Bahay Mga Databases Mas mahusay na humingi ng pahintulot: pinakamahusay na kasanayan para sa privacy at seguridad

Mas mahusay na humingi ng pahintulot: pinakamahusay na kasanayan para sa privacy at seguridad

Anonim

Sa pamamagitan ng Techopedia Staff, Mayo 10, 2017

Takeaway: Tinatalakay ng host na si Eric Kavanagh ang seguridad at mga pahintulot kay Dr. Robin Bloor at Vicky Harp ng IDERA.

Kasalukuyan kang hindi naka-log in. Mangyaring mag-log in o mag-sign up upang makita ang video.

Eric Kavanagh: OK, mga kababaihan at mga ginoo, kumusta at muling binalikan muli. Ito ay isang Miyerkules, ito ay apat na Silangan at sa mundo ng teknolohiya ng enterprise na nangangahulugang oras na ulit para sa Hot Technologies! Oo, naman. Iniharap ng Bloor Group siyempre, pinalakas ng aming mga kaibigan sa Techopedia. Ang paksa para sa ngayon ay isang talagang cool: "Mas mahusay na Magtanong ng Pahintulot: Pinakamahusay na Mga Kasanayan para sa Pagkapribado at Seguridad." Tama iyon, ito ay uri ng isang matigas na paksa, maraming tao ang pinag-uusapan, ngunit ito ay medyo seryoso, at ito ay talagang mas seryoso araw-araw, medyo lantaran. Ito ay isang malubhang isyu sa maraming paraan para sa maraming mga organisasyon. Pag-uusapan natin iyon at pag-uusapan natin kung ano ang maaari mong gawin upang maprotektahan ang iyong samahan mula sa mga hindi magagandang character na tila nasa buong lugar sa mga araw na ito.

Kaya ang nagtatanghal ngayon ay si Vicky Harp na tumatawag mula sa IDERA. Maaari mong makita ang IDERA Software sa LinkedIn - Gusto ko ang bagong pag-andar sa LinkedIn. Bagaman masasabi ko na hinila nila ang ilang mga string sa ilang mga paraan, hindi hinahayaan kang ma-access ang mga tao, sinusubukan mong bilhin ang mga premium membership na iyon. Doon ka pupunta, mayroon kaming aming sariling Robin Bloor, pagdayal sa - siya talaga sa lugar ng San Diego ngayon. At sa iyo tunay na bilang iyong moderator / analyst.

Kaya ano ang pinag-uusapan natin? Mga paglabag sa data. Kinuha ko lang ang impormasyong ito mula sa IdentityForce.com, naka-off na ito sa mga karera. Nasa Mayo ng kurso ng taong ito, at mayroong isang tonelada lamang ng mga paglabag sa data, mayroong ilang mga talagang malaking, siyempre, sa pamamagitan ng Yahoo! ay isang malaki, at narinig namin ang tungkol sa kurso na ang gobyerno ng Estados Unidos ay na-hack. Na-hack lang namin ang halalan sa Pransya.

Nangyayari ito sa buong lugar, nagpapatuloy at hindi ito titigil, kaya't ito ay isang katotohanan, ito ang bagong katotohanan, tulad ng sinasabi nila. Kailangan nating mag-isip tungkol sa mga paraan upang maipatupad ang seguridad ng aming mga system at ng aming data. At ito ay isang patuloy na proseso, kaya oras na upang isipin ang tungkol sa lahat ng iba't ibang mga isyu na nagaganap. Ito ay isang bahagyang listahan lamang, ngunit nagbibigay ito sa iyo ng ilang pananaw sa kung gaano katiyakang sitwasyon ang mga araw na ito sa mga system ng enterprise. At bago ang palabas na ito, sa aming pre-show na banter ay pinag-uusapan natin ang tungkol sa ransomware na nag-hit sa isang tao na alam ko, na kung saan ay isang napaka-hindi kasiya-siyang karanasan, kapag ang isang tao ay tumatanggap ng iyong iPhone at humihiling ng pera para sa iyo upang makakuha ng pag-access sa iyong telepono. Ngunit nangyari ito, nangyayari sa mga computer, nangyayari sa mga system, nakita ko lang sa ibang araw, nangyayari ito sa mga bilyun-bilyon kasama ang kanilang mga yate. Isipin ang pagpunta sa iyong yate sa isang araw, sinusubukan mong mapabilib ang lahat ng iyong mga kaibigan at hindi mo maaaring i-on ito, dahil ang ilang magnanakaw ay nagnanakaw ng pag-access sa mga kontrol, ang control panel. Sinabi ko lang sa iba pang araw sa isang pakikipanayam sa isang tao, palaging override ang manual. Tulad ng, hindi ako isang malaking tagahanga ng lahat ng mga nakakonektang kotse - kahit na ang mga kotse ay maaaring mai-hack. Ang anumang bagay na konektado sa internet, o konektado sa isang network na maaaring ma-penetrate ay maaaring mai-hack, kahit ano.

Kaya, narito ang ilang mga item na dapat isaalang-alang sa mga tuntunin ng pag-frame ng konteksto kung gaano kalubha ang sitwasyon. Ang mga sistema na nakabase sa web ay nasa lahat ng mga araw na ito, patuloy silang umunlad. Gaano karaming mga tao ang bumili ng mga gamit sa online? Ito ay sa pamamagitan lamang ng bubong sa mga araw na ito, na ang dahilan kung bakit ang Amazon ay napakalakas na puwersa sa mga araw na ito. Ito ay dahil napakaraming tao ang bumibili ng mga gamit sa online.

Kaya, naaalala mo noon, 15 taon na ang nakararaan, ang mga tao ay medyo nerbiyos tungkol sa paglalagay ng kanilang credit card sa isang web form upang makuha ang kanilang impormasyon, at pagkatapos ay, ang argumento ay, "Well, kung ibigay mo ang iyong credit card sa isang tagapagsilbi sa isang restawran, pagkatapos ay ang parehong bagay. "Kaya, ang aming sagot ay oo, ito ay magkaparehong bagay, mayroong lahat ng mga puntong control na ito, o mga access point, parehong bagay, magkakaibang panig ng parehong barya, kung saan maaaring ilagay ang mga tao sa panganib, kung saan maaaring kunin ng isang tao ang iyong pera, o maaaring may magnakaw mula sa iyo.

Pagkatapos ang IoT ng kurso ay nagpapalawak ng pagbabanta - gusto ko ang salitang iyon - sa pamamagitan ng mga order ng kadakilaan. Ibig kong sabihin, isipin ang tungkol dito - sa lahat ng mga bagong aparato sa lahat ng dako, kung ang isang tao ay maaaring mag-hack sa isang system na kumokontrol sa kanila, maaari nilang i-on ang lahat ng mga bots laban sa iyo at maging sanhi ng maraming at maraming mga problema, kaya't isang napaka seryosong isyu. Mayroon kaming isang pandaigdigang ekonomiya sa mga araw na ito, na nagpapalawak ng pagbabanta nang higit pa, at kung ano pa, mayroon kang mga tao sa ibang mga bansa na maaaring ma-access ang web sa parehong paraan mo at ako, at kung hindi mo alam kung paano magsalita ng Ruso, o anumang bilang ng iba pang mga wika, mahihirapan kang maunawaan kung ano ang nangyayari kapag nag-hack sila sa iyong system. Kaya mayroon kaming mga pagsulong sa networking at virtualization, mabuti na mabuti.

Ngunit mayroon ako sa kanang bahagi ng larawang ito dito, isang tabak at ang dahilan kung bakit mayroon ako doon dahil ang bawat tabak ay pinuputol ang parehong paraan. Ito ay isang dobleng talim, tulad ng sinasabi nila, at ito ay isang matandang kliseo, ngunit nangangahulugan ito na ang tabak na maaari kong makapinsala sa iyo o maaari itong makapinsala sa akin. Maaari itong bumalik sa akin, alinman sa pamamagitan ng pagba-bounce, o ng isang tao na kumukuha nito. Ito ay talagang isa sa mga Fes ng Aesop - madalas naming ibigay sa aming mga kaaway ang mga tool ng aming sariling pagkawasak. Tunay na talagang nakaka-engganyong kuwento at may kinalaman sa isang taong gumagamit ng isang pana at arrow at binaril ang isang ibon at nakita ng ibon, habang lumalabas ang arrow, ang balahibo mula sa isa sa mga kaibigan ng ibon ay nasa gilid ng arrow. sa likuran ng arrow upang gabayan ito, at naisip niya sa kanyang sarili, "Oh tao, narito, ang aking sariling mga balahibo, ang aking sariling pamilya ay gagamitin upang dalhin ako." Na nangyayari ito sa lahat ng oras, naririnig mo mga istatistika tungkol sa mayroon kang isang baril sa bahay, ang magnanakaw ay maaaring kumuha ng baril. Well, lahat ito ay totoo. Kaya, itinatapon ko ito doon bilang isang pagkakatulad para isaalang-alang, ang lahat ng iba't ibang mga pag-unlad na ito ay may positibong panig at negatibong panig.

At nagsasalita ng, mga lalagyan para sa iyo na talagang sumusunod sa pagputol ng gilid ng kompyuter ng kumpanya, ang mga lalagyan ay ang pinakabagong bagay, pinakabagong paraan upang maihatid ang pag-andar, ito talaga ang pag-aasawa ng virtualization sa arkitekturang naka-oriented ng serbisyo, hindi bababa sa para sa microservice at ito ay napaka nakawiwiling bagay. Maaari mong tiyak na mapupuksa ang iyong mga protocol sa seguridad at ang iyong mga protocol ng aplikasyon at ang iyong data at iba pa, sa pamamagitan ng paggamit ng mga lalagyan, at nagbibigay sa iyo ng isang advance para sa isang tagal ng panahon, ngunit sa madaling panahon, ang masasamang mga tao ay aalisin na, at pagkatapos ito ay magiging mas mahirap upang maiwasan ang mga ito na samantalahin ang iyong mga system. Kaya, mayroong, mayroong pandaigdigang manggagawa na kumplikado ang network at seguridad, at kung saan nagmula ang mga tao.

Nakuha namin ang mga digmaang browser na nagpapatuloy, at nangangailangan ng patuloy na trabaho upang mai-update at manatili sa itaas ng mga bagay. Patuloy kaming nakikinig tungkol sa mga lumang browser ng Microsoft Explorer, kung paano sila na-hack at magagamit doon. Kaya, mayroong maraming pera na gagawin sa pag-hack sa mga araw na ito, mayroong isang buong industriya, ito ay isang bagay na itinuro sa akin ng aking kasosyo, si Dr. Bloor, walong taon na ang nakararaan - Nagtataka ako kung bakit namin ito nakikita ng marami sa mga ito, at ipinapaalala niya ako, ito ay isang buong industriya na kasangkot sa pag-hack. At sa kahulugan na iyon, ang salaysay, na kung saan ay isa sa aking hindi bababa sa mga paboritong salita tungkol sa seguridad, ay talagang hindi tapat, dahil ipinapakita sa iyo ang salaysay sa lahat ng mga video na ito at anumang uri ng saklaw ng balita ang ilang mga pag-hack na ipinakita nila ang ilang mga tao sa isang hoodie, nakaupo sa kanyang silong sa isang madilim na ilaw na silid, hindi iyon ang lahat. Iyon ay hindi sa lahat ng kinatawan ng katotohanan. Ito ay nag-iisa na mga hacker, napakakaunting mga nag-iisa na hacker, nandoon sila, nagsasanhi sila ng ilang problema - hindi sila magiging sanhi ng malaking gulo, ngunit maaari silang gumawa ng maraming pera. Kaya ang nangyari ay pumasok ang mga hacker, at tumagos sa iyong system at pagkatapos ay ibenta ang pag-access na iyon sa ibang tao, na lumiliko at ipinagbibili ito sa ibang tao, at pagkatapos ay sa isang lugar, ang isang tao ay nagsasamantala sa hack at sinasamantala mo. At maraming mga paraan upang samantalahin ang mga ninakaw na data.

Nakapagtataka pa ako sa aking sarili tungkol sa kung paano namin nai-engganyo ang konseptong ito. Nakikita mo ang salitang ito sa lahat ng dako, "paglago ng pag-hack" tulad ng isang magandang bagay. Ang paglaki ng pag-hack, alam mo, ang pag-hack ay maaaring maging isang mabuting bagay, kung sinusubukan mong magtrabaho para sa mabubuting lalaki upang magsalita at mag-hack sa isang sistema, tulad ng patuloy nating pagdinig tungkol sa Hilagang Korea at ang kanilang mga paglulunsad ng misayl, na maaaring ma-hack - mabuti yan. Ngunit ang pag-hack ay madalas na isang masamang bagay. Kaya ngayon pinapalamuti namin ito, halos katulad ng Robin Hood, nang mag-glamorize kami ng Robin Hood. At pagkatapos ay mayroong lipunan na walang cash, isang bagay na lantaran na nag-aalala sa mga ilaw ng araw na wala sa akin. Ang naiisip ko sa tuwing naririnig ko iyon ay, "Hindi, mangyaring huwag gawin ito! Mangyaring huwag! ”Hindi ko nais na mawala ang lahat ng aming pera. Kaya, ang mga ito ay ilan lamang sa mga isyu upang isaalang-alang, at muli, ito ay isang laro ng cat-and-mouse; hindi na ito titigil, palaging may pangangailangan para sa mga protocol ng seguridad at para sa pagsulong ng mga protocol ng seguridad. At para sa pagsubaybay sa iyong mga system para sa kahit na pag-alam at pandama kung sino ang naroroon, kasama ang pag-unawa na maaari itong maging isang panloob na trabaho. Kaya, ito ay isang patuloy na isyu, ito ay magiging isang patuloy na isyu sa loob ng ilang oras - huwag magkakamali tungkol doon.

At doon, ibibigay ko ito kay Dr. Bloor, na maaaring ibahagi sa amin ang ilang mga saloobin tungkol sa pag-secure ng mga database. Robin, ilayo mo na.

Robin Bloor: OK, isa sa mga kagiliw-giliw na hack, sa palagay ko nangyari ito tungkol sa limang taon na ang nakalilipas, ngunit talaga ito ay isang kumpanya sa pagproseso ng card na na-hack. At isang malaking bilang ng mga detalye ng card ang ninakaw. Ngunit ang kagiliw-giliw na bagay tungkol dito, sa akin, ay ang katotohanan na ito ay ang database ng pagsubok na talagang nakuha nila, at marahil ito ang kaso na nahihirapan silang makapasok sa aktwal, totoong database ng pagproseso ng mga kard. Ngunit alam mo kung paano ito kasama ng mga nag-develop, kumukuha lamang sila ng isang database, isasalansan doon. Magkakaroon sana ng mas higit na pag-iingat upang pigilan iyon. Ngunit mayroong maraming mga kawili-wiling mga kuwento sa pag-hack, ginagawa ito sa isang lugar, gumagawa ito ng isang napaka-kagiliw-giliw na paksa.

Kaya pupunta ako talaga, sa isang paraan o sa iba pa, ulitin ang ilan sa mga bagay na sinabi ni Eric, ngunit madaling isipin ang seguridad ng data bilang isang static target; mas madali lamang ito sapagkat mas madaling pag-aralan ang mga static na sitwasyon at pagkatapos ay isipin ang paglalagay ng mga panlaban, mga depensa doon, ngunit hindi. Tumatakbo ang target at iyon ang isa sa mga bagay na tumutukoy sa buong puwang ng seguridad. Ito ay sa paraang nagbabago ang lahat ng teknolohiya, ang teknolohiya ng mga masasamang tao ay nagbabago rin. Kaya, maikling pangkalahatang pangkalahatang-ideya: Ang pagnanakaw ng Data ay walang bago, sa aktwal na katotohanan, ang data ng espionage ay pagnanakaw ng data at nagaganap ito sa libu-libong taon, sa palagay ko.

Ang pinakadakilang data heist sa mga term na iyon ay ang British na sumisira sa mga Aleman code at ang mga Amerikano na sumisira sa mga Japanese code, at medyo marami sa parehong mga pagkakataon ay pinaikling nila ang digmaan nang malaki. At ang pagnanakaw lamang nila ay kapaki-pakinabang at mahalagang data, ito ay masyadong matalino ng kurso, ngunit alam mo, kung ano ang nangyayari ngayon ay napaka matalino sa maraming mga paraan. Ang pagnanakaw ng Cyber ​​ay ipinanganak kasama ang internet at sumabog sa paligid ng 2005. Nagpunta ako at tiningnan ang lahat ng mga istatistika at kung sinimulan mo na talagang maging seryoso at, sa ilang paraan o iba pa, kapansin-pansin na mataas na mga numero na nagsisimula noong mga 2005. Ito ay naging mas masahol pa mula pa noong 2005. pagkatapos. Maraming mga manlalaro, pamahalaan ay kasangkot, ang mga negosyo ay kasangkot, mga grupo ng hacker at indibidwal.

Nagpunta ako sa Moscow - marahil ay tungkol sa limang taon - at talagang gumugol ako ng maraming oras sa isang tao mula sa UK, na nagsasaliksik sa kabuuan ng puwang ng pag-hack. At sinabi niya na - at wala akong ideya kung totoo ito, nakuha ko lang ang kanyang salita para dito, ngunit malamang na parang tunog ito - na sa Russia mayroong isang tinatawag na Business Network, na isang grupo ng mga hacker na lahat, alam mo, lumabas sila sa mga pagkasira ng KGB. At ipinagbibili nila ang kanilang sarili, hindi lamang, ang ibig kong sabihin, sigurado ako na ginagamit ng pamahalaan ng Russia, ngunit ibinebenta nila ang kanilang sarili sa sinuman, at nabalitaan ito, o sinabi niya na napabalita, na ang iba't ibang mga dayuhang gobyerno ay gumagamit ng Business Network para sa may kakayahang maiiwasan. Ang mga taong ito ay mayroong mga network ng milyun-milyong mga nakompromiso na mga PC na maaari nilang atakehin mula sa. At mayroon silang lahat ng mga tool na maaari mong isipin.

Kaya, nagbago ang teknolohiya ng pag-atake at pagtatanggol. At ang mga negosyo ay may tungkulin ng pangangalaga sa kanilang data, pagmamay-ari man nila ito o hindi. At nagsisimula na itong maging mas malinaw sa mga tuntunin ng iba't ibang mga piraso ng regulasyon na aktwal na na naipilit, o nagsisimula nang lakas. At malamang na mapabuti, ang isang tao sa isang paraan o sa iba pa, ang isang tao ay may upang madala ang gastos ng pag-hack sa isang paraan na sila ay insentibo upang isara ang posibilidad. Iyon ang isa sa mga bagay na sa palagay ko ay kinakailangan. Kaya tungkol sa mga hacker, maaari silang matatagpuan saanman. Lalo na sa loob ng iyong samahan - isang kakila-kilabot na maraming mapanlikha na mga hack na narinig ko na may kinalaman sa isang tao na nagbubukas ng pinto. Alam mo, ang tao, ito ay tulad ng sitwasyon sa pagnanakaw sa bangko, halos palaging sinasabi nila sa mabuting pagnanakaw sa bangko mayroong isang tagaloob. Ngunit ang tagaloob ay kailangan lamang magbigay ng impormasyon, kaya mahirap makuha ang mga ito, malaman kung sino ito, at iba pa.

At maaaring mahirap dalhin ang mga ito sa katarungan, dahil kung na-hack ka ng isang pangkat ng mga tao sa Moldova, kahit na alam mo na ito ay ang pangkat na iyon, paano ka gagawa ng ilang uri ng ligal na kaganapan na nangyayari sa kanilang paligid? Ito ay uri ng, mula sa isang nasasakupan hanggang sa iba pa, makatarungan, walang isang napakahusay na hanay ng mga internasyonal na pag-aayos upang mapuksa ang mga hacker. Nagbabahagi sila ng teknolohiya at impormasyon; marami sa mga ito ay bukas na mapagkukunan. Kung nais mong bumuo ng iyong sariling virus, mayroong maraming mga virus kit out doon - ganap na bukas na mapagkukunan. At mayroon silang malaking mapagkukunan, nagkaroon ng isang numero na nagkaroon ng mga botnets sa higit sa isang milyong nakompromiso na aparato sa mga data center at sa mga PC at iba pa. Ang ilan ay mga kapaki-pakinabang na negosyo na matagal nang nagaganap, at pagkatapos ay mayroong mga pangkat ng gobyerno, tulad ng nabanggit ko. Hindi malamang, tulad ng sinabi ni Eric, malamang na hindi magtatapos ang hindi pangkaraniwang bagay na ito.

Kaya, ito ay isang kawili-wiling hack na naisip ko lang na banggitin ito, 'sanhi ito ay isang medyo kamakailan na pag-hack; nangyari ito noong nakaraang taon. May kahinaan sa kontrata ng DAO na nauugnay sa Etherium crypto barya. At napag-usapan ito sa isang forum, at sa loob ng isang araw, ang kontrata ng DAO ay na-hack, gamit ang kahinaang madali. Ang $ 50 milyon sa eter ay napigilan, na nagdulot ng agarang krisis sa proyekto ng DAO at isara ito. At ang Etherium ay talagang nakipaglaban upang subukan at panatilihin ang hacker mula sa pag-access sa pera, at uri nila ang nabawasan ang kanyang pagkuha. Ngunit ito rin ay pinaniniwalaan - hindi kilalang sigurado - na ang hacker ay talagang pinaikling ang presyo ng eter bago ang kanyang pag-atake, alam na ang presyo ng eter ay babagsak, at sa gayon ay gumawa ng isang kita sa ibang paraan.

At isa pa iyon, kung gusto mo, stratagem na maaaring gamitin ng mga hacker. Kung maaari nilang mapinsala ang iyong presyo ng pagbabahagi, at alam nila na gagawin nila iyon, pagkatapos ay kinakailangan lamang para sa kanila na maikli ang presyo ng pagbabahagi at gawin ang hack, kaya uri ito, ang mga taong ito ay matalino, alam mo. At ang presyo ay direktang pagnanakaw ng pera, pagkagambala at pagtubos, kabilang ang mga pamumuhunan, kung saan ginugulo mo at pinaikling ang stock, sabotage, pagnanakaw ng pagkakakilanlan, lahat ng uri ng mga scam, para lamang sa kapakanan ng advertising. At ito ay may posibilidad na maging pampulitika, o malinaw naman, ang pagbu-ot ng impormasyon at mayroong mga tao na gumagawa ng buhay sa mga bounties ng bug na maaari mong makuha sa pamamagitan ng pagsisikap na hack ang Google, Apple, Facebook - kahit na ang Pentagon, ay talagang nagbibigay ng mga bounties ng bug. At nag-hack ka lang; kung ito ay matagumpay, pagkatapos ay pupunta ka lamang at i-claim ang iyong premyo, at walang pinsala na nagawa, kaya iyon ay isang magandang bagay, alam mo.

Maaari ko ring banggitin ang pagsunod at regulasyon. Bukod sa mga inisyatibo ng sektor, mayroong maraming mga opisyal na regulasyon: ang HIPAA, SOX, FISMA, FERPA at GLBA ay lahat ng batas ng US. Mayroong mga pamantayan; Ang PCI-DSS ay naging isang pangkalahatang pamantayan. At pagkatapos ay mayroong ISO 17799 tungkol sa pagmamay-ari ng data. Ang mga pambansang regulasyon ay naiiba ang bansa sa bansa, kahit na sa Europa. At sa kasalukuyan ang GDPR - ang Global Data, ano ang ibig sabihin nito? Global Regulasyon ng Proteksyon ng Data, sa palagay ko ay nangangahulugan ito - ngunit ito ay nagsisimula sa susunod na taon, sinabi sa. At ang kagiliw-giliw na bagay tungkol dito ay nalalapat ito sa buong mundo. Kung mayroon kang 5, 000 o higit pang mga customer, na mayroon kang personal na impormasyon at naninirahan sila sa Europa, kung gayon ang Europa ay dadalhin ka sa gawain, anuman ang iyong korporasyon ay talagang headquartered, o kung saan ito nagpapatakbo. At ang mga parusa, ang pinakamataas na parusa ay apat na porsyento ng taunang kita, na kung saan ay napakalaki lamang, sa gayon ay magiging isang kawili-wiling iuwi sa ibang bagay sa mundo, kapag ito ay pinipilit.

Ang mga bagay na dapat isipin, well, ang mga kahinaan ng DBMS, karamihan sa mga mahalagang data ay talagang nakaupo sa mga database. Mahalaga ito dahil naglagay kami ng isang kakila-kilabot na oras sa paggawa nito magagamit at maayos ang pag-aayos nito at ginagawang mas mahina ito, kung hindi mo talaga mailalapat ang tamang mga seguridad sa DBMS. Malinaw, kung magpaplano ka para sa mga bagay na tulad nito, kailangan mong kilalanin kung anong mahina ang data sa buong samahan, naisip na ang data ay maaaring mahina laban sa iba't ibang mga kadahilanan. Maaari itong maging data ng customer, ngunit maaari itong pantay-pantay na mga panloob na dokumento na magiging mahalaga para sa mga layunin ng espiya at iba pa. Ang patakaran sa seguridad, lalo na may kaugnayan sa pag-access sa seguridad - na sa mga nagdaang panahon ay sa aking opinyon ay mahina, sa bagong bukas na mapagkukunan - ang pag-encrypt ay higit na ginagamit sapagkat ito ay medyo solidong bato.

Ang gastos ng isang paglabag sa seguridad, ang karamihan sa mga tao ay hindi alam, ngunit kung talagang tiningnan mo ang nangyari sa mga organisasyon na nagdusa sa mga paglabag sa seguridad, lumiliko na ang gastos ng isang paglabag sa seguridad ay madalas na mas mataas kaysa sa iniisip mong magiging . At pagkatapos ay ang iba pang bagay na dapat isipin ay ang pag-atake sa ibabaw, dahil ang anumang piraso ng software saanman, na tumatakbo sa iyong mga organisasyon ay nagtatanghal ng isang ibabaw ng pag-atake. Kaya gawin ang alinman sa mga aparato, ganoon din ang data, gaano man iniimbak. Ito ay lahat, ang pag-atake sa ibabaw ay lumalaki sa internet ng mga bagay, ang pag-atake sa ibabaw ay marahil ay doble.

Kaya, sa wakas, ang DBA at seguridad ng data. Ang seguridad ng data ay karaniwang bahagi ng papel ng DBA. Ngunit ito ay nakikipagtulungan, din. At kailangan itong sumailalim sa patakaran ng korporasyon, kung hindi, malamang na hindi ito maipapatupad nang maayos. Pagkasabi nito, sa palagay ko makakapasa ako ng bola.

Eric Kavanagh: Sige, bigyan mo ako ng mga susi kay Vicky. At maaari mong ibahagi ang iyong screen o lumipat sa mga slide na ito, nasa sa iyo, dalhin ito.

Vicky Harp: Hindi, magsisimula ako sa mga slide na ito, maraming salamat. Kaya, oo, nais ko lang mag-isang mabilis na sandali at ipakilala ang aking sarili. Ako si Vicky Harp. Ako ay isang manager, pamamahala ng produkto para sa mga produktong SQL sa software ng IDERA, at para sa iyo na maaaring hindi pamilyar sa amin, ang IDERA ay may isang bilang ng mga linya ng produkto, ngunit narito ako nagsasalita para sa SQL Server na bahagi ng mga bagay. At sa gayon, ginagawa namin ang pagsubaybay sa pagganap, pagsunod sa seguridad, backup, mga tool sa pangangasiwa - at ito ay uri lamang ng isang listahan ng mga ito. At syempre, ang tinutukoy ko rito ay ang seguridad at pagsunod.

Ang karamihan sa kung ano ang nais kong pag-usapan ngayon ay hindi kinakailangan ang aming mga produkto, kahit na balak kong ipakita ang ilang mga halimbawa nito. Nais kong makipag-usap sa iyo tungkol sa seguridad ng database, ang ilan sa mga pagbabanta sa mundo ng database ng seguridad ngayon, ilang mga bagay na dapat isipin, at ang ilan sa mga pambungad na ideya ng kailangan mong tingnan upang ma-secure ang iyong SQL Mga database ng server at tiyaking tiyaking sumusunod ang mga balangkas ng regulasyon na maaari kang sumailalim sa, tulad ng nabanggit. Maraming iba't ibang mga regulasyon sa lugar; pumunta sila sa iba't ibang mga industriya, iba't ibang mga lugar sa buong mundo, at ito ang mga bagay na dapat isipin.

Kaya, gusto kong maglaan ng sandali at pag-usapan ang tungkol sa estado ng mga paglabag sa data - at hindi na ulitin nang labis ang napag-usapan na dito - Hinahanap ko ang pag-aaral sa pananaliksik na seguridad ng Intel kamakailan, at sa kabuuan ng kanilang - Sa tingin ko 1500 o higit pang mga samahan na kinausap nila - mayroon silang average ng anim na paglabag sa seguridad, sa mga tuntunin ng mga paglabag sa data pagkawala, at 68 porsyento ng mga ito ay nangangailangan ng pagsisiwalat sa ilang kahulugan, kaya naapektuhan nila ang presyo ng stock, o kailangan nilang gumawa ng ilang kredito pagsubaybay para sa kanilang mga customer o kanilang mga empleyado, atbp.

Ang ilang mga kagiliw-giliw na iba pang mga istatistika ay ang mga panloob na aktor na responsable para sa 43 porsyento ng mga iyon. Kaya, sa tingin ng isang pulutong ng maraming tao ang tungkol sa mga hacker at ang mga ganitong uri ng madilim na quasi-governmental na organisasyon o organisadong krimen, atbp, ngunit ang mga panloob na aktor ay direktang kumikilos laban sa kanilang mga employer, sa isang medyo mataas na proporsyon ng mga kaso. At ito ay kung minsan ay mas mahirap protektahan laban sa, dahil ang mga tao ay maaaring may mga lehitimong dahilan upang magkaroon ng access sa data na iyon. Halos kalahati ng iyon, 43 porsyento ang hindi sinasadyang pagkawala sa ilang kahulugan. Kaya, halimbawa, sa kaso kung saan ang isang tao ay kumuha ng data sa bahay, at pagkatapos ay nawala ang subaybayan ng data na iyon, na humahantong sa akin sa pangatlong puntong ito, na kung saan ay ang bagay sa pisikal na media ay kasangkot pa rin ng 40 porsyento ng mga paglabag. Kaya, iyon ang mga susi ng USB, iyon ang mga laptop ng mga tao, iyon ang aktwal na media na sinunog sa mga pisikal na disc at kinuha sa labas ng gusali.

Kung iisipin mo, mayroon ka bang isang developer na mayroong isang kopya ng iyong database ng produksyon sa kanilang laptop? Pagkatapos ay sumakay sila sa isang eroplano at bumaba sila sa eroplano, at nakuha nila ang mga naka-check na bagahe at ang kanilang laptop ay ninakaw. Mayroon ka na ngayong paglabag sa data. Hindi mo maaaring isipin na iyon ang dahilan kung bakit nakuha ang laptop na iyon, maaaring hindi na ito lumitaw sa ligaw. Ngunit iyon pa rin ang isang bagay na bilang bilang isang paglabag, kakailanganin nito ang pagsisiwalat, magkakaroon ka ng lahat ng mga downstream na epekto ng pagkawala ng data na iyon, dahil lamang sa pagkawala ng pisikal na media.

At ang iba pang mga kagiliw-giliw na bagay ay ang maraming mga tao ay nag-iisip tungkol sa mga data ng credit, at ang impormasyon sa credit card bilang pinakamahalaga, ngunit hindi na iyon ang kaso. Mahalaga ang data na iyon, ang mga numero ng credit card ay kapaki-pakinabang, ngunit matapat, ang mga numerong iyon ay binago nang napakabilis, samantalang ang personal na data ng mga tao ay hindi mabago nang napakabilis. Isang bagay na kamakailan-lamang na item ng balita, medyo kamakailan, ang VTech, isang tagagawa ng laruan ay may mga laruang ito na idinisenyo para sa mga bata. At ang mga tao ay, magkakaroon sila ng mga pangalan ng kanilang mga anak, magkakaroon sila ng impormasyon tungkol sa kung saan nakatira ang mga bata, mayroon silang mga pangalan ng kanilang mga magulang, mayroon silang mga litrato ng mga bata. Wala sa na naka-encrypt, dahil hindi ito itinuturing na mahalaga. Ngunit ang kanilang mga password ay naka-encrypt. Buweno, kapag ang paglabag ay hindi maiiwasang nangyari, sinasabi mo, "OK, kaya mayroon akong listahan ng mga pangalan ng mga bata, mga pangalan ng kanilang mga magulang, kung saan sila nakatira - ang lahat ng impormasyong ito ay nasa labas, at iniisip mo na ang password ang pinakamahalagang bahagi nito? ”Hindi; hindi mababago ng mga tao ang mga aspeto tungkol sa kanilang personal na data, ang kanilang address, atbp. At sa gayon ang impormasyon ay talagang napakahalaga at kailangan itong protektahan.

Kaya, nais na pag-usapan ang tungkol sa ilan sa mga bagay na nangyayari, upang mag-ambag sa paraan na nangyayari ang mga paglabag sa data sa ngayon. Ang isa sa mga malaking hotspots, puwang ngayon ay ang panlipunang engineering. Kaya't tinawag ito ng mga tao na phishing, mayroong pagkakaugnay, atbp, kung saan ang mga tao ay nakakakuha ng access sa data, madalas sa pamamagitan ng mga panloob na aktor, sa pamamagitan lamang ng pagkumbinsi sa kanila na dapat silang magkaroon ng access dito. Kaya, sa ibang araw pa lamang, mayroon kaming Google Docs worm na nangyayari sa paligid. At kung ano ang mangyayari - at talagang nakatanggap ako ng isang kopya nito, kahit na sa kabutihang-palad hindi ako nag-click dito - nakakakuha ka ng email mula sa isang kasamahan, na nagsasabing, "Narito ang isang link sa Google Doc; kailangan mong mag-click dito upang tingnan kung ano ang ibinahagi ko lang sa iyo. "Well, na sa isang samahan na gumagamit ng Google Docs, napaka maginoo, makakakuha ka ng dose-dosenang mga kahilingan sa isang araw. Kung nag-click ka dito, hihilingin ito sa iyo ng pahintulot na ma-access ang dokumentong ito, at baka sabihin mo, "Uy, mukhang medyo kakaiba, ngunit alam mo, mukhang legit din ito, kaya pupunta ako sa unahan at i-click ito, "at sa sandaling ginawa mo iyon, binigyan mo ang pag-access sa ikatlong partido na ito sa lahat ng iyong mga dokumento sa Google, at sa gayon, ang paglikha ng link na ito para sa panlabas na aktor na magkaroon ng access sa lahat ng iyong mga dokumento sa Google Drive. Nagpalala ito sa buong lugar. Tumama ito sa daan-daang libong mga tao sa loob ng ilang oras. At ito ay panimula ng isang pag-atake sa phishing na ang Google mismo ay natapos na kinakailangang isara, dahil napakahusay na napatay. Nahulog ang mga tao para dito.

Nabanggit ko rito ang paglabag sa SnapChat HR. Ito ay isang simpleng bagay lamang ng isang tao sa pag-email, na nagpapahiwatig na sila ang CEO, nag-email sa HR department, na sinasabi, "Kailangan kong ipadala sa akin ang spreadsheet na ito." At naniniwala sila sa kanila, at naglagay sila ng isang spreadsheet na may 700 iba't ibang mga empleyado. 'impormasyon sa kabayaran, ang kanilang mga address sa bahay, atbp., na-email ito sa ibang partido, hindi ito talaga ang CEO. Ngayon, nawala ang data, at lahat ng personal, pribadong impormasyon ng kanilang mga empleyado ay naroon at magagamit para sa pagsasamantala. Kaya, ang social engineering ay isang bagay na binabanggit ko ito sa mundo ng mga database, dahil ito ay isang bagay na maaari mong subukang ipagtanggol laban sa pamamagitan ng edukasyon, ngunit dapat mo ring tandaan na kahit saan na mayroon kang isang tao na nakikipag-ugnay sa iyong teknolohiya, at kung umaasa ka sa kanilang mabuting paghuhusga upang maiwasan ang isang pag-aalsa, marami kang hinihiling sa kanila.

Ang mga tao ay nagkakamali, nag-click ang mga tao sa mga bagay na hindi nila dapat, ang mga tao ay nahuhulog para sa matalino na mga gulo. At maaari mong subukan nang husto upang maprotektahan ang mga ito laban dito, ngunit hindi ito sapat na malakas, kailangan mong subukang limitahan ang kakayahan para sa mga tao na hindi sinasadyang ibigay ang impormasyong ito sa iyong mga database system. Ang iba pang bagay na nais kong banggitin na malinaw na pinag-uusapan natin ang tungkol sa maraming ay ransomware, botnets, mga virus - lahat ng iba't ibang mga awtomatikong paraan. At kaya sa palagay ko ay mahalagang maunawaan ang tungkol sa ransomware ay talagang nagbabago ang modelo ng tubo para sa mga umaatake. Sa kaso na pinag-uusapan mo ang isang paglabag, kailangan nilang, sa ilang kahulugan, kunin ang data at gagamitin ito para sa kanilang sarili at gamitin ito. At kung ang iyong data ay malabo, kung naka-encrypt, kung tiyak ang industriya, marahil wala silang halaga para dito.

Hanggang sa puntong ito, maaaring naramdaman ng mga tao na iyon ay isang proteksyon para sa kanila, "Hindi ko kailangang protektahan ang aking sarili mula sa isang paglabag sa data, dahil kung pupunta sila sa aking system, lahat sila ay magkakaroon ay, ako ay isang studio studio, may listahan ako kung sino ang darating sa kung anong mga araw para sa susunod na taon. Sino ang nagmamalasakit sa ganyan? "Buweno, lumiliko ang sagot ay nag-aalaga ka ba sa na; iniimbak mo ang impormasyong iyon, ito ang impormasyon na kritikal sa negosyo. Kaya, ang paggamit ng ransomware isang magsasalakay ay sasabihin, "Well, walang ibang magbibigay sa akin ng pera para dito, ngunit gagawin mo." Kaya, napatunayan nila ang katotohanan na hindi nila kailangang paalisin ang mga datos, hindi nila ginagawa ' kahit na kailangang magkaroon ng paglabag, kailangan lang nilang gumamit ng mga kasangkapan sa seguridad laban sa iyo. Pumasok sila sa iyong database, nai-encrypt nila ang mga nilalaman nito, at pagkatapos ay sinabi nila, "OK, mayroon kami ng password, at kakailanganin mong magbayad sa amin ng $ 5, 000 upang makuha ang password na iyon, o kung wala ka ay wala ka lamang ang data na ito. "

At ang mga tao ay nagbabayad; nalaman nila ang kanilang sarili na gawin iyon. MongoDB ay uri ng isang malaking problema ng ilang buwan na ang nakakaraan, sa palagay ko ay noong Enero, kung saan tumama ang ransomware, sa palagay ko, higit sa isang milyong database ng MongoDB na nasa publiko sila sa internet, batay sa ilang mga default na setting. At kung ano ang gumawa nito kahit na mas masahol pa ay ang mga tao ay nagbabayad at sa gayon ang iba pang mga organisasyon ay papasok at muling i-encrypt o mag-aangkin na sila ang una na na-encrypt ito, kaya kapag binayaran mo ang iyong pera, at sa palagay ko sa kasong iyon sila humihingi ng isang bagay tulad ng $ 500, sasabihin ng mga tao, "OK, magbabayad ako ng higit sa na magbayad ng isang mananaliksik na makapasok dito upang matulungan akong malaman kung ano ang mali. Magbabayad lang ako ng $ 500. "At hindi nila ito binabayaran sa tamang aktor, kaya't sasakay sila sa sampung magkakaibang mga samahan na nagsasabi sa kanila, " Mayroon kaming password, "o" Kami ay Nakakuha ka ng paraan para ma-unlock mo ang iyong natubos na data. ”At kailangan mong bayaran ang lahat ng mga ito upang posibleng makapagtrabaho ito.

Mayroon ding mga kaso kung saan ang mga may-akda ng ransomware ay may mga bug, ang ibig kong sabihin, hindi namin pinag-uusapan na ito ay isang perpektong sitwasyon sa itaas na board, kaya kahit na minsan ay inaatake ito, kahit na kapag binayaran mo, walang garantiya na ikaw ay pagpunta upang makuha ang lahat ng iyong data, ang ilan sa mga ito ay kumplikado pati na rin sa pamamagitan ng sandata ng armas na InfoSec. Kaya ang mga Shadow Brokers ay isang pangkat na naglabas ng mga tool na nagmula sa NSA. Sila ay mga tool na dinisenyo ng entidad ng gobyerno para sa mga layunin ng espiya at aktwal na nagtatrabaho laban sa ibang mga nilalang ng gobyerno. Ang ilan sa mga ito ay talagang mataas na profile na pag-atake ng zero-day, na talaga namang ginagawa ang kilalang protocol ng seguridad. At kaya nagkaroon ng isang pangunahing kahinaan sa protocol ng SMB halimbawa, sa isa sa mga kamakailan-lamang na mga pagtatapon ng Shadow Brokers.

At sa gayon ang mga tool na lumalabas dito ay maaari, sa isang bagay ng ilang oras, talagang baguhin ang laro sa iyo, sa mga tuntunin ng iyong pag-atake sa ibabaw. Kaya't sa tuwing iniisip ko ito, ito ay isang bagay na sa isang antas ng organisasyon, ang Impormasyon sa seguridad ay ang sariling pag-andar, kailangan itong isaalang-alang. Sa tuwing pinag-uusapan natin ang tungkol sa mga database, maaari kong dalhin ito nang kaunti, hindi mo kinakailangang magkaroon bilang isang tagapamahala ng database na buong pag-unawa sa nangyayari sa mga Shadow Brokers sa linggong ito, ngunit kailangan mong magkaroon ng kamalayan na ang lahat ng mga ito ay lumilipat, may mga bagay na nangyayari, at sa gayon ang degree na kung saan pinapanatili mo ang iyong sariling domain na mahigpit at ligtas, makakatulong ito sa iyo sa kaso na ang mga bagay na uri ay mapupuksa mula sa ilalim mo.

Kaya, nais kong maglaan ng ilang sandali dito, bago lumipat sa pakikipag-usap tungkol sa SQL Server partikular, upang aktwal na magkaroon ng isang bukas na talakayan sa aming mga panelists sa ilan sa mga pagsasaalang-alang sa seguridad ng database. Kaya, nakuha ko hanggang sa puntong ito, ang ilan sa mga bagay na hindi namin nabanggit, nais kong pag-usapan ang tungkol sa SQL injection bilang isang vector. Kaya, ito ay SQL injection, malinaw naman ito ang paraan kung saan ang mga tao ay nagpasok ng mga utos sa isang database system, sa pamamagitan ng uri ng pag-aayos ng mga input.

Eric Kavanagh: Oo, nakilala ko talaga ang isang tao - Sa palagay ko ay nasa base ng Andrews Air Force - mga limang taon na ang nakalilipas, isang consultant na nakikipag-usap ako sa kanya sa pasilyo at kami ay uri lamang ng pagbabahagi ng mga kwentong giyera - walang puntong inilaan - at binanggit niya na dinala siya ng isang tao upang kumunsulta sa isang medyo mataas na ranggo ng militar at tinanong siya ng lalaki, "Well, paano namin malalaman na mahusay ka sa iyong ginagawa?" At ito at iyon . At habang siya ay nakikipag-usap sa kanila na ginamit niya sa kanyang computer, nakuha niya sa network, ginamit niya ang SQL injection upang makapasok sa registry ng email para sa base na iyon at para sa mga taong iyon. At natagpuan niya ang email ng tao na kinakausap niya at ipinakita lamang sa kanya ang kanyang email sa kanyang makina! At ang tao ay tulad ng, "Paano mo ginawa iyon?" Sinabi niya, "Well, ginamit ko ang SQL injection."

Kaya, limang taon lamang ang nakalilipas, at ito ay sa isang base ng Air Force, di ba? Kaya, ang ibig kong sabihin, sa mga tuntunin ng konteksto, ang bagay na ito ay tunay na tunay at maaari itong magamit na may talagang nakakatakot na mga epekto. Ibig kong sabihin, gusto kong malaman kung anumang mga kwentong giyera na mayroon si Robin sa paksa, ngunit ang lahat ng mga pamamaraan na ito ay may bisa pa rin. Ginagamit pa rin sila sa maraming mga kaso, at ito ay isang katanungan ng pagtuturo sa iyong sarili, di ba?

Robin Bloor: Well, oo. Oo, posible na ipagtanggol laban sa SQL injection sa pamamagitan ng paggawa ng trabaho. Madaling maunawaan kung bakit kapag naimbento ang ideya at unang nabulol, madaling maunawaan kung bakit ito naging matagumpay na goddamned, dahil maaari mo lamang itong idikit sa isang larangan ng pag-input sa isang web page at makuha ito upang maibalik ang data para sa iyo, o makuha ito upang tanggalin ang data sa database, o anumang bagay - maaari mo lamang mag-iniksyon ng SQL code upang gawin iyon. Ngunit ito ang bagay na interesado sa akin, ito ay alam mo, kailangan mong gumawa ng kaunting pag-parse, ng bawat piraso ng data na naipasok, ngunit posible na makita na sinusubukan na gawin ng isang tao. At ito talaga, sa palagay ko ito talaga ang, 'sanhi ng mga tao pa rin ang lumayo dito, ang ibig kong sabihin ay kakaiba lang na wala pang madaling paraan upang labanan iyon. Alam mo, na ang bawat tao ay madaling gamitin, ibig sabihin, hanggang sa alam ko, wala pa, si Vicky, ay nariyan?

Vicky Harp: Well, talaga ang ilan sa mga solusyon sa pag-hostage, tulad ng SQL Azure, sa palagay ko ay may ilang mga magagandang paraan ng pagtuklas na batay sa pagkatuto ng makina. Na marahil kung ano ang makikita natin sa hinaharap, ay isang bagay na sinusubukan nitong makabuo ng isang sukat na umaangkop sa lahat. Sa palagay ko ang sagot ay hindi mayroong isang sukat na umaangkop sa lahat, ngunit mayroon kaming mga makina na maaaring malaman kung ano ang iyong sukat at tiyakin na akma ka rito, di ba? At kaya kung mayroon kang maling positibo, ito ay dahil ikaw ay talagang gumagawa ng isang bagay na hindi pangkaraniwan, hindi ito dahil sa kinailangan mong dumaan at masakit na kilalanin ang lahat na maaaring gawin ng iyong aplikasyon.

Sa palagay ko ang isa sa mga kadahilanan na talagang napakatindi pa rin ay ang mga tao ay umaasa pa rin sa mga application ng third-party, at ang mga aplikasyon mula sa mga ISV at ang mga smeared sa paglipas ng panahon. Kaya, pinag-uusapan mo ang tungkol sa isang samahan na binili ng isang aplikasyon sa engineering na isinulat noong 2001. At hindi nila ito na-update, dahil wala pa ring mga pangunahing pagbabago sa pag-andar mula noon, at ang orihinal na may-akda nito ay uri ng, hindi sila isang inhinyero, hindi sila eksperto sa seguridad sa database, hindi nila ginawa ang mga tamang paraan sa application at pinapalakas nila ang pagiging isang vector. Ang aking pag-unawa ay - Sa palagay ko ito ay ang paglabag sa Target na data, ang talagang malaki - ang pag-atake ng vector ay sa pamamagitan ng isa sa kanilang mga tagapaghatid ng air conditioning, di ba? Kaya, ang problema sa mga third party, maaari mong, kung nagmamay-ari ka ng iyong sariling pag-unlad shop maaari kang magkaroon ng ilang mga patakaran na ito sa lugar, ginagawa itong generally tuwing. Bilang isang organisasyon maaari kang magkaroon ng daan-daang o kahit libu-libong mga application na tumatakbo, kasama ang lahat ng iba't ibang mga profile. Sa palagay ko ay kung saan ang pag-aaral ng makina ay pupunta at magsimulang tumulong sa amin ng maraming.

Ang kwento ng giyera ko ay buhay na pang-edukasyon. Nakita ko ang isang pag-atake ng iniksyon ng SQL, at isang bagay na hindi pa nangyari sa akin ay ang paggamit ng simpleng nabasa na SQL. Ginagawa ko ang mga bagay na ito na tinatawag na obfuscated P SQL holiday cards; Gusto kong gawin, gawin mo itong hitsura ng SQL na nakalilito hangga't maaari. Mayroong napusok na C ++ code na paligsahan na nagaganap sa loob ng mga dekada ngayon, at ito ay uri ng parehong ideya. Kaya, kung ano ang talagang nakuha mo ay ang SQL injection na nasa isang bukas na patlang ng string, isinara nito ang string, inilagay ito sa semicolon, at pagkatapos ay inilagay ito sa exec na utos na pagkatapos ay mayroong isang serye ng mga numero at pagkatapos ito ay karaniwang ginagamit ang utos ng paghahagis na ibigay ang mga numero sa binary at pagkatapos ay ihahatid ang mga, sa turn, sa mga halaga ng character at pagkatapos ay isakatuparan iyon. Kaya, hindi tulad ng kailangan mong makita ang isang bagay na nagsabi, "Tanggalin ang pag-uumpisa mula sa talahanayan ng produksiyon, " talaga itong pinalamanan sa mga patlang na nakagagawa nang mas mahirap makita. At kahit na nakita mo ito, upang matukoy kung ano ang nangyayari, tumagal ito ng ilang totoong mga pag-shot ng SQL, upang malaman kung ano ang nangyayari, sa pamamagitan ng oras na iyon ang gawain ay nagawa na.

Robin Bloor: At ang isa sa mga bagay na isang kababalaghan lamang sa buong mundo ng pag-hack ay kung ang isang tao ay nakakahanap ng isang kahinaan at nangyari na sa isang piraso ng software na karaniwang ibinebenta, alam mo, ang isa sa mga unang problema ay ang password na database na ibinigay sa iyo kapag naka-install ang isang database, maraming mga database sa aktwal na katotohanan ay isang default lamang. At maraming DBA ay hindi kailanman nagbago ito, at samakatuwid maaari mong pamahalaan upang makapasok sa network pagkatapos; maaari mo lamang subukan ang password na iyon at kung nagtrabaho ito, well, nanalo ka lang sa loterya. At ang kagiliw-giliw na bagay ay ang lahat ng impormasyong iyon ay napaka mabisa at epektibong naikalat sa gitna ng mga komunidad ng pag-hack sa mga website ng darknet. At alam nila. Kaya, maaari silang magawa ng isang pagwalis ng kung ano ang naroroon, makahanap ng ilang mga pagkakataon at awtomatikong magtapon ng ilang mga pag-hack sa pagsasamantala dito, at sila ay nasa. At iyon, sa palagay ko, na maraming tao na hindi bababa sa ang paligid ng lahat ng ito, hindi talaga maunawaan kung gaano kabilis ang pagtugon ng network sa pagkabulok.

Vicky Harp: Oo, na talagang naghahatid ng isa pang bagay na nais kong banggitin bago ako magpatuloy, kung saan ito ang paniwala ng kredensyal na pagpupuno, na kung saan ay isang bagay na na-pop up ng maraming, na kung saan ang iyong mga kredensyal ay ninakaw para sa isang tao kahit saan, sa anumang site, ang mga kredensyal na iyon ay susubukan na muling magamit sa buong board. Kaya, kung gumagamit ka ng mga dobleng password, sabihin, kung ang iyong mga gumagamit, kahit na, ilagay natin sa ganoong paraan, ang isang tao ay maaaring makakuha ng access sa pamamagitan ng kung ano ang lilitaw na isang ganap na wastong hanay ng mga kredensyal. Kaya, sabihin nating ginamit ko ang aking parehong password sa Amazon at sa aking bangko, at din sa isang forum at ang forum ng forum ay na-hack, well, mayroon silang pangalan ng gumagamit at aking password. At maaari nilang gamitin ang parehong pangalan ng gumagamit sa Amazon, o ginagamit nila ito sa bangko. At hanggang sa nababahala ang bangko, ito ay isang ganap na wastong pag-login. Ngayon, maaari kang gumawa ng mga hindi kilalang aksyon sa pamamagitan ng ganap na awtorisadong pag-access.

Kaya, ang uri ng iyon ay bumalik muli sa aking sinabi tungkol sa mga panloob na paglabag at panloob na paggamit. Kung mayroon kang mga tao sa iyong samahan na gumagamit ng kanilang parehong password para sa panloob na pag-access na ginagawa nila para sa panlabas na pag-access, nakuha mo ang posibilidad na ang isang tao ay papasok at ipakilala ka sa pamamagitan ng isang paglabag sa ilang iba pang site na hindi mo kahit na alam ko. At ang data na ito ay mabilis na ipinakalat. Mayroong mga listahan ng, sa palagay ko na ang pinakahuling pagkarga sa "na-pwned ko" ni Troy Hunt, sinabi niya na mayroon siyang kalahating bilyong hanay ng mga kredensyal, na kung - kung isasaalang-alang mo ang bilang ng mga tao sa planeta - iyon ay talagang malaking bilang ng mga kredensyal na ginawa para sa kredensyal na pagpupuno.

Kaya, pupunta ako sa hakbang na medyo malalim at pag-usapan ang tungkol sa seguridad ng SQL Server. Ngayon nais kong sabihin na hindi ko susubukan na ibigay sa iyo ang lahat ng kailangan mong malaman upang ma-secure ang iyong SQL Server sa susunod na 20 minuto; na tila medyo isang mataas na pagkakasunud-sunod. Kaya, upang magsimula pa rin, nais kong sabihin na mayroong mga grupo sa online at mga mapagkukunan sa online na maaari mong tiyak na Google, mayroong mga libro, may pinakamahusay na mga dokumento sa kasanayan sa Microsoft, mayroong isang security virtual na kabanata para sa mga propesyonal na kasama sa SQL Server, nasa security.pass.org sila at mayroon ako, naniniwala ako, buwanang mga webcast at pag-record ng mga webcoll sa uri ng pupunta sa tunay, malalim na kung paano gawin ang seguridad ng SQL Server. Ngunit ito ang ilan sa mga bagay na sa akin, nagsasalita sa iyo bilang mga propesyonal sa data, bilang mga propesyonal sa IT, bilang mga DBA, nais kong malaman mong kailangan mong malaman tungkol sa seguridad ng SQL Server.

Kaya ang una ay ang pisikal na seguridad. Kaya, tulad ng sinabi ko kanina, ang pagnanakaw ng pisikal na media ay pangkaraniwan pa rin. At kaya ang senaryo na ibinigay ko sa makina ng dev, na may isang kopya ng iyong database sa dev machine na makakakuha ng ninakaw - iyon ay isang napaka-pangkaraniwang vector, iyon ay isang vector na kailangan mong magkaroon ng kamalayan at subukang gumawa ng mga aksyon laban. Totoo rin ito para sa backup na seguridad, kaya kapag nai-back up ang iyong data, kailangan mong i-back up ang naka-encrypt, kailangan mong i-back up sa isang secure na lokasyon. Maraming beses ang data na ito na talagang protektado sa database, sa sandaling magsimula itong lumabas sa mga lokasyon ng periphery, papunta sa mga dev machine, papunta sa mga machine machine, nakakakuha kami ng kaunting mas maingat tungkol sa pag-patch, nakakakuha kami ng kaunti mag-ingat sa mga taong may access dito. Ang susunod na bagay na alam mo, nakakuha ka ng hindi naka-encrypt na mga backup na database na nakaimbak sa isang pampublikong bahagi sa iyong samahan na magagamit para sa pagsasamantala mula sa maraming iba't ibang mga tao. Kaya, isipin ang tungkol sa pisikal na seguridad at kasing simple ng, maaari bang maglakad ng isang tao at maglagay lamang ng isang USB key sa iyong server? Hindi mo dapat pinahihintulutan iyon.

Susunod na item na nais kong isipin ay ang seguridad sa platform, kaya ang napapanahon na OS, napapanahong mga patch. Napakapagod na marinig ang mga taong pinag-uusapan ang manatili sa mga mas lumang bersyon ng Windows, mas lumang mga bersyon ng SQL Server, na iniisip na ang tanging gastos sa paglalaro ay ang gastos ng pag-upgrade ng paglilisensya, na hindi ito ang kaso. Kami ay may seguridad, ito ay isang stream na patuloy na bumababa sa burol at habang tumatagal ang oras, mas maraming mga mapagsamantala ang matatagpuan. Ang Microsoft sa kasong ito, at iba pang mga pangkat na maaaring mangyari, maa-update nila ang mga matatandang sistema sa isang punto, at sa kalaunan ay mawawala sila sa suporta at hindi na nila mai-update ang mga ito, dahil ito ay isang walang katapusang proseso ng pagpapanatili.

At kaya, kailangan mong maging isang suportadong OS at kailangan mong maging napapanahon sa iyong mga patch, at natagpuan namin kamakailan tulad ng mga Shadow Brokers, sa ilang mga kaso ay maaaring magkaroon ng pananaw ang Microsoft sa paparating na mga pangunahing paglabag sa seguridad, bago ang mga ito pagiging publiko, bago isiwalat, kaya huwag hayaan ang iyong sarili na mawala ang lahat ng pagkakasunud-sunod. Mas gugustuhin kong hindi kumuha ng tagal, mas gugustuhin kong maghintay at basahin ang bawat isa sa kanila at magpasya. Maaaring hindi mo alam kung ano ang halaga nito hanggang sa ilang mga linggo pababa sa linya matapos mong malaman kung bakit nangyari ang patch na ito. Kaya, manatili sa itaas ng na.

Dapat mong ma-configure ang iyong firewall. Nakakagulat sa paglabag sa SNB kung gaano karaming mga tao ang nagpapatakbo ng mas lumang mga bersyon ng SQL Server na may ganap na bukas sa firewall ang sinumang tao, kaya ang sinumang tao ay maaaring makapasok at gawin ang anumang nais nila sa kanilang mga server. Dapat kang gumamit ng isang firewall. Ang katotohanan na paminsan-minsan ay kailangan mong i-configure ang mga patakaran o gumawa ng mga tiyak na pagbubukod sa paraang ginagawa mo ang iyong negosyo ay isang OK na presyo na babayaran. Kailangan mong kontrolin ang lugar ng ibabaw sa iyong mga system ng database - co-install ka ba ng mga serbisyo o mga web server tulad ng IIS sa parehong makina? Pagbabahagi ng parehong puwang ng disk, pagbabahagi ng parehong puwang ng memorya ng iyong mga database at iyong pribadong data? Subukan na huwag gawin iyon, subukang ihiwalay ito, panatilihing mas maliit ang lugar sa ibabaw, upang hindi ka na kailangang mag-alala nang labis tungkol sa pagtiyak na ang lahat ng ito ay ligtas sa tuktok ng database. Maaari kang uri ng pisikal na paghiwalayin ang mga, platform, paghiwalayin ang mga ito, bigyan ang iyong sarili ng kaunting paghinga sa silid.

Hindi ka dapat magkaroon ng mga super admins na tumatakbo sa lahat ng dako kahit saan magagawang magkaroon ng access sa lahat ng iyong data. Ang mga admin ng OS admin ay maaaring hindi kinakailangan na magkaroon ng access sa iyong database, o sa pinagbabatayan na data sa database sa pamamagitan ng encryption, na pag-uusapan namin sa isang minuto. At ang pag-access sa mga file ng database, kailangan mong paghigpitan din iyon. Ito ay uri ng hangal kung sasabihin mo, mabuti, ang isang tao ay hindi maaaring ma-access ang mga database na ito sa pamamagitan ng database; Hindi pinahihintulutan ng SQL Server ang mga ito na ma-access ito, ngunit kung pagkatapos ay maaari silang lumibot, kumuha ng isang kopya ng aktwal na MDF file, ilipat ito sa simpleng paraan, ilakip ito sa kanilang sariling SQL Server, hindi mo talaga nagawa marami.

Ang pag-encrypt, kaya ang pag-encrypt ay ang sikat na two-way sword. Mayroong maraming iba't ibang mga antas ng pag-encrypt na maaari mong gawin sa antas ng OS at ang kontemporaryong paraan ng paggawa ng mga bagay para sa SQL at Windows ay kasama ang BitLocker at sa antas ng database na tinatawag na TDE o transparent na data encryption. Kaya, ang parehong mga paraan upang mapanatili ang iyong data na naka-encrypt nang pahinga. Kung nais mong mapanatili ang iyong data na naka-encrypt nang mas malawak, maaari mong gawin ang naka-encrypt - paumanhin, ako ay uri ng hakbang. Maaari kang gumawa ng mga naka-encrypt na koneksyon upang sa tuwing nasa transit, naka-encrypt pa rin ito na kung may nakikinig, o mayroong isang tao sa gitna ng isang pag-atake, mayroon kang proteksyon ng data na iyon sa wire. Kailangang mai-encrypt ang iyong mga backup, tulad ng sinabi ko, maaaring ma-access sila sa iba at pagkatapos, kung nais mo itong mai-encrypt sa memorya at habang ginagamit, nakuha namin ang pag-encrypt ng kolum at pagkatapos, ang SQL 2016 ay may ganitong paniwala ng "palaging naka-encrypt "kung saan ito ay aktwal na naka-encrypt sa disk, sa memorya, sa kawad, sa lahat ng paraan sa application na aktwal na gumagamit ng data.

Ngayon, ang lahat ng pag-encrypt na ito ay hindi libre: Mayroong CPU overhead, kung minsan para sa pag-encrypt ng haligi at ang palaging naka-encrypt na kaso, mayroong mga implikasyon sa pagganap sa mga tuntunin ng iyong kakayahan na gawin na naghahanap ng data na iyon. Gayunpaman, ang pag-encrypt na ito, kung maayos na magkasama, pagkatapos ay nangangahulugan na kung ang isang tao ay makakuha ng access sa iyong data, ang pinsala ay lubos na nabawasan, dahil nagawa nilang makuha ito at pagkatapos ay wala silang magagawa. Gayunpaman, ito rin ang paraan kung saan gumagana ang ransomware, na ang isang tao ay pumapasok at pinapasara ang mga item na ito, gamit ang kanilang sariling sertipiko o kanilang sariling password at wala kang access dito. Kaya, kung bakit mahalaga na tiyakin na ginagawa mo ito, at mayroon kang access dito, ngunit hindi mo ito binibigyan, buksan para sa iba at gagawin ng mga umaatake.

At pagkatapos, mga alituntunin ng seguridad - Hindi ako magpunta sa belabor sa puntong ito, ngunit siguraduhin na wala kang bawat gumagamit na tumatakbo sa SQL Server bilang super admin. Gusto ito ng iyong mga developer, maaaring gusto ito ng iba't ibang mga gumagamit - nabigo sila sa pamamagitan ng paghingi ng pag-access para sa mga indibidwal na item - ngunit kailangan mong maging masigasig tungkol dito, at kahit na ito ay magiging mas kumplikado, magbigay ng access sa mga bagay at ang mga database at mga scheme na may bisa para sa patuloy na trabaho, at mayroong isang espesyal na kaso, marahil nangangahulugan ito ng isang espesyal na pag-login, hindi ito nangangahulugang isang pagtaas ng mga karapatan, para sa average na gumagamit ng kaso.

At pagkatapos, mayroong mga pagsasaalang-alang sa pagsunod sa regulasyon na dovetail sa ito at ang ilang mga kaso ay maaaring talagang uri ng umalis sa kanilang sariling paraan - kaya mayroong HIPAA, SOX, PCI - mayroong lahat ng iba't ibang mga pagsasaalang-alang. At kapag dumaan ka sa isang pag-audit, inaasahan mong ipakita na nagsasagawa ka ng mga aksyon upang manatiling sumusunod sa ito. At sa gayon, ito ay maraming upang subaybayan, sasabihin ko bilang isang listahan ng dapat gawin ng DBA, sinusubukan mong matiyak na ang pagsasaayos ng security encryption sa seguridad, sinusubukan mong tiyaking na-access ang pag-access sa data na iyon para sa iyong mga layunin sa pagsunod, tiyakin na ang iyong mga sensitibong haligi, na alam mo kung ano sila, kung nasaan sila, alin ang dapat mong i-encrypt at panonood ng pag-access sa. At siguraduhin na ang mga pagsasaayos ay naaayon sa mga alituntunin ng regulasyon na napapailalim sa iyo. At kailangan mong panatilihing napapanahon ang lahat habang nagbabago ang mga bagay.

Kaya, maraming dapat gawin, at kaya kung iwanan ko lang doon, sasabihin kong gawin iyon. Ngunit mayroong maraming iba't ibang mga tool para sa, at sa gayon, kung maaari kong sa huling ilang minuto, nais kong ipakita sa iyo ang ilan sa mga tool na mayroon kami sa IDERA para sa iyon. At ang dalawang nais kong magsalita tungkol sa ngayon ay SQL Secure at SQL Compliance Manager. Ang SQL Secure ay ang aming tool upang makatulong na makilala ang uri ng mga kahinaan sa pagsasaayos. Ang iyong mga patakaran sa seguridad, mga pahintulot ng gumagamit, ang mga pagsasaayos ng iyong lugar sa ibabaw. At mayroon itong mga template upang matulungan kang sumunod sa iba't ibang mga balangkas ng regulasyon. Na sa pamamagitan ng kanyang sarili, ang huling linya, ay maaaring maging dahilan para isaalang-alang ito ng mga tao. Dahil ang pagbabasa sa pamamagitan ng iba't ibang mga regulasyon at pagtukoy sa kung ano ang ibig sabihin, ang PCI at pagkatapos ay isinasagawa ang lahat ng iyon patungo sa aking SQL Server sa aking shop, maraming gawain iyon. Iyon ay isang bagay na maaari kang magbayad ng maraming pagkonsulta sa pera na dapat gawin; nagawa namin at nagawa ang pagkonsulta na iyon, nagtrabaho kami sa iba't ibang mga kumpanya ng pag-awdit, atbp, upang makabuo kung ano ang mga template na iyon - isang bagay na malamang na magpasa ng isang pag-audit kung ang mga ito ay nasa lugar. At pagkatapos ay maaari mong gamitin ang mga template na ito at makita ang mga ito, sa iyong kapaligiran.

Mayroon din kaming isa pang, uri ng tool sa kapatid na babae sa anyo ng SQL Compliance Manager, at ito ay kung saan ang SQL Secure ay tungkol sa mga setting ng pagsasaayos. Ang SQL Compliance Manager ay tungkol sa nakikita kung ano ang nagawa ng kanino, kailan. Kaya, ito ay pag-awdit, kaya pinapayagan ka nitong subaybayan ang aktibidad habang nagaganap at hayaan mong makita at subaybayan kung sino ang nag-access sa mga bagay. Ang isang tao ba, ang halimbawa ng prototypical na pagiging isang tanyag na tao na naka-check sa iyong ospital, ay isang tao na pupunta at maghanap ng kanilang impormasyon, wala na lang sa pag-usisa? Mayroon ba silang dahilan upang gawin ito? Maaari mong tingnan ang kasaysayan ng pag-audit at makita kung ano ang nangyayari, na nag-access sa mga rekord na iyon. At maaari mong tukuyin na ito ay may mga tool upang matulungan kang makilala ang mga sensitibong haligi, kaya hindi mo kinakailangang basahin at gawin ang lahat ng iyong sarili.

Kaya, kung maaari ko, pupunta ako sa unahan at ipakita sa iyo ang ilan sa mga tool dito sa mga huling ilang minuto - at mangyaring huwag isaalang-alang ito bilang isang malalim na demo. Ako ay isang tagapamahala ng produkto, hindi isang sales engineer, kaya ipapakita ko sa iyo ang ilan sa mga bagay na sa palagay ko ay may kaugnayan sa talakayang ito. Kaya, ito ang aming SQL Secure na produkto. At tulad ng nakikita mo dito, nakakuha ako ng uri ng mataas na antas na ulat ng kard. Pinatakbo ko ito, sa palagay ko, kahapon. At ipinakita nito sa akin ang ilan sa mga bagay na hindi itinatag nang tama at ang ilan sa mga bagay na itinatag nang tama. Kaya, maaari mong makita na may maraming bilang ng higit sa 100 iba't ibang mga tseke na nagawa namin dito. At nakikita ko na ang aking backup na pag-encrypt sa mga backup na ginagawa ko, hindi ako gumagamit ng backup encryption. Ang aking account sa SA, na malinaw na pinangalanang "SA account" ay hindi pinagana o pinalitan ng pangalan. Ang pahintulot ng pampublikong server ay may pahintulot, kaya ang lahat ng mga bagay na maaaring nais kong tingnan ang pagbabago.

Mayroon akong patakaran na itinakda dito, kaya kung nais kong mag-set up ng isang bagong patakaran, upang mag-aplay sa aking mga server, nakuha namin ang lahat ng mga built-in na patakarang ito. Kaya, gagamit ako ng isang umiiral na template ng patakaran at makikita mo na mayroon akong CIS, HIPAA, PCI, SR at magpatuloy, at aktwal na kami ay nasa proseso ng patuloy na pagdaragdag ng mga karagdagang patakaran, batay sa mga bagay na kailangan ng mga tao sa larangan . At maaari ka ring lumikha ng isang bagong patakaran, kaya kung alam mo kung ano ang hinahanap ng iyong auditor, maaari mo itong likhain. At pagkatapos, kapag ginawa mo ito, maaari kang pumili sa gitna ng lahat ng iba't ibang mga setting na ito, na kung ano ang kailangan mong itakda, sa ilang mga kaso, mayroon kang ilang - pabalikin ako at hanapin ang isa sa mga nauna nang itinayo. Maginhawa ito, maaari kong piliin, sabihin, HIPAA - Nakakuha na ako ng HIPAA, ang aking masamang - PCI, at pagkatapos, habang nag-click ako dito, maaari kong makita ang panlabas na cross-reference sa seksyon ng regulasyon na ito ay nauugnay sa. Kaya makakatulong ito sa iyo mamaya, kapag sinusubukan mong malaman kung bakit ko ito inilalagay? Bakit sinusubukan kong tingnan ito? Anong seksyon ang may kaugnayan dito?

Mayroon din itong magandang tool sa hinahayaan kang magpasok at mag-browse sa iyong mga gumagamit, kaya ang isa sa mga nakakalito na bagay tungkol sa paggalugad ng iyong mga tungkulin ng gumagamit, ay, sa totoo lang, pupunta ako dito. Kaya, kung magpapakita ako ng mga pahintulot para sa aking, tingnan natin, pumili tayo ng isang gumagamit dito. Ipakita ang mga pahintulot. Makikita ko ang mga itinalagang pahintulot para sa server na ito, ngunit pagkatapos ay maaari kong mag-click dito at kalkulahin ang mga epektibong pahintulot, at bibigyan ako nito ng buong listahan batay sa, kaya sa kasong ito ito ay admin, kaya hindi ito kapana-panabik, ngunit Maaari kong dumaan at piliin ang iba't ibang mga gumagamit at makita kung ano ang kanilang mabisang pahintulot, batay sa lahat ng iba't ibang mga pangkat na maaaring kabilang nila. Kung sinubukan mong gawin ito sa iyong sarili, maaari itong talagang maging isang gulo, upang malaman, OK ang gumagamit na ito ay isang miyembro ng mga pangkat na ito at samakatuwid ay may access sa mga bagay na ito sa pamamagitan ng mga grupo, atbp.

Kaya, ang paraan ng produktong ito, ito ay tumatagal ng mga snapshot, kaya talagang hindi isang napakahirap na proseso ng pagkuha ng isang snapshot ng server nang regular at pagkatapos ay pinapanatili nito ang mga snapshot sa paglipas ng panahon upang maihahambing mo ang mga pagbabago. Kaya, hindi ito isang tuluy-tuloy na pagsubaybay sa tradisyonal na kahulugan ng tulad ng isang tool sa pagsubaybay sa pagganap; ito ay isang bagay na maaari mong i-set up upang tumakbo nang isang beses bawat gabi, isang beses sa bawat linggo - gayunpaman madalas na sa palagay mo ay may bisa - kaya't pagkatapos, sa tuwing ginagawa mo ang pagsusuri at gumagawa ka ng kaunti pa, totoo ka nagtatrabaho lamang sa loob ng aming tool. Hindi ka nakakonekta pabalik sa iyong server nang labis, kaya ito ay isang magandang gandang maliit na tool upang magtrabaho, para sa pagsunod sa mga uri ng mga static na setting.

Ang iba pang tool na nais kong ipakita sa iyo ay ang aming tool sa Pagsunod sa Pagsunod. Ang pagsunod sa Manager ay susubaybayan sa mas tuloy-tuloy na paraan. At makikita kung sino ang gumagawa ng kung ano ang nasa iyong server at pinapayagan kang tingnan ito. Kaya, kung ano ang nagawa ko dito, sa mga huling oras ng ilang oras o higit pa, sinubukan ko talagang lumikha ng kaunting mga problema. Kaya, narito ko nakuha kung ito ay isang problema o hindi, baka alam ko ang tungkol dito, ang isang tao ay talagang lumikha ng isang pag-login at idinagdag ito sa isang papel ng server. Kaya, kung pupunta ako at tingnan ito, makikita ko - Sa palagay ko hindi ko mai-click doon, makikita ko kung ano ang nangyayari. Kaya, ito ang aking dashboard at nakikita ko na mayroon akong isang nabigo na mga logins nang mas maaga ngayon. Nagkaroon ako ng isang bungkos ng aktibidad sa seguridad, aktibidad ng DBL.

Kaya, hayaan akong pumunta sa aking mga kaganapan sa pag-audit at tingnan. Narito nakuha ko ang aking mga kaganapan sa pag-audit na pinagsama ng kategorya at target na object, kaya kung titingnan ko ang seguridad na mula pa nang mas maaga, maaari kong makita ang DemoNewUser, nagawa ang lumikha ng pag-login sa server. At nakikita ko na nilikha ng login SA ang DemoNewUser account, dito, sa ganap na 2: 42 pm At pagkatapos, makikita ko na naman, magdagdag ng pag-login sa server, ang DemoNewUser na ito ay naidagdag sa pangkat ng admin ng server, sila ay idinagdag sa setup ng pangkat ng admin, sila ay idinagdag sa pangkat ng sysadmin. Kaya, iyon ay isang bagay na nais kong malaman ay nangyari. Itinakda ko rin ito upang ang mga sensitibong haligi sa aking mga talahanayan ay sinusubaybayan, upang makita ko kung sino ang naka-access dito.

Kaya, narito na nakuha ko ang isang napiling napili na naganap sa talahanayan ng aking tao, mula sa Pakikipagsapalaran. At maaari akong tumingin at makita na ang gumagamit ng SA sa talahanayan ng Pakikipagsapalaran ay gumawa ng isang piling nangungunang sampung bituin mula sa taong tuldok. Kaya marahil sa aking samahan hindi ko nais na gawin ng mga tao ang mga piling bituin mula sa taong may tuldok, o inaasahan ko lamang na ang ilang mga gumagamit ay gawin ito, at kaya makikita ko ito dito. Kaya, ang - kung ano ang kailangan mo sa mga tuntunin ng iyong pag-audit, maaari naming itakda ang batay sa balangkas at ito ay medyo higit pa sa isang masinsinang tool. Gumagamit ito ng SQL Trace, o mga kaganapan ng SQLX, depende sa bersyon. At ito ay isang bagay na kakailanganin mong magkaroon ng ilang headroom sa iyong server upang mapaunlakan, ngunit ito ay isa sa mga bagay na iyon, uri ng tulad ng seguro, na maganda kung hindi namin kailangang magkaroon ng seguro sa kotse - magiging isang gastos na hindi namin kailangang gawin - ngunit kung mayroon kang isang server kung saan kailangan mong subaybayan kung sino ang gumagawa ng kung ano, maaaring mayroon kang isang maliit na dagdag na headroom at isang tool na tulad nito upang gawin ito. Kung ginagamit mo ang aming tool o inilulunsad mo ito sa iyong sarili, sa huli ay magiging responsable ka sa pagkakaroon ng impormasyong ito para sa mga layunin ng pagsunod sa regulasyon.

Kaya tulad ng sinabi ko, hindi isang malalim na demo, isang mabilis, kaunting buod lamang. Nais ko ring ipakita sa iyo ang isang mabilis, maliit na libreng tool sa anyo ng SQL Haligi ng Paghahanap na ito, na isang bagay na maaari mong magamit upang matukoy kung anong mga haligi sa iyong kapaligiran ang mukhang sensitibong impormasyon. Kaya, mayroon kaming isang bilang ng mga pagsasaayos sa paghahanap kung saan hinahanap ang iba't ibang mga pangalan ng mga haligi na karaniwang naglalaman ng sensitibong data, at pagkatapos ay nakuha ko ang buong listahan ng mga ito na nakilala. Mayroon akong 120 sa kanila, at pagkatapos ay nai-export ko ang mga ito dito, upang magamit ko ang mga ito upang sabihin, tingnan natin at tiyakin na sinusubaybayan ko ang pag-access sa gitnang pangalan, isang tao na tuldok o buwis sa pagbebenta. rate, atbp.

Alam kong malapit na tayo sa pagtatapos ng ating oras dito. At iyon lang ang talagang ipinakita ko sa iyo, kaya ang anumang mga katanungan para sa akin?

Eric Kavanagh: Mayroon akong ilang mga mabubuti para sa iyo. Hayaan mo akong mag-scroll dito. Ang isa sa mga dumalo ay nagtanong ng isang mahusay na katanungan. Isa sa mga ito ay nagtatanong tungkol sa buwis sa pagganap, kaya alam kong nag-iiba ito mula sa solusyon sa solusyon, ngunit mayroon ka bang pangkalahatang ideya ng kung ano ang pagganap ng buwis para sa paggamit ng mga kasangkapan sa seguridad ng IDERA?

Vicky Harp: Kaya, sa SQL Secure, tulad ng sinabi ko, napakababa, kukuha lamang ito ng ilang mga paminsan-minsang mga snapshot. At kahit na madalas kang tumatakbo, nakakakuha ng static na impormasyon tungkol sa mga setting, at kaya napakababa, halos hindi mapapabayaan. Sa mga tuntunin ng Pagsunod sa Pamamahala, ito ay-

Eric Kavanagh: Tulad ng isang porsyento?

Vicky Harp: Kung kailangan kong magbigay ng isang porsyento na numero, oo, magiging isang porsyento o mas mababa ito. Ito ang pangunahing impormasyon sa pagkakasunud-sunod ng paggamit ng SSMS at pagpunta sa tab ng seguridad at pagpapalawak ng mga bagay. Sa panig ng Pagsunod, mas mataas ito - na ang dahilan kung bakit sinabi kong kailangan nito ng kaunting headroom - ito ay uri ng tulad nito na higit pa sa kung ano ang mayroon ka sa mga tuntunin ng pagsubaybay sa pagganap. Ngayon, hindi ko nais na takutin ang mga tao palayo rito, ang lansangan sa Pagsubaybay sa Pagsunod, at kung ang pag-awdit ay tiyakin na uusisa ka lamang kung ano ang iyong gagawin. Kaya, sa sandaling mag-filter ka upang sabihin, "Uy, nais kong malaman kapag na-access ng mga tao ang mga partikular na talahanayan, at nais kong malaman sa tuwing mag-access ang mga tao, gawin ang mga partikular na aksyon na ito, " pagkatapos ito ay magiging batay sa kung gaano kadalas ang mga bagay na ito nangyayari at kung gaano karaming data ang iyong pagbuo. Kung sasabihin mo, "Nais kong ang buong teksto ng SQL ng bawat piling nagaganap sa alinman sa mga talahanayan na ito, " iyon ay magiging posibleng gigabytes at gigabytes ng data na kinakailangang maihahatid ng SQL Server na nakaimbak na inilipat sa aming produkto, atbp.

Kung panatilihin mo ito sa isang - magiging mas maraming impormasyon kaysa sa maaari mong pakikitungo. Kung maaari mong dalhin ito sa isang mas maliit na hanay, upang makakuha ka ng isang daang daang mga kaganapan bawat araw, kung gayon malinaw na mas mababa ito. Kaya, talaga, sa ilang mga paraan, ang limitasyon ng kalangitan. Kung binuksan mo ang lahat ng mga setting sa lahat ng pagsubaybay para sa lahat, pagkatapos ay oo, magiging isang 50 porsyento na hit ang pagganap. Ngunit kung ibabalik mo ito sa uri ng mas katamtaman, itinuturing na antas, marahil ay 10 porsyento ang eyeball? Ito talaga, ito ay isa sa mga bagay na ito ay magiging napaka-umaasa sa iyong workload.

Eric Kavanagh: Oo, tama. May isa pang katanungan tungkol sa hardware. At pagkatapos, mayroong mga nagtitinda ng hardware sa laro at talagang nakikipagtulungan sa mga vendor ng software at sumagot ako sa pamamagitan ng Q&A window. Alam ko ang isang partikular na kaso, ng Cloudera na nagtatrabaho sa Intel kung saan ginawa ng Intel na malaking pamumuhunan sa kanila, at bahagi ng calculus ay makukuha ng Cloudera ang maagang pag-access sa disenyo ng chip, at sa gayon ay makapaghurno ng seguridad sa antas ng chip ng arkitektura, na kung saan ay medyo kahanga-hanga. Ngunit gayunpaman, ito ay isang bagay na lalabas, at maaari pa ring pinagsamantalahan ng magkabilang panig. Alam mo ba ang anumang mga uso o anumang mga hilig ng mga nagtitinda ng hardware upang makipagtulungan sa mga vendor ng software sa protocol ng seguridad?

Vicky Harp: Oo, sa totoo lang, naniniwala ako na ang Microsoft ay nakipagtulungan upang magkaroon ng ilan, tulad ng, ang puwang ng memorya para sa ilan sa gawaing pag-encrypt ay talagang nangyayari sa hiwalay na mga chips sa mga motherboards na hiwalay mula sa iyong pangunahing memorya, upang ang ilan ng mga bagay na iyon ay pisikal na pinaghiwalay. At naniniwala ako na ang tunay na ay isang bagay na nagmula sa Microsoft sa mga tuntunin ng pagpunta sa mga vendor upang sabihin, "Maaari ba tayong makabuo ng isang paraan upang gawin ito, talaga hindi ito katangi-tanging memorya, hindi ko maaaring sa pamamagitan ng isang overflow ng buffer na makarating sa ang memorya na ito, sapagkat hindi kahit na doon, sa ibang kahulugan, kaya alam ko na ang ilan sa mga nangyayari. "

Eric Kavanagh: Oo.

Vicky Harp: Malinaw na iyon ang talagang mga malalaking tindera, malamang.

Eric Kavanagh: Oo. Nagtataka akong panoorin iyon, at marahil Robin, kung mabilis kang pangalawa, gusto kong malaman ang iyong karanasan sa mga nakaraang taon, dahil muli, sa mga tuntunin ng hardware, sa mga tuntunin ng aktwal na agham na materyal na napupunta sa kung ano ang pinagsasama-sama mula sa panig ng nagbebenta, ang impormasyong iyon ay maaaring pumunta sa magkabilang panig, at sa teoryang napupunta kami sa magkabilang panig nang medyo mabilis, kaya't may ilang paraan upang magamit nang mas maingat ang hardware, mula sa isang pananaw sa disenyo upang itaguyod ang seguridad? Ano sa tingin mo? Robin, mute ka ba?

Robin Bloor: Oo, oo. Pasensya na, narito ako; Nagmuni-muni lang ako sa tanong. Upang maging matapat, wala akong opinyon, ito ay isang lugar na hindi ko pa tinitingnan nang malalim, kaya't ako ay uri, alam mo, maaari akong mag-imbento ng isang opinyon, ngunit hindi ko talaga alam. Mas gusto ko ang mga bagay na mai-secure sa software, ito lang ang paraan ng paglalaro ko, talaga.

Eric Kavanagh: Oo. Well, mga tao, nasunog namin ang isang oras at nagbago dito. Malaking salamat kay Vicky Harp para sa kanyang oras at atensyon - para sa lahat ng iyong oras at atensyon; Pinahahalagahan ka namin na nagpapakita para sa mga bagay na ito. Malaking bagay ito; hindi ito aalis anumang oras kaagad. Ito ay isang laro ng pusa-at-mouse na magpapatuloy sa pagpunta at pagpunta at pagpunta. At kaya't nagpapasalamat kami na ang ilang mga kumpanya ay nariyan, na nakatuon sa pagpapagana ng seguridad, ngunit tulad ni Vicky na pinag-isipan at pinag-usapan nang kaunti sa kanyang pagtatanghal, sa pagtatapos ng araw, ito ay mga tao sa mga samahan na kailangang mag-isip nang mabuti tungkol sa mga pag-atake sa phishing, na uri ng panlipunang inhinyero, at hawakan sa iyong mga laptop - huwag iwanan ito sa coffee shop! Baguhin ang iyong password, gawin ang mga pangunahing kaalaman, at makakakuha ka ng 80 porsyento ng paraan doon.

Kaya, kasama nito, mga tao, kami ay mag-bid sa iyo ng paalam, salamat muli sa iyong oras at atensyon. Hahabol ka namin sa susunod, mag-ingat ka. Paalam.

Vicky Harp: Bye, salamat.

Mas mahusay na humingi ng pahintulot: pinakamahusay na kasanayan para sa privacy at seguridad