot, kuka tekee mitä tietokannassa, kuka on näkemyksiä eri taulukoista ja riveistä, sarakkeista ja kentistä, milloin he lukevat sen, kuinka usein he lukevat sitä ja kuka seuraa sitä? Ja mielestäni se vie minut viimeiseen kohtaan, ennen kuin annan tänään vieraillemme, jotka auttavat meitä puhumaan siitä, kuinka ratkaisemme tämän ongelman. Mutta haluan jättää meille tämän yhden ajatuksen, eli että paljon keskitytään kustannuksiin yritykselle ja kustannuksille organisaatiolle. Ja emme aio kattaa tätä kohtaa yksityiskohtaisesti tänään, mutta haluan vain jättää sen mieleemme pohtimiseksi. Se on, että arviolta noin 135–585 dollaria tietuetta kohti puhdistetaan rikkomisen jälkeen. Joten sijoituksesi turvallisuuteen reitittimien, kytkinten ja palvelimien ympärillä on hyvä ja palomuuri, mutta kuinka paljon olet panostanut tietokannan suojaukseen?
Mutta se on väärää taloutta, ja kun Yahoon rikkomukset tapahtuivat äskettäin, ja minulla on sen hyvä hallinto, se on noin miljardi tiliä, ei 500 miljoonaa. Kun Verizon osti organisaation jotain 4, 3 miljardia, heti kun rikkomus tapahtui, he pyysivät miljardia dollaria takaisin tai alennusta. Nyt jos teet matematiikan ja sanot, että rikkomusten kohdalla on noin miljardi levyä, miljardin dollarin alennus, ennusteen puhdistamiseen käytetystä arviosta 135–535 dollaria tulee nyt 1 dollari. Mikä taas on haastava. Miljoonan levyn siivoaminen ei maksa 1 dollaria. 1 dollarilla per tietue puhdistaa miljardi tietuetta kyseisen koon rikkomisesta. Et voi edes julkaista lehdistötiedotetta tällaisista kustannuksista. Ja keskitymme siis aina sisäisiin haasteisiin.
Mutta yksi asia, mielestäni, ja meidän on otettava tämä erittäin vakavasti tietokantatasolla, minkä vuoksi tämä on erittäin tärkeä aihe, josta meidän on puhuttava, ja siksi emme koskaan puhu ihmisistä veronsa. Mikä on ihmisen tiemaksu, joka meille aiheutuu tästä? Ja otan yhden esimerkin, ennen kuin kääritään nopeasti. LinkedIn: Vuonna 2012 LinkedIn-järjestelmään hakkeroitiin. Vektoreita oli useita, enkä puutu siihen. Ja satoja miljoonia tilejä varastettiin. Ihmiset sanovat noin 160 paritonta miljoonaa, mutta se on itse asiassa paljon suurempi määrä, se voi olla jopa noin 240 miljoonaa. Mutta rikkomuksesta ilmoitettiin vasta aikaisemmin tänä vuonna. Se on neljä vuotta, että satoja miljoonia ihmisten levyjä on siellä. Nyt jotkut maksoivat palveluista luottokortilla ja jotkut ilmaisilla tileillä. Mutta LinkedIn on mielenkiintoista, koska he eivät vain saaneet pääsyä tilitietoihisi, jos sinua rikottiin, vaan he myös pääsivät kaikkiin profiilitietoihisi. Joten keitä olit yhteydessä ja kaikki yhteydet, jotka sinulla oli, ja minkä tyyppisiä töitä heillä oli, ja minkä tyyppisiä taitoja heillä oli ja kuinka kauan he olivat työskennelleet yrityksissä, kaikenlaista tietoa ja heidän yhteystiedot.
Joten ajatelkaa haastetta, joka meillä on tietojen turvaamisessa näihin tietokantoihin, sekä itse tietokantajärjestelmien turvaamiseen ja hallintaan, sekä vaikutusten virtaan, sillä kyseisten tietojen henkilömäärä on siellä neljä vuotta. Ja todennäköisyys, että joku saapuu lomalle Kaakkois-Aasiaan, ja heillä on ollut tietonsa siellä neljä vuotta. Ja joku on ehkä ostanut auton tai saanut asuntolainan tai ostanut kymmenen puhelinta luottokortilla vuoden aikana, jolloin he ovat luoneet vääriä henkilötodistuksia kyseiseen tietoon, joka oli siellä neljä vuotta - koska jopa LinkedIn-tiedot antoi sinulle tarpeeksi tietoa luo pankkitili ja väärennetty henkilötodistus - ja nouset lentokoneeseen, menet lomalle, laskeudut ja heität vankilaan. Ja miksi sinut heitetään vankilaan? No, koska sinulta henkilöllisyystodistuksesi varastettiin. Joku loi väärennetyn henkilöllisyystodistuksen ja toimi kuten sinä ja satoja tuhansia dollareita, ja he tekivät tämän neljä vuotta, etkä edes tiennyt siitä. Koska se on siellä, se vain tapahtui.
Joten mielestäni se vie meidät tähän keskeiseen haasteeseen, kuinka tiedämme, mitä tietokannoissamme tapahtuu, miten seuraamme sitä, miten seuraamme sitä? Ja odotan innolla kuulevani, kuinka IDERA-ystävämme ovat keksineet ratkaisun puuttua asiaan. Ja sen kanssa annan.
Eric Kavanagh: Hyvä on, Ignacio, lattia on sinun.
Ignacio Rodriguez: Hyvä on. Tervetuloa kaikki. Nimeni on Ignacio Rodriguez, tunnetaan paremmin nimellä Iggy. Olen IDERAn ja tietoturvatuotteiden tuotepäällikön kanssa. Todella hyvät aiheet, jotka olemme juuri käsittäneet, ja meidän on todella huolehdittava tietorikkomuksista. Meillä on oltava tiukennetut suojauskäytännöt, meidän on tunnistettava haavoittuvuudet ja arvioitava tietoturvatasot, valvottava käyttäjän oikeuksia, valvottava palvelimen turvallisuutta ja noudatettava auditointeja. Olen tehnyt auditointia aikaisemmassa historiassani, lähinnä Oracle-puolella. Olen tehnyt joitain SQL Serverillä ja tehnyt niitä työkaluilla tai periaatteessa kotitekoisilla skripteillä, mikä oli hienoa, mutta sinun on luotava arkisto ja varmistettava, että säilytystila on turvallinen. Joudut jatkuvasti ylläpitämään skriptejä tarkastajien tekemin muutoksin., mitä sinulla on.
Joten työkaluissa, jos olisin tiennyt, että IDERA oli siellä ja sillä oli työkalu, olen todennäköisesti ostanut sen. Mutta joka tapauksessa, puhumme turvallisesta. Se on yksi tuotteistamme turvallisuustuotelinjassamme, ja periaatteessa se tarkoittaa, että tarkastelemme turvallisuuskäytäntöjä ja kartoitamme ne sääntelyohjeisiin. Voit tarkastella koko SQL Server -asetusten historiaa ja tehdä periaatteessa myös näiden asetusten perustason ja verrata niitä sitten tuleviin muutoksiin. Voit luoda tilannekuvan, joka on asetusten perustaso, ja sitten seurata, onko jotakin näistä asioista muutettu, ja myös saada hälytys, jos niitä muutetaan.
Yksi hyvin tekemisistämme on turvallisuusriskien ja rikkomusten estäminen. Suojausraporttikortti antaa sinulle kuvan palvelimien tärkeimmistä tietoturva-aukkoista ja sitten jokainen turvatarkastus luokitellaan korkeaksi, keskisuureksi tai matalaksi riskiksi. Nyt kaikissa näissä luokissa tai turvatarkastuksissa kaikkia voidaan muuttaa. Oletetaan, että jos sinulla on joitain säätimiä ja käytät jotain malleista, jotka päätät, päätätkin, ohjauksemme todella osoittavat tai haluavat, että tämä haavoittuvuus ei ole todella korkea, mutta keskisuuri tai päinvastoin. Sinulla voi olla joitain, jotka on merkitty keskisuureksi, mutta organisaatiossasi ohjaimet, jotka haluat merkitä niille, tai pitää niitä korkeina, kaikki nämä asetukset ovat käyttäjän määrittämiä.
Toinen kriittinen kysymys, jota meidän on tarkasteltava, on haavoittuvuuksien tunnistaminen. Ymmärtäminen, kenellä on pääsy mihin tahansa, ja jokaisen käyttäjän todellisten oikeuksien tunnistaminen kaikissa SQL Server -objekteissa. Työkalun avulla voimme käydä läpi ja tarkastella kaikkien SQL Server -objektien oikeuksia. Näemme tästä pian kuvakaappauksen täältä. Raportoimme ja analysoimme myös käyttäjän, ryhmän ja roolin käyttöoikeuksia. Yksi muista ominaisuuksista on, että toimitamme yksityiskohtaiset tietoturvariskien raportit. Meillä on valmiita raportteja ja se sisältää joustavia parametrejä, joiden avulla voit luoda raporttityyppejä ja näyttää tiedot, joita tarkastajat, turvallisuushenkilöt ja johtajat vaativat.
Voimme myös verrata tietoturva-, riski- ja kokoonpanomuutoksia ajan myötä, kuten mainitsin. Ja ne ovat valokuvien kanssa. Ja nämä valokuvat voidaan määrittää niin pitkälle kuin haluat tehdä ne - kuukausittain, neljännesvuosittain, vuosittain - jotka voidaan suunnitella työkalun sisällä. Ja jälleen kerran, voit tehdä vertailuja nähdäksesi, mikä on muuttunut ja mikä on hienoa siinä, että jos sinulla on rikkomus, voit luoda tilannekuvan sen korjaamisen jälkeen, tehdä vertailun ja huomaat, että siellä oli korkea taso Edelliseen tilannekuvaan liittyvä riski ja sitten raportti, näet tosiasiallisesti seuraavassa tilanteessa sen korjaamisen jälkeen, että se ei ollut enää ongelma. Se on hyvä tilintarkastustyökalu, jonka voit antaa tilintarkastajalle, raportin, jonka voit antaa tilintarkastajille ja sanoa: "Katso, meillä oli tämä riski, me pienentimme sitä, ja nyt se ei ole enää riski." Ja jälleen kerran, minä mainittujen valokuvien kanssa, voit varoittaa, kun kokoonpano muuttuu, ja jos kokoonpano muuttuu ja havaitaan, jotka aiheuttavat uuden riskin, sinulle ilmoitetaan myös siitä.
Meillä on joitain kysymyksiä SQL Server -arkkitehtuuristamme Secure-sovelluksella, ja haluan tehdä korjauksen diaan täällä, jossa lukee ”Collection Service”. Meillä ei ole palveluita, sen piti olla “Management and Collection Server. ”Meillä on konsoli ja sitten hallinta- ja keräyspalvelimemme, ja meillä on agenttien kaappaus, joka menee rekisteröidyihin tietokantoihin ja kerää tietoja työpaikkojen kautta. Ja meillä on SQL Server -varasto, ja työskentelemme yhdessä SQL Server Reporting Services -palveluiden kanssa ajoittaaksesi raportit ja myös mukautettuja raportteja. Nyt turvallisuusraporttikortilla tämä on ensimmäinen näyttö, joka näet, kun SQL Secure käynnistetään. Näet helposti, mitkä kriittiset kohteesi ne havaitset. Ja jälleen kerran, meillä on korkeimmat, keskipitkät ja alamäet. Ja sitten meillä on myös politiikat, jotka ovat erityisen turvallisuustarkastuksen yhteydessä. Meillä on HIPAA-malli; meillä on IDERA-turvatason 1, 2 ja 3 mallit; meillä on PCI-ohjeet. Nämä ovat kaikki malleja, joita voit käyttää, ja taas voit luoda oman mallin, joka perustuu myös omiin säätimiin. Ja taas, ne ovat muokattavissa. Voit luoda oman. Mitä tahansa olemassa olevia malleja voidaan käyttää perustasona, niin voit muokata niitä haluamallasi tavalla.
Yksi mukavista asioista on nähdä, kenellä on luvat. Ja tällä näytöllä täällä pystymme näkemään, mitkä SQL Server -sisäänkirjaukset ovat yrityksessä, ja pystyt näkemään kaikki määritetyt ja voimassa olevat oikeudet ja käyttöoikeudet palvelintietokannassa objektitasolla. Teemme sen täällä. Voit valita uudelleen tietokannat tai palvelimet ja sitten koota SQL Server -oikeuksien raportin. Joten voi nähdä, kenellä on mitä pääsy mihin tahansa. Toinen mukava ominaisuus on, että pystyt vertailemaan suojausasetuksia. Oletetaan, että sinulla oli vakioasetukset, jotka piti asettaa koko yrityksellesi. Voit sitten vertailla kaikkia palvelimiasi ja nähdä, mitkä asetukset on asetettu yrityksesi muille palvelimille.
Käytännössä taas nämä mallit, joita meillä on. Periaatteessa taas käytät yhtä näistä, luot oman. Voit luoda oman käytännön, kuten täältä nähdään. Käytä yhtä mallineista ja voit muokata niitä tarpeen mukaan. Pystymme myös tarkastelemaan SQL Serverin tehokkaita oikeuksia. Tämä varmistaa ja todistaa, että käyttöoikeudet on asetettu oikein käyttäjille ja rooleille. Voit jälleen mennä sinne katselemaan ja tarkistamaan, että käyttäjien ja roolien käyttöoikeudet on asetettu oikein. Sitten SQL Server -objektin käyttöoikeuksilla voit selata ja analysoida SQL Server -objektipuua palvelintasolta objektitason rooleihin ja päätepisteisiin. Ja voit heti tarkastella määritettyjä ja tehokkaita perittyjä oikeuksia ja tietoturvaan liittyviä ominaisuuksia objektitasolla. Tämä antaa sinulle hyvän kuvan tietokantaobjektien käyttöoikeuksista ja kenellä on pääsy niihin.
Meillä on jälleen kerran kertomuksemme, jotka meillä on. Ne ovat säilöttyjä raportteja. Meillä on useita, joista voit valita raporttien tekemistä varten. Ja paljon näistä voidaan räätälöidä tai voit saada asiakasraportteja ja käyttää niitä yhdessä raportointipalveluiden kanssa ja pystyä luomaan sieltä omia räätälöityjä raportteja. Nyt tilannekuvien vertailut, tämä on mielestäni melko hieno ominaisuus, minne voit mennä sinne ja tehdä vertailun ottamiesi valokuvien suhteen ja katsoa, onko numerossa eroja. Onko objekteja lisätty, oliko luvat muuttuneet, mitä tahansa, mitä voisimme nähdä, mitä muutoksia on tehty eri valokuvien välillä. Jotkut ihmiset katsovat näitä kuukausitasolla - he tekevät kuukausittain valokuvan ja tekevät sitten vertailun kuukausittain nähdäksesi onko jokin muuttunut. Ja jos ei ollut mitään, jota piti muuttaa, jotain, joka meni muutoksenvalvontakokouksiin ja huomaat, että joitain käyttöoikeuksia on muutettu, voit palata katsomaan tapahtumia. Tämä on melko mukava ominaisuus, jossa voit vertailla jälleen kaikkea tilannekuvassa tarkastettua.
Sitten arviointisi vertailu. Tämä on toinen hieno ominaisuus, jonka avulla voit mennä ulos katsomaan arvioita ja sitten vertailemaan niitä ja huomaamaan, että tässä vertailussa oli SA-tili, jota ei poistettu käytöstä tässä äskettäisessä tilannekuvassa, jonka olen tehnyt - se on nyt korjattu. Tämä on melko mukava asia, jolla voit osoittaa, että okei, meillä oli joitain riskejä, ne tunnistettiin työkalun avulla, ja nyt olemme vähentäneet näitä riskejä. Ja tämä on jälleen hyvä raportti, joka osoittaa tilintarkastajille, että näitä riskejä on todellakin lievennetty ja että niistä on huolehdittu.
Yhteenvetona voidaan todeta, että tietokantaturvallisuus on kriittistä, ja luulen monta kertaa, että tarkastelemme ulkopuolisista lähteistä peräisin olevia rikkomuksia, ja toisinaan emme todellakaan kiinnitä liikaa huomiota sisäisiin rikkomuksiin, ja se on joitain asioita, joita täytyy olla varovainen. Ja Suojattu auttaa sinua siellä varmistamaan, ettei ole oikeuksia, joita ei tarvitse antaa, tiedäthän, varmista, että kaikki nämä suojaukset on asetettu oikein tileille. Varmista, että SA-tililläsi on salasanat. Tarkistaa myös salausavaimet, onko ne viety? Vain useita erilaisia asioita, joita tarkistamme, ja ilmoitamme sinulle tosiasiasta, jos kyseessä oli ongelma ja missä tasossa se on. Tarvitsemme työkalun, monet ammattilaiset tarvitsevat työkaluja tietokannan käyttöoikeuksien hallitsemiseksi ja seuraamiseksi. Tarkoitamme todellakin tarjota laaja mahdollisuus hallita tietokannan käyttöoikeuksia ja seurata pääsytoimintoja ja vähentää rikkomusriskiä.
Nyt toinen osa tietoturvatuotteistamme on, että on olemassa WebEx, joka oli katettu ja osa aiemmin puhuneesta esityksestä oli tietoja. Tiedät kuka käyttää mitä, mitä sinulla on, ja se on SQL Compliance Manager -työkalumme. Sillä työkalulla on tallennettu WebEx, jonka avulla voit tosiasiallisesti seurata, kuka käyttää mitä taulukoita, millä sarakkeilla voit tunnistaa taulukoita, joissa on arkaluontoiset sarakkeet, syntymäajan, potilastietojen, tämäntyyppisten taulukoiden ja todella nähdä, kenellä on pääsy tietoihin ja jos niitä käytetään.
Eric Kavanagh: Hyvä on, joten sukellaan kysymyksiin täällä. Ehkä, Dez, heitän sen sinulle ensin, ja Robin, soi sisään kuin pystyt.
Dez Blanchfield: Joo, olen kutina esittänyt kysymyksen toisesta ja kolmannesta diasta. Mikä on tämän työkalun tyypillinen käyttötapa? Ketkä ovat yleisimpiä käyttäjiä, joita näet ja jotka ottavat tämän käyttöön ja ottavat sen käyttöön? Ja mitä takana on tyypillinen, eräänlainen käyttötapamalli, kuinka he suhtautuvat siihen? Kuinka se toteutetaan?
Ignacio Rodriguez: Okei, tyypillinen käyttötapaus, joka meillä on, ovat DBA-yrityksiä, joille on annettu vastuu tietokannan käyttöoikeuksien valvonnasta. He huolehtivat siitä, että kaikki oikeudet on asetettu niiden tapaan, minkä niiden on oltava, ja seuraavat sitten kirjaa ja niiden normeja paikallaan. Tiedät, että näillä tietyillä käyttäjätilillä on pääsy vain näihin taulukoihin, jne. Ja mitä he tekevät sen kanssa, on varmistaa, että nämä standardit on asetettu ja että standardit eivät ole muuttuneet ajan myötä. Ja se on yksi isoista asioista, jota ihmiset käyttävät siihen, on jäljittää ja tunnistaa, tehdäänkö muutoksia, joista ei tunneta.
Dez Blanchfield: Koska he ovat pelottavia, eikö niin? Onko sinulla ehkä strategia-asiakirja, sinulla on politiikkoja, jotka tukevat sitä, alla on noudattamista ja hallintaa, ja noudatat politiikkaa, noudatat hallintotapaa ja se saa vihreän valon ja sitten yhtäkkiä kuukautta myöhemmin joku toteuttaa muutoksen, ja jostain syystä se ei käy läpi samaa muutoksen tarkistustaulua tai muutosprosessia tai mitä se voisi olla, tai projekti on juuri siirtynyt eteenpäin eikä kukaan tiedä.
Onko sinulla mitään esimerkkejä, jotka voit jakaa - ja tiedän, että se ei aina ole jotain jaettavaa, koska asiakkaat ovat siitä hieman huolissaan, joten meidän ei tarvitse nimetä nimiä - vaan anna meille esimerkki siitä, missä on ehkä nähnyt tämän tosiasiallisesti, tiedätte, organisaatio on asettanut tämän paikalleen ymmärtämättä sitä. He vain löysivät jotain ja ymmärsivät: “Vau, se oli kymmenen kertaa arvoinen, me vain löysimme jotain, jota emme tajua.” Onko sinulla jokin esimerkki siitä, missä ihmiset ovat toteuttaneet tämän ja huomanneet sitten, että heillä on suurempi ongelma tai todellinen ongelma, jota he eivät tienneet, että heillä on, ja sinut lisätään heti joulukorttiluetteloon?
Ignacio Rodriguez: No mielestäni suurin asia, mitä olemme nähneet tai olemme kertoneet, on juuri mainitsemani se, mitä pääsyyn jollain jollain oli ollut. Siellä on kehittäjiä, ja kun he ottivat työkalun käyttöön, he eivät todellakaan tienneet, että X-määrällä näitä kehittäjiä oli niin paljon pääsyä tietokantaan ja että heillä oli pääsy tiettyihin kohteisiin. Ja toinen asia on vain luku -tili. Oli joitain vain luku-lukuisia tilejä, jotka heillä olivat. He tulivat selville, että nämä vain luku -tilin tosiasiallisesti olivat, he olivat lisänneet tietoja ja poistaneet myös käyttöoikeudet. Siellä olemme nähneet hyötyä käyttäjille. Jälleen iso asia, että olemme kuulleet, että ihmiset pitävät, kykenevät jälleen seuraamaan muutoksia ja varmistamaan, että mikään ei tee niitä peittämään.
Dez Blanchfield: No kuten Robin korosti, sinulla on skenaarioita, joita ihmiset eivät usein ajattele, eikö niin? Kun odotamme eteenpäin, ajattelemme jonkin verran, tiedättekö, jos teemme kaiken sääntöjen mukaisesti, ja olen myös sitä mieltä, että näette senkin - kerro minulle, jos olet eri mieltä - organisaatiot keskittyvät niin panostaen voimakkaasti strategian ja politiikan sekä vaatimustenmukaisuuden ja hallintotavan sekä KPI: n ja raportoinnin kehittämiseen, jotta he usein kiinnittyvät siihen, että he eivät ajattele poikkeavuuksia. Ja Robinilla oli todella hieno esimerkki, jonka aion varastaa häneltä - anteeksi Robin -, mutta esimerkki on toinen kerta, kun tietokannan suora kopio, tilannekuva ja laittaa sen kehityskokeeseen, eikö niin? Teemme dev, teemme testejä, teemme UAT, teemme järjestelmien integrointia, kaikenlaisia juttuja ja sitten teemme joukon vaatimustenmukaisuustestejä nyt. Usein dev testissä, UAT, SIT, on todella vaatimustenmukaisuuskomponentti, jossa vain varmistetaan, että se on kaikki terveellistä ja turvallista, mutta kaikki eivät tee sitä. Tämä esimerkki, jonka Robin antoi kopion kanssa tietokannan live-kopiosta, joka oli testattu kehitysympäristön kanssa nähdäkseen, toimiiko se edelleen reaaliaikaisen tiedon kanssa. Hyvin harvat yritykset asettuvat taaksepäin ja ajattelevat: ”Onko niin jopa tapahtua vai onko mahdollista?” Ne ovat aina kiinnostuneita tuotantoon. Miltä toteutusmatka näyttää? Puhummeko päivistä, viikoista, kuukausista? Miltä säännöllinen käyttöönotto näyttää keskikokoiselle organisaatiolle?
Ignacio Rodriguez: Päivät. Se ei ole edes päivää, tarkoitan, se on vain pari päivää. Lisäsimme juuri ominaisuuden, jolla pystymme rekisteröimään monia, monia palvelimia. Sen sijaan, että tarvitsisit mennä sinne työkalun sisälle ja sanoa, että sinulla oli 150 palvelinta, joudut menemään sinne erikseen ja rekisteröimään palvelimet - nyt sinun ei tarvitse tehdä niin. Luomasi CSV-tiedosto on, ja poistamme sen automaattisesti, emmekä pidä sitä siellä turvallisuusongelmien vuoksi. Mutta se on toinen asia, joka meidän on harkittava, onko sinulla siellä CSV-tiedosto käyttäjätunnuksella / salasanalla.
Mitä teemme, poistamme sen automaattisesti, mutta se on vaihtoehto. Jos haluat mennä sinne yksilöllisesti ja rekisteröidä heidät etkä halua ottaa tätä riskiä, voit tehdä sen. Mutta jos haluat käyttää CSV-tiedostoa, laita se turvalliseen sijaintiin, osoita sovellus tähän sijaintiin, se suorittaa kyseisen CSV-tiedoston ja asettaa sen poistamaan tiedosto automaattisesti, kun se on valmis. Ja se menee ja varmista ja tarkista, että tiedosto on poistettu. Pisin napa hiekassa, joka meillä oli toteutukseen saakka, oli todellisten palvelimien rekisteröinti.
Dez Blanchfield: Okei. Nyt puhuit raporteista. Voitteko antaa meille hieman yksityiskohtaisempia tietoja siitä, mitä tulee valmiiksi kokoonpanoon raporttien ympärille, luulen, että löytökomponentti on katsoa siellä olevaa ja raportoida siitä, kansakunnan nykytila, mikä tapahtuu ennen rakennettu ja esilämmitetty niin pitkälle kuin raportit koskevat nykyistä noudattamisen ja turvallisuuden tilaa, ja kuinka helposti ne ovat laajennettavissa? Kuinka rakennamme niihin?
Ignacio Rodriguez: Okei. Joissakin meillä olevista raporteista on raportteja, jotka käsittelevät palvelintenvälistä palvelua, kirjautumistarkistuksia, tiedonkeruusuodattimia, toimintahistoriaa ja sitten riskinarviointiraportteja. Ja myös kaikki epäillyt Windows-tilit. Täällä on paljon, monia. Katso epäilyttävät SQL-kirjautumiset, palvelimen sisäänkirjautumiset ja käyttäjän kartoitukset, käyttäjän oikeudet, kaikki käyttäjän käyttöoikeudet, palvelinroolit, tietokantaroolit, jonkin verran meillä olevia haavoittuvuuksia tai sekamuotoisia todennusraportteja, vieraskäynnistystietokannat, käyttöjärjestelmän haavoittuvuus XPS: ien kautta, laajennetut menettelyt, ja sitten haavoittuvat kiinteät roolit. Nämä ovat joitain mietinnöistä, jotka meillä on.
Dez Blanchfield: Ja mainitsitte, että ne ovat riittävän merkittäviä, ja joukko heistä, mikä on loogista. Kuinka helppoa on räätälöidä se? Jos suoritan raportin ja saan tämän upean suuren kaavion, mutta haluan ottaa joitain kappaleita, joista en oikeasti ole kiinnostunut, ja lisätä pari muuta ominaisuutta, onko raporttien kirjoittaja, onko jonkinlainen käyttöliittymä ja työkalu toisen raportin määrittämiseen ja räätälöintiin tai jopa mahdollisesti rakentamiseen tyhjästä?
Ignacio Rodriguez: Osoitamme sitten käyttäjiä käyttämään Microsoft SQL Report Services -palvelua siihen, ja meillä on monia asiakkaita, jotka tosiasiallisesti ottavat osa raporteista, mukauttavat ja ajoittavat ne milloin vain haluavat. Jotkut näistä miehistä haluavat nähdä nämä raportit kuukausittain tai viikoittain ja he ottavat meillä olevat tiedot, siirtävät ne raportointipalveluihin ja tekevät sen sitten sieltä. Meillä ei ole työkalumme kanssa integroitua raportin kirjoittajaa, mutta hyödynnämme raportointipalveluita.
Dez Blanchfield: Minusta se on yksi suurimmista haasteista näillä työkaluilla. Voit päästä sinne ja löytää tavaroita, mutta sitten sinun on pystyttävä vetämään se ulos, ilmoittamaan siitä ihmisille, jotka eivät välttämättä ole DBA: ita ja järjestelmäinsinöörejä. Kokemukseni mukaan on syntynyt mielenkiintoinen rooli, eli tiedät, että riskinpitäjät ovat aina olleet organisaatioissa ja että he ovat pääosin olleet mukana ja aivan erilaisessa riskialueessa, jonka olemme nähneet viime aikoina, kun taas nyt tiedoilla rikkomuksista, jotka eivät ole vain asiaa, vaan todellista tsunamia, CRO on mennyt sen jälkeen, kun tiedätte, että henkilöstöhallinto ja työterveyshuolto sekä työterveys- ja turvallisuustyyppi keskittyvät nyt tietoverkkoon. Tiedät, rikkomus, hakkerointi, turvallisuus - paljon teknistä. Ja siitä tulee mielenkiintoista, koska monet CRO: t ovat peräisin MBA-sukupolvesta, ei teknisestä sukutaulusta, joten heidän täytyy saada päänsä ympäri, sellainen, mitä tämä tarkoittaa siirtymiselle kyberriskin välillä siirtyessä CRO ja niin edelleen. Mutta iso asia, jota he haluavat, on vain näkyvyyden raportointi.
Voitko kertoa meille jotain paikannuksen suhteen noudattamisesta? Yksi ilmeisimmistä vahvuuksista tässä on, että näet mitä tapahtuu, voit seurata sitä, voit oppia, voit raportoida siitä, voit reagoida siihen, voit jopa ennaltaehkäistä joitain asioita. Kattava haaste on hallinnon noudattaminen. Onko tässä keskeisiä osia, jotka tarkoituksella linkittävät olemassa oleviin vaatimustenmukaisuuteen tai teollisuuden vaatimustenmukaisuuteen, kuten PCI, tai jotain vastaavaa tällä hetkellä, vai onko jotain tulossa etenemissuunnitelmaan? Soveltuuko se eräänlaisena COBIT-, ITIL- ja ISO-standardien kaltaisiin puitteisiin? Jos käytimme tätä työkalua, antaako se meille sarjan tarkistuksia ja tasapainoja, jotka sopivat noihin kehyksiin, tai miten me rakennamme ne näihin kehyksiin? Missä on tilanne tällaisten asioiden mielessä?
Ignacio Rodriguez: Kyllä, meillä on malleja, jotka toimitamme työkalun mukana. Ja olemme pääsemässä taas kohtaan, jossa arvioimme uudelleen mallejamme ja aiomme lisätä, ja uusia tulee pian. FISMA, FINRA, joitain lisämalleja, joita meillä on. Yleensä tarkistamme mallit ja katsomme, mikä on muuttunut, mitä meidän on lisättävä? Ja haluamme todella päästä pisteeseen, jossa tietoturvavaatimukset ovat muuttuneet melko vähän, joten etsimme tapaa tehdä tämä laajennettava lennossa. Tätä me tarkastelemme tulevaisuudessa.
Mutta tällä hetkellä tarkastelemme ehkä luomalla malleja ja pystyttäessämme saamaan malleja verkkosivustolta; voit ladata ne. Ja näin käsittelemme sitä - käsittelemme niitä mallien avulla ja etsimme tulevaisuudessa tapoja tehdä siitä helposti laajennettavissa ja nopeasti. Koska kun tein auditointia, tiedät, asiat muuttuvat. Tilintarkastaja tulee kuukauden kuluttua ja seuraavana kuukautena haluaa nähdä jotain erilaista. Sitten se on yksi työkalujen haasteista, kyky tehdä nämä muutokset ja saada tarvitsemasi, ja se on, sellainen, mihin haluamme päästä.
Dez Blanchfield: Luulen, että tilintarkastajan haaste muuttuu säännöllisesti ottaen huomioon, että maailma liikkuu nopeammin. Ja kerran vaatimus tilintarkastuksen kannalta oli kokemukseni mukaan vain puhdasta kaupallista noudattamista, ja sitten siitä tuli tekninen vaatimustenmukaisuus ja nyt se on toiminnan vaatimustenmukaisuus. Ja siellä on kaikki nämä muut, tiedätkö, joka päivä joku ilmestyy, ja he eivät vain mittaa sinua jollain tavalla kuten ISO 9006 ja 9002 -käyttö, vaan he katsovat kaikenlaisia asioita. Ja nyt näen, että 38 000 sarjasta on tulossa iso asia myös ISO: ssa. Uskon, että siitä tulee vain yhä haastavampaa. Aion luovuttaa Robinille, koska olen hiipannut kaistanleveyttä.
Paljon kiitoksia siitä, ja aion ehdottomasti viettää enemmän aikaa tutustumiseen siihen, koska en oikeastaan tajunnut, että se todella oli melko tämä perusteellinen. Joten, kiitos, Ignacio, aion nyt antaa Robinille. Upea esitys, kiitos. Robin, vastapäätä.
Dr. Robin Bloor: Okei Iggy, kutsun sinua Iggyksi, jos se on kunnossa. Mikä minua hämmentää, ja mielestäni joidenkin Dezin hänen esityksessään sanomien seikkojen valossa tapahtuu hirvittävää paljon, että sinun on sanottava, että ihmiset eivät todellakaan pidä tietoja. Tiedätkö, etenkin kun tosiasiassa näet vain osan jäävuoresta ja luultavasti tapahtuu paljon, että kukaan ei ilmoita. Olen kiinnostunut näkemyksestänne siitä, kuinka monella tuntemasi asiakkaalla tai potentiaalisella asiakkaalla, joille tiedätte, on tietosuojataso, jota tyyppisesti tarjoatte tämän lisäksi, mutta myös tietotekniikkaasi? Tarkoitan, kuka siellä on asianmukaisesti varusteltu käsittelemään uhkaa, on kysymys?
Ignacio Rodriguez: Kuka on oikein varustettu? Tarkoitan, että monet asiakkaat, joita emme ole todellakaan ole käsitelleet minkäänlaista tarkastusta, tiedätte. Heillä on ollut joitain, mutta iso asia yrittää pysyä siinä ja yrittää ylläpitää sitä ja varmistaa. Suuri ongelma, jonka olemme nähneet, on - ja jopa minulla on, kun tein sääntöjä, - jos suoritit skriptejäsi, tekisit sen kerran vuosineljänneksellä, kun tilintarkastajat tulevat sisään ja olet löytänyt ongelman. Arvaa mitä, se on jo liian myöhäistä, tilintarkastus on siellä, tilintarkastajat ovat paikalla, he haluavat raporttinsa, he ilmoittavat sen. Ja sitten joko saamme arvosanan tai meille kerrottiin, hei, meidän on korjattava nämä ongelmat, ja silloin tämä tapahtuisi. Se olisi enemmän ennakoivaa tyyppiä, jossa voit löytää riskisi ja vähentää riskiä ja se on mitä asiakkaamme etsivät. Tapa olla jonkin verran ennakoivaa eikä reagoiva, kun tilintarkastajat tulevat sisään ja löytävät osan pääsyistä ei ole siellä missä heidän täytyy olla, muilla ihmisillä on hallinnolliset oikeudet eikä heillä pitäisi olla niitä, tällaisia asioita. Ja täältä olemme nähneet paljon palautetta siitä, että ihmiset pitävät työkalusta ja käyttävät sitä.
Dr. Robin Bloor: Okei, toinen kysymys, joka minulla on, on tietyssä mielessä myös itsestään selvä kysymys, mutta olen vain utelias. Kuinka moni ihminen todella tulee luoksesi hakkeroinnin seurauksena? Mistä, tiedät, saat liiketoimintaa, ei siksi, että he katsoivat ympäristöönsä ja kuvittelivat, että heidät on turvattava paljon organisoidummin, vaan itse asiassa olet siellä yksinkertaisesti siksi, että he ovat jo kärsineet joitain kipu.
Ignacio Rodriguez: Minun aikani täällä IDERAssa en ole nähnyt yhtäkään. Ollakseni rehellinen teille, suurin osa vuorovaikutuksesta, jonka olen käynyt asiakkaiden kanssa, joihin olen ollut yhteydessä, ovat enemmän innokkaita ja yrittäviä aloittaa tarkastus ja aloittaneet tarkastella etuoikeuksia, jne. Kuten sanoin, minulla ei ole itselläni kokemusta täällä aikanaan siitä, että meillä olisi ollut ketään, joka on tullut rikkomuksen jälkeen ja jonka tiedän.
Dr. Robin Bloor: Ai, se on mielenkiintoista. Olisin uskonut, että siellä olisi ollut ainakin muutama. Tarkoitan tätä tosiasiallisesti, mutta myös lisäämään siihen kaikki monimutkaisuudet, jotka tekevät tiedoista todella turvattuja koko yrityksessä kaikin tavoin ja jokaisessa tekemässäsi toiminnassa. Tarjoatteko konsultointia suoraan ihmisten auttamiseksi? Tarkoitan, että on selvää, että voit ostaa työkaluja, mutta kokemukseni mukaan ihmiset usein ostavat hienostuneita työkaluja ja käyttävät niitä erittäin huonosti. Tarjoatteko erityistä konsultointia - mitä tehdä, ketä kouluttaa ja vastaavia?
Ignacio Rodriguez: On joitain palveluita, jotka voisitte tukea tukipalveluihin saakka, joiden avulla jotkut näistä tapahtuisi. Mutta konsultoinnin osalta emme tarjoa mitään konsulttipalveluja, mutta koulutamme, tiedätkö kuinka käyttää työkaluja ja vastaavia tavaroita, joista osa käsitellään tukitasolla. Mutta sinänsä meillä ei ole palveluosastoa, joka menisi ulos ja tekisi sen.
Dr. Robin Bloor: Okei. Peittämäsi tietokannan suhteen tässä esityksessä mainitaan vain Microsoft SQL Server - teetkö myös Oraclen?
Ignacio Rodriguez: Aiomme laajentua Oracle-alueeseen ensin Compliance Manager -ohjelman avulla. Aiomme aloittaa hankkeen tällä, joten aiomme laajentaa tätä Oracliin.
Dr. Robin Bloor: Ja oletko menossa todennäköisesti muualle?
Ignacio Rodriguez: Niin, se on jotain, jota meidän on tarkasteltava etenemissuunnitelmissa ja selvitettävä, kuinka asiat ovat, mutta juuri näitä asioita harkitsemme, mitä me tarvitsemme myös muihin tietokantaalustoihin.
Dr. Robin Bloor: Olen myös kiinnostunut jakautumisesta, minulla ei ole ennakkokäsitystä tästä, mutta käyttöönottojen suhteen, kuinka suuri osa siitä todella sijoitetaan pilveen vai onko se melkein kaikki lähtökohta ?
Ignacio Rodriguez: Kaikki lähtökohta. Etsimme laajentavan myös Suojattua kattamaan Azureen, joo.
Dr. Robin Bloor: Se oli Azure-kysymys, et ole vielä paikalla, mutta olet menossa sinne, sillä on paljon järkeä.
Ignacio Rodriguez: Joo, olemme menossa sinne pian.
Dr. Robin Bloor: Kyllä, ymmärrän Microsoftin mielestä, että Azuressa Microsoft SQL Server -palvelun kanssa on suunnaton toimenpide. Siitä on tulossa, jos haluat, keskeinen osa sitä, mitä he tarjoavat. Toinen kysymys, josta olen jonkin verran kiinnostunut - se ei ole tekninen, se on enemmän kuin miten-tee-kiinnitä -kysymys - kuka ostaa tämän? Pyydätkö sinua IT-osasto vai ottavatko sinut vastaan kansalaisjärjestöt, vai onko kyse erilaisista ihmisistä? Kun jotain tällaista harkitaan, onko se osa kokonaisen sarjan tarkastelua ympäristön turvaamiseksi? Mikä tilanne siellä on?
Ignacio Rodriguez: Se on sekoitus. Meillä on kansalaisjärjestöjä, monta kertaa myyntitiimi tavoittaa ja keskustelee DBA: n kanssa. Ja sitten DBA: t taas on valtuutettu saamaan jonkinlainen tarkastusprosessipolitiikka käyttöön. Ja sitten he arvioivat työkalut ja raportoivat ketjun ja tekevät päätöksen siitä, minkä osan he haluavat ostaa. Mutta se on sekoitettu laukku kuka ottaa yhteyttä meihin.
Dr. Robin Bloor: Okei. Uskon, että annan takaisin Ericille nyt, koska olemme jonkin verran tehneet tunnin, mutta yleisölle saattaa olla kysymyksiä. Eric?
Eric Kavanagh: Kyllä, täällä on käynyt läpi paljon hyvää sisältöä. Tässä on yksi todella hyvä kysymys, jonka heitän sinulle yhden osallistujan kautta. Hän puhuu blockchainista ja siitä, mistä puhut, ja kysyy, onko mahdollista tapaa siirtää SQL-tietokannan vain luku-osa jotain vastaavaa kuin mitä blockchain tarjoaa? Se on tavallaan kovaa.
Ignacio Rodriguez: Kyllä, olen rehellinen kanssasi, minulla ei ole vastausta siihen.
Eric Kavanagh: Heitän sen Robinille. En tiedä, oletko kuullut tämän kysymyksen, Robin, mutta hän vain kysyi, onko olemassa tapa siirtää SQL-tietokannan vain luku-osa jotain vastaavaa kuin mitä blockchain tarjoaa? Mitä mieltä olet siitä?
Dr. Robin Bloor: Se on kuin jos siirrät tietokannan, siirrät myös tietokannan liikenteen. Tämän tekemiseen on joukko monimutkaisia. Mutta et tekisi sitä muusta syystä kuin tehdä siitä loukkaamattomia. Koska lohkoketju tulee olemaan hitaampi käyttää, niin tiedät, jos nopeus on sinun juttusi - ja melkein aina se on asia -, et tee sitä. Mutta jos halusit tarjota eräänlaista avainta salattua pääsyä osaan joillekin, jotka tekevät tällaista asiaa, voit tehdä sen, mutta sinulla on oltava erittäin hyvä syy. Jätät todennäköisemmin sinne missä se on ja kiinnität sen missä se on.
Dez Blanchfield: Joo, olen samaa mieltä siitä, jos voin punnita nopeasti. Uskon, että blockchain-haaste, jopa sen julkisesti ulkona oleva blockchain, jota käytetään bitcoinissa - meillä on vaikea skaalata sitä pidemmälle kuin tavallaan neljä tapahtumaa minuutissa täysin jaetulla tavalla. Ei niinkään laskentahaasteen takia, vaikka se onkin olemassa, täydet solmut ovat vain vaikeata pysyä tietokannan eteenpäin ja eteenpäin liikkuvien määrien ja kopioitavan tiedon määrän kanssa, koska se on keikat nyt, ei vain megs.
Mutta myös mielestäni tärkein haaste on sinun täytyy muuttaa sovelluksen arkkitehtuuria, koska tietokannassa se tarkoittaa pääasiassa kaiken tuomista keskeiseen sijaintiin ja sinulla on kyseinen asiakas-palvelin tyyppimalli. Blockchain on käänteinen; kyse on jaetuista kopioista. Se muistuttaa monella tapaa enemmän kuin BitTorrentia, ja se on, että paljon kopioita on samasta tiedosta. Ja kuten tiedät, kuten Cassandra ja muistiin tallennetut tietokannat, joissa jaat sitä, ja monet palvelimet voivat antaa sinulle kopioita samasta tiedosta hajautetusta hakemistosta. Mielestäni kaksi keskeistä osaa, kuten totesitte, Robin, ovat: yksi, jos haluat varmistaa sen ja varmistaa, ettei sitä voida varastaa tai hakkeroida, se on hienoa, mutta se ei välttämättä ole vielä kauppapaikka, ja me olet kokenut tämän bitcoin-projektin kanssa. Mutta teoriassa muut ovat ratkaisseet sen. Mutta arkkitehtonisesti monet siellä olevista sovelluksista eivät vain tiedä kuinka tehdä kyselyjä ja lukea lohkoketjusta.
Siellä on paljon tehtävää. Mutta mielestäni keskeinen kysymys siellä olevassa kysymyksessä, jos vain voin, on syy siirtää se blockchainiin, mielestäni kysytään, onko mahdollista poistaa tiedot tietokannasta ja laittaa ne muotoon, joka on turvallisempi? Ja vastaus on, että voit jättää sen tietokantaan ja vain salata sen. Teknologioita on nyt paljon. Salaa vain tiedot levossa tai liikkeessä. Ei ole mitään syytä, miksi et voi salata tietoja muistissa ja levyllä olevassa tietokannassa, mikä on paljon yksinkertaisempi haaste, koska sinulla ei ole yhtä arkkitehtuurimuutosta. Useimmissa tietokantaalustoissa se on oikeastaan vain ominaisuus, joka otetaan käyttöön.
Eric Kavanagh: Niin, meillä on vielä yksi viimeinen kysymys, jonka heitän sinulle, Iggy. Se on aika hyvä. Millainen vero järjestelmästäsi tulee SLA: n ja kapasiteetin suunnittelun kannalta? Toisin sanoen ylimääräinen viive tai läpimenoaika, jos joku haluaa tuotantotietokantajärjestelmään mukaan IDERA-tekniikan?
Ignacio Rodriguez: Emme todellakaan näe paljoa vaikutusta. Jälleen kerran, se on edustajaton tuote ja kaikki riippuu, kuten aiemmin mainitsin, valokuvista. Suojattu perustuu valokuviin. Se menee sinne ja luo todellisuudessa työpaikan, joka menee sinne valitsemiesi aikavälien perusteella. Joko haluat tehdä sen, uudelleen, viikoittain, päivittäin, kuukausittain. Se menee sinne ja suorittaa kyseisen työn ja kerää sitten tiedot ilmentymistä. Tuolloin kuorma palaa sitten takaisin hallinta- ja keräyspalveluihin, kun aloitat vertailun ja kaiken muun, tietokannan kuormituksella ei ole merkitystä siinä. Kaikki tämä kuormitus on nyt hallinta- ja keräyspalvelimella, samoin kuin vertailujen ja kaiken raportoinnin ja kaiken muun tekeminen. Ainoa kerta, kun osut tietokantaan, on aina, kun se tekee todellisen tilannekuvan. Ja meillä ei ole oikeastaan ollut yhtään raporttia siitä, että se todella olisi haitallista tuotantoympäristölle.
Eric Kavanagh: Kyllä, se on todella hyvä asia, jonka teet siellä. Periaatteessa voit vain asettaa kuinka monta otosta otat, mikä tämä aikaväli on ja riippuen siitä, mitä se voi tapahtua, mutta se on erittäin älykäs arkkitehtuuri. Se on hyvää kamaa. No te, kaverit, olette eturintamassa yrittäessämme suojata meitä kaikilta hakkereilta, joista puhutimme näytön ensimmäisten 25 minuutin aikana. Ja he ovat siellä, ihmiset, eivät tee virhettä.
No, kuuntele, lähetämme linkin tähän webcast-lähetykseen, arkistoihin, sivustollemme insideanalysis.com. Löydät tavaroita SlideShare-sivustosta, voit löytää ne YouTubesta. Ja ihmiset, hyviä juttuja. Kiitos ajastasi, Iggy, minä muuten rakastan lempinimesi. Sen avulla tarjoamme sinulle jäähyväiset, ihmiset. Kiitos paljon aikaa ja huomiosta. Otamme yhteyttä seuraavan kerran. Hei hei.