Techopedia Staff tarafından, Mayıs 10, 2017
Paket Servisi: Ev sahibi Eric Kavanagh Dr. Robin Bloor ve IDERA'dan Vicky Harp ile güvenlik ve izinleri tartışıyor.
Şu anda giriş yapmadınız. Lütfen videoyu görmek için giriş yapın veya üye olun.
Eric Kavanagh: Tamam, bayanlar baylar, merhaba ve tekrar hoş geldiniz. Çarşamba, dört Doğu ve kurumsal teknoloji dünyasında, Hot Technologies için bir kez daha zamanı geldi! Evet kesinlikle. Tabii ki, Bloho Group tarafından sunulan, Techopedia'daki dostlarımız tarafından desteklenmektedir. Bugünün konusu gerçekten harika bir konu: “İzin İstemek Daha İyi: Gizlilik ve Güvenlik için En İyi Uygulamalar.” Doğru, bu biraz zor bir konu, birçok insan bunun hakkında konuşuyor, ama oldukça ciddi bir konu ve açıkçası, her gün gerçekten daha ciddi oluyor. Birçok kuruluş için birçok açıdan ciddi bir konudur. Bunun hakkında konuşacağız ve kuruluşunuzu bugünlerde her yerde görünen hain karakterlerden korumak için neler yapabileceğiniz hakkında konuşacağız.
Bugünün sunucusu, IDERA'dan çağrı yapan Vicky Harp. LinkedIn'de IDERA Software görebilirsiniz - LinkedIn yeni işlevselliğini çok seviyorum. Bazı ipleri belirli yollarla çektiğini söyleyebilsem de, insanlara erişmenize izin vermiyor, bu premium üyelikleri satın almaya çalışıyorsunuz. İşte sen, kendi Robin Bloor'umuz var, içeri giriyoruz - bugün San Diego bölgesinde. Ve gerçekten sizin moderatörünüz / analistiniz.
Peki neden bahsediyoruz? Veri ihlalleri. Bu bilgileri IdentityForce.com'dan yeni aldım, zaten yarışlara kapalı. Elbette bu yılın Mayıs ayındayız ve sadece bir ton veri ihlali var, elbette Yahoo! büyüktü ve tabi ki ABD hükümetinin saldırıya uğradığını duyduk. Sadece Fransız seçimlerini hackledik.
Bu her yerde oluyor, devam ediyor ve durmayacak, bu yüzden bir gerçeklik, dedikleri gibi yeni gerçeklik. Sistemlerimizin ve verilerimizin güvenliğini sağlamanın yollarını düşünmemiz gerekiyor. Ve bu devam eden bir süreç, bu yüzden devreye giren tüm farklı konuları düşünmek için tam zamanında. Bu sadece kısmi bir liste, ancak bu, bugünlerde kurumsal sistemlerde durumun ne kadar güvencesiz olduğuna dair bir bakış açısı sunuyor. Ve bu şovdan önce, şov öncesi şakamızda, tanıdığım birine çarpan fidye yazılımlarından bahsediyorduk, bu çok hoş olmayan bir deneyim, birisi iPhone'unuzu ele geçirdiğinde ve telefonunuza geri erişmeniz için para istediğinde. Ama olur, bilgisayarlara olur, sistemlere olur, sadece geçen gün gördüm, yatlarıyla milyarderlere oluyor. Bir gün yatınıza gittiğini, tüm arkadaşlarınızı etkilemeye çalıştığınızı hayal edin ve hatta açamazsınız, çünkü bazı hırsız kontrollere, kontrol paneline erişimi çaldı. Geçen gün birisiyle röportajda dedim, her zaman manuel olarak geçersiz kıl. Mesela, bağlı tüm arabaların büyük bir hayranı değilim - arabalar bile saldırıya uğrayabilir. İnternete veya nüfuz edebilecek bir ağa bağlı her şey saldırıya uğrayabilir.
Yani, durumun ne kadar ciddi olduğu bağlamını çerçevelemek için dikkate alınması gereken birkaç şey var. Web tabanlı sistemler bugünlerde her yerde, çoğalmaya devam ediyor. Kaç kişi çevrimiçi ürün satın alıyor? Bugünlerde sadece çatıdan geçiyor, bu yüzden Amazon bu günlerde çok güçlü bir güç. Çünkü pek çok kişi çevrimiçi olarak ürün satın alıyor.
O zaman hatırlıyorsunuz, 15 yıl önce insanlar, bilgilerini almak için kredi kartlarını bir web formuna koyma konusunda oldukça gergindiler ve o zaman argüman, “Eh, kredi kartınızı bir garsona verirseniz bir restoran, o zaman bu aynı şey. ”Yani cevabımız evet, aynı şey, tüm bu kontrol noktaları veya erişim noktaları, aynı şey, aynı madalyonun farklı tarafı, insanların konabileceği yer birisinin paranızı alabileceği veya birisinin sizden çalabileceği tehlikeye.
Sonra IoT, elbette tehdit manzarasını - bu kelimeyi seviyorum - büyüklük sıralarıyla genişletir. Yani, bir düşünün - her yerde tüm bu yeni cihazlarla, eğer birisi onları kontrol eden bir sisteme girebilirse, tüm bu botları size karşı çevirebilir ve çok fazla soruna neden olabilir, bu çok ciddi bir sorundur. Bugünlerde tehdit manzarasını daha da genişleten küresel bir ekonomimiz var ve dahası, başka ülkelerde web'e sizin ve benim gibi erişebildiğimiz şekilde ve Rusça konuşmayı bilmiyorsanız insanlarınız var. veya herhangi bir başka dilde, sisteminize girdiklerinde neler olup bittiğini anlamakta zorlanacaksınız. Ağ oluşturma ve sanallaştırma konusunda ilerlemelerimiz var, bu iyi.
Ama burada bu resmin sağ tarafında, bir kılıç var ve orada olmamın nedeni, her kılıç her iki yolu da kesiyor. Dedikleri gibi iki ucu keskin bir kılıç ve eski bir klişe, ama sahip olduğum kılıç sana zarar verebilir ya da bana zarar verebilir. Bana geri dönerek ya da geri alan biri tarafından geri gelebilir. Aslında Ezop Masallarından biri - düşmanlarımıza sık sık kendi yıkımımızın araçlarını veriyoruz. Gerçekten oldukça zorlayıcı bir hikaye ve yay ve ok kullanan ve bir kuşu vuran biriyle ilgisi var ve kuş ok göründüğünde, tavuk arkadaşlarının birinden gelen tüy okun kenarındaydı, okun arkasında ona kılavuzluk etti ve kendi kendine düşündü, “Ah adamım, işte burada, kendi tüylerim, kendi ailem beni yıkmak için kullanılacak.” Bu her zaman olur, duydun istatistik hakkında evde bir silah var, hırsız silah alabilir. Hepsi bu. Bu yüzden, bunu dikkate almak için bir benzetme olarak dışarı atıyorum, tüm bu farklı gelişmelerin olumlu ve olumsuz yanları var.
Ve kurumsal bilgi işlemin son teknolojisini gerçekten takip edenleriniz için kapsayıcılar, kapsayıcılar işlevsellik sağlamanın en son yolu, en son yoludur, aslında hizmet odaklı mimaride sanallaştırmanın evliliği, en azından mikro hizmetler için ve çok ilginç şeyler. Kapsayıcıları kullanarak güvenlik protokollerinizi ve uygulama protokollerinizi ve verilerinizi kesinlikle gizleyebilirsiniz ve bu size belirli bir süre için bir ilerleme sağlar, ancak er ya da geç, kötü adamlar bunu anlayacaklardır ve sistemlerinizden faydalanmalarını önlemek daha da zor olacaktır. Yani, ağ ve güvenliği karmaşıklaştıran ve insanların oturum açtığı küresel işgücü var.
Hızla devam eden ve güncellemek ve her şeyin üstünde kalmak için sürekli çalışma gerektiren tarayıcı savaşlarımız var. Eski Microsoft Explorer tarayıcılarını, bunların nasıl saldırıya uğradığını ve orada nasıl bulunduğunu duymaya devam ediyoruz. Yani, bugünlerde hacklenecek daha çok para var, bütün bir endüstri var, bu ortağım Dr.Bloor'un bana sekiz yıl önce öğrettiği bir şey - neden bu kadar çok şey gördüğümüzü merak ediyordum ve hatırlattı Ben, bilgisayar korsanlığıyla uğraşan bütün bir endüstri. Ve bu anlamda, güvenlikle ilgili en az sevdiğim kelimelerden biri olan anlatım gerçekten çok sahtekâr, çünkü anlatı tüm bu videolarda ve her türlü haber kapsamında bazı kapüşonlu bir adam gösterdiğini, oturduğunu gösteriyor karanlık aydınlatılmış bir odada bodrumunda, durum hiç de öyle değil. Bu gerçekliği hiç temsil etmez. Yalnız bilgisayar korsanları, çok az bilgisayar korsanları var, dışarıdalar, bazı sorunlara neden oluyorlar - büyük sorunlara neden olmayacaklar, ama çok para kazanabilecekler. Öyleyse, bilgisayar korsanları içeri girer ve sisteminize nüfuz eder ve daha sonra bu erişimi başkalarına satar, geri dönen ve başka birine satar ve hatta bir yerde, birileri hackleyen ve sizden yararlanan biri. Çalınan verilerden faydalanmanın sayısız yolu vardır.
Hatta bu konsepti nasıl büyülediğimiz konusunda kendime hayran kaldım. Bu terimi her yerde görüyorsunuz, “büyüme hackleme” gibi iyi bir şey. Büyüme hackleme, bilirsiniz, hackleme iyi bir şey olabilir, eğer iyi adamlar için çalışmak ve bir sisteme girmek için çalışıyorsanız, Kuzey Kore ve füze lansmanlarıyla işitmeye devam ediyoruz, potansiyel olarak hackleniyor - bu iyi. Ancak bilgisayar korsanlığı genellikle kötü bir şeydir. Şimdi Robin Hood'u büyülediğimizde, neredeyse Robin Hood gibi büyülüyoruz. Ve sonra nakitsiz toplum var, açıkçası benden gelen gün ışığı ile ilgili. Tek duyduğum her şey, “Hayır, lütfen yapma! Lütfen yapma! ”Tüm paramızın kaybolmasını istemiyorum. Yani, bunlar sadece dikkate alınması gereken bazı konular ve yine, bir kedi ve fare oyunu; asla durmayacak, her zaman güvenlik protokollerine ve ilerleyen güvenlik protokollerine ihtiyaç duyulacaktır. Ve sistemlerinizi dışarıda kim olduğunu bile bilmek ve algılamak için izlemek için, bunun bir iç iş bile olabileceği anlayışıyla. Yani, bu devam eden bir sorun, oldukça uzun bir süre devam eden bir sorun olacak - bu konuda hata yapmayın.
Ve bununla, veritabanlarını güvenli hale getirme hakkında bazı düşünceleri bizimle paylaşabilen Dr.Bloor'a vereceğim. Robin, götürün onu.
Robin Bloor: Tamam, ilginç hacklerden biri, sanırım yaklaşık beş yıl önce meydana geldi, ancak temelde hacklenmiş bir kart işleme şirketi idi. Ve çok sayıda kart detayı çalındı. Ama benim için ilginç olan şey, aslında test ettikleri test veritabanı olmasıydı ve muhtemelen işlem kartlarının gerçek, gerçek veritabanına girmede büyük zorluk yaşadıklarıydı. Ama geliştiricilerin nasıl olduğunu biliyorsunuz, sadece bir veritabanını kesiyorlar, orada itiyorlar. Bunu durdurmak için çok daha dikkatli olmalıydı. Ama birçok ilginç hack hikayesi var, bir alanda yapıyor, çok ilginç bir konu yapıyor.
Aslında, Eric'in söylediği bazı şeyleri şu ya da bu şekilde tekrarlayacağım, ancak veri güvenliğini statik bir hedef olarak düşünmek kolay; statik durumları analiz etmek ve daha sonra savunmaları koymak, oradaki savunmaları düşünmek daha kolay olduğu için daha kolaydır, ancak değildir. Bu hareketli bir hedef ve bu, güvenlik alanının tamamını tanımlayan şeylerden biri. Tüm teknolojinin gelişmesi, kötü adamların teknolojisi de gelişiyor. Yani, kısa bir bakış: Veri hırsızlığı yeni bir şey değil, aslında, veri casusluğu veri hırsızlığı ve bence binlerce yıldır sürüyor.
Bu terimlerdeki en büyük veri soygunu İngilizlerin Alman kodlarını kırması ve Amerikalıların Japon kodlarını kırmasıydı ve her iki durumda da savaşı çok önemli ölçüde kısalttılar. Ve sadece yararlı ve değerli veriler çalıyorlardı, elbette çok zekiydi, ama biliyorsunuz, şu anda olan şey birçok açıdan zekidir. Siber hırsızlık internetle doğdu ve 2005 civarında patladı. Gittik ve tüm istatistiklere baktım ve gerçekten ciddileşmeye başladığınızda ve bir şekilde ya da başka bir şekilde, 2005'ten başlayarak oldukça yüksek sayılar aldım. sonra. Birçok oyuncu, hükümetler, iş dünyası, hacker grupları ve bireyler işin içinde.
Moskova'ya gittim - bu yaklaşık beş yıl sürdü - ve aslında hack alanının tamamını araştıran İngiltere'den bir adamla çok zaman geçirdim. Ve dedi ki - ve bunun doğru olup olmadığı hakkında hiçbir fikrim yok, sadece onun sözünü aldım, ama çok muhtemel görünüyor - Rusya'da Business Network adı verilen bir şey var, ki bu bir grup hacker, bilirsiniz, KGB'nin kalıntılarından çıktılar. Ve kendilerini satıyorlar, sadece, demek istediğim, Rus hükümetinin onları kullandığından emin değil, aynı zamanda kendilerini herkese satıyorlar ve söylentilere göre ya da çeşitli yabancı hükümetlerin Business Network'ü makul bir şekilde reddetme. Bu adamların saldırabilecekleri milyonlarca güvenliği ihlal edilmiş bilgisayar ağı vardı. Ve hayal edebileceğiniz tüm araçlara sahiptiler.
Böylece saldırı ve savunma teknolojisi gelişti. Ve işletmeler, sahip olsun ya da olmasın, verileri üzerinde bakım yükümlülüğüne sahiptir. Ve bu aslında yürürlükte olan veya yürürlüğe giren çeşitli düzenleme parçaları açısından çok daha net olmaya başlıyor. Ve muhtemelen iyileşme olasılığı var, birileri şu ya da bu şekilde, birileri hackleme maliyetini, olasılığı kapatmaya teşvik edilecek şekilde taşımalıdır. Bu gerekli olduğunu tahmin ettiğim şeylerden biri. Yani hackerlar hakkında her yerde bulunabilirler. Özellikle kuruluşunuz içinde - duyduğum çok sayıda ustaca hack, kapıyı açan birisini içeriyordu. Bilirsiniz, kişi, banka soyguncusu gibi, neredeyse her zaman iyi banka soygunlarında içeriden birileri olduğunu söylerlerdi. Ancak içeriden öğrenenin sadece bilgi vermesi gerekir, bu yüzden onları elde etmek, kim olduğunu bilmek zordur vb.
Ve onları adalete teslim etmek zor olabilir, çünkü Moldova'da bir grup insan tarafından saldırıya uğradıysanız, bu grup olduğunu bilseniz bile, etraflarında bir tür yasal olayı nasıl gerçekleştireceksiniz? Bu, bir yargı bölgesinden diğerine, sadece, bilgisayar korsanlarını tespit etmek için çok iyi bir uluslararası düzenlemeler kümesi değildir. Teknoloji ve bilgiyi paylaşırlar; çoğu açık kaynak. Kendi virüsünüzü oluşturmak istiyorsanız, orada bir sürü virüs seti var - tamamen açık kaynak. Ve kayda değer kaynakları var, veri merkezlerinde ve PC'lerde bir milyondan fazla tehlikede cihazda botnet var. Bazıları uzun zamandır devam eden kârlı işletmeler ve daha önce de belirttiğim gibi hükümet grupları var. Eric'in dediği gibi, bu fenomenin hiç sona ermesi pek olası değildir.
Yani, bu sadece bahsettiğimi düşündüğüm ilginç bir hack, çünkü oldukça yeni bir hackti; geçen yıl oldu. DAO sözleşmesinde Etherium kripto parasıyla ilişkili bir güvenlik açığı vardı. Ve bir forumda tartışıldı ve bir gün içinde DAO sözleşmesi bu güvenlik açığını tam olarak kullanarak saldırıya uğradı. 50 milyon dolar eter sifonlanarak DAO projesinde derhal bir krize neden oldu ve kapatıldı. Ve Etherium aslında bilgisayar korsanının paraya erişimini engellemek için uğraştı ve bir nevi azalmasını azalttı. Ancak, korsanın saldırıdan önce eterin fiyatını gerçekten kısalttığına, eterin fiyatının çökeceğini ve böylece başka bir şekilde kar elde ettiğine de inanılıyordu.
Ve bu, eğer isterseniz, bilgisayar korsanlarının kullanabileceği bir başka etiket. Eğer hisse fiyatınıza zarar verebilirlerse ve bunu yapacaklarını biliyorlarsa, o zaman sadece hisse fiyatını kısaltmaları ve hack yapmaları gerekir, bu yüzden bu adamlar akıllıdır, bilirsiniz. Ve fiyat, sadece reklam uğruna hisse senedini bozup kısalttığınız yatırımlar, sabotaj, kimlik hırsızlığı, her türlü dolandırıcılık da dahil olmak üzere para, aksama ve fidye gibi hırsızlıktır. Siyasi ya da açıkçası bilgi casusluğu eğilimi gösterir ve Google, Apple, Facebook'u, hatta Pentagon'u bile hacklemeye çalışarak alabileceğiniz böcek lütuflarından geçimini sağlayan insanlar bile vardır. Ve sen sadece kesmek; eğer başarılı olursa, o zaman sadece ödülünüzü talep edersiniz ve hiçbir hasar gerçekleşmez, bu hoş bir şey, bilirsiniz.
Uyum ve düzenlemeden de bahsedebilirim. Sektör girişimlerinin yanı sıra birçok resmi düzenleme vardır: HIPAA, SOX, FISMA, FERPA ve GLBA ABD yasalarının tümüdür. Standartlar var; PCI-DSS oldukça genel bir standart haline geldi. Ve sonra veri sahipliği hakkında ISO 17799 var. Ulusal düzenlemeler Avrupa'da bile ülkeden ülkeye farklılık gösterir. Ve şu anda GDPR - Global Veri, bunun anlamı nedir? Küresel Veri Koruma Yönetmeliği, bunun bence geçerli olduğunu - ancak bunun önümüzdeki yıl yürürlüğe gireceğini söyledi. Ve ilginç olan şey, dünya çapında geçerli olmasıdır. Kişisel bilgileriniz olan ve Avrupa'da yaşayan 5.000 veya daha fazla müşteriniz varsa, o zaman şirketiniz aslında merkezi veya nerede çalışırsa çalışsın Avrupa sizi göreve götürecektir. Ve cezalar, maksimum ceza yıllık gelirin yüzde dördü, ki bu çok büyük, bu da yürürlüğe girdiğinde dünya üzerinde ilginç bir bükülme olacak.
Düşünülmesi gereken şeyler, DBMS güvenlik açıkları, değerli verilerin çoğu aslında veritabanlarında oturuyor. Değerlidir, çünkü onu doğru DBMS menkul kıymetlerini uygulamadıysanız, kullanılabilir hale getirmek ve iyi organize etmek için çok fazla zaman harcadık. Açıkçası, böyle şeyler planlayacaksanız, verilerin farklı nedenlerle savunmasız olabileceğini akılda tutarak, kuruluş genelinde hangi savunmasız verilerin olduğunu belirlemeniz gerekir. Müşteri verileri olabilir, ancak casusluk amaçları için değerli olacak dahili belgeler de olabilir. Güvenlik politikası, özellikle son zamanlarda benim görüşüme göre çok zayıf olan erişim güvenliği ile ilgili olarak, yeni açık kaynak içeriklerinde - şifreleme daha çok kullanılmaya başlıyor çünkü oldukça sağlam.
Bir güvenlik ihlalinin maliyeti, çoğu insan bilmiyordu, ama aslında güvenlik ihlallerine maruz kalan organizasyonlarda neler olduğuna bakarsanız, bir güvenlik ihlali maliyetinin genellikle düşündüğünüzden çok daha yüksek olduğu ortaya çıkıyor. . Ve sonra düşünülmesi gereken diğer bir şey saldırı yüzeyi, çünkü kuruluşlarınızla birlikte çalıştığınız herhangi bir yazılım parçası bir saldırı yüzeyi sunuyor. Cihazlar da öyle, nasıl saklanırsa saklansın, veriler de öyle. Hepsi bu, saldırı yüzeyi nesnelerin interneti ile büyüyor, saldırı yüzeyi muhtemelen iki katına çıkacak.
Son olarak, DBA ve veri güvenliği. Veri güvenliği genellikle DBA'nın rolünün bir parçasıdır. Ama aynı zamanda işbirlikçi. Ve kurumsal politikaya tabi olması gerekiyor, aksi takdirde muhtemelen iyi uygulanmayacaktır. Bunu söyledikten sonra, sanırım topu geçebilirim.
Eric Kavanagh: Pekala, anahtarları Vicky'ye vereyim. Ve ekranınızı paylaşabilir veya bu slaytlara taşıyabilirsiniz, size kalmış, götürün.
Vicky Harp: Hayır, bu slaytlarla başlayacağım, çok teşekkür ederim. Bu yüzden, evet, kısa bir süre ayırıp kendimi tanıtmak istedim. Ben Vicky Harp. Yöneticiyim, IDERA yazılımında SQL ürünleri için ürün yönetimi ve bize aşina olmayanlar için IDERA'nın bir dizi ürün hattı var, ancak burada şeylerin SQL Server tarafı için konuşuyorum. Ve böylece, performans izleme, güvenlik uyumluluğu, yedekleme, yönetim araçları yapıyoruz - ve bunların bir listesi. Ve elbette, bugün burada konuşacağım şey güvenlik ve uyumluluk.
Bugün hakkında konuşmak istediğim şeylerin çoğu bizim ürünlerimiz değil, daha sonra bunun bazı örneklerini göstermeyi amaçlıyorum. Sizinle veritabanı güvenliği, şu anda veritabanı güvenliği dünyasındaki bazı tehditler, üzerinde düşünülmesi gereken bazı şeyler ve SQL'inizi güvence altına almak için neye ihtiyacınız olduğuna dair bazı tanıtıcı fikirler hakkında daha fazla konuşmak istedim. Sunucu veritabanları ve ayrıca belirtildiği gibi tabi olabileceğiniz düzenleyici çerçeveye uygun olduklarından emin olmak için. Yürürlükteki birçok farklı düzenleme vardır; farklı endüstrilere, dünyanın farklı yerlerine gidiyorlar ve bunlar üzerinde düşünülmesi gereken şeyler.
Bu yüzden, biraz zaman ayırıp veri ihlallerinin durumu hakkında konuşmak istiyorum - ve burada tartışılanların çoğunu tekrarlamamak - Son zamanlarda bu Intel güvenlik araştırma çalışmasına bakıyordum ve bence 1500 kadar kuruluşla konuştular - veri kaybı ihlalleri açısından ortalama altı güvenlik ihlali yaşadı ve bunların yüzde 68'i bir anlamda açıklama gerektiriyordu, bu nedenle hisse senedi fiyatını etkilediler veya bir miktar kredi yapmak zorunda kaldılar müşterileri veya çalışanları vb. için izleme
Diğer ilginç istatistikler, bunların yüzde 43'ünden sorumlu olan iç aktörler. Bu nedenle, birçok insan hackerlar ve bu tür gölgeli yarı hükümet örgütleri veya organize suçlar vb. Hakkında çok şey düşünüyor, ancak iç aktörler, davaların oldukça yüksek bir bölümünde hala doğrudan işverenlerine karşı harekete geçiyor. Ve bu durumlara karşı korunmak bazen daha zordur, çünkü insanların bu verilere erişiminin meşru nedenleri olabilir. Bunun yaklaşık yüzde 43'ü bir anlamda kazara kayıptı. Yani, örneğin, birilerinin verileri eve götürdüğü ve daha sonra bu verileri takip etmediği durumlarda, beni bu üçüncü noktaya götürür, yani fiziksel medyaya olan şeyler hala ihlallerin yüzde 40'ını içeriyordu. Yani, bu USB anahtarlar, insanların dizüstü bilgisayarları, fiziksel disklere yazılan ve binadan çıkarılan gerçek medya.
Düşünüyorsanız, dizüstü bilgisayarlarında üretim veritabanınızın dev kopyasına sahip bir geliştiriciniz var mı? Sonra bir uçağa binerler ve uçaktan inerler ve kontrol edilen bagajı alırlar ve dizüstü bilgisayarları çalınır. Şimdi bir veri ihlali yaşadınız. Bu yüzden bu dizüstü bilgisayarın çekildiğini düşünmeyebilirsiniz, vahşi doğada hiç görünmeyebilir. Ama bu yine de bir ihlal olarak sayılan bir şey, açıklanması gerekecek, sadece bu fiziksel medyanın kaybı nedeniyle bu verileri kaybetmenin tüm aşağı akış etkilerine sahip olacaksınız.
Ve bir başka ilginç şey, birçok insanın kredi verilerini ve kredi kartı bilgilerini en değerli olarak düşünmesidir, ancak artık durum böyle değildir. Bu veri değerlidir, kredi kartı numaraları yararlıdır, ancak dürüst olmak gerekirse, bu numaralar çok hızlı bir şekilde değiştirilirken, insanların kişisel verileri çok hızlı bir şekilde değişmez. Son haber öğesinin göreceli olarak yeni olduğu bir şey olan VTech, oyuncak üreticisi çocuklar için tasarlanmış bu oyuncaklara sahipti. Ve insanlar, çocuklarının adlarına sahip olacaklardı, çocukların nerede yaşadıkları hakkında bilgi sahibi olacaklardı, ebeveynlerinin isimleri vardı, çocukların fotoğrafları vardı. Bunların hiçbiri şifrelenmedi, çünkü önemli olmadığı düşünülüyordu. Ancak şifreleri şifrelendi. İhlal kaçınılmaz bir şekilde gerçekleştiğinde, “Tamam, bu yüzden çocuk isimlerinin, ebeveynlerinin isimlerinin, yaşadıkları yerlerin bir listesine sahibim - tüm bu bilgiler orada ve parolanın bunun en değerli parçası mıydı? ”Öyle değildi; insanlar kişisel verileri, adresleri, vb. ile ilgili bu yönleri değiştiremezler. Böylece bilgi aslında çok değerlidir ve korunması gerekir.
Bu yüzden, bazı şeyler hakkında konuşmak, veri ihlallerinin şu anda gerçekleşmesine katkıda bulunmak istedim. Büyük noktalardan biri, şu anda mekanlar sosyal mühendislik. Böylece insanlar buna kimlik avı diyorlar, kimliğe bürünme vb. Var, insanların genellikle iç aktörler aracılığıyla verilere erişebildikleri ikna ederek onlara erişebiliyorlar. Yani, geçen gün, etrafta dolaşan bu Google Dokümanlar solucanı vardı. Ve ne olurdu - ve aslında bir kopyasını aldım, ancak neyse ki tıklamamıştım - bir meslektaştan e-posta alıyordunuz, “İşte bir Google Doküman bağlantısı; sizinle ne paylaştığımı görmek için bunu tıklamanız gerekiyor. ”Eh, Google Dokümanlar'ı kullanan bir kuruluşta, bu çok geleneksel, günde onlarca istek alırsınız. Üzerine tıkladıysanız, bu belgeye erişmeniz için sizden izin isteyebilir ve belki “Hey, bu biraz garip görünüyor, ama biliyorsunuz, yasal da görünüyor, bu yüzden devam edeceğim ve tıklayın ”seçeneğini belirlediğinizde, bu üçüncü tarafa tüm Google dokümanlarınıza erişim izni veriyordunuz ve böylece bu harici aktörün Google Drive'daki tüm dokümanlarınıza erişebilmesi için bu bağlantıyı oluşturuyorsunuz. Bu her yerde solucan. Saatlerce yüz binlerce insanı vurdu. Ve bu temelde Google'ın kendisinin kapatılması gerektiğine dair bir kimlik avı saldırısıydı, çünkü çok iyi bir şekilde yürütüldü. İnsanlar düştü.
Burada SnapChat HR ihlalinden bahsediyorum. Bu sadece e-posta gönderen, İK departmanına e-posta gönderen CEO olduklarını taklit eden, “Bana bu elektronik tabloyu göndermenizi istiyorum” diyen basit bir konuydu. Ve onlara inandılar ve 700 farklı çalışandan oluşan bir elektronik tablo yerleştirdiler. tazminat bilgileri, ev adresleri, vb., diğer tarafa e-postayla gönderdi, aslında CEO değildi. Veriler çıktı ve tüm çalışanlarının kişisel, özel bilgileri oradaydı ve sömürü için hazırdı. Yani, sosyal mühendislik, veritabanları dünyasında bahsettiğim bir şeydir, çünkü bu eğitim yoluyla savunmaya çalışabileceğiniz bir şeydir, ancak aynı zamanda teknolojinizle etkileşime giren bir kişinin olduğu her yerde ve bir kesintiyi önlemek için onların iyi yargısına güveniyorsanız, onlardan bir sürü soruyorsunuz.
İnsanlar hata yapar, insanlar sahip olmamaları gereken şeylere tıklarlar, insanlar akıllıca geziler için düşerler. Onları buna karşı korumak için çok uğraşabilirsiniz, ancak yeterince güçlü değil, insanların bu bilgileri veritabanı sistemlerinizde yanlışlıkla verebilme yeteneğini sınırlamaya çalışmanız gerekir. Açıkçası çok bahsettiğimiz başka bir şey fidye yazılımı, botnet'ler, virüsler - tüm bu farklı otomatik yollardır. Ve fidye yazılımı hakkında anlamak için önemli olduğunu düşündüğüm şey gerçekten saldırganların kar modelini değiştirmesidir. Bir ihlalden bahsettiğinizde, bir anlamda verileri çıkarmalı ve kendileri için almalı ve kullanmalıdırlar. Verileriniz belirsizse, şifrelenmişse, sektöre özgü ise, belki de herhangi bir değeri yoktur.
Bu noktaya kadar insanlar kendileri için bir koruma olduğunu düşünmüş olabilirler, “Kendimi veri ihlallerinden korumam gerekmiyor, çünkü eğer sistemime gireceklerse, sahip olacakları tek şey Ben bir fotoğraf stüdyosuyum, gelecek yıl hangi günlerde kimin geleceğini gösteren bir listem var. Kimin umrunda? ”Eh, cevabın bunun umurunda olduğu ortaya çıkıyor; bu bilgileri saklıyorsanız, bu sizin kritik iş bilgilerinizdir. Yani, bir saldırgan fidye yazılımı kullanarak, “Bunun için bana kimse para vermeyecek, ama sen yapacaksın” diyecektir. Bu yüzden, verileri çıkarmak zorunda bile olmadıkları gerçeğinden yararlanıyorlar. Bir ihlal bile olsa, sadece güvenlik araçlarını size karşı saldırgan bir şekilde kullanmaları gerekir. Veritabanınıza giriyorlar, içeriğini şifreliyorlar ve sonra diyorlar ki, “Tamam, şifremiz var ve bu şifreyi almak için bize 5.000 $ ödemeniz gerekecek, yoksa sadece artık bu veriler. ”
Ve insanlar ödeme yaparlar; kendilerini bunu yapmak zorunda buluyorlar. MongoDB'nin birkaç ay önce büyük bir problemi vardı, sanırım fidye yazılımının bazı varsayılan ayarlara göre internette halka açık bir milyondan fazla MongoDB veritabanına çarptığı Ocak ayındaydı. Ve daha da kötüsü, insanların ödeme yapması ve böylece diğer organizasyonların içeri girip yeniden şifrelediği ya da orijinal olarak şifrelemiş olduklarını iddia ettikleri, bu yüzden paranızı ödediğinizde ve bence bu durumda 500 dolar gibi bir şey isteyen insanlar, “Tamam, neyin yanlış gittiğini anlamama yardımcı olmak için buraya girmesi için bir araştırmacıya ödeme yapmak için daha fazlasını ödeyeceğim. Ben sadece 500 dolar ödeyeceğim. ”Ve onlar doğru oyuncuya bile ödeme yapmıyorlardı, bu yüzden onlara“ Şifremiz var ”ya da“ Biz sahibiz Ransomed verilerinizin kilidini açmanız için bir yol buldum. ”Ve muhtemelen işe yaraması için hepsini ödemeniz gerekir.
Ayrıca fidye yazılımı yazarlarının hatalara sahip olduğu durumlar da var, yani, bunun mükemmel bir şekilde yukarıda olduğu bir durumdan bahsetmiyoruz, bu yüzden saldırıya uğradığında bile, bir kez ödeme yaptığınızda bile, tüm verilerinizi geri alacak, bunların bir kısmı silahlı InfoSec araçlarıyla karmaşık hale geliyor. Yani Gölge Komisyoncuları, NSA'dan gelen araçları sızdırtan bir gruptur. Bunlar, hükümet kuruluşu tarafından casusluk amacıyla tasarlanan ve aslında diğer hükümet kurumlarına karşı çalışan araçlardır. Bunların bazıları, bilinen güvenlik protokollerini bir kenara bırakan gerçekten yüksek profilli sıfır gün saldırılarıydı. Dolayısıyla, KOBİ protokolünde, örneğin son Gölge Komisyoncularının dökümlerinden birinde büyük bir güvenlik açığı vardı.
Ve böylece buraya gelen bu araçlar, birkaç saat içinde, saldırı yüzeyiniz açısından oyununuzu gerçekten değiştirebilir. Bu konuda ne zaman düşünürsem, organizasyon düzeyinde güvenlik InfoSec'in kendi işlevi olduğu, ciddiye alınması gereken bir şeydir. Veritabanlarından ne zaman bahsedersek, onu biraz indirebilirim, bir veritabanı yöneticisi olarak bu hafta Shadow Brokers ile neler olup bittiğini tam olarak anlamak zorunda değilsiniz, ancak hepsinin bunlardan bazıları değişiyor, devam eden şeyler var ve bu yüzden kendi alan adınızı ne kadar sıkı ve güvenli tuttuğunuz, bu tür şeylerin altından sökülmesi durumunda size gerçekten yardımcı olacaktır.
Bu nedenle, özellikle SQL Server hakkında konuşmaya geçmeden önce, veritabanı güvenliği ile ilgili bazı hususlar hakkında panelistlerimizle biraz açık bir tartışma yapmak için biraz zaman ayırmak istedim. Bu noktaya geldim, bahsetmediğimiz bazı şeyler, SQL enjeksiyonu hakkında bir vektör olarak konuşmak istedim. Yani, bu SQL enjeksiyonu, açıkçası insanların girişleri yanlış biçimlendirerek bir veritabanı sistemine komut ekleme şekli.
Eric Kavanagh: Evet, aslında bir adamla tanıştım - sanırım Andrews Hava Kuvvetleri üssündeydi - yaklaşık beş yıl önce, koridorda onunla konuştuğum bir danışmandı ve sadece bir tür savaş hikayesini paylaşıyorduk - amaçlanan bir şey yok - ve ordunun oldukça yüksek rütbeli bir üyesine danışmak için birisi tarafından getirildiğini söyledi ve adam ona, “Peki, yaptığınız işte iyi olduğunuzu nasıl biliyoruz?” Ve bu ve bu . Ve onlarla konuşurken bilgisayarında kullandı, ağa girdi, o taban ve bu insanlar için e-posta kayıt defterine girmek için SQL enjeksiyonunu kullandı. Ve konuştuğu kişinin e-postasını buldu ve ona e-postasını makinesinde gösterdi! Ve adam, “Bunu nasıl yaptın?” Dedi. “Peki, SQL enjeksiyonu kullandım.” Dedi.
Yani, bu sadece beş yıl önceydi ve Hava Kuvvetleri üssündeydi, değil mi? Yani, bağlam açısından, bu şey hala çok gerçek ve gerçekten dehşet verici etkilerle kullanılabilir. Yani, Robin'in konuyla ilgili savaş hikayelerini bilmek isterdim, ama tüm bu teknikler hala geçerli. Hala birçok durumda kullanılıyorlar ve bu kendinizi eğitmekle ilgili bir soru, değil mi?
Robin Bloor: Evet, evet. Evet, işi yaparak SQL enjeksiyonuna karşı savunmak mümkün. Fikir neden icat edildiğinde ve ilk çoğaldığında, neden bu kadar başarılı olduğunu anlamak kolaydır, çünkü bunu bir web sayfasındaki bir giriş alanına yapıştırabilir ve sizin için veri döndürmesini sağlayabilirsiniz veya veritabanındaki verileri veya herhangi bir şeyi silmek için - bunu yapmak için SQL kodunu enjekte edebilirsiniz. Ama bu beni ilgilendiren şey, biliyorsunuz, girilen her veri parçasını biraz ayrıştırmak zorunda kalacaksınız, ancak birisinin bunu yapmaya çalıştığını tespit etmek oldukça mümkün. Ve gerçekten, bence bu gerçekten, çünkü insanlar hala ondan kaçıyorlar, yani bununla mücadele etmenin kolay bir yolu olmadığı çok garip. Herkesin kolayca kullanabileceğini biliyorsun, yani bildiğim kadarıyla yoktu, Vicky var mı?
Vicky Harp: Aslında, SQL Azure gibi rehin çözümlerinden bazıları, makine öğrenimine dayanan bazı oldukça iyi algılama yöntemlerine sahip olduğunu düşünüyorum. Muhtemelen gelecekte göreceğimiz şey, herkese uyan tek bedenle ortaya çıkmaya çalıştığı bir şey. Bence cevap herkese uyan tek beden değil, ama bedeninizin ne olduğunu öğrenebilecek ve ona uyduğundan emin olacak makinelerimiz var, değil mi? Ve böylece yanlış bir pozitif varsa, aslında alışılmadık bir şey yapıyorsunuz, bunun nedeni, uygulamanızın yapabileceği her şeyi titizlikle tanımlamanız gerektiğinden değil.
Bence gerçekten bu kadar üretken olmasının nedenlerinden biri, insanların hala üçüncü taraf uygulamalarına ve ISV'lerin uygulamalarına ve zaman içinde bulaşmasına neden olmasıdır. Yani, 2001 yılında yazılmış bir mühendislik uygulaması satın almış bir organizasyon hakkında konuşuyorsunuz. Ve bunu güncellemediler, çünkü o zamandan beri önemli bir fonksiyonel değişiklik olmadı ve orijinal yazarı, mühendis değillerdi, veritabanı güvenliği uzmanı değillerdi, uygulamada işleri doğru şekilde yapmadılar ve bir vektör olmaktan vazgeçtiler. Anladığım kadarıyla - Bence Hedef veri ihlali, gerçekten büyük olanı - saldırı vektörü klima tedarikçilerinden biri aracılığıyla olmuştu, değil mi? Yani, bu üçüncü tarafla ilgili sorun, kendi geliştirme mağazanız varsa, bu kurallardan bazılarını yürürlükte tutabilir, her zaman genel olarak yapabilirsiniz. Bir kuruluş olarak, tüm farklı profillerle çalışan yüzlerce hatta binlerce uygulamanız olabilir. Bence makine öğrenimi bu noktada ortaya çıkacak ve bize çok yardımcı olmaya başlayacak.
Savaş hikayem eğitim yaşamıydı. Bir SQL enjeksiyon saldırısı görmeliyim ve benim başıma hiç gelmemiş bir şey düz okunabilir SQL kullanması. Gizlenmiş P SQL tatil kartları denen şeyleri yapıyorum; Yapmayı seviyorum, bu SQL mümkün olduğunca kafa karıştırıcı görünmesini sağlamak. Yıllardır süren gizli C ++ kod yarışması var ve bu da aynı fikir. Aslında, açık bir dize alanında olan SQL enjeksiyonu, dizeyi kapattı, noktalı virgül koydu ve daha sonra bir dizi sayıya sahip exec komutunu koydu ve daha sonra temelde Bu komutu ikili sayıya dönüştürmek için komut verme ve sonra bunları karakter değerlerine dönüştürme ve sonra bunu yürütme. Yani, “Üretim tablosundan başlangıcını sil” diyen bir şey görmeniz gerekmiyor gibi, aslında görmeyi zorlaştıran sayısal alanlara doldurulmuştu. Ve bir kez gördükten sonra, ne olduğunu tanımlamak için, gerçek SQL çekimleri yapıldı, neler olduğunu anlayabilmek, elbette işin ne zaman yapıldığı.
Robin Bloor: Ve bilgisayar korsanlığı dünyasında sadece bir fenomen olan şeylerden biri, eğer birisi bir zayıflık bulursa ve genellikle satılan bir yazılım parçası olması durumunda, biliyorsunuz, ilk sorunlardan biri bir veritabanı yüklendiğinde size verilen veritabanı parolası, gerçekte birçok veritabanı sadece bir varsayılan oldu. Ve birçok DBA bunu hiç değiştirmedi ve bu nedenle ağa girmeyi başarabilirsiniz; sadece bu şifreyi deneyebilirsiniz ve eğer işe yaradıysa, piyangoyu yeni kazandınız. Ve ilginç olan şey, tüm bu bilgilerin darknet web sitelerinde bilgisayar korsanları arasında çok verimli ve etkili bir şekilde dağıtılmasıdır. Ve biliyorlar. Yani, hemen hemen orada olanları tarayabilir, birkaç örnek bulabilir ve sadece otomatik olarak bazı hack istismarları atabilirler ve içeri girerler. Ve bence, en azından üzerinde olan birçok insan tüm bunların çevresi, bilgisayar korsanlığı ağının güvenlik açığına ne kadar hızlı tepki verdiğini anlamıyor.
Vicky Harp: Evet, bu aslında devam etmeden önce bahsetmek istediğim başka bir şey getiriyor, bu kimlik bilgisi doldurma kavramı, bu çok ortaya çıkan bir şey, yani kimlik bilgileriniz herhangi bir yerde bir kez çalındığında, herhangi bir sitede, bu kimlik bilgileri yönetim kurulu genelinde yeniden kullanılmaya çalışılacaktır. Yani, yinelenen şifreler kullanıyorsanız, diyelim ki, kullanıcılarınız bu şekilde koyarsa, birileri tamamen geçerli bir kimlik bilgileri kümesi ile erişebilir. Yani, aynı şifremi Amazon'da ve bankamda kullandığımı ve ayrıca bir forumda kullandığımı ve forum yazılımının saldırıya uğradığını, kullanıcı adımı ve şifremi kullandıklarını varsayalım. Daha sonra aynı kullanıcı adını Amazon'da kullanabilir veya bankada kullanabilirler. Ve banka söz konusu olduğunda, tamamen geçerli bir girişti. Artık tamamen yetkilendirilmiş erişim yoluyla haksız önlemler alabilirsiniz.
Böylece, bu tür tekrar iç ihlaller ve iç kullanımlar hakkında söylediklerime geri dönüyor. Kuruluşunuzda, harici erişim için yaptıkları dahili erişim için aynı şifreleri kullanan kişiler varsa, birisinin içeri girme ve yapmadığınız başka bir sitedeki bir ihlal yoluyla sizi taklit etme olasılığınız vardır. bilmiyorum bile. Ve bu veriler çok hızlı bir şekilde yayılıyor. Listeler var, sanırım Troy Hunt tarafından "ben de yedim" için en son yükün, yarım milyarlık bir kimlik bilgisine sahip olduğunu söyledi, yani - gezegendeki insanların sayısını düşünürseniz - bu bir kimlik bilgisi doldurma için kullanıma sunulan çok sayıda kimlik bilgisi.
Biraz daha derine ineceğim ve SQL Server güvenliği hakkında konuşacağım. Şimdi size önümüzdeki 20 dakika içinde SQL Server'ınızı korumak için bilmeniz gereken her şeyi vermeye çalışamayacağımı söylemek istiyorum; bu biraz uzun bir emir gibi görünüyor. Yani, başlamak için bile, çevrimiçi gruplar ve çevrimiçi Google kaynakları olduğunu söylemek istiyorum, kesinlikle Google olabilir, kitaplar var, Microsoft'ta en iyi uygulama belgeleri var, SQL Server'daki profesyonel çalışanlar için bir güvenlik sanal bölümü var, security.pass.org adresindeler ve sanırım aylık SQL yayınları ve web yayınlarının kayıtlarının SQL Server güvenliğinin nasıl gerçek, derinlemesine ele alınacağını düşünüyorlar. Ancak bunlar, veri uzmanları olarak, BT uzmanları olarak, DBA'lar olarak konuştuğum şeylerden bazıları, SQL Server güvenliği ile bilmeniz gerektiğini bilmenizi istiyorum.
Birincisi fiziksel güvenlik. Daha önce söylediğim gibi, fiziksel medya çalmak hala çok yaygın. Ve böylece dev makine ile verdiğim senaryo, dev makinedeki veritabanınızın bir kopyası çalındı - bu son derece yaygın bir vektör, bu farkında olmanız ve eylemde bulunmaya çalışmanız gereken bir vektör. Yedekleme güvenliği için de geçerlidir, bu nedenle verilerinizi her yedeklediğinizde şifreli olarak yedeklemeniz gerekir, güvenli bir yere yedeklemeniz gerekir. Veritabanında gerçekten korunan bu verilerin çoğu kez, çevre konumlarına, dev makinelere, test makinelerine çıkmaya başlar başlamaz, yamalama konusunda biraz daha az dikkatli oluruz, biraz daha az alırız ona erişimi olan insanlar konusunda dikkatli olun. Bildiğiniz bir sonraki şey, kuruluşunuzdaki herkese açık bir paylaşımda saklanan şifrelenmemiş veritabanı yedeklemeleriniz var. Yani, fiziksel güvenliği düşünün ve biri kadar basit bir şekilde yürüyebilir ve sunucunuza bir USB anahtarı koyabilir mi? Buna izin vermemelisin.
Düşünmenizi istediğim bir sonraki öğe platform güvenliği, yani güncel işletim sistemi, güncel yamalar. İnsanların Windows'un eski sürümlerinde, SQL Server'ın eski sürümlerinde kalma hakkında konuştuklarını duymak çok yorucu, oyundaki tek maliyetin lisans yükseltme maliyetinin maliyeti olduğunu düşünüyor. Güvenlik içindeyiz, tepeden aşağıya doğru devam eden bir akış ve zaman geçtikçe daha fazla istismar bulundu. Bu durumda Microsoft ve duruma göre diğer gruplar, eski sistemleri bir noktaya güncelleyecekler ve sonunda desteklenmeyecekler ve artık onları güncellemeyecekler, çünkü bu sadece hiç bitmeyen bir süreç bakım.
Ve böylece, desteklenen bir işletim sisteminde olmanız ve yamalarınız hakkında güncel olmanız gerekiyor ve yakın zamanda Shadow Brokers'da olduğu gibi bulduk, bazı durumlarda Microsoft, yaklaşan büyük güvenlik ihlallerini önceleyebilir, onlardan önce ifşa edilmeden önce herkese açık hale getirildiğinden, her şeyin yolunda gitmesine izin vermeyin. Kesinti yapmamayı tercih ederim, beklemek ve her birini okumak ve karar vermek istiyorum. Bu yamanın neden oluştuğunu öğrendikten sonra birkaç haftaya kadar değerinin ne olduğunu bilemeyebilirsiniz. Yani, bunun üstünde kal.
Güvenlik duvarınızın yapılandırılmış olması gerekir. Güvenlik duvarı tamamen internete açık olan SQL Server'ın eski sürümlerini kaç kişinin çalıştırdığı SNB ihlaliyle şok ediciydi, böylece herkes içeri girip sunucularıyla istediklerini yapabilirdi. Bir güvenlik duvarı kullanıyor olmalısınız. Zaman zaman kuralları yapılandırmanız veya işinizi yapma şekliniz için özel istisnalar yapmanız gerekmesi, ödeme için uygun bir fiyattır. Veritabanı sistemlerinizdeki yüzey alanını kontrol etmeniz gerekiyor - aynı makinede hizmetleri veya IIS gibi web sunucularını birlikte mi kuruyorsunuz? Aynı disk alanını paylaşıyor, veritabanlarınızla ve özel verilerinizle aynı bellek alanını paylaşıyor musunuz? Bunu yapmamaya çalışın, izole etmeye çalışın, yüzey alanını daha küçük tutun, böylece tüm bunların veritabanının üstünde güvenli olduğundan emin olmak için çok fazla endişelenmenize gerek kalmaz. Bunları fiziksel olarak ayırabilir, platform yapabilir, ayırabilir, kendinize biraz nefes alabilirsiniz.
Tüm verilerinize erişebilecek her yerde çalışan süper yöneticilere sahip olmamalısınız. İşletim sistemi yöneticisi hesaplarının, bir dakika içinde konuşacağımız şifreleme yoluyla veritabanınıza veya veritabanındaki temel verilere erişmesi gerekmeyebilir. Ve veritabanı dosyalarına erişim, bunu da kısıtlamanız gerekir. Birisi bu veritabanlarına veritabanı aracılığıyla erişemez demek demek aptalca; SQL Server'ın kendilerine erişmesine izin vermez, ancak o zaman dolaşırlarsa, gerçek MDF dosyasının bir kopyasını alın, basitçe taşıyın, kendi SQL Server'ına ekleyin, gerçekten başaramadınız. çok.
Şifreleme, yani şifreleme o ünlü iki yönlü kılıç. İşletim sistemi düzeyinde yapabileceğiniz birçok farklı şifreleme düzeyi vardır ve SQL ve Windows için bir şeyler yapmanın çağdaş yolu BitLocker'tır ve veritabanı düzeyinde TDE veya şeffaf veri şifrelemesi denir. Yani, her ikisi de verilerinizi şifrelenmiş halde bekletmeye devam etmenin bir yoludur. Verilerinizi daha kapsamlı bir şekilde şifrelenmiş tutmak istiyorsanız, şifreli yapabilirsiniz - üzgünüm, bir adım öndeyim. Şifrelenmiş bağlantılar yapabilirsiniz, böylece geçiş halindeyken yine de şifrelenir, böylece bir kişi dinliyorsa veya bir saldırının ortasında bir adam varsa, bu verilerin tel üzerinden bir miktar korunmasına sahip olursunuz. Yedeklerinizin şifrelenmesi gerekiyor, dediğim gibi, başkaları tarafından erişilebilir olabilir ve daha sonra bellekte ve kullanım sırasında şifrelenmesini istiyorsanız, sütun şifrelememiz var ve daha sonra SQL 2016 “her zaman gerçekte diskten, bellekte, kabloda, gerçekte verileri kullanan uygulamaya kadar şifrelenir.
Şimdi, tüm bu şifreleme ücretsiz değil: CPU ek yükü var, bazen sütun şifrelemesi ve her zaman şifrelenmiş durumda, bu veriler üzerinde arama yapma yeteneğiniz açısından performans üzerinde etkileri var. Bununla birlikte, bu şifreleme, uygun şekilde bir araya getirilirse, birileri verilerinize erişecekse, hasar büyük ölçüde azalır, çünkü bunu elde edebildiler ve sonra onunla hiçbir şey yapamazlar. Ancak, bu aynı zamanda fidye yazılımının çalışma şekli, birisinin içeri girip bu öğeleri kendi sertifikası veya kendi şifresi ile açması ve ona erişiminizin olmamasıdır. Bu nedenle, bunu yaptığınızdan ve ona erişebildiğinizden emin olmanız önemlidir, ancak başkalarına ve saldırganlara açık olarak vermiyorsunuz.
Ve sonra, güvenlik ilkeleri - Ben bu noktada belabor olmayacağım, ama SQL Server'da süper yönetici olarak çalışan her kullanıcının olmadığından emin olun. Geliştiricileriniz bunu isteyebilir, farklı kullanıcılar isteyebilir - bireysel öğeler için erişim istemekle hayal kırıklığına uğrarlar - ancak bu konuda gayretli olmanız ve daha karmaşık olsa da, nesnelere erişim vermeniz ve devam eden işler için geçerli olan veritabanları ve şemaları vardır ve özel bir durum vardır, belki de özel bir oturum açma anlamına gelir, ortalama vaka kullanıcısı için mutlaka bir hak yükseltmesi anlamına gelmez.
Ve sonra, bunu içine alan düzenleyici uyumluluk hususları var ve bazı durumlar aslında kendi yollarına gidebilir - bu yüzden HIPAA, SOX, PCI var - tüm bu farklı düşünceler var. Ve bir denetimden geçtiğinizde, bununla uyumlu kalmak için harekete geçtiğinizi göstermeniz beklenir. Ve böylece, takip edilmesi gereken çok şey var, DBA yapılacaklar listesi olarak söyleyebilirim, güvenlik fiziksel şifreleme yapılandırmasını sağlamaya çalışıyorsunuz, bu verilere erişimin denetlendiğinden emin olmaya çalışıyorsunuz uyumluluk amacıyla, hassas sütunlarınızın, ne olduklarını, nerede olduklarını, hangilerini şifrelemeniz ve erişimi izlemeniz gerektiğini bildiğinizden emin olun. Ayrıca, yapılandırmaların tabi olduğunuz yasal yönergelere uygun olduğundan emin olun. Ve işler değiştikçe bunu güncel tutmalısınız.
Yani, yapacak çok şey var ve eğer onu orada bırakacak olsaydım, bunu yap diyebilirim. Ancak bunun için birçok farklı araç var, bu yüzden eğer son birkaç dakika içinde yapabilirsem, IDERA'da bunun için sahip olduğumuz araçlardan bazılarını göstermek istedim. Bugün bahsetmek istediğim ikisi SQL Secure ve SQL Uyumluluk Yöneticisi. SQL Secure, yapılandırma güvenlik açıklarının türünü tanımlamaya yardımcı olan aracımızdır. Güvenlik politikalarınız, kullanıcı izinleriniz, yüzey alanı konfigürasyonlarınız. Ayrıca, farklı yasal çerçevelere uymanıza yardımcı olacak şablonlara sahiptir. Bu, kendi başına, son satır, insanların bunu dikkate almasının nedeni olabilir. Çünkü bu farklı düzenlemeleri okumak ve bunların ne anlama geldiğini belirlemek, PCI ve daha sonra mağazamdaki SQL Server'a kadar götürmek çok iş. Bu, yapmak için çok fazla danışmanlık parası ödeyebileceğiniz bir şey; Bu danışmanlığa gittik ve yaptık, bu şablonların ne olduğunu bulmak için farklı denetim şirketleri vb. ile birlikte çalıştık - bunlar mevcutsa denetimden geçmesi muhtemel bir şey. Ardından bu şablonları ortamınızda kullanabilir ve görebilirsiniz.
Ayrıca SQL Uyumluluk Yöneticisi biçiminde başka bir tür kardeş aracımız var ve burası SQL Secure'un yapılandırma ayarları ile ilgili olduğu yer. SQL Uyumluluk Yöneticisi kimin ne zaman ne yaptığını görmekle ilgilidir. Bu, denetimdir, bu nedenle etkinliği olduğu gibi izlemenizi ve bir şeye kimin eriştiğini tespit etmenizi ve izlemenizi sağlar. Prototipik bir örnek, hastanenizde kontrol edilen ünlülerden biri, biri meraktan çıkıp bilgilerini arıyor muydu? Bunun için bir nedenleri var mıydı? Denetim geçmişine bir göz atabilir ve neler olup bittiğini, bu kayıtlara kimlerin eriştiğini görebilirsiniz. Bunun, hassas sütunları tanımlamanıza yardımcı olacak araçlara sahip olduğunu da belirtebilirsiniz, bu yüzden hepsini okumak ve yapmak zorunda değilsiniz.
Yani, eğer yapabilirsem, bu son birkaç dakika içinde size bu araçlardan bazılarını göstereceğim - ve lütfen bunu derinlemesine bir demo olarak düşünmeyin. Ben ürün müdürüyüm, satış mühendisi değilim, bu yüzden size bu tartışmayla ilgili olduğunu düşündüğüm bazı şeyleri göstereceğim. Bu bizim SQL Secure ürünümüz. Burada da görebileceğiniz gibi, bu üst düzey karne kartım var. Bunu ben koştum, sanırım, dün. Ve bana doğru şekilde kurulmamış bazı şeyleri ve doğru şekilde kurulmuş bazı şeyleri gösterir. Yani, burada yaptığımız 100'den fazla farklı kontrol var. Ve yaptığım yedeklemelerdeki yedek şifrelememin yedek şifrelemeyi kullanmadığımı görebiliyorum. Açıkça “SA hesabı” olarak adlandırılan SA hesabım devre dışı bırakılmamış veya yeniden adlandırılmamış. Ortak sunucu rolünün izni var, bu yüzden bunların hepsi değişmek isteyebileceğim şeyler.
Burada politika ayarladım, bu yüzden yeni bir politika oluşturmak istersem, sunucularıma uygulamak için bu yerleşik politikaların hepsine sahibiz. Dolayısıyla, mevcut bir politika şablonunu kullanacağım ve CIS, HIPAA, PCI, SR ve devam ettiğimi görebilirsiniz ve aslında insanların sahada ihtiyaç duydukları şeylere dayanarak sürekli olarak ek politikalar ekleme sürecindeyiz. . Ayrıca yeni bir politika oluşturabilirsiniz, bu yüzden denetçinizin ne aradığını biliyorsanız, kendiniz de oluşturabilirsiniz. Ve sonra, bunu yaptığınızda, ayarlamanız gereken tüm bu farklı ayarlar arasından seçim yapabilirsiniz, bazı durumlarda bazılarınız vardır - geri dönmeme ve önceden oluşturulmuş olanlardan birini bulmama izin verin. Bu uygun, ben HIPAA seçebilirim - HIPAA, zaten kötü - PCI'im var ve sonra buraya tıkladığımda, aslında bölümün dış çapraz referansını görebiliyorum bununla ilgili düzenleme. Peki bu daha sonra size yardımcı olacak, bunu neden ayarladığımı anlamaya çalıştığınızda? Neden buna bakmaya çalışıyorum? Bu hangi bölümle ilgili?
Bu ayrıca, kullanıcılarınıza girmenize ve göz atmanıza izin veren güzel bir araca sahiptir, bu nedenle kullanıcı rollerinizi keşfetmeyle ilgili zor şeylerden biri, aslında, buraya bir göz atacağım. Yani, benim için izinler gösterirsem, bakalım, burada bir kullanıcı seçelim. İzinleri göster. Bu sunucu için atanmış izinleri görebiliyorum, ancak sonra buraya tıklayıp etkili izinleri hesaplayabilirim ve bana dayalı tam listeyi verecektir, bu nedenle bu yönetici, bu yüzden bu heyecan verici değil, ama Farklı kullanıcıları seçebilir ve ait olabilecekleri farklı gruplara dayanarak etkin izinlerinin ne olduğunu görebilirim. Bunu kendi başınıza yapmaya çalışırsanız, aslında biraz zor olabilir, anlamaya çalışın, tamam bu kullanıcı bu grupların bir üyesidir ve bu nedenle bu şeylere gruplar aracılığıyla vb.
Yani, bu ürünün çalışma şekli, anlık görüntüler almasıdır, bu nedenle sunucunun anlık görüntüsünü düzenli olarak almak çok zor bir süreç değildir ve daha sonra değişiklikleri karşılaştırmak için bu anlık görüntüleri zaman içinde tutar. Dolayısıyla bu, geleneksel bir performans izleme aracı gibi sürekli bir izleme değildir; Bu, haftada bir kez, haftada bir kez çalıştırmak için ayarlamış olabileceğiniz bir şeydir - ancak genellikle geçerli olduğunu düşünürsünüz - böylece, analizi yaptığınızda ve biraz daha fazlasını yaptığınızda, aslında sadece aracımızın içinde çalışıyor. Sunucunuza o kadar çok bağlanmıyorsunuz, bu nedenle bu tür statik ayarlara uyum sağlamak için çalışmak için oldukça hoş bir araç.
Size göstermek istediğim diğer araç Uyum Yöneticisi aracımız. Uyum Yöneticisi daha sürekli bir şekilde izleyecektir. Ve sunucunuzda kimin ne yaptığını görecek ve ona göz atmanıza izin verecektir. Burada yaptığım, son birkaç saat içinde, aslında bazı küçük problemler yaratmaya çalıştım. Yani, burada bir sorun olup olmadığını anladım, bunu biliyor olabilirim, birisi aslında bir giriş oluşturdu ve bir sunucu rolüne ekledi. Yani, içeri girip bir göz atarsam, görebiliyorum - sanırım oraya sağ tıklayamıyorum, neler olduğunu görebiliyorum. Yani, bu benim gösterge panelim ve bugün biraz önce başarısız girişlerim olduğunu görebiliyorum. Bir sürü güvenlik faaliyeti, DBL faaliyeti vardı.
Şimdi, denetim olaylarıma geçip bir bakayım. Burada denetim olaylarımı kategoriye ve hedef nesneye göre gruplandırdım, bu yüzden bu güvenliğe daha önce bakarsam, DemoNewUser'i görebilirim, bu sunucu oluşturma girişi oluştu. Ve giriş SA'sının bu DemoNewUser hesabını oluşturduğunu görebiliyorum, burada, 14:42 Ve Sonra, sunucuya giriş eklediğini görebiliyorum, bu DemoNewUser sunucu yönetici grubuna eklendi, yönetici grubunu kurduklarında sysadmin grubuna eklendi. Yani, bilmek istediğim bir şey olmuştu. Ayrıca tablolarımdaki hassas sütunların izlenmesini sağlayacak şekilde ayarladım, böylece kime eriştiğini görebiliyorum.
İşte burada, masamda, Adventure Works'ten seçilmiş birkaç seçkim var. Bir göz atabilir ve Adventure Works masasındaki kullanıcı SA'sının kişi nokta kişisinden en iyi on yıldızı seçtiğini görebilirim. Belki de benim organizasyonumda insanların nokta nokta kişisinden yıldız seçmesini istemiyorum, ya da sadece belirli kullanıcıların bunu yapmasını bekliyorum ve bu yüzden bunu burada göreceğim. Yani, denetiminiz için ihtiyacınız olan şey, bunu çerçeveye dayanarak ayarlayabiliriz ve bu biraz daha yoğun bir araçtır. Sürüme bağlı olarak SQL Trace veya SQLX olaylarını kullanıyor. Bu, sunucunuzda uyum sağlamak için biraz boşluk olması gerekecek bir şey, ancak bu şeylerden biri, bir çeşit sigorta gibi, araba sigortasına sahip olmamamız güzel bir şeydi - bu bir almak zorunda kalmayacağımız bir maliyet - ancak kimin ne yaptığını izlemeniz gereken bir sunucunuz varsa, bunu yapmak için biraz ekstra boşluk ve bunun gibi bir araca sahip olmanız gerekebilir. İster aracımızı kullanın, ister kendiniz yuvarlayın, nihayetinde bu bilgilerin mevzuata uygunluk amacıyla kullanılmasından siz sorumlu olacaksınız.
Dediğim gibi, derinlemesine bir demo değil, sadece hızlı, küçük bir özet. Ayrıca, ortamınızdaki hangi sütunların hassas bilgiler olarak göründüğünü tanımlamak için kullanabileceğiniz bu SQL Sütun Arama şeklinde hızlı, küçük bir ücretsiz araç göstermek istedim. Bu nedenle, genellikle hassas veriler içeren sütunların farklı adlarını aradığı bir dizi arama yapılandırmamız var ve daha sonra tanımlanmış olan bu listenin tamamını aldım. Onlardan 120 tane aldım ve sonra onları ihraç ettim, böylece bunları kullanmam için, bakalım bakalım ve ikinci adı, bir kişi dot person'i veya satış vergisine erişimi izlediğimden emin olalım oranı vb.
Burada geçirdiğimiz zamanın sonuna geldiğimizi biliyorum. Ve aslında size göstermek zorunda olduğum şey buydu, öyleyse benim için herhangi bir sorunuz var mı?
Eric Kavanagh: Senin için birkaç iyi olanım var. Burada yukarı kaydırmama izin verin. Katılımcılardan biri gerçekten iyi bir soru soruyordu. Bunlardan biri performans vergisini soruyor, bu yüzden bunun çözümden çözüme değiştiğini biliyorum, ancak IDERA güvenlik araçlarını kullanmak için performans vergisinin ne olduğu hakkında genel bir fikriniz var mı?
Vicky Harp: Yani, SQL Secure'da, dediğim gibi, çok düşük, sadece bazı anlık fotoğraflar çekecek. Sık sık çalışıyor olsanız bile, ayarlar hakkında statik bilgi alıyor ve bu yüzden çok düşük, neredeyse ihmal edilebilir. Uyum Yöneticisi açısından, -
Eric Kavanagh: Yüzde bir gibi mi?
Vicky Harp: Yüzde sayı vermek zorunda kalsaydım, evet, yüzde bir ya da daha düşük olurdu. SSMS'yi kullanma ve güvenlik sekmesine girme ve şeyleri genişletme hakkında temel bilgiler. Uyumluluk tarafında, çok daha yüksek - bu yüzden biraz boşluk gerektirdiğini söyledim - performans izleme açısından sahip olduğunuzdan çok daha fazlası gibi. Şimdi, insanları ondan korkutmak istemiyorum, Uyum izlemenin hilesi ve eğer denetleniyorsa, sadece eylemde bulunacağınız şeyi denetlediğinizden emin olmaktır. Bu yüzden, "Hey, insanların bu belirli tablolara ne zaman eriştiğini bilmek istiyorum ve insanlar ne zaman eriştiğinde, bu belirli eylemleri gerçekleştirdiğini bilmek istiyorum" demek için filtre uyguladıktan sonra, bu şeylerin ne sıklıkta olduğuna bağlı olacaktır. oluyor ve ne kadar veri üretiyorsunuz. “Bu tablolardan herhangi birinde gerçekleşen her seçimin tam SQL metnini istiyorum” derseniz, bu muhtemelen ürünümüze taşınan SQL Server tarafından ayrıştırılması gereken gigabayt ve gigabayt veri olacak, vb.
Eğer bunu bir a tutarsanız - muhtemelen başa çıkabileceğinizden daha fazla bilgi olacaktır. Günde daha küçük bir sete götürebilirseniz, günde birkaç yüz etkinlik elde edersiniz, o zaman bu çok daha düşüktür. Yani, gerçekten, bazı açılardan, gökyüzü sınırdır. Her şey için tüm izlemedeki tüm ayarları açarsanız, evet, bu yüzde 50 performans artışı olacaktır. Ama bunu daha ılımlı, düşünülmüş bir seviyeye dönüştürürseniz, belki de yüzde 10 göz küresi olur mu? Gerçekten, iş yükünüze çok bağlı olacağı şeylerden biri.
Eric Kavanagh: Evet, doğru. Donanımla ilgili başka bir soru daha var. Ve sonra, oyuna giren ve yazılım satıcılarıyla gerçekten işbirliği yapan donanım satıcıları var ve ben de Soru-Cevap penceresinden cevap verdim. Cloudera'nın Intel ile birlikte çalıştığı ve Intel'in bu büyük yatırımı yaptığı belirli bir vakayı biliyorum ve analizin bir kısmı Cloudera'nın yonga tasarımına erken erişim sağlayacağı ve böylece güvenliği yonga seviyesine çekebileceği idi. oldukça etkileyici bir mimari. Ama yine de, oraya çıkacak bir şey ve yine de her iki taraf tarafından da sömürülebilir. Herhangi bir donanım satıcısının güvenlik protokolü konusunda yazılım satıcılarıyla ortak çalışma eğilimleri veya eğilimleri olduğunu biliyor musunuz?
Vicky Harp: Evet, aslında, Microsoft'un bazı şifreleme çalışmalarının bellek alanlarının aslında ana hafızanızdan ayrı olan anakartlarda ayrı yongalarda olması için işbirliği yaptığına inanıyorum. bu şeylerin fiziksel olarak ayrılması. Ve bunun aslında Microsoft'tan, satıcılara, “Bunu yapmanın bir yolunu bulabilir miyiz, temelde adreslenemez bir bellek olabilir, bu bellek, çünkü bir anlamda orada bile değil, bu yüzden bazılarının olduğunu biliyorum. ”
Eric Kavanagh: Evet.
Vicky Harp: Bu büyük olasılıkla gerçekten büyük satıcılar olacak.
Eric Kavanagh: Evet. Bunu izlemeyi merak ediyorum ve belki Robin, hızlı bir saniyeniz varsa, yıllar boyunca deneyimlerinizi bilmek isterdim, çünkü yine donanım açısından, gerçek malzeme bilimi açısından satıcı tarafından bir araya getirdiğiniz şeyle ilgili olarak, bu bilgi her iki tarafa da gidebilir ve teorik olarak her iki tarafa da oldukça hızlı gidiyoruz, bu yüzden donanımı daha dikkatli kullanmanın bir tasarım perspektifinden güvenliği artırmaya yönelik bir yolu var mı? Ne düşünüyorsun? Robin, sessiz misin?
Robin Bloor: Evet, evet. Üzgünüm, buradayım; Sadece soruyu düşünüyorum. Dürüst olmak gerekirse, bir fikrim yok, önemli bir derinliğe bakmadığım bir alan, bu yüzden bir tür, bir fikir icat edebilirim, ama gerçekten bilmiyorum. Yazılımda işlerin güvenli olmasını tercih ederim, temelde oynadığım gibi.
Eric Kavanagh: Evet. Millet, bir saat boyunca yandık ve burada değiştik. Vicky Harp'a zamanı ve dikkati için çok teşekkürler - tüm zamanınız ve dikkatiniz için; bu şeyleri gösterdiğiniz için teşekkür ederiz. Çok önemli; yakında hiçbir zaman ortadan kalkmayacak. Devam eden, devam eden ve devam eden bir kedi ve fare oyunu. Ve böylece bazı şirketlerin dışarıda olduğu, güvenliği sağlamaya odaklandıkları için minnettarız, ancak Vicky sunumunda biraz bahsettiği ve konuştuğu gibi, günün sonunda, çok dikkatli düşünmesi gereken kuruluşlardaki insanlar Bu kimlik avı saldırıları, bu tür bir sosyal mühendislik hakkında ve dizüstü bilgisayarlarınıza tutun - kahve dükkanında bırakmayın! Parolanızı değiştirin, temelleri yapın, orada yüzde 80'lik bir paya sahip olacaksınız.
Böylece, millet, size veda edeceğiz, zamanınız ve ilginiz için bir kez daha teşekkür ederiz. Bir dahaki sefere seni yakalayacağız, kendine iyi bak. Güle güle.
Vicky Harp: Güle güle, teşekkür ederim.