Sa pamamagitan ng Techopedia Staff, Oktubre 27, 2016
Takeaway: Tatalakayin ng Host na si Eric Kavanagh ang seguridad sa database kasama sina Robin Bloor, Dez Blanchfield at Ignacio Rodriguez ni IDERA.
Kasalukuyan kang hindi naka-log in. Mangyaring mag-log in o mag-sign up upang makita ang video.
Eric Kavanagh: Kumusta at maligayang pagdating muli, sa Hot Technologies. Ang pangalan ko ay Eric Kavanagh; Ako ang magiging host mo para sa webcast ngayon at ito ay isang mainit na paksa at hindi kailanman magiging isang mainit na paksa. Ito ay isang mainit na paksa ngayon dahil sa, lantaran, lahat ng mga paglabag na naririnig natin at masisiguro ko sa iyo na hindi ito mawawala. Kaya ang paksa ngayon, ang eksaktong pamagat ng palabas na dapat kong sabihin, ay "The New Normal: Dealing with the Reality of an Unsecure World." Iyon mismo ang nakikipag-usap sa atin.
Nakarating na namin ang iyong host, sa iyo talaga, doon mismo. Mula sa ilang taon na ang nakalilipas, isipin mo, marahil ay dapat kong i-update ang aking larawan; iyon ay noong 2010. Lumilipad ang oras. Magpadala sa akin ng isang email kasama kung nais mong gumawa ng ilang mga mungkahi. Kaya ito ang aming pamantayang "mainit" na slide para sa Hot Technologies. Ang buong layunin ng palabas na ito ay talagang tukuyin ang isang partikular na espasyo. Kaya ngayon pinag-uusapan natin ang tungkol sa seguridad, malinaw naman. Kumuha kami ng isang napaka-kagiliw-giliw na anggulo dito, sa katunayan, kasama ang aming mga kaibigan mula sa IDERA.
At ituturo ko na ikaw, bilang aming mga miyembro ng madla, ay may mahalagang papel sa programa. Mangyaring huwag mahiya. Magpadala sa amin ng isang katanungan anumang oras at ilalista namin ito para sa Q&A kung mayroon kaming sapat na oras para dito. Mayroon kaming tatlong mga tao ngayon sa online, sina Dr. Robin Bloor, Dez Blanchfield at Ignacio Rodriguez, na tumatawag mula sa isang hindi mailalabas na lokasyon. Kaya una sa lahat, Robin, ikaw ang unang nagtatanghal. Ibibigay ko sa iyo ang mga susi. Kunin mo na.
Robin Bloor: Okay, salamat sa iyo, Eric. Pag-secure ng database - Ipagpalagay kong maaari nating sabihin na ang posibilidad na ang pinakamahalagang data na pinangangasiwaan ng anumang kumpanya ay nasa isang database. Kaya mayroong isang buong serye ng mga bagay sa seguridad na maaari nating pag-usapan. Ngunit ang naisip kong gagawin ay ang pag-uusap sa paligid ng paksa ng pag-secure ng database. Ayaw kong kunin ang anuman sa pagtatanghal na ibibigay ni Ignacio.
Kaya magsimula tayo, madaling isipin ang seguridad ng data bilang isang static na target, ngunit hindi. Ito ay isang gumagalaw na target. At ito ay uri ng mahalagang maunawaan sa kamalayan na ang karamihan sa mga kapaligiran ng IT ng mga tao, lalo na ang mga malalaking kapaligiran ng kumpanya ng IT, ay nagbabago sa lahat ng oras. At dahil nagbabago sila sa lahat ng oras, ang pag-atake sa ibabaw, ang mga lugar na maaaring subukan ng isang tao, sa isang paraan o sa iba pa, alinman sa loob o mula sa labas, upang ikompromiso ang seguridad ng data, ay nagbabago sa lahat ng oras. At kapag gumawa ka ng isang bagay tulad, nag-upgrade ka ng isang database, wala kang ideya kung ikaw lang, sa paggawa nito, ay lumikha ng ilang uri ng kahinaan para sa iyong sarili. Ngunit hindi mo alam at maaaring hindi mo alamin hanggang sa mangyari ang isang nakakatawa.
Mayroong isang maikling pangkalahatang-ideya ng seguridad ng data. Una sa lahat, ang pagnanakaw ng data ay walang bago at data na mahalaga ay na-target. Ito ay karaniwang madaling mag-ehersisyo para sa isang samahan kung ano ang kinakailangan ng data na kailangan nilang mapangalagaan. Ang isang kataka-taka na katotohanan ay ang una, o kung ano ang maaari nating maangkin na ang unang computer, ay itinayo ng talino ng British sa panahon ng Ikalawang Digmaang Pandaigdig na may isang layunin sa isip, at iyon ay upang magnakaw ng data mula sa mga komunikasyon sa Aleman.
Kaya ang pagnanakaw ng data ay naging isang bahagi ng industriya ng IT nang marami mula nang magsimula ito. Mas naging seryoso ito sa pagsilang ng internet. Tumitingin ako sa isang log ng bilang ng mga paglabag sa data na nagaganap taun-taon. At ang bilang ay tumaas sa taas ng 100 hanggang 2005 at mula sa puntong iyon ay mas madalas na lumala at mas masahol pa sa bawat taon.
Mas malaking halaga ng data na ninakaw at isang mas malaking bilang ng mga hack na nagaganap. At iyon ang mga hack na naiulat. Mayroong isang napakalaking bilang ng mga insidente na nagaganap kung saan ang kumpanya ay hindi kailanman sinabi kahit ano dahil walang anuman ang pumipilit na sabihin ito. Kaya pinapanatili nitong tahimik ang paglabag sa data. Maraming mga manlalaro sa negosyo ng pag-hack: mga gobyerno, negosyo, grupo ng hacker, indibidwal.
Isang bagay na sa tingin ko lang ay kagiliw-giliw na banggitin, noong nagpunta ako sa Moscow, sa palagay ko minsan ay tungkol sa apat na taon na ang nakalilipas, ito ay isang kumperensya ng software sa Moscow, nakikipag-usap ako sa isang mamamahayag na dalubhasa sa lugar ng pag-hack ng data. At inangkin niya - at sigurado ako na tama siya, ngunit hindi ko alam ito maliban sa siya lamang ang taong nabanggit nito sa akin, ngunit - mayroong isang negosyong Ruso na tinatawag na The Russian Business Network, marahil ay nakakuha ito ng isang Ruso pangalan ngunit sa palagay ko iyon ang pagsasalin ng Ingles tungkol dito, iyon ay talagang tinanggap upang mag-hack.
Kaya't kung ikaw ay isang malaking samahan sa kahit saan sa mundo at nais mong gumawa ng isang bagay upang makapinsala sa iyong kumpetisyon, maaari kang umarkila sa mga taong ito. At kung nag-upa ka sa mga taong ito makakakuha ka ng labis-labis na kakulangan sa pagkakaintindi tungkol sa kung sino ang nasa likod ng hack. Dahil kung natuklasan sa lahat na nasa likod ng hack, ipahiwatig nito na marahil ay isang tao sa Russia ang gumawa nito. At hindi ito magiging hitsura nito na sinubukan mong masira ang isang katunggali. At naniniwala ako na ang The Russian Business Network ay talagang inupahan ng mga pamahalaan upang gumawa ng mga bagay tulad ng hack sa mga bangko upang subukan at malaman kung paano gumagalaw ang pera ng terorista. At nagawa na ito na may masasabing katuwiran ng mga gobyerno na hindi kailanman aaminin na talagang ginawa nila iyon.
Lumago ang teknolohiya ng pag-atake at pagtatanggol. Isang mahabang panahon na ang nakararaan na akong pumunta sa Chaos Club. Ito ay isang site sa Alemanya kung saan maaari kang magparehistro at maaari mo lamang sundin ang mga pag-uusap ng iba't ibang mga tao at makita kung ano ang magagamit. At ginawa ko iyon kapag tinitingnan ko ang teknolohiya ng seguridad, iniisip ko noong 2005. At ginawa ko ito upang makita kung ano ang bababa noon at ang bagay na nakapagtataka sa akin ay ang bilang ng mga virus, kung saan ito ay isang pangunahing sistema ng bukas na mapagkukunan. Nagpapatuloy ako at ang mga taong nakasulat ng mga virus o pinahusay na mga virus ay dumidikit lamang ang code doon para magamit ng kahit sino. At nangyari sa akin sa oras na ang mga hacker ay maaaring maging napaka, masyadong matalino, ngunit mayroong isang kakila-kilabot na maraming mga hacker na hindi kinakailangan na matalino, ngunit gumagamit sila ng mga matalinong tool. At ang ilan sa mga tool na iyon ay lubos na matalino.
At ang pangwakas na punto dito: ang mga negosyo ay may tungkulin ng pangangalaga sa kanilang data, pagmamay-arian man nila ito o hindi. At sa palagay ko ay nagiging higit at natanto kaysa sa dati. At ito ay nagiging mas at higit pa, sabihin natin, mahal para sa isang negosyo na aktwal na sumailalim sa isang hack. Tungkol sa mga hacker, maaari silang matatagpuan kahit saan, marahil mahirap dalhin sa hustisya kahit na maayos silang nakilala. Marami sa kanila ay bihasa. Malaki ang mga mapagkukunan, mayroon silang mga botnets sa buong lugar. Ang kamakailang pag-atake ng DDoS na naganap ay pinaniniwalaang nagmula sa mahigit isang bilyong aparato. Hindi ko alam kung totoo iyon o kung iyon ay isang reporter lamang na gumagamit ng isang bilog na numero, ngunit tiyak na isang malaking bilang ng mga aparato ng robot ang ginamit upang magsagawa ng isang pag-atake sa DNS network. Ang ilang mga kumikitang mga negosyo, mayroong mga grupo ng gobyerno, may digmaang pang-ekonomiya, mayroong cyberwarfare, lahat ay nangyayari doon, at hindi ito malamang, sa palagay ko ay sinabi namin sa preshow, malamang na hindi na magtatapos.
Pagsunod at regulasyon - mayroong isang bilang ng mga bagay na talagang nagpapatuloy. Maraming mga inisyatibo sa pagsunod na batay sa sektor, alam mo - ang sektor ng parmasyutiko o sektor ng pagbabangko o sektor ng kalusugan - ay maaaring magkaroon ng mga tiyak na hakbangin na maaaring sundin ng mga tao, iba't ibang uri ng pinakamahusay na kasanayan. Ngunit mayroon ding maraming mga opisyal na regulasyon na, sapagkat sila ay batas, mayroon silang mga parusa na nakakabit para sa sinumang sumalabag sa batas. Ang mga halimbawa ng US ay HIPAA, SOX, FISMA, FERPA, GLBA. Mayroong ilang mga pamantayan, ang PCI-DSS ay isang pamantayan para sa mga kumpanya ng card. Ang ISO / IEC 17799 ay batay sa pagsisikap na makakuha ng isang karaniwang pamantayan. Ito ang pagmamay-ari ng data. Ang mga pambansang regulasyon ay naiiba sa bawat bansa, kahit na sa Europa, o maaaring sabihin ng isa, lalo na sa Europa kung saan ito ay lubos na nakalilito. At mayroong isang GDPR, isang regulasyon sa pangangalaga ng data ng pandaigdigang kasalukuyang pinag-uusapan sa pagitan ng Europa at Estados Unidos upang subukang at magkasundo sa mga regulasyon dahil napakarami, karaniwang katulad nila, sa epekto, pang-internasyonal, at pagkatapos ay mayroong mga serbisyo sa ulap na maaari mong hindi sa tingin ang iyong data ay internasyonal, ngunit napunta ito sa internasyonal sa sandaling napunta ka sa ulap, dahil lumipat ito sa iyong bansa. Kaya ang mga ito ay isang hanay ng mga regulasyon na pinag-uusapan, sa isang paraan o sa iba pa, upang harapin ang proteksyon ng data. At ang karamihan sa mga ito ay may kinalaman sa data ng isang indibidwal, na siyempre, ay may kasamang halos lahat ng data ng pagkakakilanlan.
Mga bagay na dapat isipin: kahinaan ng database. Mayroong isang listahan ng mga kahinaan na kilala at naiulat ng mga nagtitinda ng database kapag natuklasan at na-patch ito nang mabilis hangga't maaari, kaya mayroong lahat iyon. Mayroong mga bagay na nauugnay dito sa mga tuntunin ng pagkilala sa mahina na data. Ang isa sa malaki at pinakamatagumpay na mga hack sa data ng pagbabayad ay ginawa sa isang kumpanya sa pagproseso ng pagbabayad. Iyon ay pagkatapos ay nakuha dahil sa ito ay kailangang pumunta sa pagpuksa kung hindi ito, ngunit ang data ay hindi ninakaw mula sa alinman sa mga database ng pagpapatakbo. Ang data ay ninakaw mula sa isang database ng pagsubok. Nangyari lamang na nangyari na ang mga nag-develop ay kumuha lamang ng isang subset ng data na tunay na data at ginamit ito, nang walang anumang proteksyon anupaman, sa isang database ng pagsubok. Ang database ng pagsubok ay na-hack at isang kakila-kilabot na mga detalye sa personal na pinansyal ng mga tao ay nakuha mula dito.
Ang patakaran sa seguridad, lalo na may kaugnayan sa pag-access sa seguridad tungkol sa mga database, na maaaring magbasa, kung sino ang maaaring sumulat, sino ang maaaring magbigay ng mga pahintulot, mayroong anumang paraan na maaaring maiiwasan ng sinuman? Pagkatapos mayroong, siyempre, ang mga encrypt mula sa mga database ay pinapayagan iyon. Nariyan ang gastos ng isang paglabag sa seguridad. Hindi ko alam kung pamantayan ito sa loob ng mga samahan, ngunit alam ko na ang ilan, tulad ng, mga punong opisyal ng seguridad ay nagsisikap na magbigay ng mga executive ng ilang ideya ng kung ano ang gastos ng isang paglabag sa seguridad ay bago ito mangyari sa halip na pagkatapos. At sila, uri ng, kailangang gawin iyon upang matiyak na nakakakuha sila ng tamang dami ng badyet upang mapagtanggol ang samahan.
At pagkatapos ay ang pag-atake sa ibabaw. Ang pag-atake sa ibabaw ay tila lumalaki sa lahat ng oras. Ito ay taon sa taon na ang pag-atake sa ibabaw ay tila lumalaki lamang. Kaya sa buod, ang saklaw ay isa pang punto, ngunit ang seguridad ng data ay karaniwang bahagi ng papel ng DBA. Ngunit ang seguridad ng data ay isang aktibidad din ng pakikipagtulungan. Kailangan mong magkaroon, kung gumagawa ka ng seguridad, kailangan mong magkaroon ng isang buong ideya ng mga proteksyon sa seguridad para sa samahan sa kabuuan. At kailangang magkaroon ng patakaran sa korporasyon tungkol dito. Kung walang mga patakaran sa korporasyon ay natapos mo lamang ang mga solusyon sa pabagu-bago. Alam mo, goma band at plastik, uri ng, pagtatangka upang ihinto ang nangyayari sa seguridad.
Kaya't sinabi iyon, sa palagay ko ay ibibigay ko kay Dez na marahil ay bibigyan ka ng iba't ibang mga kwentong giyera.
Eric Kavanagh: Kunin mo na, Dez.
Dez Blanchfield: Salamat, Robin. Palagi itong isang matigas na kilos na dapat sundin. Pupunta ako dito mula sa kabaligtaran na dulo ng spectrum sa, sa palagay ko, bigyan kami ng isang pakiramdam ng sukat ng hamon na iyong kinakaharap at kung bakit dapat nating gawin pa kaysa umupo lamang at bigyang pansin ito . Ang hamon na nakikita natin ngayon sa laki at dami at dami, ang bilis kung saan nangyayari ang mga bagay na ito, ay ang bagay na naririnig ko sa paligid ng lugar na ngayon na may maraming CXO, hindi lamang mga CIO, ngunit tiyak Ang mga CIO ay ang mga dumalo kung saan tumitigil ang usang lalaki, ay isinasaalang-alang nila ang mga paglabag sa data upang mabilis na maging pamantayan. Ito ay isang bagay na halos inaasahan nilang mangyari. Kaya't tinitingnan nila ito mula sa pananaw ng, "Okay, well, kapag nasira tayo - hindi kung - kapag nasira tayo, ano ang kailangan nating gawin tungkol dito?" At pagkatapos ay nagsisimula ang pag-uusap. ano ang ginagawa nila sa mga tradisyunal na kapaligiran sa gilid at mga router, switch, server, panghihimasok ng panghihimasok, inspeksyon inspeksyon? Ano ang ginagawa nila sa mga system mismo? Ano ang ginagawa nila sa data? At pagkatapos ito ay bumalik sa kung ano ang kanilang ginawa sa kanilang mga database.
Hayaan lamang na hawakan ko ang ilang mga halimbawa ng ilang mga bagay na ito na nakuha ng maraming imahinasyon ng mga tao at pagkatapos ay mag-drill down sa, uri ng, masira sila ng kaunti. Kaya narinig namin sa balita na ang Yahoo - marahil ang pinakamalaking bilang na naririnig ng mga tao ay halos kalahati ng milyon, ngunit aktwal na lumiliko na ito ay hindi opisyal na katulad ng isang bilyon - Narinig ko ang isang walang kabuluhan na bilang ng tatlong bilyon, ngunit iyon ay halos kalahati ng populasyon ng mundo kaya sa tingin ko ay medyo mataas ito. Ngunit napatunayan ko ito mula sa isang bilang ng mga katutubong sa mga nauugnay na puwang na naniniwala na mayroong higit sa isang bilyong talaan na na-break sa Yahoo. At ito ay isang numero lamang ng pag-iisip. Ngayon ang ilang mga manlalaro ay tumingin at nag-iisip, well, ito ay lamang sa mga account sa webmail, walang malaking pakikitungo, ngunit pagkatapos, idinagdag mo ang katotohanan na maraming mga account sa webmail na iyon, at isang mausisa na mataas na bilang, mas mataas kaysa sa inaasahan kong, ay talagang mga bayad na account. Doon na inilalagay ng mga tao ang kanilang mga detalye sa credit card at binabayaran nila upang tanggalin ang mga ad, dahil napapagana nila ang mga ad at kaya $ 4 o $ 5 sa isang buwan handa silang bumili ng isang serbisyo ng webmail at cloud storage na walang mga ad, at isa ako sa mga iyon, at nakuha ko iyon sa tatlong magkakaibang tagabigay ng serbisyo kung saan pinapasok ko ang aking credit card.
Kaya't ang hamon ay nakakakuha ng higit pang pansin sa pag-agaw dahil hindi lamang ito isang bagay na nakalabas doon bilang isang pagtapon sa isang linya ng pagsasabi, "Oh well, ang Yahoo ay nawala, sabihin natin, sa pagitan ng 500 milyon at 1, 000 milyong mga account, " 1, 000 milyon ang gumagawa nito malaki ang tunog, at mga account sa webmail, ngunit ang mga detalye ng credit card, unang pangalan, apelyido, email address, petsa ng kapanganakan, credit card, numero ng pin, kahit anong gusto mo, mga password, at pagkatapos ito ay nagiging mas nakakatakot na konsepto. At muli sinabi sa akin ng mga tao, "Oo, ngunit ito ay serbisyo sa web, webmaster lamang ito, walang malaking deal." At pagkatapos ay sinabi ko, "Oo, mabuti, na ang Yahoo account ay maaaring ginamit din sa mga serbisyo ng pera sa Yahoo upang bumili at magbenta ng mga pagbabahagi. ā€¯Pagkatapos makakakuha ito ng mas kawili-wiling. At habang nagsisimula kang mag-drill down dito napagtanto mo na, okay, ito ay talagang higit pa sa mga ina at mga magulang sa bahay, at mga tinedyer, na may mga account sa pagmemensahe, ito ay talagang isang bagay kung saan ang mga tao ay gumagawa ng mga transaksyon sa negosyo.
Kaya iyon ang isang dulo ng spectrum. Ang iba pang dulo ng spectrum ay ang isang napakaliit, pangkalahatang kasanayan, tagapagbigay ng serbisyo sa kalusugan sa Australia ay nagkaroon ng humigit-kumulang 1, 000 na talaan. Ay isang panloob na trabaho, isang tao ang naiwan, sila lamang ang nakaka-usisa, naglalakad sila sa labas ng pintuan, sa kasong ito ito ay isang 3.5 pulgada na floppy disk. Ilang sandali pa ang nakakalipas - ngunit masasabi mo sa panahon ng media - ngunit sila ay nasa lumang teknolohiya. Ngunit ito ay naging dahilan na kinukuha nila ang datos ay sila lamang ang nagtataka tungkol sa kung sino ang naroroon. Sapagkat marami silang mga tao sa maliit na bayan na ito, na ang ating pambansang kapital, na mga pulitiko. At interesado sila sa kung sino ang naroroon at kung nasaan ang kanilang buhay at lahat ng uri ng impormasyon. Kaya sa isang napakaliit na paglabag sa data na ginawa sa loob, isang malaking bilang ng mga pulitiko sa mga detalye ng gobyerno ng Australia na parang wala sa publiko.
Mayroon kaming dalawang magkakaibang mga dulo ng spectrum doon upang isaalang-alang. Ngayon ang katotohanan ay ang manipis na sukat ng mga bagay na ito ay medyo nakakapagod at mayroon akong slide na pupunta kami sa napakadali, napakabilis dito. Mayroong isang pares ng mga website na naglista ng lahat ng mga uri ng data, ngunit ang partikular na ito ay mula sa isang espesyalista sa seguridad na nagkaroon ng website kung saan maaari kang pumunta at maghanap para sa iyong email address, o sa iyong pangalan, at ipapakita sa iyo ang bawat insidente ng data lumabag sa huling 15 taon na nagawa niyang magawa, at pagkatapos ay mai-load sa isang database at i-verify, at sasabihin sa iyo kung gusto mo bang maging pwned, tulad ng termino. Ngunit kapag sinimulan mo ang pagtingin sa ilan sa mga numerong ito at ang screenshot na ito ay hindi pa na-update sa kanyang pinakabagong bersyon, na may kasamang ilang, tulad ng Yahoo. Ngunit isipin lamang ang tungkol sa mga uri ng serbisyo dito. Mayroon kaming Myspace, mayroon kaming LinkedIn, Adobe. Ang kawili-wili ng Adobe dahil ang tingin at iniisip ng mga tao, well, ano ang ibig sabihin ng Adobe? Karamihan sa atin na nag-download ng Adobe Reader ng ilang form, marami sa atin ang bumili ng mga produktong Adobe gamit ang isang credit card, iyon ay 152 milyong tao.
Ngayon, sa punto ni Robin dati, napakalaki ng mga ito, madali itong maapi sa kanila. Ano ang mangyayari kapag nakakuha ka ng 359 milyong account na na-break? Well, mayroong isang pares ng mga bagay. Itinampok ni Robin ang katotohanan na ang data na walang paltos sa isang database ng ilang form. Iyon ang kritikal na mensahe dito. Halos walang sinuman sa planeta na ito, na nalalaman ko, na nagpapatakbo ng isang sistema ng anumang form, ay hindi iniimbak ito sa isang database. Ngunit ang nakakainteres ay may tatlong magkakaibang uri ng data sa database na iyon. Mayroong mga bagay na may kaugnayan sa seguridad tulad ng mga username at password, na karaniwang naka-encrypt, ngunit palaging walang maraming mga halimbawa kung saan wala sila. Mayroong aktwal na impormasyon ng customer sa paligid ng kanilang profile at data na kanilang nilikha kung ito ay isang talaan sa kalusugan o kung ito ay isang email o isang instant na mensahe. At pagkatapos ay mayroong aktwal na naka-embed na lohika, kaya maaari itong maiimbak na mga pamamaraan, maaari itong maging isang buong grupo ng mga patakaran, kung + ito + pagkatapos + iyon. At walang paltos na iyon lamang ang teksto ng ASCII na nakatago sa database, kakaunti ang mga tao na nakaupo doon na nag-iisip, "Well, ito ang mga panuntunan sa negosyo, ito ay kung paano inilipat at kontrolado ang aming data, dapat nating potensyal na i-encrypt ito kapag ito ay nasa pahinga, at kapag nasa paggalaw marahil namin itong i-decrypt ito at panatilihin ito sa memorya, "ngunit sa perpektong dapat na rin ito.
Ngunit bumalik ito sa pangunahing puntong ito na ang lahat ng data na ito ay nasa isang database ng ilang mga form at mas madalas kaysa sa hindi ang pokus ay, sa kasaysayan lamang, ay sa mga routers at switch at server at kahit na imbakan, at hindi palaging nasa database sa ang back end. Dahil sa tingin namin na nakuha namin ang gilid ng network na sakop at ito ay, uri ng tulad ng, isang tipikal na matanda, uri ng, nakatira sa isang kastilyo at naglalagay ka ng isang moat sa paligid nito at umaasa ka na ang mga masasamang tao ay hindi pupunta sa makalangoy. Ngunit pagkatapos ng lahat ng biglaang mga masamang tao ay nagtrabaho kung paano gumawa ng pinalawak na mga hagdan at itapon ang mga moat at umakyat sa ibabaw ng moat at umakyat sa mga dingding. At lahat ng biglaan na ang iyong moat ay medyo walang silbi.
Kaya kami ngayon sa senaryo kung saan ang mga organisasyon ay nasa mode na catch-up sa isang sprint. Ang mga ito ay literal na sprinting sa lahat ng mga sistema, sa aking pananaw, at tiyak ang aking karanasan, sa na, hindi palaging ito lamang mga web unicorn, dahil madalas nating tinutukoy ang mga ito, mas madalas kaysa sa hindi tradisyonal na mga samahang pang-negosyo na nilabag. At hindi mo kailangang magkaroon ng maraming imahinasyon upang malaman kung sino sila. Mayroong mga website tulad ng isang tinatawag na pastebin.net at kung pupunta ka sa pastebin.net at mag-type ka lang sa email list o lista ng password ay magtatapos ka sa daan-daang libong mga entry sa isang araw na idinagdag kung saan ang mga tao ay naglilista ng mga halimbawa ng mga hanay ng data ng hanggang sa isang libong mga talaan ng unang pangalan, apelyido, mga detalye ng credit card, username, password, decrypted na mga password, sa paraan. Kung saan kukuha ng mga tao ang listahan na iyon, puntahan at i-verify ang tatlo o apat sa mga ito at magpasya na, yep, nais kong bilhin ang listahan na iyon at karaniwang mayroong ilang paraan ng mekanismo na nagbibigay ng ilang uri ng hindi nagpapakilalang gateway sa taong nagbebenta ng data.
Ngayon ang nakakainteres ay kapag napagtanto ng negosyante ng kaakibat na magagawa nila ito, hindi kukuha ng ganyang imahinasyon na mapagtanto na kung gumastos ka ng US $ 1, 000 upang bumili ng isa sa mga listahang ito, ano ang unang bagay na ginagawa mo dito? Hindi ka pumunta at subukan at subaybayan ang mga account, inilalagay mo ang isang kopya nito pabalik sa pastbin.net at nagbebenta ka ng dalawang kopya para sa $ 1, 000 bawat isa at gumawa ng $ 1, 000 na kita. At ito ang mga bata na ginagawa ito. Mayroong ilang mga napakalaking propesyonal na samahan sa buong mundo na ginagawa ito para sa isang pamumuhay. Mayroong mga bansa pa rin na umaatake sa ibang mga estado. Alam mo, mayroong maraming pag-uusap tungkol sa pag-atake sa Amerika sa China, China na umaatake sa Amerika, hindi gaanong simple, ngunit may mga tiyak na mga samahang pang-gobyerno na lumalabag sa mga sistema na palaging pinapagana ng mga database. Ito ay hindi lamang isang kaso ng maliit na mga organisasyon, ito rin ay mga bansa laban sa mga bansa. Ito ay ibabalik sa amin sa isyu na iyon, kung saan naka-imbak ang data? Nasa isang database. Anong mga kontrol at mekanismo ang naroroon? O hindi madalas na hindi sila naka-encrypt, at kung naka-encrypt sila, hindi palaging lahat ng data, marahil ito lamang ang password na inasnan at naka-encrypt.
At balot dito ay mayroon kaming isang hanay ng mga hamon sa kung ano ang nasa data na iyon at kung paano kami nagbibigay ng pag-access sa data at pagsunod sa SOX. Kaya kung sa tingin mo tungkol sa pamamahala ng kayamanan o pagbabangko, mayroon kang mga organisasyon na nababahala tungkol sa hamon ng kredensyal; mayroon kang mga organisasyon na nababahala tungkol sa pagsunod sa puwang ng korporasyon; nakuha mo ang pagsunod sa pamahalaan at mga kinakailangan sa regulasyon; mayroon kang mga sitwasyon ngayon kung saan nakakuha kami ng mga premise na database; mayroon kaming mga database sa mga sentro ng data ng third-party; mayroon kaming mga database na nakaupo sa mga kapaligiran sa ulap, kaya ang mga kapaligiran sa ulap na ito ay hindi palaging nasa bansa. At sa gayon ito ay nagiging isang mas malaki at mas malaking hamon, hindi lamang mula sa dalisay na seguridad na hindi-ma-get-hacked point of view, ngunit din, paano natin matutugunan ang lahat ng iba't ibang mga antas ng pagsunod? Hindi lamang ang pamantayan ng HIPAA at ISO, ngunit mayroong literal na dose-dosenang at dose-dosenang at dose-dosenang mga ito sa antas ng estado, pambansang antas at pandaigdigang antas na tumatawid sa mga hangganan. Kung nagtatrabaho ka sa Australia, hindi mo maililipat ang data ng gobyerno. Ang sinumang pribadong data ng Australia ay hindi maaaring umalis sa bansa. Kung ikaw ay nasa Alemanya mas mahigpit. At alam ko ang paglipat ng Amerika nang napakabilis dito para sa iba't ibang mga kadahilanan.
Ngunit ibabalik ko ulit ito sa buong hamon ng kung paano mo malalaman kung ano ang nangyayari sa iyong database, paano mo masubaybayan ito, paano mo sasabihin kung sino ang gumagawa ng kung ano ang nasa database, kung sino ang nakuha ng mga tanawin ng iba't ibang mga talahanayan at hilera at haligi at mga patlang, kailan nila ito binabasa, gaano kadalas nila itong binabasa at sinubaybayan ito? At sa palagay ko ay dinadala ako sa aking huling punto bago ko ibigay sa aming panauhin ngayon kung sino ang tutulong sa amin na pag-usapan ang tungkol sa kung paano natin malulutas ang problemang ito. Ngunit nais kong iwanan sa amin ang isang pag-iisip na ito at iyon ay, ang pokus ay nakatuon sa gastos sa negosyo at gastos sa samahan. At hindi namin tatalakayin nang detalyado ang puntong ito ngayon, ngunit nais ko lamang na iwanan ito sa aming isipan para sa pagninilay-nilay at iyon ay mayroong isang pagtatantya na humigit-kumulang sa pagitan ng US $ 135 at US $ 585 bawat tala upang linisin pagkatapos ng paglabag. Kaya ang pamumuhunan na ginawa mo sa iyong seguridad sa paligid ng mga router at switch at mga server ay maayos at mabuti at mga firewall, ngunit gaano ka nag-invest sa iyong security database?
Ngunit ito ay isang maling ekonomiya at kapag nangyari ang paglabag sa Yahoo kamakailan, at mayroon ako sa mabuting awtoridad, halos isang bilyong account, hindi 500 milyon. Kapag binili ni Verizon ang samahan para sa isang bagay na tulad ng 4.3 bilyon, sa sandaling nangyari ang paglabag ay humingi sila ng isang bilyong dolyar, o isang diskwento. Ngayon kung gagawin mo ang matematika at sasabihin mong mayroong halos isang bilyong talaan na nasira, isang bilyong dolyar na diskwento, ang tinatayang $ 135 hanggang $ 535 para sa paglilinis ng isang rekord ngayon ay nagiging $ 1. Alin, muli, ay farcical. Hindi nagkakahalaga ng $ 1 upang linisin ang isang bilyong talaan. Sa $ 1 bawat tala upang linisin ang isang bilyong talaan para sa paglabag sa laki na iyon. Hindi ka maaaring maglabas ng isang pindutin ang release para sa uri ng gastos. At kaya palaging nakatuon kami sa mga panloob na mga hamon.
Ngunit isa sa mga bagay, sa palagay ko, at dapat nating gawin itong seryoso sa antas ng database, kung bakit ito ay isang napaka, napakahalagang paksa na pag-uusapan natin, at iyon ay, hindi natin kailanman pinag-uusapan ang tungkol sa tao tol. Ano ang tao na natamo sa atin? At kukuha ako ng isang halimbawa bago ako mabilis na nakabalot. LinkedIn: noong 2012, ang sistema ng LinkedIn ay na-hack. Mayroong isang bilang ng mga vectors at hindi ako pupunta doon. At daan-daang milyong mga account ang ninakaw. Sinabi ng mga tao tungkol sa 160-kakaibang milyon, ngunit ito ay talagang isang mas malaking bilang, maaari itong maging kasing dami ng 240 milyon. Ngunit ang paglabag na ito ay hindi inihayag hanggang sa mas maaga sa taong ito. Iyon ay apat na taon na ang daan-daang milyong mga tala ng mga tao ay naroon. Ngayon, mayroong ilang mga tao na nagbabayad para sa mga serbisyo na may mga credit card at ilang mga taong may libreng account. Ngunit ang kawili-wili sa LinkedIn, dahil hindi lamang sila nakakuha ng access sa mga detalye ng iyong account kung nasira ka, ngunit nakuha din nila ang access sa lahat ng iyong impormasyon sa profile. Kaya, kung sino ang nakakonekta sa iyo at lahat ng mga koneksyon na mayroon ka, at ang mga uri ng trabaho na mayroon sila at mga uri ng mga kasanayan na mayroon sila at kung gaano katagal sila ay nagtrabaho sa mga kumpanya at lahat ng uri ng impormasyon, at ang kanilang mga detalye sa pakikipag-ugnay.
Kaya isipin ang hamon na mayroon tayo sa pag-secure ng data sa mga database na ito, at pag-secure at pamamahala ng mga database system mismo, at ang daloy ng epekto, ang tao ay dumaan sa data na iyon doon sa loob ng apat na taon. At ang posibilidad na ang isang tao ay maaaring magbukas para sa isang bakasyon sa isang lugar sa Timog Silangang Asya at nakuha nila ang kanilang data doon sa loob ng apat na taon. At maaaring may bumili ng kotse o kumuha ng utang sa bahay o bumili ng sampung mga telepono sa loob ng isang taon sa mga credit card, kung saan nilikha nila ang isang pekeng ID sa na data na lumabas doon sa loob ng apat na taon - dahil kahit ang data ng LinkedIn ay nagbigay sa iyo ng sapat na impormasyon sa lumikha ng isang bank account at isang pekeng ID - at nakasakay ka sa eroplano, pupunta ka para sa isang piyesta opisyal, pumupunta ka at ikaw ay itinapon sa bilangguan. At bakit ikaw ay itinapon sa bilangguan? Well, dahil nagnanakaw ka ng iyong ID. May lumikha ng isang pekeng ID at kumilos tulad mo at daan-daang libong dolyar at ginagawa nila ito sa apat na taon at hindi mo alam ang tungkol dito. Dahil nasa labas ito, nangyari lang ito.
Kaya sa palagay ko ay nagdadala ito sa amin ng pangunahing hamon na ito kung paano natin nalalaman kung ano ang nangyayari sa aming mga database, paano natin masusubaybayan ito, paano natin susubaybayan ito? At inaasahan kong marinig kung paano nagkaroon ng solusyon ang aming mga kaibigan sa IDERA upang matugunan iyon. At doon, ibibigay ko.
Eric Kavanagh: Sige, Ignacio, ang sahig ay iyo.
Ignacio Rodriguez: Sige. Well, maligayang pagdating sa lahat. Ang Ignacio Rodriguez ng pangalan ko, mas kilala bilang Iggy. Kasama ko si IDERA at isang tagapamahala ng produkto para sa mga produkto ng seguridad. Talagang mahusay na mga paksa na saklaw namin, at talagang kailangan nating mag-alala tungkol sa mga paglabag sa data. Kailangan nating magkaroon ng matigas na mga patakaran sa seguridad, kailangan nating kilalanin ang mga kahinaan at suriin ang mga antas ng seguridad, kontrolin ang mga pahintulot ng gumagamit, kontrol ng seguridad ng server at sumunod sa mga pag-awdit. Nagsagawa ako ng pag-awdit sa aking nakaraang kasaysayan, karamihan sa Oracle. Nagawa ko ang ilan sa SQL Server at ginagawa ko ang mga ito sa mga tool o, talaga, mga script ng homegrown, na mahusay ngunit kailangan mong lumikha ng isang imbakan at tiyaking ligtas ang pag-iimpok, patuloy na kinakailangang mapanatili ang mga script na may mga pagbabago mula sa mga auditor., ano ang mayroon ka.
Kaya, sa mga tool, kung alam ko na ang IDERA ay nasa labas at mayroong isang tool, higit na malamang na binili ko ito. Ngunit kahit papaano, pag-uusapan natin ang tungkol kay Secure. Ito ay isa sa aming mga produkto sa aming linya ng seguridad ng produkto at kung ano ang ginagawa nito ay tinitingnan namin ang mga patakaran sa seguridad at pagmamapa sa mga patnubay sa regulasyon. Maaari mong tingnan ang isang kumpletong kasaysayan ng mga setting ng SQL Server at maaari mo ring gawin ang isang baseline ng mga setting at pagkatapos ay ihambing laban sa mga pagbabago sa hinaharap. Makakagawa ka ng isang snapshot, na isang baseline ng iyong mga setting, at pagkatapos ay magagawang subaybayan kung nabago ang alinman sa mga bagay na iyon at mapapabatid din kung sila ay nabago.
Ang isa sa mga bagay na mahusay nating ginagawa ay maiwasan ang panganib sa seguridad at paglabag. Binibigyan ka ng security report card ng isang pagtingin sa mga nangungunang mga kahinaan sa seguridad sa mga server at pagkatapos din ang bawat tseke ng seguridad ay ikinategorya bilang mataas, katamtaman o mababang peligro. Ngayon, sa mga kategoryang ito o mga tseke ng seguridad, ang lahat ng ito ay maaaring mabago. Sabihin natin kung mayroon kang ilang mga kontrol at paggamit ng isa sa mga template na mayroon kami at magpasya ka, well, ang aming mga kontrol ay talagang nagpapahiwatig o nais na ang kahinaan na ito ay hindi talaga isang mataas ngunit isang daluyan, o kabaligtaran. Maaari kang magkaroon ng ilang mga may label na bilang daluyan ngunit sa iyong organisasyon ang mga kontrol na nais mong lagyan ng label ang mga ito, o isaalang-alang ang mga ito, bilang mataas, lahat ng mga setting na ito ay mai-configure ng gumagamit.
Ang isa pang kritikal na isyu na kailangan nating tingnan ay ang pagkilala sa mga kahinaan. Ang pag-unawa kung sino ang may access sa kung ano at makilala ang bawat isa sa mga mabisang karapatan ng gumagamit sa lahat ng mga bagay ng SQL Server. Sa tool na pupuntahan namin upang makita at tingnan ang mga karapatan sa lahat ng mga bagay ng SQL Server at makikita namin ang isang screenshot na narito sa lalong madaling panahon. Iniuulat din namin at sinuri ang mga pahintulot ng gumagamit, grupo at papel. Isa sa iba pang mga tampok ay naghahatid kami ng detalyadong mga ulat sa peligro ng seguridad. Mayroon kaming mga ulat sa labas ng kahon at naglalaman ng mga nababaluktot na mga parameter para sa iyo upang lumikha ng mga uri ng mga ulat at ipakita ang data na hinihiling ng mga auditor, mga opisyal ng seguridad at tagapamahala.
Maaari rin nating ihambing ang mga pagbabago sa seguridad, panganib at pagsasaayos sa paglipas ng panahon, tulad ng nabanggit ko. At ang mga kasama ng mga snapshot. At ang mga snapshot ay maaaring mai-configure hangga't nais mong gawin ang mga ito - buwan-buwan, quarterly, taun-taon - maaaring mai-iskedyul sa loob ng tool. At, muli, maaari kang gumawa ng mga paghahambing upang makita kung ano ang nagbago at kung ano ang maganda tungkol dito kung mayroon kang paglabag na maaari kang lumikha ng isang snapshot matapos itong maiwasto, gumawa ng isang paghahambing, at makikita mo na mayroong isang mataas na antas panganib na nauugnay sa nakaraang snapshot at pagkatapos mag-ulat, aktwal mong nakikita sa susunod na snapshot matapos na naitama na hindi na ito isyu. Ito ay isang mahusay na tool sa pag-awdit na maaari mong ibigay sa auditor, isang ulat na maaari mong ibigay sa mga auditor at sasabihin, "Narito, nagkaroon kami ng peligro na ito, pinaliit namin ito, at ngayon hindi na ito panganib." At, muli, ako nabanggit sa mga snapshot na maaari mong alerto kapag nagbago ang isang pagsasaayos, at kung nabago ang isang pagsasaayos, at napansin, na mayroong isang bagong panganib, bibigyan ka rin ng abiso tungkol dito.
Nakakuha kami ng ilang mga katanungan sa aming SQL Server Architecture na may Secure, at nais kong gumawa ng isang pagwawasto sa slide dito kung saan sinasabi nito na "Collection Service." Wala kaming anumang mga serbisyo, dapat itong maging "Management and Collection Server. "Mayroon kaming aming console at pagkatapos ay ang aming Pamamahala at Koleksyon ng Server at mayroon kaming isang walang kontrol na ahente na lalabas sa mga database na nakarehistro at tipunin ang data sa pamamagitan ng mga trabaho. At mayroon kaming isang SQL Server Repository at nagtatrabaho kami kasama ang Mga Serbisyo ng Pag-uulat ng SQL Server upang mai-iskedyul ang mga ulat at lumikha din ng mga pasadyang ulat. Ngayon sa isang Security Report Card ito ang unang screen na makikita mo kapag nagsimula ang SQL Secure. Madali mong makita kung aling mga kritikal na item na mayroon ka na nakita ito. At, muli, mayroon kaming mga highs, medium at lows. At pagkatapos ay mayroon din kaming mga patakaran na nilalaro sa partikular na mga tseke ng seguridad. Mayroon kaming isang template ng HIPAA; mayroon kaming mga IDERA Security Level 1, 2 at 3 template; mayroon kaming mga patnubay sa PCI. Ito ang lahat ng mga template na maaari mong gamitin at, muli, maaari kang lumikha ng iyong sariling template, batay sa iyong sariling mga kontrol din. At, muli, sila ay nababago. Maaari kang lumikha ng iyong sarili. Ang alinman sa umiiral na mga template ay maaaring magamit bilang isang saligan, pagkatapos ay maaari mong baguhin ang mga gusto mo.
Ang isa sa mga magagandang bagay na dapat gawin ay makita kung sino ang may mga pahintulot. At sa screen na ito narito kami ay magagawang makita kung ano ang SQL Server logins sa enterprise at makikita mo ang lahat ng itinalaga at epektibong mga karapatan at pahintulot sa database ng server sa antas ng object. Ginagawa namin iyan dito. Magagawa mong pumili, muli, ang mga database o mga server, at pagkatapos ay ma-pull up ang ulat ng mga pahintulot ng SQL Server. Kaya makita kung sino ang may kung anong access sa kung ano. Ang isa pang magandang tampok ay magagawa mong ihambing ang mga setting ng seguridad. Sabihin nating mayroon kang mga karaniwang setting na kinakailangan upang itakda sa iyong negosyo. Magagawa mong pagkatapos ay gumawa ng isang paghahambing sa lahat ng iyong mga server at makita kung anong mga setting ang naitakda sa iba pang mga server sa iyong enterprise.
Muli, ang mga template ng patakaran, ito ang ilan sa mga template na mayroon tayo. Karaniwang, muli, gumamit ng isa sa mga iyon, lumikha ng iyong sariling. Maaari kang lumikha ng iyong sariling patakaran, tulad ng nakikita dito. Gumamit ng isa sa mga template at maaari mong baguhin ang mga ito kung kinakailangan. Nakikita din namin ang Mga Karapatan na Mga Epektibong Karapatan ng SQL Server. Patunayan nito at patunayan na ang mga pahintulot ay nakatakda nang tama para sa mga gumagamit at tungkulin. Muli, maaari kang lumabas doon at tumingin at makita at mapatunayan na ang tama ay itinakda nang tama para sa mga gumagamit at ang mga tungkulin. Pagkatapos gamit ang SQL Server Object sa Pag-access ay maaari mong i-browse at suriin ang puno ng object ng SQL Server mula sa antas ng server hanggang sa mga tungkulin at antas ng object-end. At maaari mong agad na tingnan ang nakatalaga at epektibong minana na mga pahintulot at mga katangian na may kaugnayan sa seguridad sa antas ng object. Nagbibigay ito sa iyo ng isang magandang view ng mga access na mayroon ka sa iyong mga object database at kung sino ang may access sa mga iyon.
Mayroon kaming, muli, ang aming mga ulat na mayroon kami. Ang mga naka-kahong ulat, mayroon kaming maraming maaari mong piliin upang magawa ang iyong pag-uulat. At marami sa mga ito ay maaaring ipasadya o maaari kang magkaroon ng mga ulat ng iyong customer at gamitin na kasabay ng mga serbisyo sa pag-uulat at makagawa ng iyong sariling mga pasadyang ulat mula doon. Ngayon ang Mga Paghahambing ng Snapshot, ito ay isang medyo cool na tampok, sa palagay ko, kung saan maaari kang lumabas doon at maaari kang gumawa ng isang paghahambing ng iyong mga snapshot na iyong kinuha at tumingin upang makita kung mayroong anumang pagkakaiba sa bilang. Mayroon bang anumang mga bagay na idinagdag, mayroon bang mga pahintulot na nagbago, anumang bagay na maaari naming makita kung anong mga pagbabago ang nagawa sa pagitan ng iba't ibang mga snapshot. Ang ilang mga tao ay titingnan ang mga ito sa isang buwanang antas - gagawa sila ng isang buwanang snapshot at pagkatapos ay gumawa ng isang paghahambing bawat buwan upang makita kung may nagbago. At kung walang bagay na dapat na mabago, anupaman ang napunta sa mga pagpupulong sa control control, at nakikita mo na ang ilang mga pahintulot ay nabago maaari kang bumalik upang tumingin upang makita kung ano ang nangyari. Ito ay isang magandang tampok dito kung saan maaari mong gawin ang paghahambing, muli, sa lahat ng na-awdit sa loob ng snapshot.
Pagkatapos ang iyong Paghahambing sa Paghahambing. Ito ay isa pang magandang tampok na mayroon kami kung saan maaari kang pumunta doon at tingnan ang mga pagtatasa at pagkatapos ay gumawa ng isang paghahambing sa mga ito at mapansin na ang paghahambing dito ay mayroong isang account sa SA na hindi pinagana sa kamakailang snapshot na nagawa ko - ito ay naayos na ngayon. Ito ay isang napakagandang bagay kung saan maaari mong ipakita na, okay, nagkaroon kami ng ilang mga panganib, sila ay nakilala sa pamamagitan ng tool, at ngayon namin naitawan ang mga panganib. At, muli, ito ay isang mabuting ulat upang maipakita sa mga auditor na sa katunayan ang mga panganib na ito ay inalis at inaalagaan.
Sa kabuuan, seguridad ng database, kritikal ito, at sa palagay ko maraming beses na tinitingnan namin ang mga paglabag na nagmula sa mga panlabas na mapagkukunan at kung minsan hindi namin masyadong binibigyang pansin ang mga panloob na paglabag at iyon ang ilan sa mga bagay na kailangang magbantay. At tutulungan ka ng Secure doon upang matiyak na walang pribilehiyo na hindi kailangang italaga, alam mo, siguraduhin na ang lahat ng seguridad na ito ay nakatakda nang maayos sa mga account. Tiyaking mayroong mga password ang SA. Gayundin ang mga tseke hanggang sa, ang iyong mga susi sa pag-encrypt, na-export na ba ito? Lamang ng maraming iba't ibang mga bagay na aming suriin at ipaalam namin sa iyo ang katotohanan kung mayroong isang isyu at kung anong antas ng isyu ito. Kailangan namin ng isang tool, maraming mga propesyonal ang nangangailangan ng mga tool upang pamahalaan at subaybayan ang mga pahintulot sa pag-access sa database, at tinitingnan talaga namin ang pagbibigay ng isang malawak na kakayahan upang makontrol ang mga pahintulot sa database at subaybayan ang mga aktibidad ng pag-access at mapawi ang panganib sa paglabag.
Ngayon ang isa pang bahagi ng aming mga produkto ng seguridad ay mayroong isang WebEx na nasaklaw at bahagi ng pagtatanghal na napag-usapan namin kanina ay ang data. Alam mo kung sino ang nag-access kung ano, ano ang mayroon ka, at iyon ang aming tool ng SQL Compliance Manager. At mayroong isang naitala na WebEx sa tool na iyon at magbibigay-daan sa iyo na subaybayan kung sino ang ma-access kung anong mga talahanayan, kung anong mga haligi, maaari mong makilala ang mga talahanayan na may sensitibong mga haligi, hanggang sa petsa ng kapanganakan, impormasyon ng pasyente, mga uri ng mga talahanayan, at talagang makita kung sino ang may access sa impormasyong iyon at kung mai-access ito.
Eric Kavanagh: Sige, kaya't sumisid tayo sa mga tanong, sa palagay ko, narito. Siguro, Dez, ihahagis ko muna ito sa iyo, at Robin, chime in hangga't maaari.
Dez Blanchfield: Oo, nangangati ako upang magtanong mula sa 2 nd at 3 rd slide. Ano ang karaniwang kaso ng paggamit na nakikita mo para sa tool na ito? Sino ang mga pinaka-karaniwang uri ng mga gumagamit na nakikita mo na nagpatibay nito at inilalagay ito sa paglalaro? At sa likod ng iyon, ang tipikal, uri ng, gumamit ng modelo ng kaso, paano sila pupunta? Paano ito ipinatupad?
Ignacio Rodriguez: Okay, ang karaniwang kaso ng paggamit na mayroon tayo ay mga DBA na naatasan ng responsibilidad ng control control para sa database, na tinitiyak na ang lahat ng mga pahintulot ay itinakda ang paraan na kailangan nilang maging at pagkatapos ay subaybayan, at ang kanilang mga pamantayan sa lugar. Alam mo, ang mga tiyak na account sa gumagamit ay maaari lamang magkaroon ng access sa mga partikular na talahanayan, atbp. At kung ano ang ginagawa nila dito ay tiyakin na ang mga pamantayang iyon ay naitakda at ang mga pamantayang iyon ay hindi nagbago sa pamamagitan ng oras. At iyon ang isa sa mga malalaking bagay na ginagamit ito ng mga tao upang subaybayan at makilala kung may mga pagbabago na ginagawa na hindi alam tungkol sa.
Dez Blanchfield: Dahil sila ang nakakatakot, di ba? Maaari ka bang magkaroon ng, sabihin natin, isang diskarte sa diskarte, mayroon kang mga patakaran na sumuporta sa iyo, mayroon kang pagsunod sa pamamahala at pagsunod sa mga patakaran, sumunod ka sa pamamahala at nakakakuha ka ng berdeng ilaw at pagkatapos ng lahat ng biglaang isang buwan mamaya ang isang tao ay naglalabas ng pagbabago at sa ilang kadahilanan hindi ito dumaan sa parehong pagbabago ng pagsusuri sa board o proseso ng pagbabago, o kung ano man ito, o ang proyekto ay lumipat lamang at walang nakakaalam.
Mayroon ka bang anumang mga halimbawa na maaari mong ibahagi - at alam ko, malinaw naman, hindi palaging isang bagay na ibinabahagi mo dahil ang mga kliyente ay medyo nababahala tungkol dito, kaya hindi namin kailangang kinakailangang pangalanan ang mga pangalan - ngunit bigyan kami ng isang halimbawa ng kung saan ka marahil ay nakita ito, alam mo, ang isang samahan ay naglagay nito nang hindi napagtanto ito at natagpuan lamang nila ang isang bagay at natanto, "Wow, nagkakahalaga ng sampung beses, natagpuan lamang natin ang isang bagay na hindi natin napagtanto." Mayroon ba kayong anumang halimbawa kung saan ipinatupad ito ng mga tao at pagkatapos ay natuklasan na mayroon silang isang mas malaking problema o isang tunay na problema na hindi nila napagtanto na mayroon sila at pagkatapos ay madagdagan ka agad sa listahan ng Christmas card?
Ignacio Rodriguez: Sa palagay ko, ang pinakamalaking bagay na nakita o naiulat namin ay ang nabanggit ko lang, hanggang sa pag-access ng isang tao. Mayroong mga developer at kapag ipinatupad nila ang tool na talagang hindi nila napagtanto na ang halaga ng X ng mga developer na ito ay maraming access sa database at nagkaroon ng access sa mga partikular na bagay. At isa pang bagay ang mga nababasa-account lamang. Mayroong ilang mga nabasa na mga account lamang, na malaman ang mga nabasang account na ito ay aktwal, ay nagsingit din ng data at nagtanggal din ng mga pribilehiyo. Iyon ay kung saan nakita namin ang ilang mga benepisyo sa mga gumagamit. Ang malaking bagay, muli, na narinig natin na tulad ng mga tao, ay nagagawa, muli, subaybayan ang mga pagbabago at tiyakin na walang nagbubulag sa kanila.
Dez Blanchfield: Tulad ng na- highlight ni Robin, mayroon kang mga sitwasyon na hindi madalas na iniisip ng mga tao, di ba? Kapag inaasahan namin, ayon sa pag-iisip, alam mo, kung gagawin namin ang lahat ayon sa mga patakaran, at nakita ko, at sigurado akong nakikita mo rin ito - sabihin sa akin kung hindi ka sumasang-ayon sa ito - ang mga organisasyon ay nakatuon sa gayon mabigat sa pagbuo ng estratehiya at patakaran at pagsunod at pamamahala at KPI at pag-uulat, na madalas nila itong napagtibay, hindi nila iniisip ang tungkol sa mga tagalabas. At si Robin ay may isang mahusay na halimbawa na magnanakaw mula sa kanya - sorry Robin - ngunit ang halimbawa ay ang iba pang oras kung saan ang isang live na kopya ng database, isang snapshot at ilagay ito sa pag-unlad na pagsubok, di ba? Gumawa kami ng dev, gumawa kami ng mga pagsubok, ginagawa namin ang UAT, nagsasagawa kami ng mga sistema ng pagsasama, lahat ng uri ng mga bagay-bagay at pagkatapos ay gumawa kami ng isang bungkos ng mga pagsubok sa pagsunod. Kadalasan ang dev test, UAT, SIT ay talagang mayroong isang sangkap sa pagsunod dito kung saan siguraduhin lamang nating lahat ito ay malusog at ligtas, ngunit hindi lahat ay gumagawa nito. Ang halimbawang ito na ibinigay ni Robin sa isang kopya ng isang live na kopya ng database na inilagay sa isang pagsubok sa kapaligiran ng pag-unlad upang makita kung gumagana pa ito sa live na data. Napakakaunting mga kumpanya na umupo at iniisip, "May nangyari ba ito o posible?" Palagi silang naayos sa mga gamit na gawa. Ano ang hitsura ng paglalakbay sa pagpapatupad? Napag-uusapan ba natin ang mga araw, linggo, buwan? Ano ang hitsura ng isang regular na paglawak para sa isang average na laki ng samahan?
Ignacio Rodriguez: Mga Araw. Hindi man ito araw, ang ibig kong sabihin, ilang araw na lang. Nagdagdag lamang kami ng isang tampok kung saan nagagawa naming magrehistro ng maraming, maraming mga server. Sa halip na kailangang pumasok doon sa tool, at sabihin na mayroon kang 150 mga server, kailangan mong pumunta doon nang isa-isa at irehistro ang mga server - ngayon hindi mo na kailangang gawin iyon. Mayroong isang CSV file na nilikha mo at awtomatiko naming alisin ito at hindi namin pinananatili ito dahil sa mga alalahanin sa seguridad. Ngunit iyon ang isa pang bagay na dapat nating isaalang-alang, magkakaroon ka ba ng isang file ng CSV doon kasama ang username / password.
Ang ginagawa namin ay awtomatiko namin, tinanggal namin ito muli, ngunit iyon ang pagpipilian na mayroon ka. Kung nais mong pumunta nang isa-isa at irehistro ang mga ito at hindi nais na kunin ang panganib na iyon, pagkatapos ay magagawa mo iyon. Ngunit kung nais mong gumamit ng isang CSV file, ilagay ito sa isang lokasyon na ligtas, ituro ang application sa lokasyong iyon, tatakbo ito na CSV file at pagkatapos ay awtomatiko itong itakda upang tanggalin ang file na iyon sa sandaling tapos na ito. At pupunta ito at siguraduhin at suriin ang file ay tinanggal. Ang pinakamahabang poste sa buhangin na mayroon kami hanggang sa pagpapatupad ay pagrehistro ng aktwal na mga server.
Dez Blanchfield: Okay. Ngayon ay napag-usapan mo ang mga ulat. Maaari mo bang bigyan kami ng mas detalyado at pananaw sa kung ano ang darating na pre-bundle hangga't ang pag-uulat sa paligid lamang, sa palagay ko, ang sangkap ng pagtuklas ng pagtingin sa kung ano ang naroroon at pag-uulat tungkol dito, kasalukuyang estado ng bansa, kung ano ang darating itinayo at pre-lutong hangga't ang mga ulat sa paligid ng kasalukuyang estado ng pagsunod at seguridad, at pagkatapos ay gaano kadali sila mapapalawak? Paano tayo magtatayo sa mga iyon?
Ignacio Rodriguez: Okay. Ang ilan sa mga ulat na mayroon kami, mayroon kaming mga ulat na nakitungo sa cross-server, mga tseke sa pag-login, mga filter ng koleksyon ng data, kasaysayan ng aktibidad at pagkatapos ng mga ulat sa pagsusuri sa peligro. At din ang anumang mga pinaghihinalaang Windows account. Maraming, marami dito. Tingnan ang mga pinaghihinalaang SQL logins, server ng server at pagmamapa ng gumagamit, mga pahintulot ng gumagamit, lahat ng mga pahintulot ng gumagamit, mga tungkulin ng server, mga tungkulin ng database, ang ilang dami ng kahinaan o mga ulat ng pagpapatunay na pinagsama-sama, paganahin ang mga database ng OS, kahinaan ng OS sa pamamagitan ng XPSs, ang pinalawak na mga pamamaraan, at pagkatapos ay ang masusugatan naayos na mga tungkulin. Iyon ang ilan sa mga ulat na mayroon tayo.
Dez Blanchfield: At nabanggit mo ang mga ito ay sapat na makabuluhan at isang bilang ng mga ito, na isang lohikal na bagay. Gaano kadali para sa akin? Kung nagpapatakbo ako ng isang ulat at nakuha ko ang mahusay na malaking grap na ito, ngunit nais kong kumuha ng ilang piraso na hindi ako tunay na interesado at magdagdag ng ilang mga tampok, ay mayroong isang manunulat ng ulat, mayroong ilang uri ng interface at tool upang mai-configure at maiangkop o kahit na potensyal na bumuo ng isa pang ulat mula sa simula?
Ignacio Rodriguez: Pagkatapos ay idirekta namin ang mga gumagamit upang gamitin ang Microsoft SQL Report Services upang gawin iyon at mayroon kaming maraming mga customer na tunay na kukuha ng ilang mga ulat, ipasadya at iiskedyul ang mga ito tuwing nais nila. Ang ilan sa mga taong ito ay nais na makita ang mga ulat na ito sa isang buwanang batayan o lingguhang batayan at kukunin nila ang impormasyong mayroon kami, ilipat ito sa Mga Serbisyo sa Pag-uulat at pagkatapos ay gawin iyon mula doon. Wala kaming isang manunulat ng ulat na isinama sa aming tool, ngunit sinamantala namin ang Mga Serbisyo sa Pag-uulat.
Dez Blanchfield: Sa palagay ko iyon ang isa sa mga pinakamalaking hamon sa mga tool na ito. Maaari kang makapasok doon at makahanap ng mga gamit, ngunit pagkatapos ay kailangan mong magawa ito, iulat ito sa mga taong hindi kinakailangang mga DBA at mga inhinyero ng system. Mayroong isang kagiliw-giliw na papel na naganap sa aking karanasan at iyon ay, alam mo, ang mga opisyal ng peligro ay palaging nasa mga organisasyon at sila ay nakararami na sa paligid at isang iba't ibang iba't ibang mga panganib na nakita natin kamakailan, samantalang may data na ang mga paglabag ay hindi lamang isang bagay ngunit isang aktwal na tsunami, ang CRO ay nawala mula sa pagiging, alam mo, HR at pagsunod at pagtutuon sa kalusugan at uri ng kaligtasan na nakatuon sa panganib sa cyber. Alam mo, paglabag, pag-hack, seguridad - mas teknikal. At nakakakuha ito ng kawili-wili dahil maraming mga CRO na nagmula sa isang pedigree ng MBA at hindi isang teknikal na pedigree, kaya kailangan nilang kunin ang kanilang mga ulo, uri ng, kung ano ang ibig sabihin nito para sa paglipat sa pagitan ng panganib ng cyber na lumipat sa isang CRO, at iba pa. Ngunit ang malaking bagay na nais nila ay ang pag-uulat ng kakayahang makita lamang.
Maaari mo bang sabihin sa amin ang anumang bagay sa paligid ng pagpoposisyon tungkol sa pagsunod? Malinaw na ang isa sa mga malaking lakas ng ito ay maaari mong makita kung ano ang nangyayari, maaari mong subaybayan ito, maaari mong malaman, maaari kang mag-ulat tungkol dito, maaari kang mag-reaksyon dito, maaari mo ring mai-preempt ang ilang mga bagay. Ang namumuno sa hamon ay ang pagsunod sa pamamahala. Mayroon bang mga pangunahing bahagi nito na sinasadya na nag-link sa umiiral na mga kinakailangan sa pagsunod o pagsunod sa industriya tulad ng PCI, o isang bagay na tulad nito, o ito ba ay bumababa sa mapa ng kalsada? Ito ba, uri ng, umaangkop sa balangkas ng mga gusto ng mga pamantayan sa COBIT, ITIL at ISO? Kung ipinagkaloob namin ang tool na ito, nagbibigay ba ito sa amin ng isang serye ng mga tseke at balanse na umaangkop sa mga balangkas na iyon, o paano natin ito itatayo sa mga balangkas na iyon? Nasaan ang posisyon sa mga uri ng mga bagay sa isip?
Ignacio Rodriguez: Oo, may mga template na mayroon kami na inihatid namin gamit ang tool. At kami ay makarating sa puntong muli kung saan namin suriin muli ang aming mga template at kami ay pagdaragdag at doon ay magiging mas malapit na. Ang FISMA, FINRA, ilang karagdagang mga template na mayroon tayo, at karaniwang suriin namin ang mga template at titingnan upang makita kung ano ang nagbago, ano ang kailangan nating idagdag? At nais naming makarating sa punto kung saan, alam mo, ang mga kinakailangan sa seguridad ay medyo nagbago, kaya't naghahanap kami ng isang paraan upang magawa ito ng mabilis. Iyan ang isang bagay na tinitingnan namin sa hinaharap.
Ngunit ngayon tinitingnan namin na marahil ang paglikha ng mga template at makuha ang mga template mula sa isang website; maaari mong i-download ang mga ito. At iyon kung paano namin hawakan iyon - hawakan namin ang mga ito sa pamamagitan ng mga template, at naghahanap kami ng mga paraan sa hinaharap dito upang gawin itong madali at mabilis. Sapagkat noong una kong gawin ang pag-awdit, alam mo, nagbabago ang mga bagay. Ang isang auditor ay darating sa isang buwan at sa susunod na buwan na nais nilang makakita ng naiiba. Pagkatapos iyon ang isa sa mga hamon sa mga tool, nagagawa ang mga pagbabagong iyon at makuha ang kailangan mo, at iyon, uri ng, kung saan nais naming makarating.
Dez Blanchfield: Inaasahan ko na ang hamon ng isang auditor ay nagbabago nang regular batay sa katotohanan na ang paglipat ng mundo ay mas mabilis. At sa sandaling ang pangangailangan mula sa isang punto ng pag-audit, sa aking karanasan, ay magiging dalisay na pagsunod sa komersyal, at pagkatapos ito ay naging pagsunod sa teknikal at ngayon ito ay pagsunod sa pagpapatakbo. At mayroong lahat ng iba pa, alam mo, araw-araw may isang tao at hindi ka lamang sinusukat sa iyo sa isang bagay na tulad ng ISO 9006 at 9002 na operasyon, tinitingnan nila ang lahat ng mga uri ng mga bagay. At nakikita ko ngayon ang 38, 000 serye ay nagiging isang malaking bagay pati na rin sa ISO. Iniisip ko na lalo lang itong lalakas at mapaghamong. Malapit na akong ibigay kay Robin dahil na-hogging ang bandwidth.
Maraming salamat sa iyo, at tiyak na gagastos ako ng mas maraming oras upang makilala ito dahil hindi ko talaga napagtanto na ito talaga ang napakalalim nito. Kaya, salamat, Ignacio, ihahatid ko na si Robin ngayon. Isang mahusay na pagtatanghal, salamat. Robin, sa tapat mo.
Robin Bloor: Okay Iggy, tatawagan kitang Iggy, kung okay lang iyon. Ano ang nakakainis sa akin, at sa palagay ko sa ilang mga bagay na sinabi ni Dez sa kanyang pagtatanghal, mayroong isang kakila-kilabot na nangyayari sa labas doon na dapat mong sabihin na ang mga tao ay talagang hindi naghahanap ng data. Alam mo, lalo na pagdating sa katotohanan na nakikita mo lamang ang bahagi ng iceberg at marahil maraming nangyayari sa pag-uulat ng sinuman. Interesado ako sa iyong pananaw tungkol sa kung ilan sa mga customer na iyong nalalaman, o mga potensyal na customer na iyong nalalaman, ay may antas ng proteksyon na ikaw, uri ng, nag-aalok ng hindi lamang ito, ngunit ang iyong data access teknolohiya din? Ibig kong sabihin, kung sino sa labas ay may maayos na kagamitan upang harapin ang banta, ang tanong?
Ignacio Rodriguez: Sino ang maayos na gamit? Ibig kong sabihin, maraming mga customer na talagang hindi namin hinarap ang anumang uri ng pag-audit, alam mo. Nagkaroon sila ng ilan, ngunit ang malaking bagay ay sinusubukan na panatilihin ito at sinusubukan na mapanatili ito at tiyakin. Ang malaking isyu na nakita namin ay - at kahit na mayroon ako kapag nagsasagawa ako ng pagsunod, ay - kung pinatakbo mo ang iyong mga script, gagawin mo ito isang beses bawat quarter kapag pumapasok ang mga auditor at nakatagpo ka ng isang problema. Well, hulaan kung ano, na huli na, ang pag-awdit doon, ang mga auditor ay nariyan, gusto nila ang kanilang ulat, pinapirma nila ito. At pagkatapos ay makakakuha tayo ng isang marka o sinabi sa atin, hey, kailangan nating ayusin ang mga isyung ito, at doon ay darating ito. Ito ay higit pa sa isang maagap na uri ng bagay kung saan mahahanap mo ang iyong panganib at mapagaan ang panganib at iyon ang kung ano ang hinahanap ng aming mga customer. Ang isang paraan upang maging medyo aktibo bilang taliwas sa pagiging reaktibo kapag pumapasok ang mga auditor at nakita ang ilan sa mga pag-access ay hindi kung saan kailangan nila, ang ibang mga tao ay may mga pribilehiyong pang-administratibo at hindi nila ito dapat, ang mga uri ng mga bagay. At doon na nakita namin ang maraming puna mula sa, na ang mga tao na tulad ng tool at ginagamit ito para sa.
Robin Bloor: Okay, isa pang tanong na nakuha ko na, kung tutuusin, isang halatang tanong din, ngunit kakaiba lang ako. Gaano karaming mga tao ang talagang lumapit sa iyo sa isang pag-hack? Saan, alam mo, nakakakuha ka ng negosyo, hindi dahil tiningnan nila ang kanilang kapaligiran at naisip na kailangan nilang ma-secure sa isang mas organisadong paraan, ngunit talagang nandoon ka lamang dahil naranasan na nila ang ilan sa sakit.
Ignacio Rodriguez: Sa aking oras dito sa IDERA ay wala akong nakitang isa. Upang maging matapat sa iyo, ang karamihan sa pakikipag-ugnay na nakasalamuha ko sa mga kostumer na nakasama ko ay higit pa sa isang hinahanap at sinusubukang simulan ang pag-awdit at magsimulang tumingin sa mga pribilehiyo, atbp. Tulad ng sinabi ko, mayroon akong sarili, hindi nakaranas sa aking oras dito, na mayroon kaming sinumang dumating na post-paglabag na alam ko.
Robin Bloor: O, kawili-wili iyon. Naisip ko sana doon ay kahit papaano. Talagang tinitingnan ko ito, ngunit din ang pagdaragdag dito, ang lahat ng mga pagiging kumplikado na aktwal na ginagawang ligtas ang data sa buong kumpanya sa bawat paraan at sa bawat aktibidad na ginagawa mo. Nag-aalok ka ba ng pagkonsulta nang direkta upang matulungan ang mga tao? Ibig kong sabihin, malinaw na maaari kang bumili ng mga tool, ngunit sa aking karanasan, madalas na ang mga tao ay bumili ng mga sopistikadong tool at ginagamit ang mga ito nang napakasama. Nag-aalok ka ba ng tukoy na pagkonsulta - kung ano ang gagawin, sino ang magsanay at mga bagay na ganyan?
Ignacio Rodriguez: Mayroong ilang mga serbisyo na maaari mong, hanggang sa pagsuporta sa mga serbisyo, na magbibigay-daan sa ilan sa mga iyon. Ngunit tulad ng pagkonsulta, hindi kami nagbibigay ng anumang mga serbisyo sa pagkonsulta ngunit pagsasanay, alam mo, kung paano gamitin ang mga tool at mga bagay na tulad nito, ang ilan sa mga ito ay tatalakayin sa antas ng suporta. Ngunit bawat se wala kaming isang departamento ng serbisyo na lumalabas at ginagawa iyon.
Robin Bloor: Okay. Sa mga tuntunin ng database na iyong takip, ang pagtatanghal dito ay binabanggit lamang ang Microsoft SQL Server - ginagawa mo rin ba ang Oracle?
Ignacio Rodriguez: Pupunta kami sa pagpapalawak sa Oracle realm kasama ang Compliance Manager. Kami ay magsisimula ng isang proyekto kasama nito upang titingnan namin ang pagpapalawak nito sa Oracle.
Robin Bloor: At malamang na pumunta ka sa ibang lugar?
Ignacio Rodriguez: Oo iyan ay isang bagay na dapat nating tingnan sa mga roadmaps at makita kung paano ang mga bagay, ngunit iyon ang ilan sa mga bagay na isinasaalang-alang natin, ay kung ano ang iba pang mga platform ng database na kailangan nating pag-atake din.
Robin Bloor: Interesado din ako sa split, wala akong nakuha na naunang larawan ng ito, ngunit sa mga tuntunin ng mga pag-deploy, kung gaano ito aktwal na na-deploy sa ulap, o halos lahat ng nasa paunang panahon. ?
Ignacio Rodriguez: Lahat ng nasa premise. Kami ay naghahanap sa pagpapalawak ng Secure pati na rin upang masakop ang Azure, oo.
Robin Bloor: Iyon ang tanong sa Azure, hindi ka pa naroroon ngunit pupunta ka doon, marami itong katuturan.
Ignacio Rodriguez: Oo, malapit na kaming pupunta doon.
Robin Bloor: Oo, mabuti, ang aking pag-unawa mula sa Microsoft ay mayroong isang kakila-kilabot na pagkilos sa Microsoft SQL Server sa Azure. Nagiging, kung gusto mo, isang pangunahing bahagi ng kung ano ang kanilang inaalok. Ang iba pang tanong na kagiliw-giliw na interesado sa akin - hindi ito teknikal, ito ay katulad ng isang katanungan na kung paano-do-you-engaged - sino ang bumibili para dito? Papalapit ka ba sa departamento ng IT o nalalapit ka ba sa mga CSO, o ibang lahi ba ito ng mga tao? Kung isasaalang-alang ang isang bagay na katulad nito, bahagi ba ito ng pagtingin sa isang buong serye ng mga bagay para sa pag-secure ng kapaligiran? Ano ang sitwasyon doon?
Ignacio Rodriguez: Ito ay pinaghalong. Mayroon kaming mga CSO, maraming beses na aabot ang sales team at makikipag-usap sa mga DBA. At pagkatapos, ang mga DBA, muli, ay na-charter sa pagkuha ng ilang uri ng mga patakaran sa proseso ng pag-awdit sa lugar. At saka mula doon ay susuriin nila ang mga tool at mag-uulat ng kadena at magpapasya kung aling bahagi ang nais nilang bilhin. Ngunit ito ay isang halo-halong bag kung sino ang makikipag-ugnay sa amin.
Robin Bloor: Okay. Sa palagay ko ibabalik ko kay Eric ngayon dahil kami, uri, nagawa ang oras, ngunit maaaring may mga katanungan sa madla. Eric?
Eric Kavanagh: Oo sigurado, nasunog namin ang maraming magandang nilalaman dito. Narito ang isang talagang magandang katanungan na ihahatid ko sa iyo mula sa isa sa mga dadalo. Pinag-uusapan niya ang tungkol sa blockchain at kung ano ang iyong pinag-uusapan, at tinatanong niya, mayroong isang posibleng paraan upang lumipat ng isang nabasang bahagi lamang ng isang database ng SQL sa isang bagay na katulad ng kung ano ang nag-aalok ng blockchain? Ito ay uri ng isang matigas.
Ignacio Rodriguez: Oo, magiging tapat ako sa iyo, wala akong sagot sa isang iyon.
Eric Kavanagh: Itatapon ko ito kay Robin. Hindi ko alam kung narinig mo ang tanong na iyon, Robin, ngunit nagtatanong lang siya, mayroon bang paraan upang mailipat ang nabasang bahagi lamang ng isang database ng SQL sa isang bagay na katulad ng kung ano ang nag-aalok ng blockchain? Ano sa tingin mo tungkol doon?
Robin Bloor: Tulad ng, kung pupunta ka sa paglipat ng database ay lilipat ka rin sa trapiko ng database. Mayroong isang buong hanay ng pagiging kumplikado na kasangkot sa paggawa nito. Ngunit hindi mo ito gagawin para sa anumang kadahilanan maliban sa gawin ang mga data na hindi magagawa. Dahil ang isang blockchain ay magiging mas mabagal upang ma-access, kaya, alam mo, kung ang bilis ay ang iyong bagay - at halos palaging ito ang bagay - kung gayon hindi mo ito gagawin. Ngunit kung nais mong magbigay, uri ng, naka-key na naka-encrypt na pag-access sa bahagi nito sa ilang mga tao na gumagawa ng ganoong bagay, magagawa mo ito, ngunit kailangan mong magkaroon ng isang napakagandang dahilan. Mas malamang mong iwanan ito kung nasaan ito at mai-secure ito kung nasaan ito.
Dez Blanchfield: Oo, sumasang-ayon ako doon, kung mabilis akong makatimbang . Sa palagay ko ang hamon ng blockchain, kahit na ang blockchain na publiko sa labas, ginagamit ito sa bitcoin - nahihirapan kaming masukat ito nang lampas, uri ng, apat na mga transaksyon sa isang minuto sa isang buong ipinamamahagi na fashion. Hindi gaanong dahil sa hamon sa compute, kahit na nandoon ito, ang buong node ay nahahanap lamang ito na matibay na mapanatili ang mga volume ng database na lumilipat sa likuran at pasulong at ang dami ng data na kinopya dahil ito ay gigs ngayon, hindi lamang mga megs.
Ngunit gayon din, sa palagay ko ang pangunahing hamon ay kailangan mong baguhin ang arkitektura ng application dahil sa isang database ay nakararami ang tungkol sa pagdadala ng lahat sa isang lokasyon ng sentral at nakuha mo ang modelo ng uri ng client-server na iyon. Ang blockchain ay ang kabaligtaran; ito ay tungkol sa ipinamamahalang mga kopya. Ito ay katulad ng BitTorrent sa maraming mga paraan, at iyon ay maraming mga kopya ang nasa labas ng parehong data. At, alam mo, tulad ng Cassandra at mga memorya ng mga database kung saan ipinamahagi mo ito at maraming mga server ang maaaring magbigay sa iyo ng mga kopya ng parehong data sa labas ng isang ipinamamahagi na index. Sa palagay ko ang dalawang pangunahing bahagi, tulad ng sinabi mo, Robin, ay: isa, kung nais mong mai-secure ito at tiyakin na hindi ito maaaring ninakaw o mai-hack, maganda iyon, ngunit hindi kinakailangan na transactional platform pa ito, at kami naranasan ko na iyon sa proyekto ng bitcoin. Ngunit sa teorya ay nalutas ito ng iba. Ngunit din, arkitektura ng maraming mga aplikasyon sa labas doon ay hindi alam kung paano mag-query at magbasa mula sa isang blockchain.
Maraming trabaho ang dapat gawin doon. Ngunit sa palagay ko ang pangunahing punto sa tanong doon, kung kaya ko, ay ang katuwiran ng paglipat nito sa isang blockchain, sa palagay ko ang tanong na hinihiling ay, maaari ka bang kumuha ng data sa labas ng isang database at ilagay ito sa ilang form na mas sigurado? At ang sagot ay, maaari mong iwanan ito sa database at i-encrypt lamang ito. Maraming teknolohiya ngayon. I-encrypt lamang ang data sa pamamahinga o sa paggalaw. Walang dahilan kung bakit hindi ka maaaring magkaroon ng naka-encrypt na data sa memorya at sa database sa disk, na kung saan ay isang mas simpleng hamon dahil wala kang isang pagbabago sa arkitektura. Madalas na karamihan sa mga platform ng database, ito ay talagang isang tampok na pinagana.
Eric Kavanagh: Oo, mayroon tayong isang huling katanungan na ihahatid ko sa iyo, Iggy. Ito ay isang magandang magaling. Mula sa isang SLA at pananaw sa pagpaplano ng kapasidad, anong uri ng buwis ang mayroon sa pamamagitan ng paggamit ng iyong system? Sa madaling salita, ang anumang karagdagang latency o overput overhead kung, sa isang sistema ng produksyon ng database, nais ng isang tao na kasangkot ang teknolohiya ng IDERA dito?
Ignacio Rodriguez: Talagang hindi namin nakikita ang halos lahat ng epekto. Muli, ito ay isang walang ahente na produkto at lahat ito ay nakasalalay, tulad ng nabanggit ko dati, ang mga snapshot. Ang seguridad ay batay sa mga snapshot. Lalabas ito doon at talagang lumikha ng isang trabaho na lalabas doon batay sa mga agwat na iyong napili. Alinman sa nais mong gawin ito, muli, lingguhan, araw-araw, buwanang. Lalabas ito at isasagawa ang trabaho na iyon at pagkatapos ay kolektahin ang data mula sa mga pagkakataon. Sa puntong iyon pagkatapos ang pag-load pagkatapos ay bumalik sa mga serbisyo ng pamamahala at koleksyon, sa sandaling simulan mong gawin ang mga paghahambing at lahat na, ang pag-load sa database ay hindi gumaganap ng isang bahagi sa na. Ang lahat ng na-load na ngayon ay nasa pamamahala at server ng koleksyon, tulad ng paggawa ng mga paghahambing at lahat ng pag-uulat at lahat ng iyon. Ang tanging oras na pindutin mo ang database ay palaging kapag ginagawa ito ang aktwal na pag-snaps. At wala kaming anumang mga ulat tungkol dito na talagang nakasasama sa mga kapaligiran ng produksiyon.
Eric Kavanagh: Oo, iyan ay isang magandang punto na ginagawa mo doon. Karaniwang maaari mo lamang itakda kung gaano karaming mga snapshot na kinukuha mo, kung ano ang agwat ng oras na iyon, at depende sa kung ano ang maaaring mangyari, ngunit iyon ay napaka-intelihenteng arkitektura. Magandang bagay yan, tao. Well mga guys ay nasa labas ng frontlines na sinusubukan upang maprotektahan kami mula sa lahat ng mga hacker na napag-usapan namin sa unang 25 minuto ng palabas. At sila ay nasa labas, mga tao, hindi nagkakamali.
Well, makinig, mag-post kami ng isang link sa webcast na ito, ang mga archive, sa aming site sa loobanalysis.com. Maaari kang makahanap ng mga bagay-bagay sa SlideShare, mahahanap mo ito sa YouTube. At ang mga tao, magandang bagay. Salamat sa iyong oras, Iggy, mahal ko ang iyong palayaw, sa pamamagitan ng paraan. Sa pamamagitan ng pag-bid namin sa iyo paalam, mga tao. Maraming salamat sa iyong oras at atensyon. Hahabol ka namin sa susunod. Paalam.
