Techopedia Staff tarafından, 27 Ekim 2016
Paket Servisi: Sunucu Eric Kavanagh, Robin Bloor, Dez Blanchfield ve IDERA'dan Ignacio Rodriguez ile veritabanı güvenliğini tartışıyor.
Şu anda giriş yapmadınız. Lütfen videoyu görmek için giriş yapın veya üye olun.
Eric Kavanagh: Merhaba, bir kez daha Hot Technologies'e tekrar hoş geldiniz. Benim adım Eric Kavanagh; Ben bugün web yayını için ev sahibi olacağım ve bu sıcak bir konu ve asla sıcak bir konu olmayacak. Bu, açıkçası, duyduğumuz tüm ihlaller nedeniyle şimdi sıcak bir konu ve bunun asla bitmeyeceğini garanti edebilirim. Yani bugünün konusu, şovun tam başlığı, “Yeni Normal: Güvensiz Bir Dünyanın Gerçekliği ile Mücadele” dir. Tam olarak uğraştığımız şey budur.
Ev sahibine sahibiz, seninki gerçekten orada. Birkaç yıl önce, unutmayın, muhtemelen fotoğrafımı güncellemeliyim; Zaman uçtu. Bazı önerilerde bulunmak isterseniz bana e-posta gönderin. Bu, Hot Technologies için standart "sıcak" slaytımız. Bu şovun tüm amacı gerçekten belirli bir alanı tanımlamaktır. Bugün güvenlikten bahsediyoruz. Aslında, IDERA'dan arkadaşlarımızla çok ilginç bir bakış açısı alıyoruz.
Ayrıca, izleyici üyelerimiz olarak programda önemli bir rol oynadığınıza dikkat çekeceğim. Lütfen utanmayın. Bize her zaman bir soru gönderin ve eğer yeterli zamanımız varsa soru-cevap için sıraya gireceğiz. Bugün üç kişimiz var, açıklanmayan bir yerden gelen Dr. Robin Bloor, Dez Blanchfield ve Ignacio Rodriguez. Her şeyden önce, Robin, sen ilk sunucusun. Anahtarları sana vereceğim. Götürün.
Dr. Robin Bloor: Tamam, bunun için teşekkürler Eric. Veritabanının güvenliğini sağlama - Sanırım, herhangi bir şirketin gerçekte başkanlık ettiği en değerli verinin bir veritabanında olduğunu söyleyebiliriz. Bu yüzden hakkında konuşabileceğimiz bir dizi güvenlik var. Ama yapabileceğimi düşündüğüm, veritabanını koruma konusu hakkında konuşmak. Ignacio'nun vereceği sunumdan hiçbir şey almak istemiyorum.
Öyleyse başlayalım, veri güvenliğini statik bir hedef olarak düşünmek kolaydır, ancak değildir. Hareketli bir hedef. Ve bu, çoğu insanın BT ortamlarının, özellikle büyük şirket BT ortamlarının her zaman değiştiği anlamında anlaşılması önemlidir. Ve sürekli değiştikleri için, saldırı yüzeyi, birilerinin veri güvenliğini tehlikeye atmak için içten dışa veya dışardan bir şekilde girebileceği alanlar sürekli değişiyor. Ve böyle bir şey yaptığınızda, bir veritabanını yükseltirsiniz, bunu yaparak kendiniz için bir tür güvenlik açığı oluşturup oluşturmadığınızı bilmezsiniz. Ama berbat bir şey olana kadar farkında değilsin ve asla öğrenemeyeceksin.
Veri güvenliğine kısa bir genel bakış var. Her şeyden önce, veri hırsızlığı yeni bir şey değildir ve değerli veriler hedeflenir. Bir kuruluş için en fazla korumayı sağlamak için ihtiyaç duydukları verilerin ne olduğunu anlamak normalde kolaydır. Meraklı bir gerçek, ilk ya da ilk bilgisayar olduğunu iddia edebileceğimiz şey, İkinci Dünya Savaşı sırasında İngiliz istihbarat tarafından bir amaç göz önünde bulundurularak inşa edildi ve bu da Alman iletişiminden veri çalmaktı.
Bu nedenle veri hırsızlığı, başladığından beri BT endüstrisinin bir parçası oldu. İnternetin doğuşu ile çok daha ciddi hale geldi. Yıllar geçtikçe meydana gelen veri ihlallerinin günlüğüne bakıyordum. Ve sayı 2005 yılına kadar 100'ün üzerine çıktı ve bu noktadan itibaren her yıl daha da kötüleşmeye başladı.
Daha fazla miktarda veri çalınıyor ve daha fazla sayıda saldırı gerçekleşiyor. Ve bunlar bildirilen saldırılardır. Şirketin hiçbir şey söylemediği yerlerde meydana gelen çok sayıda olay var, çünkü hiçbir şey söylemeye zorlayan bir şey yok. Böylece veri ihlalini sessiz tutar. Hack işinde birçok oyuncu var: hükümetler, işletmeler, hacker grupları, bireyler.
Sadece bahsetmenin ilginç olduğunu düşündüğüm bir şey, Moskova'ya gittiğimde, yaklaşık dört yıl önce, Moskova'da bir yazılım konferansıydı, veri korsanlığı konusunda uzmanlaşmış bir gazeteciyle konuşuyordum. Ve iddia etti - ve doğru olduğundan eminim, ama benden bahseden tek kişi o olduğunu bilmiyorum, ama - Rus İş Ağı adlı bir Rus işi var, muhtemelen bir Rus var ama sanırım bunun İngilizce çevirisi, aslında kesmek için işe alınmış.
Yani dünyanın herhangi bir yerinde büyük bir organizasyonsanız ve rekabete zarar verecek bir şey yapmak istiyorsanız, bu insanları işe alabilirsiniz. Ve bu insanları işe alırsanız, hack'in arkasında kimin olduğu konusunda çok makul bir inkar edersiniz. Çünkü hack'in arkasında kim olduğunu keşfederse, muhtemelen Rusya'da bunu yapan birinin olduğunu gösterecektir. Ve bir rakibe zarar vermeye çalıştığınız gibi görünmeyecek. Ve Rus İş Ağı'nın, hükümetler tarafından terörist paranın nasıl hareket ettiğini öğrenmek ve bankalara saldırmak gibi işleri yapmak için işe alındığına inanıyorum. Ve bu, aslında bunu asla yaptıklarını asla itiraf etmeyecek hükümetler tarafından makul bir inkar ile yapılır.
Saldırı ve savunma teknolojisi gelişiyor. Uzun zaman önce kaos kulübüne giderdim. Almanya'da kayıt olabileceğiniz bir siteydi ve sadece çeşitli insanların konuşmalarını takip edip nelerin mevcut olduğunu görebilirsiniz. Bunu güvenlik teknolojisine bakarken yaptım, sanırım 2005 civarında. Ve o zaman ne olup bittiğini görmek için yaptım ve beni şaşırtan şey, temelde açık kaynaklı bir sistem olduğu virüslerin sayısıydı. Devam ediyordum ve virüs yazmış ya da gelişmiş virüsleri olan insanlar bu kodu herkesin kullanması için uyguluyorlardı. Ve o zamanlar bilgisayar korsanlarının çok, çok akıllı olabileceği zamanlar meydana geldi, ama çok da akıllı olmayan çok sayıda bilgisayar korsanı var, ama akıllı araçlar kullanıyorlar. Ve bu araçlardan bazıları oldukça akıllı.
Ve buradaki son nokta: İşletmelerin, sahip olsalar da olmasalar da, verilerinin üzerinde bir bakım görevi vardır. Ve bence bu eskisinden daha fazla fark ediliyor. Ve bir işletmenin aslında bir saldırıya uğraması giderek pahalılaşıyor. Bilgisayar korsanları hakkında, herhangi bir yere yerleştirilebilirler, doğru tanımlanmış olsalar bile adalete teslim etmek zor olabilir. Birçoğu çok yetenekli. Önemli kaynaklar, her yerde botnet'ler var. Son zamanlarda meydana gelen DDoS saldırısının bir milyardan fazla cihazdan geldiğine inanılıyordu. Bunun doğru olup olmadığını veya sadece yuvarlak bir sayı kullanan bir muhabir olup olmadığını bilmiyorum, ancak DNS ağına saldırı yapmak için kesinlikle çok sayıda robot cihazı kullanıldı. Bazı kârlı işletmeler, hükümet grupları var, ekonomik savaş var, siber savaş var, her şey orada devam ediyor ve pek olası değil.
Uyumluluk ve düzenlemeler - gerçekten devam eden bir takım şeyler vardır. Sektör temelli birçok uyum girişimi vardır, bilirsiniz - ilaç sektörü veya bankacılık sektörü veya sağlık sektörü - insanların izleyebileceği belirli girişimler olabilir, çeşitli en iyi uygulamalar. Ancak, hukuk oldukları için yasayı ihlal eden herkes için cezaları olan birçok resmi düzenleme de vardır. ABD örnekleri HIPAA, SOX, FISMA, FERPA, GLBA'dır. Bazı standartlar var, PCI-DSS kart şirketleri için bir standart. ISO / IEC 17799 ortak bir standart edinmeye çalışmaktadır. Bu verinin mülkiyetidir. Ulusal düzenlemeler ülkeden ülkeye, hatta Avrupa'da bile farklılık gösterebilir ya da belki de özellikle kafa karıştırıcı olduğu Avrupa'da söylenebilir. Ve bir GDPR, şu anda Avrupa ve Amerika Birleşik Devletleri arasında düzenlemelerde uyum sağlamaya çalışmak için müzakere edilen bir küresel veri koruma düzenlemesi var, çünkü genellikle, olduğu gibi, uluslararası olarak çok sayıda ve daha sonra bulut hizmetleriniz var. verilerinizin uluslararası olduğunu düşünmüyorum, ancak buluta girer girmez uluslararası oldu, çünkü ülkenizden taşındı. Bunlar, veri koruma ile başa çıkmak için bir şekilde müzakere edilen bir dizi düzenlemedir. Ve bunların çoğu, elbette hemen hemen tüm kimlik verilerini içeren bir bireyin verileri ile ilgilidir.
Düşünülmesi gerekenler: veritabanı güvenlik açıkları. Veritabanı satıcıları tarafından olabildiğince hızlı bir şekilde keşfedilip yamalar yapıldığında bilinen ve bildirilen güvenlik açıklarının bir listesi vardır, bu nedenle bunların hepsi vardır. Korunmasız verilerin belirlenmesi açısından bununla ilgili şeyler vardır. Ödeme verileri üzerindeki en büyük ve en başarılı hacklerden biri bir ödeme işleme şirketine yapıldı. Bu daha sonra devralındı, çünkü eğer değilse tasfiyeye gitmek zorunda kaldı, ancak veriler herhangi bir operasyonel veritabanından çalınmadı. Veriler bir test veritabanından çalındı. Bu, geliştiricilerin gerçek veri olan verilerin bir alt kümesini aldıkları ve herhangi bir koruma olmaksızın bir test veritabanında kullandıkları oldu. Test veritabanı saldırıya uğradı ve ondan çok sayıda kişisel finansal detay alındı.
Güvenlik politikası, özellikle veritabanları ile ilgili olarak erişim güvenliği ile ilgili olarak, kim okuyabilir, kim yazabilir, kim izin verebilir ki, bunlardan herhangi birini atlatmanın herhangi bir yolu var mı? Sonra elbette, veritabanlarından gelen şifrelemeler buna izin veriyor. Güvenlik ihlalinin bedeli var. Bunun kuruluşlar içinde standart bir uygulama olup olmadığını bilmiyorum, ancak bazı güvenlik görevlilerinin yöneticilere, bir güvenlik ihlali maliyetinin gerçekte peşinden değil gerçekte ne olduğuyla ilgili bir fikir sunmaya çalıştıklarını biliyorum. Ve bunu, örgütü savunmak için doğru miktarda bütçe aldıklarından emin olmak için bunu yapmaları gerekir.
Ve sonra saldırı yüzeyi. Saldırı yüzeyi sürekli büyüyor gibi görünüyor. Saldırı yüzeyi yıldan yıla büyüyor. Özetle, aralık başka bir noktadır, ancak veri güvenliği genellikle DBA'nın rolünün bir parçasıdır. Ancak veri güvenliği de işbirlikçi bir faaliyettir. Güvenlik yapıyorsanız, bir bütün olarak kuruluş için güvenlik korumaları hakkında tam bir fikre sahip olmanız gerekir. Bu konuda kurumsal bir politika olması gerekiyor. Kurumsal politikalar yoksa parça parça çözümlerle sonuçlanırsınız. Bilirsiniz, lastik bant ve plastik, güvenliğin gerçekleşmesini durdurmaya çalışır.
Bunu söyledikten sonra, muhtemelen size çeşitli savaş hikayeleri verecek olan Dez'e teslim ediyorum.
Eric Kavanagh: Götürün, Dez.
Dez Blanchfield: Teşekkürler, Robin. Bunu takip etmek her zaman zor bir eylemdir. Ben bunu sadece spektrumun karşı ucundan geleceğim, sanırım bize karşı karşıya olduğunuz zorluğun ölçeği ve neden oturup oturup buna dikkat etmemiz gerektiğinden daha fazlasını yapmalıyız. . Şimdi ölçek ve miktar ve hacim, bu şeylerin gerçekleşme hızı ile karşılaştığımız zorluk, şu anda sadece CIO'lar değil, aynı zamanda bir çok CXO ile de duyduğum şey CIO'lar paranın durduğu yerde devam edenler, veri ihlallerinin hızla norm haline geldiğini düşünüyorlar. Neredeyse olmasını bekledikleri bir şey. Yani buna “Tamam, peki, biz ihlal edildikçe - eğer değilse - ihlal edildiğimizde, bu konuda ne yapmamız gerekir?” Açısından bakıyorlar. Ve sonra konuşmalar başlıyor, geleneksel uç ortamlarda ve yönlendiricilerde, anahtarlarda, sunucularda, saldırı tespitinde, saldırı denetiminde ne yapıyorlar? Sistemlerin kendisinde ne yapıyorlar? Verilerle ne yapıyorlar? Ve sonra her şey veritabanlarıyla yaptıkları şeylere geri dönüyor.
Bir sürü insanın hayal gücünü yakalayan bu şeylerin birkaç örneğine değinmeme izin verin ve sonra biraz parçalara ayırın. Haberlerde duyduk ki Yahoo - muhtemelen insanların duyduğu en büyük sayı yaklaşık yarım milyon, ama aslında gayri resmi olarak bir milyara benziyor - üç milyar tuhaf bir ses duydum, ama bu neredeyse dünya nüfusunun yarısı kadar, bence bu biraz yüksek. Ancak, ilgili alanlarda, Yahoo'dan ihlal edilen bir milyardan fazla kayıt olduğuna inanan bir dizi halktan doğrulandım. Ve bu sadece akıllara durgunluk veren bir sayı. Şimdi bazı oyuncular görünüyor ve düşünüyor, bu sadece web posta hesapları, büyük bir anlaşma yok, ama sonra, bu web posta hesaplarının çoğunun ve merakla yüksek bir rakamın, tahmin ettiğimden daha yüksek, aslında ücretli hesaplar olduğunu ekliyorsunuz. Burası, insanların kredi kartı bilgilerini girdikleri ve reklamları kaldırmak için ödeme yaptıkları yerdir, çünkü reklamlardan bıkarlar ve böylece ayda 4 veya 5 dolar, reklamları olmayan bir web postası ve bulut depolama hizmeti satın almak isterler. ve ben onlardan biriyim ve bunu kredi kartımı taktığım üç farklı sağlayıcıdan aldım.
Bu yüzden meydan okuma biraz daha dikkat çekicidir, çünkü bu sadece dışarıda bir satır demiş gibi bir şey değil, “Ah, Yahoo 500 milyon ila 1.000 milyon hesap kaybetti, diyelim ki 1.000 milyon çok büyük ve web posta hesapları, ancak kredi kartı bilgileri, ad, soyadı, e-posta adresi, doğum tarihi, kredi kartı, pin numarası, ne istersen, şifreler ve daha sonra çok daha korkutucu bir kavram haline gelir. Ve yine insanlar bana, “Evet, ama bu sadece web hizmeti, sadece web postası, önemli değil” diyor ve sonra, “Evet, Yahoo hesabını Yahoo para hizmetlerinde satın almak için de kullanılmış olabilir ve hisseleri satmak. ”Sonra daha ilginç hale geliyor. Ve bunu detaylandırmaya başladığınızda, bunun aslında evde sadece anneler ve babalardan daha fazlası olduğunu ve mesajlaşma hesaplarıyla gençler, bu aslında insanların ticari işlemler yaptığı bir şey olduğunu anlıyorsunuz.
Yani bu spektrumun bir ucu. Spektrumun diğer ucu, Avustralya'daki çok küçük, genel bir uygulama, sağlık hizmeti sağlayıcısının çalınan yaklaşık 1.000 kayıt içermesidir. Dahili bir işti, biri gitti, sadece merak ediyorlardı, kapıdan çıktılar, bu durumda 3, 5 inçlik bir disketti. Kısa bir süre önceydi - ama medya çağını anlatabilirsin - ama eski teknolojideydiler. Ancak verileri almalarının nedeni, sadece orada kim olduğunu merak ediyor olmalarıydı. Çünkü ulusal başkentimiz olan bu küçük kasabada politikacılar olan bir sürü insan vardı. Ve orada kimin olduğu ve hayatlarının nerede olduğu ve bu tür bilgilerle ilgileniyorlardı. Bu nedenle, dahili olarak yapılan çok küçük bir veri ihlaliyle, Avustralya hükümetinin ayrıntılarındaki önemli sayıda siyasetçi kamuoyuna açıklandı.
Dikkate alınması gereken spektrumun iki farklı ucu var. Şimdi gerçek şu ki, bu şeylerin büyüklüğü oldukça şaşırtıcı ve burada çok, çok hızlı bir şekilde atlayacağımız bir slayt var. Her türlü veriyi listeleyen birkaç web sitesi var, ancak bu özel, web sitesine sahip ve e-posta adresinizi veya adınızı arayabileceğiniz bir güvenlik uzmanından geliyor ve size her veri olayını gösterecek Son 15 yılda ellerini ele geçirebildiğini ve ardından bir veritabanına yükleyip doğruladığını ve terimin olduğu gibi size kargaşa olup olmadığınızı söyleyecektir. Ancak bu numaralardan bazılarına bakmaya başladığınızda ve bu ekran görüntüsü Yahoo gibi bir çift içeren en son sürümü ile güncellenmedi. Ama sadece burada hizmet türlerini düşünün. Myspace'imiz var, LinkedIn'imiz var, Adobe. Adobe ilginç çünkü insanlar bakıyor ve düşünüyor, Adobe ne anlama geliyor? Birçoğumuz Adobe Reader'ı indiren çoğumuz, çoğumuz Adobe ürünlerini kredi kartı ile aldık, bu 152 milyon kişidir.
Daha önce Robin'in noktasına gelince, bunlar çok büyük rakamlar, onlar tarafından bunalmak kolaydır. İhlal edilmiş 359 milyon hesabınız olduğunda ne olur? Birkaç şey var. Robin, verilerin her zaman bir şekilde bir veritabanında olduğunu vurguladı. Buradaki kritik mesaj. Bu gezegende hemen hemen hiç kimse, bildiğim, herhangi bir biçimde bir sistem çalıştıran, onu bir veritabanında saklamıyor. Ancak ilginç olan, bu veritabanında üç farklı veri türü olmasıdır. Genellikle şifrelenmiş kullanıcı adları ve şifreler gibi güvenlikle ilgili şeyler vardır, ancak değişmeyen yerlerde pek çok örnek vardır. Profilleri ve oluşturdukları veriler hakkında, ister sağlık kaydı olsun ister e-posta veya anlık mesaj olsun, gerçek müşteri bilgileri vardır. Ve sonra gerçek gömülü mantık var, bu yüzden bu prosedürler saklanabilir, eğer + this + then + that ise, bir dizi kural olabilir. Ve değişmez bir şekilde bu sadece veritabanında sıkışmış ASCII metni, çok az insan orada oturup şöyle düşünüyor: “Eh, bunlar iş kuralları, verilerimiz bu şekilde hareket ettiriliyor ve kontrol ediliyor, dinlenirken ve içeride olduğunda bunu potansiyel olarak şifrelemeliyiz hareket belki de şifresini çözer ve onu hafızada tutarız, ama ideal olarak muhtemelen de öyle olmalıdır.
Ancak bu anahtar noktaya geri dönüyoruz ki, tüm bu veriler bir çeşit veritabanındadır ve daha çok odak noktası, sadece tarihsel olarak, yönlendiriciler ve anahtarlar ve sunucular ve hatta depolama üzerinedir ve her zaman veritabanında değil arka uç. Çünkü ağın kenarına sahip olduğumuzu düşünüyoruz ve tipik bir eski, bir çeşit, bir kalede yaşıyoruz ve etrafına bir hendek koyuyorsunuz ve umarım kötü adamlar yüzebilme. Ama sonra aniden kötü adamlar nasıl genişletilmiş merdivenler yapılacağını ve hendek üzerine atıp hendek üzerine tırmanıp duvarlara tırmanmayı öğrendiler. Ve aniden hendek neredeyse işe yaramaz.
Şimdi organizasyonların süratle yakalama modunda oldukları senaryodayız. Benim görüşüme göre tam anlamıyla tüm sistemlere yayılıyorlar ve kesinlikle benim deneyimim, bu nedenle, her zaman sadece bu web tek boynuzlu atları değil, sık sık atıfta bulunduğumuz gibi, genellikle ihlal edilen geleneksel kurumsal organizasyonlardan daha fazla değildir. Ve kim olduklarını bulmak için çok fazla hayal gücünüz olması gerekmez. Pastebin.net adlı bir web sitesi var ve pastebin.net'e giderseniz ve e-posta listesi veya şifre listesine girerseniz, kullanıcıların örnek veri kümelerini listelediği günde eklenmiş olan yüz binlerce girişle karşılaşacaksınız. Bu arada bin ad, soyadı, kredi kartı bilgileri, kullanıcı adı, şifre, şifresi çözülmüş şifreler kadar kayıt. İnsanlar bu listeyi alabilir, gidebilir ve üç veya dördünü doğrulayabilir ve bu listeyi satın almak istediğime karar verebilir ve genellikle verileri satan kişiye bir tür anonim ağ geçidi sağlayan bir mekanizma şekli vardır.
Şimdi ilginç olan şey, iştirak girişimcisinin bunu yapabileceğini anladıktan sonra, bu listelerden birini satın almak için 1.000 ABD doları harcarsanız, onunla ilk yaptığınız şeyin ne olduğunu anlamak çok fazla hayal gücü gerektirmez. Gidip hesapları izlemeye çalışmıyorsunuz, bunun bir kopyasını pastbin.net'e geri koyuyorsunuz ve her biri 1.000 dolar karşılığında iki kopya satıyorsunuz ve 1.000 dolar kazanıyorsunuz. Ve bunlar bunu yapan çocuklar. Dünyada bunu yaşamak için yapan son derece büyük profesyonel kuruluşlar var. Başka devletlere saldıran devletler bile var. Bilirsiniz, Amerika Çin'e saldıran Çin, Amerika'ya saldıran Çin hakkında çok fazla konuşma var, bu o kadar basit değil, ama kesinlikle veritabanları tarafından desteklenen sistemleri ihlal eden hükümet kuruluşları var. Bu sadece küçük organizasyonlar için değil, ülkeler ve ülkeler. Bizi bu konuya geri getiriyor, veriler nerede saklanıyor? Bir veritabanında. Orada hangi kontroller ve mekanizmalar var? Veya her zaman şifrelenmezler ve şifrelenmişlerse, her zaman tüm veriler değildir, belki sadece tuzlanmış ve şifrelenmiş paroladır.
Ve bunun çevresinde, bu verilerde neler olduğu ve verilere ve SOX uyumluluğuna nasıl erişim sağladığımız konusunda çeşitli zorluklar var. Eğer servet yönetimi veya bankacılık düşünürseniz, kimlik bilgisi zorluğu hakkında endişelenen organizasyonlarınız var; kurumsal alanda uyumluluk konusunda endişelenen organizasyonlarınız var; hükümet uyumluluğuna ve yasal gereksinimlere sahipsiniz; artık şirket içi veritabanlarımızın olduğu senaryolarınız var; üçüncü taraf veri merkezlerinde veritabanlarımız var; bulut ortamlarında oturan veritabanlarımız var, bu nedenle bulut ortamları her zaman ülkede değil. Ve bu daha büyük bir meydan okuma haline geliyor, sadece saf güvenlik hack edilemez bakış açısından değil, aynı zamanda tüm farklı uyum seviyelerini nasıl karşılarız? Sadece HIPAA ve ISO standartları değil, aynı zamanda devlet düzeyinde, ulusal düzeyde ve küresel düzeyde sınırları aşan düzinelerce ve onlarca ve düzinelerce var. Avustralya ile iş yapıyorsanız, hükümet verilerini taşıyamazsınız. Herhangi bir Avustralya özel verisi ulustan ayrılamaz. Almanya'daysanız daha da katıdır. Ve Amerika'nın çeşitli nedenlerle bu konuya çok hızlı bir şekilde geçtiğini biliyorum.
Ama beni tekrar veri tabanınızda neler olduğunu, nasıl izlediğinizi, veritabanında kimin ne yaptığını, çeşitli tabloların, satırların, sütunların ve alanların görüntülerinin kim olduğunu nasıl anlarsınız?, ne zaman okuyorlar, ne sıklıkla okuyorlar ve kim izliyor? Ve bugün beni bu sorunu nasıl çözdüğümüz hakkında konuşmamıza yardımcı olacak konuğumuza teslim etmeden önce son noktama getiriyor. Ama bizi bu düşünce ile bırakmak istiyorum ve yani odak noktası işin maliyeti ve organizasyonun maliyeti. Ve bugün bu noktayı ayrıntılı olarak ele almayacağız, ama sadece düşünmek için zihnimizde bırakmak istiyorum ve bu bir ihlalden sonra temizlemek için kayıt başına kabaca 135 ABD Doları ile 585 ABD Doları arasında bir tahmin var. Yani, yönlendiriciler, anahtarlar ve sunucular etrafında güvenliğinize yaptığınız yatırım iyi ve iyi ve güvenlik duvarlarıdır, ancak veritabanı güvenliğinize ne kadar yatırım yaptınız?
Ama bu sahte bir ekonomi ve Yahoo'nun ihlali son zamanlarda gerçekleştiğinde ve iyi bir otoriteye sahip olduğumda, yaklaşık 500 milyon değil, bir milyar hesap. Verizon, kuruluşu 4, 3 milyar gibi bir şey için satın aldığında, ihlal gerçekleştiği anda bir milyar dolar geri veya indirim istediler. Şimdi matematiği yaparsanız ve kabaca bir milyar kayıt ihlal edildiğini söylerseniz, bir milyar dolarlık indirim, bir kaydı temizlemek için 135 ila 535 dolarlık tahmin şimdi 1 dolar olur. Bu yine saçma. Bir milyar kaydı temizlemek 1 dolara mal olmaz. Bu büyüklükteki bir ihlale karşı milyarlarca kayıt temizlemek için kayıt başına 1 dolar. Bu tür bir maliyet için bir basın açıklaması bile yapamazsınız. Ve böylece her zaman iç zorluklara odaklanıyoruz.
Ama bence, ve bunu veritabanı düzeyinde çok ciddiye almamız bizi yaratıyor, bu yüzden bu bizim hakkında konuşmak için çok çok önemli bir konu ve bu yüzden insan hakkında asla konuşmuyoruz Geçiş ücreti. Buna katlandığımız insan parası nedir? Ve çabucak bitirmeden önce bir örnek alacağım. LinkedIn: 2012 yılında LinkedIn sistemi hacklendi. Bir dizi vektör vardı ve buna girmeyeceğim. Ve yüz milyonlarca hesap çalındı. İnsanlar 160 tuhaf milyon diyor, ama aslında çok daha büyük bir rakam, yaklaşık 240 milyon kadar olabilir. Ancak bu ihlal bu yılın başlarına kadar açıklanmadı. Dört yıl boyunca yüz milyonlarca insanın kayıtları orada. Şimdi, kredi kartıyla hizmet için para ödeyen bazı kişiler ve ücretsiz hesaplarla bazı kişiler vardı. Ancak LinkedIn ilginçtir, çünkü ihlal edildiğinde hesap bilgilerinize erişmekle kalmadılar, aynı zamanda tüm profil bilgilerinize de erişebildiler. Böylece, kiminle bağlantı kurduğunuz ve sahip olduğunuz tüm bağlantılar, sahip oldukları iş türleri ve sahip oldukları beceri türleri ve şirketlerde ne kadar süre çalıştıkları ve bu tür bilgiler ve iletişim bilgileri.
Bu nedenle, bu veritabanlarındaki verilerin güvenliğini sağlamada ve veritabanı sistemlerinin kendilerinin güvenliğini ve yönetimini ve etki akışını düşünün; bu verilerin insani ücreti dört yıldır var. Ve birisinin Güneydoğu Asya'da bir yerde bir tatil için gelme olasılığı ve verilerini dört yıldır orada bulundurma olasılığı. Ve birisi kredi kartıyla bir araba satın almış veya ev kredisi almış veya on yıl boyunca on telefon satın almış olabilir, burada dört yıldır orada olan veriler üzerinde sahte bir kimlik oluşturmuş olabilirler, çünkü LinkedIn verileri bile size yeterince bilgi vermiştir. bir banka hesabı ve sahte bir kimlik oluşturun - ve uçağa binin, bir tatile gidiyorsunuz, iniyorsunuz ve hapse atıyorsunuz. Ve neden hapse atılıyorsun? Çünkü kimliğini çaldın. Birisi sahte bir kimlik yarattı ve senin ve yüz binlerce dolar gibi davrandı ve bunu dört yıl boyunca yapıyorlardı ve sen bile bilmiyordun. Çünkü orada, sadece oldu.
Bu yüzden bizi veritabanlarımızda neler olduğunu nasıl bildiğimizi, nasıl izlediğimizi, nasıl izlediğimizi gösteren bu temel zorluğa getiriyor. Ve IDERA'daki arkadaşlarımızın bunu çözmek için nasıl bir çözüm bulduğunu duymak için sabırsızlanıyorum. Ve bununla birlikte teslim edeceğim.
Eric Kavanagh: Pekala Ignacio, zemin senin.
Ignacio Rodriguez: Tamam. Herkese hoşgeldin. Benim adım Ignacio Rodriguez, daha çok Iggy olarak bilinir. IDERA ve güvenlik ürünleri için ürün müdürüyüm. Az önce ele aldığımız gerçekten iyi konular ve veri ihlalleri konusunda endişelenmemiz gerekiyor. Güvenlik politikalarını sağlamlaştırmalıyız, güvenlik açıklarını tanımlamalı ve güvenlik seviyelerini değerlendirmeli, kullanıcı izinlerini kontrol etmeli, sunucu güvenliğini kontrol etmeli ve denetimlere uymalıyız. Geçmiş tarihimde çoğunlukla Oracle tarafında denetim yapıyorum. SQL Server'da bazılarını yaptım ve bunları harika araçlarla ya da temel olarak kendi oluşturduğunuz komut dosyalarıyla yapıyordum, ancak bir havuz oluşturmalı ve havuzun güvenli olduğundan emin olmalısınız, sürekli olarak denetçilerin değişiklikleriyle komut dosyalarını korumak zorundasınız, neyin var.
Yani, araçlarda, IDERA'nın orada olduğunu ve bir araca sahip olduğunu bilseydim, muhtemelen satın almış olurdum. Ama nasılsa, Secure hakkında konuşacağız. Güvenlik ürün serimizdeki ürünlerimizden biri ve temel olarak yaptığı şey, güvenlik politikalarına bakmak ve bunları düzenleyici yönergelere eşlemektir. SQL Server ayarlarının tam geçmişini görüntüleyebilir ve temel olarak bu ayarların temelini yapabilir ve daha sonra gelecekteki değişikliklerle karşılaştırabilirsiniz. Ayarlarınızın temelini oluşturan bir anlık görüntü oluşturabilir ve ardından bunlardan herhangi birinin değiştirilip değiştirilmediğini izleyebilir ve değiştirildiklerinde uyarı alabilirsiniz.
İyi yaptığımız şeylerden biri güvenlik riskini ve ihlalleri önlemektir. Güvenlik raporu kartı, sunuculardaki en yüksek güvenlik açıklarını görüntüler ve ardından her güvenlik kontrolü yüksek, orta veya düşük risk olarak kategorize edilir. Şimdi, bu kategorilerde veya güvenlik kontrollerinde, tüm bunlar değiştirilebilir. Diyelim ki bazı denetimleriniz varsa ve sahip olduğumuz şablonlardan birini kullanıyorsanız ve karar verdiğinizde, denetimlerimiz bu güvenlik açığının gerçekten yüksek değil, orta veya tam tersi olduğunu belirtir veya belirtir. Orta olarak etiketlenmiş bazılarınız olabilir, ancak kuruluşunuzda bunları etiketlemek istediğiniz denetimler olabilir veya bunları yüksek olarak kabul edin, tüm bu ayarlar kullanıcı tarafından yapılandırılabilir.
Bakmamız gereken diğer bir kritik sorun da güvenlik açıklarını tespit etmektir. Kimin neye erişebileceğini anlamak ve kullanıcının tüm SQL Server nesneleri üzerindeki etkin haklarını tanımlamak. Araç ile tüm SQL Server nesnelerindeki haklara bakacağız ve yakında bunun bir ekran görüntüsünü göreceğiz. Ayrıca kullanıcı, grup ve rol izinlerini de raporlar ve analiz ederiz. Diğer özelliklerden biri de ayrıntılı güvenlik riski raporları sunmamızdır. Hazır raporlarımız var ve rapor türlerini oluşturmanız ve denetçilerin, güvenlik görevlilerinin ve yöneticilerin ihtiyaç duyduğu verileri görüntülemeniz için esnek parametreler içeriyor.
Daha önce de belirttiğim gibi, zaman içinde güvenlik, risk ve yapılandırma değişikliklerini karşılaştırabiliriz. Ve bunlar anlık görüntülerle. Ve bu anlık görüntüler istediğiniz kadar yapılandırılabilir - aylık, üç aylık, yıllık - bu araç içinde zamanlanabilir. Ve yine, neyin değiştiğini ve neyin güzel olduğunu görmek için karşılaştırmalar yapabilirsiniz. Bir ihlalin olması durumunda, düzeltildikten sonra bir anlık görüntü oluşturabilir, bir karşılaştırma yapabilir ve yüksek seviyeli olduğunu görürsünüz. önceki anlık görüntü ve daha sonra rapor ile ilişkili risk, aslında bir sorun olmadığını düzeltildikten sonra sonraki anlık görüntüde görürsünüz. Denetçiye verebileceğiniz iyi bir denetim aracı, denetçilere verebileceğiniz ve “Bakın, bu riski yaşadık, hafiflettik ve şimdi artık bir risk değil” diyebileceğiniz bir rapor. bir yapılandırma değiştiğinde ve yeni bir risk oluşturan bir yapılandırma değiştirildiğinde ve algılanırsa, bu durumdan da haberdar edeceğiniz anlık görüntülerle belirtilir.
SQL Server Architecture ile Secure hakkında bazı sorular alıyoruz ve burada “Toplama Hizmeti” yazan slaytta bir düzeltme yapmak istiyorum. Herhangi bir hizmetimiz yok, “Yönetim ve Toplama Sunucusu” olmalıdır. ”Konsolumuza ve daha sonra Yönetim ve Toplama Sunucumuza sahibiz ve kaydedilmiş veritabanlarına gidip verileri işlerle toplayacak aracısız bir yakalamamız var. Bir SQL Server Depomuz var ve raporları planlamak ve özel raporlar oluşturmak için SQL Server Raporlama Servisleri ile birlikte çalışıyoruz. Şimdi bir Güvenlik Rapor Kartında, SQL Secure başlatıldığında ilk göreceğiniz ekran budur. Hangi kritik öğeleri tespit ettiğini kolayca göreceksiniz. Ve yine, yükseklere, ortamlara ve düşüklere sahibiz. Ayrıca, belirli güvenlik denetimleriyle ilgili politikalarımız da var. Bir HIPAA şablonumuz var; IDERA Güvenlik Seviye 1, 2 ve 3 şablonlarımız var; PCI yönergelerimiz var. Bunların hepsi kullanabileceğiniz şablonlardır ve yine kendi kontrollerinize dayanarak kendi şablonunuzu oluşturabilirsiniz. Ve yine, değiştirilebilirler. Kendinizinkini oluşturabilirsiniz. Mevcut şablonlardan herhangi biri temel olarak kullanılabilir, daha sonra bunları istediğiniz gibi değiştirebilirsiniz.
Yapılacak güzel şeylerden biri kimin izinleri olduğunu görmektir. Ve bu ekran ile burada SQL Server girişlerinin kuruluşta ne olduğunu görebileceğiz ve tüm atanmış ve etkili hakları ve izinleri nesne düzeyinde sunucu veritabanında görebileceksiniz. Bunu burada yapıyoruz. Veritabanlarını veya sunucuları yeniden seçebilir ve ardından SQL Server izinlerinin raporunu alabilirsiniz. Kimin neye neye erişimi olduğunu görebiliyor. Başka bir güzel özellik de güvenlik ayarlarını karşılaştırabilmenizdir. Kuruluşunuz genelinde ayarlanması gereken standart ayarlarınız olduğunu varsayalım. Daha sonra, tüm sunucularınızın karşılaştırmasını yapabilir ve kuruluşunuzdaki diğer sunucularda hangi ayarların yapıldığını görebilirsiniz.
Yine, politika şablonları, bunlar sahip olduğumuz bazı şablonlardır. Temel olarak, yine, bunlardan birini kullanın, kendinizinkini oluşturun. Burada görüldüğü gibi kendi politikanızı oluşturabilirsiniz. Şablonlardan birini kullanın ve bunları gerektiği gibi değiştirebilirsiniz. Ayrıca SQL Server Etkili Haklarını da görebiliriz. Bu, izinlerin kullanıcılar ve roller için doğru ayarlandığını doğrular ve kanıtlar. Yine, oraya gidip kullanıcılar ve roller için iznin doğru ayarlandığını görebilir ve doğrulayabilirsiniz. Daha sonra SQL Server Nesne Erişim Hakları ile SQL Server nesne ağacına sunucu düzeyinde aşağıdan nesne düzeyinde rollere ve uç noktalara göz atabilir ve analiz edebilirsiniz. Ayrıca, atanan ve etkin devralınan izinleri ve güvenlikle ilgili özellikleri nesne düzeyinde anında görüntüleyebilirsiniz. Bu, veritabanı nesnelerinizdeki ve bunlara erişimi olan erişimlerin iyi bir görünümünü sağlar.
Yine, sahip olduğumuz raporlarımız var. Bunlar hazır raporlar, raporlamanızı yapmak için seçebileceğiniz birkaç tane var. Bunların çoğu özelleştirilebilir veya müşteri raporlarınızı alabilir ve bunu raporlama hizmetleriyle birlikte kullanabilir ve oradan kendi özel raporlarınızı oluşturabilirsiniz. Şimdi Anlık Görüntü Karşılaştırmaları, bu oldukça güzel bir özellik, sanırım, oraya gidebilir ve çektiğiniz anlık görüntülerin bir karşılaştırmasını yapabilir ve sayıda herhangi bir fark olup olmadığını görmek için bakabilirsiniz. Eklenen herhangi bir nesne var mı, değişen izinler var mı, farklı anlık görüntüler arasında hangi değişikliklerin yapıldığını görebildiğimiz herhangi bir şey var mı? Bazı insanlar bunlara aylık olarak bakacaklar - aylık bir anlık görüntü yapacaklar ve daha sonra her şeyin değişip değişmediğini görmek için her ay bir karşılaştırma yapacaklar. Ve değiştirilmesi gereken hiçbir şey yoksa, değişiklik kontrol toplantılarına giden her şey varsa ve bazı izinlerin değiştiğini görürseniz, ne olduğunu görmek için geri dönebilirsiniz. Bu, anlık görüntüde denetlenen her şeyin karşılaştırmasını yapabileceğiniz oldukça hoş bir özellik.
Sonra Değerlendirme Karşılaştırma. Bu, oraya gidip değerlendirmelere bakıp sonra bir karşılaştırma yapabileceğiniz ve burada karşılaştırmanın yaptığım bu son anlık görüntüde devre dışı bırakılmamış bir SA hesabına sahip olduğunu fark edebileceğiniz başka bir güzel özellik. şimdi düzeltildi. Bu, gösterebileceğimiz oldukça güzel bir şey, tamam, biraz risk aldık, araç tarafından tanımlandılar ve şimdi bu riskleri azalttık. Ve yine, bu, denetçilere aslında bu risklerin azaltıldığını ve halledildiğini göstermek için iyi bir rapordur.
Özet olarak, veritabanı güvenliği kritik öneme sahiptir ve bence çoğu zaman dış kaynaklardan gelen ihlallere bakıyoruz ve bazen iç ihlallere çok fazla dikkat etmiyoruz ve bu bizim yaptığımız şeylerden bazıları dikkat etmelisin. Güvenli, atanmasına gerek olmayan bir ayrıcalık olmadığından emin olmak için orada size yardımcı olacaktır, bilirsiniz, tüm bu güvenliğin hesaplara doğru ayarlandığından emin olun. SA hesaplarınızın şifreleri olduğundan emin olun. Ayrıca şifreleme anahtarlarınız dışa aktarıldıkları kadar kontrol eder mi? Kontrol ettiğimiz birçok farklı şey var ve bir sorun olup olmadığı ve hangi düzeyde olduğu konusunda sizi uyaracağız. Bir araca ihtiyacımız var, birçok profesyonel veritabanı erişim izinlerini yönetmek ve izlemek için araçlara ihtiyaç duyuyor ve aslında veritabanı izinlerini kontrol etmek ve erişim etkinliklerini izlemek ve ihlal riskini azaltmak için kapsamlı bir yetenek sağlamaya çalışıyoruz.
Güvenlik ürünlerimizin bir başka kısmı da ele alınan bir WebEx olması ve daha önce bahsettiğimiz sunumun bir kısmının veri olmasıydı. Kimin neye, neye sahip olduğunu biliyorsunuz ve bu SQL Uyumluluk Yöneticisi aracımız. Ve bu araçta kaydedilmiş bir WebEx var ve bu aslında kimin hangi tablolara, hangi sütunlara eriştiğini izlemenize izin verecek, doğum tarihi, hasta bilgileri, bu tür tablolar gibi hassas sütunlara sahip tabloları tanımlayabilirsiniz. aslında bu bilgilere kimin eriştiğini ve erişilip erişilmediğini görün.
Eric Kavanagh: Pekala, burada sorulara girelim. Belki, Dez, önce sana atacağım ve Robin, olabildiğince içeri gir.
Dez Blanchfield: Evet, 2. ve 3. slayttan bir soru sormak için sabırsızlanıyorum . Bu araç için gördüğünüz tipik kullanım durumu nedir? Bunu benimseyen ve oyuna sokan, gördüğünüz en yaygın kullanıcı türleri kimlerdir? Ve bunun arkasında, tipik, bir tür kullanım örneği modeli, bunlar nasıl gidiyor? Nasıl uygulanıyor?
Ignacio Rodriguez: Tamam, sahip olduğumuz tipik kullanım örneği, veritabanı için erişim kontrolü sorumluluğu atanmış, tüm izinlerin olması gereken şekilde ayarlandığından ve daha sonra takip ettiklerinden ve standartlarından emin olan DBA'lar yerinde. Bu belirli kullanıcı hesaplarının yalnızca bu belirli tablolara vb. Erişimleri olabilir. Ve bununla yaptıkları şey, bu standartların belirlenmiş olduğundan ve bu standartların zaman içinde değişmediğinden emin olmaktır. Ve bu, insanların kullandığı büyük şeylerden biri, bilinmeyen herhangi bir değişiklik yapılıp yapılmadığını izlemek ve tanımlamaktır.
Dez Blanchfield: Çünkü onlar korkutucu olanlar, değil mi? Diyelim ki, bir strateji belgesine sahip olabilirsiniz, bunun altında yatan politikalar var, bunun altında uyum ve yönetişim var ve politikaları takip ederseniz, yönetişime bağlı kalırsınız ve yeşil bir ışık alır ve sonra aniden bir ay sonra bir kişi bir değişiklik yapar ve bir nedenle aynı değişiklik inceleme kurulu veya değişiklik sürecinden geçmez, ya da her ne olursa olsun, ya da proje devam eder ve kimse bilmez.
Paylaşabileceğiniz herhangi bir örneğiniz var mı - ve biliyorum ki, her zaman paylaştığınız bir şey değil, çünkü müşteriler biraz endişe duyuyor, bu yüzden mutlaka isimleri adlandırmamız gerekmiyor - ama bize nerede olduğunuzu gösteren bir örnek verin aslında bunu görmüş olabilirsiniz, bilirsiniz, bir kuruluş bunu fark etmeden yerine koydu ve sadece bir şey buldular ve fark ettiler, “Vay be, on kat değerinde idi, sadece fark etmediğimiz bir şey bulduk.” insanların bunu uyguladıkları ve daha sonra kendilerinin fark etmedikleri daha büyük bir sorun veya gerçek bir sorun yaşadıklarını keşfettikleri ve sonra Noel kartı listesine hemen eklendiniz mi?
Ignacio Rodriguez: Sanırım gördüğümüz veya bildirmiş olduğumuz en büyük şey, birisinin erişimine kadar bahsettiğim şey. Geliştiriciler var ve aracı uyguladıklarında, bu geliştiricilerin X miktarının veritabanına çok fazla erişimi olduğunu ve belirli nesnelere erişimi olduğunu gerçekten fark etmediler. Ve başka bir şey salt okunur hesaplar. Bu salt okunur hesapların gerçekte, veri ekleme ve silme ayrıcalıklarına sahip olduğunu öğrenmek için sahip oldukları bazı salt okunur hesaplar vardı. Bu noktada kullanıcılara bazı faydalar gördük. İnsanların sevdiğini duyduğumuz en büyük şey, değişiklikleri tekrar izleyebiliyor ve hiçbir şeyin onları kör etmediğinden emin olabiliyor.
Dez Blanchfield: Robin'in vurguladığı gibi, insanların sık sık düşünmediği senaryolarınız var değil mi? İleriye baktığımızda, bir tür düşünüyoruz, biliyorsunuz, her şeyi kurallara göre yaparsak ve bulurum ve eminim de görüyorsunuz - bana katılmıyorsanız, söyleyin - kuruluşlar odaklanıyor strateji ve politika ile uyum ve yönetişim ve KPI'ların geliştirilmesi ve raporlanması üzerine yoğun bir şekilde, bu konuda sıklıkla sabitlendiklerini, aykırı değerleri düşünmezler. Ve Robin'in ondan çalacağım gerçekten harika bir örneği vardı - özür dilerim Robin - ama örnek, veritabanının canlı bir kopyasının, anlık görüntüsünün ve geliştirme testine girdiği diğer zamandı, değil mi? Geliştirme yapıyoruz, testler yapıyoruz, UAT yapıyoruz, sistem entegrasyonu yapıyoruz, tüm bu tür şeyler ve sonra bir sürü uyumluluk testi yapıyoruz. Genellikle dev testi, UAT, SIT üzerinde aslında tüm bunların sağlıklı ve güvenli olduğundan emin olduğumuz bir uyumluluk bileşeni vardır, ancak herkes bunu yapmaz. Robin'in veritabanının canlı bir kopyasının bir kopyasıyla birlikte verdiği bu örnek, hala canlı verilerle çalışıp çalışmadığını görmek için geliştirme ortamıyla test edilir. Çok az şirket arkanıza yaslanıp “Bu bile oluyor mu yoksa mümkün mü?” Diye düşünüyor. Her zaman üretim malzemelerine bağlılar. Uygulama yolculuğu neye benziyor? Günler, haftalar, aylar hakkında mı konuşuyoruz? Ortalama büyüklükteki bir kuruluş için düzenli dağıtım nasıl görünür?
Ignacio Rodriguez: Günler. Günler bile değil, yani, sadece birkaç gün. Az önce çok sayıda sunucu kaydedebileceğimiz bir özellik ekledik. Araçta oraya gitmek ve 150 sunucunuz olduğunu söylemek yerine, oraya tek tek girmek ve sunucuları kaydetmek zorundasınız - şimdi bunu yapmak zorunda değilsiniz. Oluşturduğunuz bir CSV dosyası var ve dosyayı otomatik olarak kaldırıyoruz ve güvenlik endişeleri nedeniyle orada tutmuyoruz. Ama bu dikkate almamız gereken başka bir şey, orada kullanıcı adı / şifre ile bir CSV dosyası olacak.
Yaptığımız şey otomatik olarak, tekrar sildiğimizdir, ancak bu bir seçeneğinizdir. Bireysel olarak oraya gitmek ve kayıt olmak ve bu riski almak istemiyorsanız, bunu yapabilirsiniz. Ancak bir CSV dosyası kullanmak istiyorsanız, güvenli bir yere koyun, uygulamayı o konuma yönlendirin, o CSV dosyasını çalıştırır ve bittikten sonra otomatik olarak silinecek şekilde ayarlanır. Ve gidip dosyanın kaldırıldığından emin olun ve kontrol edin. Uygulamada sahip olduğumuz kumdaki en uzun kutup gerçek sunucuların kaydıydı.
Dez Blanchfield: Tamam. Şimdi raporlardan bahsettiniz. Biraz daha ayrıntı verebilir ve önceden rapor edilenler hakkında bilgi verebilir misiniz, sanırım, orada olanlara bakmanın ve onun hakkında raporlamanın, ulusun mevcut durumunun, önceden gelenlerin keşif bileşeni mevcut uyumluluk ve güvenlik durumu hakkında raporlara kadar yapılmış ve önceden pişirilmiş ve daha sonra ne kadar kolay genişletilebilir? Bunları nasıl geliştirebiliriz?
Ignacio Rodriguez: Tamam. Elimizdeki raporlardan bazıları, sunucular arası, giriş kontrolleri, veri toplama filtreleri, faaliyet geçmişi ve daha sonra risk değerlendirme raporlarıyla ilgili raporlarımız var. Ve ayrıca herhangi bir şüpheli Windows hesabı. Burada çok, çok var. Şüpheli SQL oturum açma bilgileri, sunucu oturum açma bilgileri ve kullanıcı eşleme, kullanıcı izinleri, tüm kullanıcı izinleri, sunucu rolleri, veritabanı rolleri, sahip olduğumuz güvenlik açığı veya karışık mod kimlik doğrulama raporları, konuk etkinleştirme veritabanları, XPS'ler aracılığıyla işletim sistemi güvenlik açığı, genişletilmiş prosedürler, ve savunmasız sabit roller. Bunlar sahip olduğumuz raporlardan bazıları.
Dez Blanchfield: Ve bunların yeterince önemli olduklarından ve birçoğundan bahsettiniz, bu mantıklı bir şey. Özelleştirmek benim için ne kadar kolay? Bir rapor çalıştırırsam ve bu büyük büyük grafiği alırsam, ancak gerçekten ilgilenmediğim bazı parçaları çıkarmak ve birkaç başka özellik eklemek isterseniz, bir rapor yazarı var mı, bir çeşit arayüz var mı ve sıfırdan başka bir rapor yapılandırmak ve uyarlamak ve hatta potansiyel olarak oluşturmak için araç?
Ignacio Rodriguez: Daha sonra kullanıcıları bunu yapmak için Microsoft SQL Rapor Hizmetlerini kullanmaya yönlendireceğiz ve raporlardan bazılarını alacak, istedikleri zaman özelleştirecek ve planlayacak birçok müşterimiz var. Bu adamlardan bazıları bu raporları aylık veya haftalık olarak görmek istiyor ve sahip olduğumuz bilgileri alacak, Raporlama Hizmetlerine taşıyacak ve daha sonra oradan yapacaklar. Aracımızla entegre bir rapor yazarımız yok, ancak Raporlama Hizmetlerinden yararlanıyoruz.
Dez Blanchfield: Bence bu, bu araçlarla ilgili en büyük zorluklardan biri. Oraya girip bir şeyler bulabilirsin, ama sonra onu dışarı çekebilmen, mutlaka DBA ve sistem mühendisi olmayan insanlara bildirebilmen gerekiyor. Deneyimlerimde ortaya çıkan ilginç bir rol var, yani, bilirsiniz, risk görevlileri her zaman kuruluşlarda olmuştur ve ağırlıklı olarak etrafta bulundukları ve son zamanlarda gördüğümüz tamamen farklı bir risk yelpazesi iken, şimdi verilerle ihlaller sadece bir şey değil, gerçek bir tsunamiye dönüşür, CRO, bildiğiniz gibi, İK ve uyumluluktan iş sağlığı ve güvenliği tipi siber riske odaklanmıştır. Bilirsiniz, ihlal, korsanlık, güvenlik - çok daha teknik. Ve ilginç hale geliyor çünkü teknik bir soyağacından değil, bir MBA soyağacından gelen birçok CRO var. CRO vb. Ancak istedikleri en büyük şey görünürlük raporlaması.
Mevzuata uyum konusunda bize bir şey söyleyebilir misiniz? Açıkçası bunun en güçlü yanlarından biri neler olup bittiğini görebilmeniz, izleyebilmeniz, öğrenebilmeniz, raporlayabilmeniz, buna tepki verebilmeniz, hatta bazı şeyleri bile öngörebilmenizdir. Kapsamlı zorluk yönetişim uyumudur. Bunun kasıtlı olarak mevcut uyumluluk gerekliliklerine veya PCI gibi endüstri uyumluluğuna veya şu anda buna benzer bir şeye bağlanan önemli parçaları var mı, yoksa yol haritasından çıkan bir şey mi? COBIT, ITIL ve ISO standartlarının çerçevesi içine uygun mu? Bu aracı dağıtırsak, bize bu çerçevelere uyan bir dizi kontrol ve denge veriyor mu yoksa bu çerçevelere nasıl inşa ederiz? Bu tür şeyleri göz önünde bulunduran konum nerede?
Ignacio Rodriguez: Evet, araçla birlikte teslim ettiğimiz şablonlar var. Ve yine şablonlarımızı yeniden değerlendirdiğimiz noktaya geliyoruz ve ekleyeceğiz ve yakında daha fazlası olacak. FISMA, FINRA, sahip olduğumuz bazı ek şablonlar ve genellikle şablonları inceleriz ve nelerin değiştiğini görmek isteriz, ne eklememiz gerekir? Ve aslında, güvenlik gereksinimlerinin biraz değiştiği noktaya gelmek istiyoruz, bu yüzden bunu anında genişletilebilir hale getirmenin bir yolunu arıyoruz. Bu gelecekte bakacağımız bir şey.
Ama şu anda belki şablonlar oluşturmaya ve şablonları bir web sitesinden alabilmeye bakıyoruz; onları indirebilirsiniz. İşte bu şekilde ele alıyoruz - bunları şablonlarla ele alıyoruz ve gelecekte bunu kolayca genişletilebilir ve hızlı hale getirmenin yollarını arıyoruz. Çünkü eskiden denetim yaparken, bilirsiniz, işler değişir. Bir denetçi bir ay gelir ve ertesi ay farklı bir şey görmek ister. O zaman bu araçlarla ilgili zorluklardan biri, bu değişiklikleri yapabilmek ve ihtiyacınız olanı elde edebilmek ve bu, bir şekilde, ulaşmak istediğimiz yer.
Dez Blanchfield: Bir denetçinin zorluğunun, dünyanın daha hızlı hareket etmesi gerçeği ışığında düzenli olarak değiştiğini düşünüyorum. Bir zamanlar bir denetim bakış açısından gereklilik, benim tecrübelerime göre, sadece saf ticari uygunluk olurdu ve daha sonra teknik uyum haline geldi ve şimdi operasyonel uyumluluk oldu. Ve bunların hepsi de var, bilirsiniz, her gün birileri ortaya çıkıyor ve sizi sadece ISO 9006 ve 9002 işlemi gibi bir şeyle ölçmüyorlar, her türlü şeye bakıyorlar. Şimdi görüyorum ki 38.000 serisi ISO'da da büyük bir şey haline geliyor. Bunun daha da zorlaşacağını hayal ediyorum. Robin'e teslim olmak üzereyim çünkü bant genişliğini dolaşıyorum.
Bunu gördüğünüz için çok teşekkür ederim ve bunu tanımak için kesinlikle daha fazla zaman harcayacağım çünkü aslında bunun bu kadar derin olduğunu fark etmedim. Teşekkürler Ignacio, şimdi Robin'e gideceğim. Harika bir sunum, teşekkürler. Robin, karşınızda.
Robin Bloor: Tamam Iggy, sana Iggy diyeceğim, eğer sorun olmazsa. Beni şaşırtan şey, ve sanırım Dez'in sunumunda söylediği bazı şeylerin ışığında, insanların gerçekten verilere bakmadığını söylemek zorunda olduğunuz çok şey var. Biliyorsunuz, özellikle de buzdağının sadece bir kısmını gördüğünüzde ve muhtemelen kimsenin rapor etmediği çok şey olduğunda. Farkında olduğunuz müşterilerin veya farkında olduğunuz potansiyel müşterilerin kaç tanesiyle, yalnızca bununla değil, sunduğunuz koruma düzeyine sahip olduğuyla ilgili bakış açınızla ilgileniyorum. aynı zamanda veri erişim teknolojiniz? Demek istediğim, kim tehditle başa çıkmak için uygun donanıma sahip?
Ignacio Rodriguez: Kim düzgün donanımlı? Yani, gerçekten herhangi bir denetime hitap etmediğimiz birçok müşteri, biliyorsunuz. Bazıları vardı, ama büyük şey ona ayak uydurmaya çalışmak ve onu korumak ve emin olmak. Gördüğümüz en büyük sorun - ve uygunluğu yaparken bile benim - senaryolarınızı çalıştırırsanız, denetçilerin geleceği ve bir sorun bulduğunuz her çeyrekte bir yaparsınız. Bil bakalım ne oldu, zaten çok geç, denetim orada, denetçiler orada, raporlarını istiyorlar, işaretliyorlar. Ve sonra ya bir işaret alırız ya da bize söylenir, hey, bu sorunları düzeltmemiz gerekiyor ve işte burada devreye giriyor. Riskinizi bulabileceğiniz ve riski azaltabileceğiniz proaktif bir şey olurdu ve bu da müşterilerimiz ne arıyor. Denetçiler geldiğinde ve erişimin bir kısmının olması gereken yerde olmadığını, diğer insanların idari ayrıcalıklarına sahip olduklarını ve bu tür şeylere sahip olmamalı olduklarında, reaktif olmanın aksine biraz proaktif olmanın bir yolu. Ve insanların aracı sevdiği ve onu kullandıkları birçok geri bildirim gördük.
Robin Bloor: Tamam, bir anlamda daha açık bir soru olan başka bir sorum var, ama sadece merak ediyorum. Bir saldırı sonrasında size kaç kişi geliyor? Bildiğiniz gibi, işi aldınız, çevrelerine baktıkları ve çok daha düzenli bir şekilde güvence altına alınmaları gerektiğini düşündükleri için değil, aslında oradasınız çünkü Ağrı.
Ignacio Rodriguez: Burada IDERA'da geçirdiğim zaman görmedim. Size karşı dürüst olmak gerekirse, dahil olduğum müşterilerle yaptığım etkileşimin çoğu daha ileriye bakmak ve denetlemeye başlamak ve ayrıcalıklara, vb. Söylediğim gibi, kendime sahibim, burada yaşadığım zamanı, bildiğim ihlal sonrası gelen herhangi birine sahip olduğumuzu deneyimledim.
Dr. Robin Bloor: Oh, bu ilginç. En azından birkaçının olacağını düşünürdüm. Aslında buna bakıyorum, ama aynı zamanda, veriyi kurumsal olarak her şekilde ve yaptığınız her aktivitede güvenli hale getiren tüm karmaşıklıkları da ekliyorum. İnsanlara yardım etmek için doğrudan danışmanlık yapıyor musunuz? Demek istediğim, araç satın alabileceğiniz açıktır, ancak deneyimlerime göre, insanlar genellikle sofistike araçlar satın alır ve çok kötü kullanırlar. Özel danışmanlık hizmeti sunuyor musunuz - ne yapmalı, kim eğitmeli ve bunun gibi şeyler?
Ignacio Rodriguez: Destek hizmetlerine gelince, bunların bir kısmının gerçekleşmesine izin verebileceğiniz bazı hizmetler var. Ancak danışmanlık konusunda herhangi bir danışmanlık hizmeti vermiyoruz, eğitim, bilirsiniz, araç ve gereçlerin nasıl kullanılacağı gibi, bunlardan bazıları destek seviyesiyle ele alınacak. Ama kendi başına bir servis departmanımız yok.
Dr. Robin Bloor: Tamam. Kapsadığınız veritabanı açısından, buradaki sunum sadece Microsoft SQL Server'dan bahsediyor - Oracle da mı yapıyorsunuz?
Ignacio Rodriguez: İlk önce Uyum Yöneticisi ile Oracle alanına genişleyeceğiz. Bununla bir proje başlatacağız, bu yüzden bunu Oracle'a genişletmeye çalışacağız.
Dr. Robin Bloor: Ve başka bir yere gitme ihtimaliniz var mı?
Ignacio Rodriguez: Evet, yol haritalarına bakmamız ve işlerin nasıl olduğunu görmemiz gereken bir şey, ancak düşündüğümüz şeylerden biri, diğer veritabanı platformlarına da saldırmamız gerekiyor.
Robin Bloor: Bölünme ile de ilgiliydim, bunun önceden tasavvur edilmiş bir resmim yok, ancak konuşlandırmalar açısından bunun gerçekte ne kadarı bulutta konuşlandırılıyor, yoksa neredeyse hepsi yerinde mi? ?
Ignacio Rodriguez: Hepsi yerinde. Güvenli'yi Azure'u kapsayacak şekilde genişletmeyi de arıyoruz, evet.
Robin Bloor: Bu Azure sorusuydu, henüz orada değilsin ama oraya gidiyorsun, çok mantıklı.
Ignacio Rodriguez: Evet, çok yakında oraya gidiyoruz.
Robin Bloor: Evet, benim Microsoft'tan anlayışım, Azure'da Microsoft SQL Server ile çok fazla işlem yapılması. İsterseniz, sundukları şeyin önemli bir parçası haline geliyor. İlgileniyorum diğer soru - teknik değil, daha çok nasıl yapılır bir soruya benziyor - bunun için alıcı kim? BT departmanı tarafından mı yaklaşılıyor yoksa STK'lar tarafından mı yaklaşılıyor yoksa farklı bir insan mı? Böyle bir şey göz önüne alındığında, çevreyi korumak için bir dizi şeye bakmanın bir parçası mıdır? Oradaki durum nedir?
Ignacio Rodriguez: Bu bir karışım. STK'larımız var, satış ekibinin çoğu kez DBA'lara ulaşması ve konuşması. Ve sonra, DBA'lar yine, bir tür denetim süreci politikalarının uygulamaya konmasıyla görevlendirildi. Ve sonra araçları değerlendirecekler ve zinciri raporlayacaklar ve hangi parçayı satın almak istediklerine karar verecekler. Ama bizimle iletişime geçecek olan karışık bir çanta.
Dr. Robin Bloor: Tamam. Sanırım şimdi Eric'e geri döneceğim, çünkü bir çeşit saati yaptık, ancak bazı seyirci soruları olabilir. Eric
Eric Kavanagh: Evet, elbette, burada çok iyi içerikler yazdık. İşte size katılımcılardan birinden atacağım gerçekten güzel bir soru. Blockchain ve ne hakkında konuştuğunuz hakkında konuşuyor ve soruyor, bir SQL veritabanının salt okunur bir parçasını, blockchain'in sunduğu şeylere taşımanın olası bir yolu var mı? Bu biraz zor.
Ignacio Rodriguez: Evet, sana karşı dürüst olacağım, buna bir cevabım yok.
Eric Kavanagh: Robin'e atacağım. Bu soruyu duyup duymadığınızı bilmiyorum, Robin, ama sadece soruyor, bir SQL veritabanının salt okunur kısmını blockchain'in sunduğu şeylere taşımanın bir yolu var mı? Bunun hakkında ne düşünüyorsun?
Robin Bloor: Eğer veritabanını taşıyacaksanız veritabanı trafiğini de taşıyacaksınız. Bunu yapmakla ilgili bir dizi karmaşıklık var. Ancak, verileri dokunulmaz kılmak dışında herhangi bir nedenle yapmazsınız. Bir blockchain'e erişmek daha yavaş olacağından, bilirsiniz, hız sizin işinizse - ve neredeyse her zaman bir şeydir - o zaman bunu yapmazsınız. Ancak, bu tür bir şeyi yapan bazı kişilere bir tür şifreli erişim sağlamak istiyorsanız, bunu yapabilirsiniz, ancak çok iyi bir nedeniniz olması gerekir. Onu olduğu yerde bırakma ve olduğu yerde güvence altına alma olasılığınız daha yüksektir.
Dez Blanchfield: Evet, buna katılıyorum, eğer hızlı bir şekilde tartabilirsem. Bence blok zincirinin zorluğu, hatta orada halka açık olan blok zinciri bile, bitcoin'de kullanılıyor - bunu tam olarak dağıtılmış bir şekilde dakikada dört işlemin ötesine ölçeklendirmek zor buluyoruz. Bilgi işlem zorluğu nedeniyle o kadar da değil, her ne kadar orada olsa da, tam düğümler sadece geriye ve ileriye doğru hareket eden veritabanı hacimlerine ve kopyalanmaya başladığı veri miktarına ayak uydurmayı zor buluyor.
Ama aynı zamanda, asıl zorluğun uygulamanın mimarisini değiştirmeniz gerektiğidir, çünkü bir veritabanında her şeyi merkezi bir konuma getirmekle ilgilidir ve bu istemci-sunucu tipi modeliniz vardır. Blockchain tersidir; dağıtılmış kopyalarla ilgili. Daha çok birçok yönden BitTorrent'e benziyor ve bu da aynı verilerin çoğunda var. Ve biliyorsunuz, Cassandra ve dağıttığınız bellek içi veritabanları gibi birçok sunucu da size aynı verilerin kopyalarını dağıtılmış bir dizinden çıkarabilir. Sanırım iki kilit parça, dediğin gibi, Robin: bir, onu güvence altına almak ve çalınamayacağından veya hacklenemeyeceğinden emin olmak istiyorsanız, bu harika, ama henüz bir işlem platformu değil, Bitcoin projesi ile bunu deneyimledim. Ama teoride diğerleri çözdü. Ama aynı zamanda, mimari olarak bir çok uygulama sadece bir blockchain'den nasıl sorgulanacağını ve okunacağını bilmiyor.
Orada yapılması gereken çok iş var. Ama sanırım oradaki soru ile ilgili kilit nokta, eğer yapabilirsem, onu bir blok zincirine taşımanın mantığı, bence sorulan soru, bir veritabanından veri alıp, daha güvenli? Ve cevap, onu veritabanında bırakabilir ve şifreleyebilirsiniz. Şimdi birçok teknoloji var. Verileri hareketsiz veya hareket halinde şifreleyin. Bellekte ve diskteki veritabanında şifrelenmiş verilerinizin bulunmamasının bir nedeni yoktur; bu, tek bir mimari değişikliğiniz olmadığı için çok daha basit bir sorundur. Çoğu zaman veritabanı platformları, aslında sadece etkinleştirilen bir özelliktir.
Eric Kavanagh: Evet, sana atacağım son bir sorum var Iggy. Oldukça iyi. Bir SLA ve kapasite planlama perspektifinden, sisteminizi kullanarak ne tür bir vergi vardır? Başka bir deyişle, bir üretim veritabanı sisteminde birisi IDERA'nın teknolojisini buraya dahil etmek istiyorsa, herhangi bir ek gecikme veya üretim yükü?
Ignacio Rodriguez: Gerçekten fazla bir etki görmüyoruz. Yine, ajansız bir ürün ve daha önce de belirttiğim gibi, anlık görüntülere bağlı. Güvenli anlık görüntülere dayanır. Oraya gidecek ve seçtiğiniz aralıklara göre oraya gidecek bir iş yaratacak. Ya bunu tekrar, haftalık, günlük, aylık yapmak istersiniz. Oraya gidip o işi yürütecek ve sonra örneklerden veri toplayacak. Bu noktada yük daha sonra yönetim ve toplama hizmetlerine geri döner, karşılaştırmaları yapmaya başladığınızda ve tüm bunlar, veritabanındaki yükün bir parçası olmaz. Tüm bu yükler, karşılaştırmaları ve tüm raporlamaları ve tüm bunları yaparken, artık yönetim ve toplama sunucusunda. Veritabanına vurduğunuz tek zaman, her zaman gerçek anlık görüntüyü gerçekleştirmesidir. Ve üretim ortamları için gerçekten zararlı olduğuna dair herhangi bir rapor almadık.
Eric Kavanagh: Evet, orada bahsettiğiniz gerçekten iyi bir nokta. Temel olarak, kaç tane anlık görüntü çekeceğinizi, bu zaman aralığının ne olduğunu ve ne olabileceğine bağlı olarak ayarlayabilirsiniz, ancak bu çok akıllı bir mimari. Bu iyi şeyler, adamım. Peki sizler bizi gösterinin ilk 25 dakikasında bahsettiğimiz tüm hackerlardan korumaya çalışan ön saflardasınız. Ve dışarıdalar, millet, hata yapma.
Dinle, insideanalysis.com sitemizde bu web yayını, arşivler için bir bağlantı yayınlayacağız. SlideShare'de bir şeyler bulabilirsiniz, YouTube'da bulabilirsiniz. Ve millet, iyi şeyler. Zaman ayırdığınız için teşekkürler, Iggy, takma adınızı seviyorum bu arada. Bununla size veda edeceğiz millet. İlginiz ve zamanınız için çok teşekkür ederim. Bir dahaki sefere seni yakalayacağız. Güle güle.