Hämtmat: Värd Eric Kavanagh diskuterar säkerhet och behörigheter med Dr. Robin Bloor och IDERA: s Vicky Harp.
Du är för närvarande inte inloggad. Logga in eller registrera dig för att se videon.
Eric Kavanagh: OK, mina damer och herrar, hej och välkommen tillbaka igen. Det är en onsdag, dess fyra östra och i världen av företagsteknologi som betyder att det är dags för Hot Technologies! Ja verkligen. Presenteras av Bloor Group naturligtvis, drivs av våra vänner på Techopedia. Ämnet för idag är väldigt coolt: "Bättre att be om tillstånd: bästa praxis för integritet och säkerhet." Det är rätt, det är ett tufft ämne, många människor pratar om det, men det är ganska allvarligt och det blir verkligen mer allvarligt varje dag, helt uppriktigt. Det är en allvarlig fråga på många sätt för många organisationer. Vi skulle prata om det och skulle prata om vad du kan göra för att skydda din organisation från de besvärliga karaktärerna som verkar vara överallt i dessa dagar.
Så dagens presentatör är Vicky Harp som ringer in från IDERA. Du kan se IDERA-programvaran på LinkedIn - jag älskar den nya funktionen på LinkedIn. Även om jag kan säga att de drar några strängar på vissa sätt, inte låter dig komma åt människor, försöker få dig att köpa dessa premiummedlemskap. Där går du, vi har vår helt egna Robin Bloor som ringer in - han är faktiskt i San Diego-området idag. Och din verkligen som din moderator / analytiker.
Så vad pratar vi om? Dataöverträdelser. Jag tog just denna information från IdentityForce.com, den är redan igång till tävlingarna. Var i maj naturligtvis i år, och det finns bara massor av dataöverträdelser, det finns några riktigt enorma, naturligtvis, av Yahoo! var en stor, och vi hörde naturligtvis att USA: s regering hackades. Vi hade bara hackat det franska valet.
Detta händer överallt, det fortsätter och det kommer inte att stoppa, så det är en verklighet, det är den nya verkligheten, som de säger. Vi behöver verkligen fundera över sätt att säkerställa säkerheten i våra system och våra uppgifter. Och det är en pågående process, så det är precis i tid att tänka på alla de olika frågor som kommer in. Detta är bara en delvis lista, men det ger dig ett perspektiv på hur osäker situationen är i dag med företagssystem. Och före den här showen, i vår pre-show skämtar vi talade om ransomware som har drabbat någon jag känner, vilket är en mycket obehaglig upplevelse, när någon tar över din iPhone och kräver pengar för dig att få åtkomst till din telefon. Men det händer, det händer med datorer, det händer med system, jag såg just häromdagen, det händer med miljardärer med sina båtar. Föreställ dig att åka till din yacht en dag, försöka imponera på alla dina vänner och du kan inte ens slå på den, för någon tjuv har stulit åtkomst till kontrollerna, kontrollpanelen. Jag sa just häromdagen i en intervju till någon, har alltid den manuella åsidosättningen. Som om jag inte är ett stort fan av alla anslutna bilar - även bilar kan hackas. Allt som är anslutet till internet eller anslutet till ett nätverk som kan penetreras kan hackas, vad som helst.
Så här är bara några saker att tänka på när det gäller att utforma intrycket av hur allvarlig situationen är. Webbaserade system finns överallt i dessa dagar, de fortsätter att spridas. Hur många köper saker online? Det är bara genom taket i dessa dagar, det är därför Amazon är en så kraftfull kraft i dessa dagar. Det beror på att så många människor köper saker online.
Så kommer du ihåg då, för 15 år sedan, människor var ganska nervösa för att lägga in sitt kreditkort i ett webbformulär för att få sin information, och då var argumentet: ”Tja, om du lämnar ditt kreditkort till en servitör på en restaurang, då är det samma sak. ”Så, vårt svar är ja, det är samma sak, det finns alla dessa kontrollpunkter, eller åtkomstpunkter, samma sak, olika sidan av samma mynt, där människor kan placeras i fara, där någon kan ta dina pengar, eller någon kan stjäla från dig.
Då utvidgar IoT givetvis hotbilden - jag älskar det ordet - med storleksordrar. Jag menar, tänk på det - med alla dessa nya enheter överallt, om någon kan hacka till ett system som kontrollerar dem, kan de vända alla dessa bots mot dig och orsaka massor av problem, så det är en mycket allvarlig fråga. Vi har en global ekonomi i dag, som utökar hotbilden ännu mer, och vad mer, du har människor i andra länder som kan komma åt webben på samma sätt som du och jag kan, och om du inte vet hur man talar ryska, eller valfritt antal andra språk, kommer du att ha svårt att förstå vad som händer när de hackar in i ditt system. Så vi har framsteg inom nätverk och virtualisering, det är bra.
Men jag har på höger sida om den här bilden här, ett svärd och anledningen till att jag har det där är för att varje svärd klipper båda vägarna. Det är ett dubbelkantigt svärd, som de säger, och det är en gammal kliché, men det betyder att svärdet jag har kan skada dig eller att det kan skada mig. Det kan komma tillbaka på mig, antingen genom att studsa tillbaka eller genom att någon tar det. Det är faktiskt ett av Aesops Fables - vi ger ofta våra fiender verktygen för vår egen förstörelse. Det är verkligen ganska övertygande historia och har att göra med någon som använde en båge och pil och sköt ner en fågel och fågelsagen, när pilen var på väg upp, den fjädern från en dess fågelvänner var på kanten av pilen, på baksidan av pilen för att vägleda den, och han tänkte till sig själv, "Åh man, här är det, mina egna fjädrar, min egen familj kommer att användas för att ta mig ner." Det händer hela tiden, hör du statistik om att du har en pistol i huset, tjuven kan ta pistolen. Det här är allt sant. Så jag kastar detta ut där som en analogi bara för att överväga, alla dessa olika utvecklingar har positiva sidor och negativa sidor.
Och talar om, containrar för er av er som verkligen följer banbrytande företags computing, containrar är det senaste, det senaste sättet att leverera funktionalitet, det är verkligen äktenskapet med virtualisering i den serviceorienterade arkitekturen, åtminstone för mikroservices och dess mycket intressanta grejer. Du kan verkligen dölja dina säkerhetsprotokoll och dina applikationsprotokoll och dina data och så vidare genom att använda containrar, och det ger dig ett förskott under en tid, men förr eller senare kommer de dåliga killarna att räkna ut det, och då kommer det att bli ännu svårare att förhindra att de utnyttjar dina system. Så det är där, den globala arbetskraften som komplicerar nätverket och säkerheten och var människor loggar in från.
Vi har fått webbläsarkrig som fortsätter snabbt och kräver ständigt arbete för att uppdatera och hålla på topp med saker. Vi fortsätter att höra om de gamla webbläsarna i Microsoft Explorer, hur de hackades och finns där. Så det finns mer pengar att tjäna på att hacking i dessa dagar, det finns en hel industri, det här är något som min partner, Dr. Bloor, lärde mig för åtta år sedan - jag undrade varför ser vi så mycket av det, och han påminde mig, det är en hel industri som är involverad i hacking. Och i den meningen är berättelsen, som är ett av mina minst favoritord om säkerhet, verkligen väldigt oärligt, eftersom berättelsen visar dig i alla dessa videor och alla typer av nyhetsberättelser, några hacking de visar någon kille i en hoodie, sittande i hans källare i ett mörkt upplyst rum, det är inte alls fallet. Det är inte alls representativt för verkligheten. Det är ensamma hackare, det finns väldigt få ensamma hackare, de är ute, de orsakar några problem - de kommer inte att orsaka stora problem, men de kan tjäna en hel del pengar. Så vad som händer är att hackarna kommer in och tränger igenom ditt system och sedan säljer den åtkomsten till någon annan, som vänder sig och säljer den till någon annan, och sedan någonstans längs linjen, utnyttjar någon det hacket och drar nytta av dig. Och det finns otaliga sätt att dra nytta av stulna data.
Jag har till och med undrat mig själv om hur vi har glamoriserat detta koncept. Du ser detta begrepp överallt, "tillväxthacking" som det är bra. Tillväxthackning, du vet, hacking kan vara bra, om du försöker arbeta för de goda killarna så att säga och hacka in i ett system, som vi fortsätter att höra om med Nordkorea och deras missilutsättningar, eventuellt hackas - det är bra . Men hacking är ofta en dålig sak. Så nu glamoriserade det, nästan som Robin Hood, när vi glamoriserade Robin Hood. Och sedan finns det kontantlösa samhället, något som är uppriktigt berör dagsljus från mig. Allt jag tror varje gång jag hör det är: ”Nej, gör det inte! Snälla dont! ”Jag vill inte att alla våra pengar försvinner. Så det här är bara några frågor att tänka på, och återigen, det är ett katt-och-mus-spel; det kommer aldrig att stoppa, det kommer alltid att finnas ett behov av säkerhetsprotokoll och för att främja säkerhetsprotokoll. Och för att övervaka dina system för att till och med känna och känna dem där ute, med förståelsen att det till och med kan vara ett inre jobb. Så det är en pågående fråga, det kommer att vara en pågående fråga under ganska lång tid - gör inga misstag med det.
Och med det ska jag överlämna det till Dr. Bloor, som kan dela med oss några tankar om att säkra databaser. Robin, ta bort den.
Robin Bloor: OK, en av de intressanta hackarna, jag tror att det inträffade för cirka fem år sedan, men i princip var det ett kortbehandlingsföretag som hackades. Och ett stort antal kortinformation stalna. Men det intressanta med det, för mig, var det faktum att det var testdatabasen som de faktiskt kom in i, och det var förmodligen så att de hade mycket svårt att komma in i den verkliga, verkliga databasen för behandlingskort. Men du vet hur det är med utvecklare, de tar bara en bit av en databas, skjuter in den där. Det hade varit att ha varit mycket mer vaksam för att stoppa det. Men det finns massor av intressanta hackhistorier, det gör i ett område, det gör ett mycket intressant ämne.
Så jag ska faktiskt, på ett eller annat sätt, upprepa några av de saker som Eric sa, men det är lätt att tänka på datasäkerhet som ett statiskt mål; det är lättare bara för att det är lättare att analysera statiska situationer och sedan tänka på att sätta in försvar, försvar där, men det är inte. Dess rörliga mål och det är en av de saker som den typen definierar hela säkerhetsutrymmet. Det är bara på det sätt som all teknik utvecklas, tekniken för skurkarna utvecklas också. Så kort översikt: Datastöld är inget nytt, faktiskt är dataspionage datastöld och det har pågått i tusentals år, tror jag.
Den största datainsamlingen i dessa termer var briterna som bryter de tyska koderna och amerikanerna som bröt de japanska koderna, och i båda fallen förkortade de kriget väldigt mycket. Och de stjal bara användbara och värdefulla data, det var naturligtvis mycket smart, men du vet, vad som händer just nu är mycket smart på många sätt. Cyberstöld föddes med internet och exploderade runt 2005. Jag gick och tittade på all statistik och när du började bli riktigt allvarlig och, på något sätt eller anmärkningsvärt höga siffror från och med 2005. Det blev bara värre sedan sedan. Många spelare, regeringar är involverade, företag är involverade, hackergrupper och individer.
Jag åkte till Moskva - det måste ha varit ungefär fem år - och jag tillbringade faktiskt mycket tid med en kille från Storbritannien, som undersökte hela hackutrymmet. Och han sa det - och jag har ingen aning om detta är sant, jag har bara fått sitt ord för det, men det låter mycket troligt - att i Ryssland finns det något som kallas Business Network, som är en grupp hackare som är allt, du vet, de kom ut från ruinerna av KGB. Och de säljer sig själva, inte bara, jag menar, jag är säker på att den ryska regeringen använder dem, men de säljer sig själva till vem som helst, och det ryktades, eller han sade att det var ryktet, att olika utländska regeringar använde affärsnätverket för sannolik förnöjbarhet . Dessa killar hade nätverk med miljoner komprometterade datorer som de kunde attackera från. Och de hade alla verktygen du kan föreställa dig.
Så tekniken för attack och försvar utvecklades. Och företag har en omsorgsplikt över sina uppgifter, oavsett om de äger dem eller inte. Och det börjar bli mycket tydligare när det gäller de olika reglerna som redan är i kraft eller träder i kraft. Och förmodligen att förbättra, någon på ett eller annat sätt, måste någon bära kostnaderna för att hacking på ett sådant sätt att de är incitament för att stänga möjligheten. Det är en av de saker som jag antar är nödvändig. Så om hackarna kan de vara placerade var som helst. Särskilt inom din organisation - mycket fruktansvärda hackar som jag har hört talas om att någon har öppnat dörren. Du vet, personen, det är som bankrånssituationen, nästan alltid brukade de säga i goda bankrån att det är en insider. Men insideren behöver bara ge ut information, så det är svårt att få dem, att veta vem det var, och så vidare.
Och det kan vara svårt att föra dem för rättvisa, för om du har hackats av en grupp människor i Moldavien, även om du vet att det var den gruppen, hur ska du göra att någon form av laglig händelse inträffar runt dem? Dess typ av, från en jurisdiktion till en annan, dess just, det finns inte en mycket bra uppsättning internationella arrangemang för att fästa hackarna. De delar teknik och information; mycket av det är öppen källkod. Om du vill bygga ditt eget virus finns det massor av viruspaket där ute - helt öppen källkod. Och de har stora resurser, det har funnits ett antal som har haft botnät i mer än en miljon komprometterade enheter i datacentra och på datorer och så vidare. Vissa är lönsamma företag som har pågått länge, och sedan finns regeringsgrupper, som jag nämnde.Det är osannolikt, som Eric sa, det är osannolikt att detta fenomen någonsin kommer att ta slut.
Så detta är ett intressant hack, jag trodde bara att jag nämnde det, för det var en ganska ny hack; det hände förra året. Det var en sårbarhet i DAO-kontraktet förknippat med Etherium-kryptomyntet. Och det diskuterades på ett forum, och inom en dag hackades DAO-kontraktet med exakt användning av den sårbarheten. 50 miljoner dollar i eter överfördes, vilket orsakade en omedelbar kris i DAO-projektet och stängde det. Och Etherium kämpade faktiskt för att försöka hålla hackaren från tillgång till pengarna, och de minskade på något sätt hans tag. Men man trodde också - inte känt med säkerhet - att hackaren faktiskt kortade priset på eter före sin attack, med vetskap om att priset på eter skulle kollapsa, och därmed gjorde vinst på ett annat sätt.
Och det är en annan, om du vill, stratagem som hackarna kan använda. Om de kan skada ditt aktiekurs, och de vet att de gör det, så är det bara nödvändigt för dem att korta aktiekursen och göra hacket, så det är den typen av, dessa killar är smarta, du vet. Och priset är direkt stöld av pengar, störningar och lösen, inklusive investeringar, där du stör och korta lager, sabotage, identitetsstöld, alla typer av bedrägerier, bara för reklamens skull. Och det tenderar att vara politisk, eller uppenbarligen, spionering av information, och det finns till och med människor som tjänar livets värde av felbounties som du kan få genom att försöka hacka Google, Apple, till och med Pentagon, ger faktiskt bounties. Och du hackar bara; Om det är framgångsrikt, går du bara och ansöker om ditt pris, och ingen skada görs, så det är en fin sak, du vet.
Jag kan lika gärna nämna efterlevnad och reglering. Bortsett från sektorsinitiativ finns det många officiella förordningar: HIPAA, SOX, FISMA, FERPA och GLBA är alla amerikanska lagar. Det finns standarder; PCI-DSS har blivit en ganska allmän standard. Och sedan finns ISO 17799 om ägandet av data. Nationella bestämmelser skiljer sig från land till land, även i Europa. Och för närvarande GDPR - Global Data, vad står det för? Den globala dataskyddsförordningen tror jag att den står för - men den träder i kraft nästa år, sa till. Och det intressanta med det är att det gäller över hela världen. Om du har 5 000 eller fler kunder, som du har fått personlig information om och de bor i Europa, kommer Europa faktiskt att ta dig till uppgiften, oavsett om ditt företag faktiskt har sitt huvudkontor eller var det verkar. Och påföljderna, den maximala påföljden är fyra procent av de årliga intäkterna, som bara är enorma, så det kommer att vara en intressant twist på världen när det träder i kraft.
Saker att tänka på, väl, DBMS-sårbarheter, det mesta av värdefull data sitter faktiskt i databaser. Det är värdefullt eftersom vi har lagt mycket tid på att göra det tillgängligt och organisera det väl och det gör det mer sårbart om du faktiskt inte använder rätt DBMS-värdepapper. Uppenbarligen, om du planerar för saker som det här, måste du identifiera vilka sårbara data som finns i hela organisationen, med tanke på att data kan vara sårbara av olika skäl. Det kan vara kunddata, men det kan också vara interna dokument som skulle vara värdefulla för spioneringsändamål och så vidare. Säkerhetspolitiken, särskilt när det gäller åtkomstsäkerhet - som under senare tid har varit mycket svag i de nya open source-grejerna - kommer kryptering mer i bruk eftersom den är ganska bunnsolid.
Kostnaden för ett säkerhetsöverträdelse visste de flesta inte, men om du faktiskt tittar på vad som hände med organisationer som har drabbats av säkerhetsöverträdelser, visar det sig att kostnaden för ett säkerhetsöverträdelse ofta är mycket högre än du tror att det skulle vara. Och den andra saken att tänka på är attackytan, eftersom alla programvara var som helst, som körs med dina organisationer, utgör en attackyta. Så gör någon av enheterna, det gör data, oavsett hur de är lagrade. Allt är attackytan växer med tingenes internet, attackytan kommer förmodligen att fördubblas.
Så äntligen DBA och datasäkerhet. Datasäkerhet är vanligtvis en del av DBA: s roll. Men dess samarbete också. Och det måste vara föremål för företagspolitik, annars kommer det förmodligen inte att implementeras väl. Med det sagt tror jag att jag kan passera bollen.
Eric Kavanagh: Okej, låt mig ge nycklarna till Vicky. Och du kan dela din skärm eller flytta till dessa bilder, det är upp till dig, ta bort den.
Vicky Harp: Nej, jag börjar med dessa bilder, tack så mycket. Så ja, jag ville bara ta ett snabbt ögonblick och presentera mig själv. Im Vicky Harp. Jag är chef, produkthantering för SQL-produkter på IDERA-programvara, och för de av er som kanske inte är bekanta med oss, har IDERA ett antal produktlinjer, men jag talar här för SQL Server-sidan. Och så gör vi prestandaövervakning, säkerhetskrav, säkerhetskopiering, administrationsverktyg - och det är bara en lista över dem. Och naturligtvis, vad jag är här för att prata om idag är säkerhet och efterlevnad.
Huvuddelen av det jag vill prata om idag är inte nödvändigtvis våra produkter, men jag tänker visa några exempel på det senare. Jag ville prata med dig mer om databassäkerhet, några av hoten i världen för databassäkerhet just nu, några saker att tänka på och några av de inledande idéerna om vad du behöver titta på för att säkra din SQL Serverdatabaser och även för att se till att de överensstämmer med det regelverk som du kan bli föremål för, som nämnts. Det finns många olika förordningar. de går på olika branscher, olika platser runt om i världen, och det är saker att tänka på.
Så jag vill gärna ta ett ögonblick och prata om tillståndet för dataintrång - och inte att upprepa för mycket av det som redan har diskuterats här - jag tittade på denna Intel-säkerhetsstudie nyligen, och över deras - tror jag 1500 organisationer som de pratade med - de hade i genomsnitt sex säkerhetsöverträdelser, när det gäller överträdelser av dataförluster, och 68 procent av dem hade krävt offentliggörande i någon mening, så de påverkade aktiekursen, eller de måste göra något kredit övervakning för sina kunder eller deras anställda etc.
En del intressant annan statistik är att interna aktörer som svarade för 43 procent av dessa. Så många tycker mycket om hackare och denna typ av skuggiga kvasistiska organisationer eller organiserad brottslighet etc., men interna aktörer agerar fortfarande direkt mot sina arbetsgivare, i en ganska hög andel av fallen. Och dessa är ibland svårare att skydda mot, eftersom människor kan ha legitima skäl att ha tillgång till den informationen. Ungefär hälften av detta var 43 procent av misstag i någon mening. Så, till exempel i fallet där någon tog data hem och sedan tappade reda på den informationen, vilket leder mig till denna tredje punkt, vilket är att saker till fysiska medier fortfarande var involverade i 40 procent av överträdelserna. Så det är USB-nycklar, det är folk bärbara datorer, det är faktiska media som brändes på fysiska skivor och tagits ut ur byggnaden.
Om du tänker på, har du en utvecklare som har en dev-kopia av din produktionsdatabas på sin bärbara dator? Sedan går de upp på ett plan och de stiger ur planet, och de får det kontrollerade bagaget och deras bärbara dator är stulen. Du har nu haft ett dataöverträdelse. Du kanske inte nödvändigtvis tror att det är därför den bärbara datorn togs, den kanske inte dyker upp i naturen. Men det är fortfarande något som räknar som ett överträdelse, det kommer att kräva avslöjande, du kommer att ha alla nedströmseffekter av att ha förlorat dessa data, bara på grund av förlusten av det fysiska mediet.
Och det andra intressanta är att många människor tänker på kreditdata och kreditkortsinformation som de mest värdefulla, men det är egentligen inte fallet längre. Dessa uppgifter är värdefulla, kreditkortsnummer är användbara, men ärligt talat ändras dessa nummer mycket snabbt, medan människors personuppgifter inte ändras mycket snabbt. Något som den senaste nyheten, relativt nyligen, VTech, en leksakstillverkare, hade dessa leksaker som var designade för barn. Och folk skulle, de skulle ha sina barnnamn, de skulle ha information om var barnen bor, de hade sina föräldrar namn, de hade fotografier av barnen. Inget av det var krypterat, eftersom det inte ansågs vara viktigt. Men deras lösenord var krypterade. Tja, när överträdelsen oundvikligen inträffade, säger du, "OK, så jag har en lista över barnnamn, deras föräldrar namn, där de bor - all denna information finns där ute, och du tänker att lösenordet var den mest värdefulla delen av det? ”Det var inte; människor kan inte ändra dessa aspekter om deras personuppgifter, deras adress osv. Och så att information faktiskt är mycket värdefull och den måste skyddas.
Så ville prata om några av de saker som pågår, att bidra till hur dataintrång sker just nu. En av de stora hotspots, utrymmen just nu är socialteknik. Så folk kallar det phishing, det är efterliknande osv. Där människor får tillgång till data, ofta genom interna aktörer, genom att bara övertyga dem om att de ska ha tillgång till det. Så härom dagen hade vi den här Google Docs-masken som pågår. Och vad det skulle hända - och jag fick faktiskt en kopia av den, även om jag lyckligtvis inte klickade på den - du fick från en kollega och sa: ”Här är en Google Doc-länk; du måste klicka på det här för att se vad jag just delade med dig. ”Tja, att i en organisation som använder Google Docs, det är mycket konventionellt, kommer du att få dussintals av dessa förfrågningar per dag. Om du klickade på det skulle det be dig om tillåtelse att få tillgång till det här dokumentet, och kanske skulle du säga, "Hej, det ser lite konstigt ut, men du vet, det ser legit ut också, så jag ska gå vidare och klicka på det, ”Och så fort du gjorde det gav du denna tredje part åtkomst till alla dina Google-dokument, och så skapade du den här länken för att denna externa aktör ska få tillgång till alla dina dokument på Google Drive. Detta ormade överallt. Det drabbade hundratusentals människor på några timmar. Och detta var i grunden en phishing-attack som Google själv slutade behöva stänga av, eftersom den var mycket väl genomförd. Folk föll för det.
Jag nämner här SnapChat HR-brottet. Det här var bara en enkel fråga om att någon skulle ingå, föreställa sig att de var verkställande direktören, till HR-avdelningen och säger: "Jag behöver dig till det här kalkylbladet." Och de trodde dem och de satte ett kalkylblad med 700 olika anställdas ersättning. information, deras hemadresser etc., redigerade den till denna andra part, det var inte verkställande direktören. Nu var informationen ute, och alla deras anställdas personliga, privata information var ute och var tillgängliga för exploatering. Så socialteknik är något som jag nämner i databasvärlden, eftersom det är något du kan försöka försvara dig genom utbildning, men du måste också komma ihåg att var du än har en person som interagerar med din teknik, och om du litar på deras goda bedömningar för att förhindra ett strömavbrott, frågar du mycket av dem.
Människor gör misstag, folk klickar på saker som de inte borde ha, människor faller för smarta rusk. Och du kan försöka mycket hårt att skydda dem mot det, men det är inte tillräckligt starkt, du måste försöka begränsa förmågan för människor att av misstag ge ut denna information i dina databasesystem. Det andra jag ville nämna att uppenbarligen talade om mycket är ransomware, botnät, virus - alla dessa olika automatiserade sätt. Och vad jag tycker är viktigt att förstå om ransomware är att det verkligen ändrar vinstmodellen för angripare. Om du pratar om ett överträdelse måste de på något sätt extrahera data och ha det för sig själva och använda dem. Och om dina data är otydliga, om de är krypterade, om deras branschspecifika, kanske de inte har något värde för det.
Fram till denna tidpunkt kanske människor har känt sig som att det var ett skydd för dem, "Jag behöver inte skydda mig mot ett dataintrång, för om de kommer att komma in i mitt system, allt de kommer att ha är jag är en fotograferingsstudio , Jag har en lista över vilka som kommer att komma på vilka dagar för nästa år. Vem bryr sig om det? ”Det visar sig att svaret är att du bryr dig om det; du lagrar den informationen, det är din affärskritiska information. Så med hjälp av ransomware kommer en angripare att säga, "Nå, ingen annan kommer att ge mig pengar för det här, men du kommer att göra det." Så de utnyttjar det faktum att de inte ens behöver ta ut data, de behöver inte ens ha ett överträdelse, de behöver bara använda säkerhetsverktyg offensivt mot dig. De kommer in i din databas, de krypterar innehållet i den, och sedan säger de, ”OK, vi har lösenordet, och du kommer att behöva betala oss 5 000 dollar för att få det lösenordet, annars har du inte den här informationen längre. ”
Och folk betalar upp; de tycker att de måste göra det. MongoDB hade ett slags stort problem för ett par månader sedan, antar jag att det var i januari, där ransomware drabbades, tror jag, över en miljon MongoDB-databaser de har offentligt på internet, baserat på vissa standardinställningar. Och det som gjorde det ännu värre är att människor betalade och så andra organisationer skulle komma in och kryptera eller hävda att ha varit de som ursprungligen hade krypterat det, så när du betalade dina pengar, och jag tror i så fall att de var efterfrågan på något som 500 dollar, skulle folk säga, ”OK, jag skulle betala mer än det för att betala en forskare för att komma in här för att hjälpa mig ta reda på vad som gick fel. Jag ska bara betala 500 $. Och de betalade inte ens det till rätt skådespelare, så de skulle gå ihop med tio olika organisationer som säger dem, "Weve har lösenordet," eller "Weve har vägen för dig att låsa upp dina lösta data . ”Och du måste betala dem alla för att möjligen få det att fungera.
Det har också varit fall där ransomware-författarna hade buggar, jag menar, inte pratade om att det var en perfekt situation över bordet, så även när det har attackerats, även när du har betalat, finns det ingen garanti för att du kommer att få alla dina data tillbaka, en del av detta kompliceras också av vapeninfo InfoSec-verktyg. Så Shadow Brokers är en grupp som läcker ut verktyg som var från NSA. De var verktyg utformade av myndigheterna för spionage och fungerar faktiskt mot andra statliga enheter. Några av dessa har varit riktigt högprofilerade nolldagarsattacker, som i princip gör att de kända säkerhetsprotokollen bara faller åt sidan. Och så fanns det till exempel en stor sårbarhet i SMB-protokollet i en av de senaste Shadow Brokers-dumparna.
Och så kan dessa verktyg som kommer ut här inom några timmar verkligen förändra spelet på dig när det gäller din attackyta. Så när jag tänker på detta, det är något som på organisatorisk nivå, säkerhet InfoSec är sin egen funktion, måste det tas på allvar. När jag pratade om databaser kan jag ta ner det lite, du behöver inte nödvändigtvis ha som databasadministratör full förståelse för vad som händer med Shadow Brokers den här veckan, men du måste vara medveten om att alla dessa växlar , det finns saker som händer, och så i vilken utsträckning du håller ditt eget domän stramt och säkert, kommer det verkligen att hjälpa dig i det fall att saker och ting blir lurade under dig.
Så jag ville ta ett ögonblick här, innan jag började prata specifikt om SQL Server, för att faktiskt ha lite av en öppen diskussion med våra paneldeltagare om några överväganden med databassäkerhet. Så jag har kommit till denna punkt, några av de saker vi inte har nämnt, jag ville prata om SQL-injektion som en vektor. Så det här är SQL-injektion, uppenbarligen det sätt på vilket människor sätter in kommandon i ett databassystem, genom att de formaterar ingångarna.
Eric Kavanagh: Ja, jag träffade faktiskt en kille - jag tror att det var vid Andrews Air Force-basen - för cirka fem år sedan, en konsult som jag pratade med honom i korridoren och vi delade bara slags krigshistorier - ingen ordspel avsedd - och han nämnde att han hade förts in av någon för att rådfråga en ganska högt rankad medlem av militären och killen frågade honom, "Tja, hur vet vi att du är bra på vad du gör?" och detta och det. Och när han pratade med dem som han använde på sin dator, han kom in i nätverket, använde han SQL-injektion för att komma in i registret för den basen och för dessa människor. Och han hittade de personer som han pratade med och han visade bara honom på sin maskin! Och killen var som, "Hur gjorde du det?" Han sa, "Tja, jag använde SQL-injektion."
Så det var bara för fem år sedan, och det var på en flygvapenbasis, eller hur? Så jag menar, när det gäller nackdelar, är den här saken fortfarande väldigt verklig och den kan användas med riktigt skrämmande effekter. Jag menar, jag är nyfiken på att veta några krigshistorier som Robin har om ämnet, men alla dessa tekniker är fortfarande giltiga. De används fortfarande i många fall, och det är en fråga om att utbilda dig själv, eller hur?
Robin Bloor: Men ja. Ja, det är möjligt att försvara sig mot SQL-injektion genom att göra arbetet. Det är lätt att förstå varför när idén uppfanns och först spridits, det är lätt att förstå varför den var så fördömd framgångsrik, eftersom du bara kunde fästa den i ett inmatningsfält på en webbsida och få den att returnera data för dig, eller få det för att ta bort data i databasen, eller vad som helst - du kan bara injicera SQL-kod för att göra det. Men det är det som intresserade mig, är att det är du vet, du skulle behöva göra en liten bit av parsing, av alla data som lagts in, men det är fullt möjligt att upptäcka att någon försöker göra det. Och det är verkligen, jag tror att det verkligen är, för att människor fortfarande kommer undan med det, jag menar att det är riktigt konstigt att det inte har funnits ett enkelt sätt att bekämpa det. Du vet, att alla lätt skulle kunna använda, jag menar, så vitt jag vet har det inte varit, Vicky, har det?
Vicky Harp: Nåväl, faktiskt några gisslanlösningar, som SQL Azure, tror jag har några ganska bra detekteringsmetoder som är baserade på maskininlärning. Det som antagligen kommer att se i framtiden, är något som det försöker komma med en storlek passar alla. Jag tror att svaret har funnits att det inte är en storlek som passar alla, men vi har maskiner som kan lära sig vad din storlek är och se till att du passar det, eller hur? Och så att om du har ett falskt positivt, är det för att du faktiskt gör något ovanligt, det är inte för att du måste gå igenom och noggrant identifiera allt som din applikation någonsin skulle kunna göra.
Jag tror att en av anledningarna till att det verkligen fortfarande är så produktivt är att människor fortfarande litar på tredjepartsapplikationer och applikationer från ISV: er och de som smetas ut över tiden.Så du pratar om en organisation som har köpt en teknikapplikation som skrevs 2001. Och de har inte uppdaterat den, för det har inte skett några större funktionsförändringar sedan dess, och den ursprungliga författaren till den var typ av, de var inte en ingenjör , de var inte databassäkerhetsexperter, de gjorde inte saker på rätt sätt i applikationen och de avslutas som en vektor. Min förståelse är att - jag tror att det var Target-dataöverträdelsen, det riktigt stora, - attackvektorn hade varit via en av deras luftkonditioneringsleverantörer, eller hur? Så problemet med den tredje parten kan du, om du äger din egen utvecklingsbutik kan du kanske ha några av dessa regler på plats och göra det generiskt när som helst. Som organisation kan du ha hundratals eller till och med tusentals applikationer som körs med alla olika profiler. Jag tror att det är där maskininlärning kommer att komma och börja hjälpa oss mycket.
Min krigshistoria var pedagogiskt levande. Jag fick se en SQL-injektionsattack, och något som aldrig hade inträffat för mig är att använda vanlig läsbar SQL. Jag gör dessa saker som kallas fördunklade P SQL-semesterkort; Jag gillar att göra, du får denna SQL att se så förvirrande som möjligt. Theres förmörkade C ++ kodtävling som pågår i decennier nu, och dess typ av samma idé. Så vad du faktiskt fick var SQL-injektionen som fanns i ett öppet strängfält, det stängde strängen, det satte i semikolonet och sedan satte det in exec-kommando som sedan hade en serie siffror och sedan använde den i princip casting-kommando för att kasta dessa siffror i binär och sedan kasta dem, i sin tur till teckenvärden och sedan köra det. Så det är inte som att du fick se något som sa: "Radera start från produktionstabellen", det var faktiskt fyllda i numeriska fält som gjorde det mycket svårare att se. Och även när du såg det, för att identifiera vad som hände, tog det några riktiga SQL-skott, för att kunna räkna ut vad som hände, vid vilken tid naturligtvis arbetet redan hade gjorts.
Robin Bloor: Och en av de saker som bara är ett fenomen i hela hackingvärlden är att om någon hittar en svaghet och det råkar vara i en mjukvara som generellt har sålts, vet du, ett av de tidiga problemen är databaslösenordet att du fick när en databas installerades, en hel del databaser var faktiskt bara ett standard. Och en hel del DBA ändrade helt enkelt aldrig det, och därför kunde du lyckas komma in i nätverket då; du kan bara prova det lösenordet och om det fungerade, så vann du bara lotteriet. Och det intressanta är att all den informationen sprids mycket effektivt och effektivt bland hackningssamhällena på darknet-webbplatser. Och de vet. Så de kan ganska mycket göra ett svep av vad som finns där ute, hitta några fall och bara kasta automatiskt lite hacking utnyttja det, och de är i. Och det är, tror jag, att många människor som är åtminstone på periferin av allt detta, förstår inte faktiskt hur snabbt hackningsnätverket svarar på sårbarheten.
Vicky Harp: Ja, det ger faktiskt upp en annan sak som jag ville nämna innan jag går vidare, vilket är den här uppfattningen om referensstoppning, som är något som dyker upp mycket, vilket är att när dina referenser har stulits för någonstans någonstans, när som helst webbplatsen kommer dessa referenser att försöka återanvändas över hela linjen. Så om du använder duplicerade lösenord, säger, om dina användare, till och med, låter det på det sättet, kanske någon kan få tillgång via det som verkar vara en helt giltig uppsättning av uppgifter. Så låt oss säga att jag har använt samma lösenord hos Amazon och i min bank, och även på ett forum och att forumprogramvaran hackades, ja, de har mitt användarnamn och mitt lösenord. Och de kan sedan använda samma användarnamn hos Amazon, eller så använder de det vid banken. Och när det gäller banken var det en helt giltig inloggning. Nu kan du vidta avskräckliga åtgärder via den helt auktoriserade åtkomsten.
Så den typen av går tillbaka till vad jag sa om de interna överträdelserna och de interna användningarna. Om du har fått personer i din organisation som använder samma lösenord för intern åtkomst som de gör för extern åtkomst, har du möjligheten att någon kommer att komma in och utjämna dig via ett intrång på någon annan webbplats som du inte ens vet om. Och denna information sprids mycket snabbt. Det finns listor över, jag tror att den senaste belastningen med "har jag blivit pwned" av Troy Hunt, sade han att han hade en halv miljard miljarder uppgifter, vilket är - om du tänker på antalet människor på planeten - det är en verkligen stort antal referenser som har gjorts tillgängliga för referensstoppning.
Så jag ska gå lite djupare och prata om SQL Server-säkerhet. Nu vill jag säga att jag inte kommer att försöka ge dig allt du behöver veta för att säkra din SQL Server under de kommande 20 minuterna; det verkar lite av en hög ordning. Så för att till och med börja vill jag säga att det finns grupper online och resurser online som du säkert kan Google, det finns böcker, det finns dokument för bästa praxis på Microsoft, det finns ett virtuellt säkerhetskapitel för professionella medarbetare på SQL Server, theyre på security.pass.org och de har, tror jag, månatliga webbsändningar och inspelningar av webbsändningar för att på ett sätt gå över det verkliga, djupgående hur man gör SQL Server-säkerhet. Men det här är några av de saker som jag talar till dig som datapersonal, som IT-proffs, som DBA: er, jag vill att du ska veta att du behöver veta om med SQL Server-säkerhet.
Så den första är fysisk säkerhet. Så, som jag sa tidigare, är fortfarande extremt vanligt att stjäla fysiska medier. Och så det scenario som jag gav med dev-maskinen, med en kopia av din databas på dev-maskinen som blir stulen - det är en extremt vanlig vektor, det är en vektor som du måste vara medveten om och försöka vidta åtgärder mot. Det är också sant för säkerhetskopiering, så när du säkerhetskopierar dina data, måste du säkerhetskopiera den krypterad, måste du säkerhetskopiera till en säker plats. Många gånger denna information som verkligen var skyddad i databasen, så snart den börjar komma ut i periferilokaliseringar, på dev-maskiner, på testmaskiner, vi blir lite mindre försiktiga med att lappa, vi blir lite mindre vara försiktig med de människor som har tillgång till det. Nästa sak du vet, du har krypterade databasbackupar lagrade på en offentlig del i din organisation som är tillgängliga för exploatering från många olika människor. Så, tänk på fysisk säkerhet och lika enkelt som, kan någon gå upp och bara sätta en USB-nyckel på din server? Du borde inte tillåta det.
Nästa artikel jag vill att du ska tänka på är plattformsäkerhet, så uppdaterat operativsystem, uppdaterade korrigeringar. Det är väldigt tröttsamt att höra människor prata om att stanna på äldre versioner av Windows, äldre versioner av SQL Server, och tänker att den enda kostnaden för spel är kostnaden för licensuppgraderingen, vilket inte är fallet. Vi är med säkerhet, det är en ström som fortsätter att gå nerför backen och när tiden går, hittas fler exploater. Microsoft i det här fallet, och andra grupper i förekommande fall, kommer de att uppdatera äldre system till en punkt, och så småningom kommer de att falla ur support och de kommer inte att uppdatera dem längre, eftersom det bara är en oändlig process för underhåll.
Och så måste du vara på ett stött operativsystem och du måste vara uppdaterad om dina korrigeringar, och vi har hittat nyligen som hos Shadow Brokers, i vissa fall kan Microsoft ha insikt om kommande stora säkerhetsöverträdelser innan de görs offentligt, före avslöjande, så låt dig inte få alla vridna i ordning. Id snarare inte ta stilleståndet, jag snarare vänta och läsa var och en och bestäm. Du kanske inte vet vad värdet av det är förrän några veckor längs linjen efter att du fått reda på varför denna lapp inträffade. Så håll dig uppe på det.
Du bör ha din brandvägg konfigurerad. Det var chockerande i SNB-brottet hur många som kör äldre versioner av SQL Server med brandväggen helt öppen för internet, så vem som helst kunde komma in och göra vad de ville med sina servrar. Du bör använda en brandvägg. Det faktum att du ibland måste konfigurera reglerna eller göra specifika undantag för hur du gör ditt företag är ett OK pris att betala. Du måste kontrollera ytan i dina databasesystem - installerar du tjänster eller webbservrar som IIS på samma maskin? Dela samma diskutrymme, dela samma minnesutrymme som dina databaser och din privata data? Försök att inte göra det, försök att isolera det, håll ytområdet mindre, så att du inte behöver oroa dig så mycket om att se till att allt detta är säkert ovanpå databasen. Du kan typ fysiskt separera dem, plattform, separera dem, ge dig själv lite andningsrum.
Du borde inte ha superadminer som springer runt överallt och kan ha tillgång till alla dina uppgifter. OS-administratörskontona behöver inte nödvändigtvis ha åtkomst till din databas eller till underliggande data i databasen via kryptering, som väl pratar om på en minut. Och åtkomsten till databasfilerna måste du också begränsa det. Det är ett slags dumt om du skulle säga, ja, någon kan inte komma åt dessa databaser via databasen; SQL Server själva brukar inte tillåta dem att få åtkomst till den, men om de då kan gå runt, ta en kopia av själva MDF-filen, flytta den helt enkelt så, koppla den till sin egen SQL Server, du har inte verkligen åstadkommit mycket.
Kryptering, så kryptering är det berömda tvåvägssvärdet. Det finns många olika nivåer av kryptering som du kan göra på OS-nivå och det moderna sättet att göra saker för SQL och Windows är med BitLocker och på databasnivå kallas det TDE eller transparent datakryptering. Så dessa är båda sätten att hålla dina data krypterade i vila. Om du vill hålla dina data krypterade mer omfattande kan du göra krypterad - ledsen, jag har tagit ett steg framåt. Du kan göra krypterade anslutningar så att när den är i transitering, den fortfarande är krypterad så att om någon lyssnar på eller har en man mitt i en attack, har du ett visst skydd av den informationen över kabeln. Dina säkerhetskopior måste vara krypterade, som sagt, de kan vara tillgängliga för andra och sedan, om du vill att den ska krypteras i minnet och under användning, har vi kolumnkryptering och sedan har SQL 2016 denna uppfattning om "alltid krypterad" där det faktiskt är krypterat på disken, i minnet, på kabeln, hela vägen till applikationen som faktiskt använder data.
Nu är all denna kryptering inte gratis: Det finns CPU-overhead, det finns ibland för kolumnkryptering och alltid krypterat fall, det har konsekvenser för prestandan när det gäller din förmåga att göra sökningar på dessa data. Men den här krypteringen, om den är korrekt sammansatt, betyder det att om någon skulle få tillgång till dina data, skadorna minskas kraftigt, eftersom de kunde få det och då kan de inte göra något med det. Men detta är också hur ransomware fungerar, är att någon går in och sätter på dessa objekt, med sitt eget certifikat eller sitt eget lösenord och du har inte tillgång till det. Så det är därför det är viktigt att se till att du gör detta och att du har tillgång till det, men du ger inte det, öppet för andra och angripare att göra.
Och sedan, säkerhetsprinciper - Jag tänker inte utarbeta denna punkt, men se till att du inte har alla användare som kör i SQL Server som superadministratör. Dina utvecklare kanske vill ha det, olika användare kanske vill ha det - de är frustrerade över att behöva be om åtkomst för enskilda objekt - men du måste vara flitig med det, och även om det kan vara mer komplicerat, ge tillgång till objekt och databaser och de scheman som är giltiga för pågående arbete, och det finns ett specialfall, kanske det betyder en speciell inloggning, det betyder inte nödvändigtvis en höjning av rättigheterna för den genomsnittliga fallanvändaren.
Och sedan, överväganden av lagstiftningens överensstämmelse som sväljer till detta och vissa fall kan faktiskt typ av gå på deras eget sätt - så det finns HIPAA, SOX, PCI - alla dessa olika överväganden. Och när du går igenom en revision förväntas du visa att du vidtar åtgärder för att förbli i enlighet med detta. Och så, det här är mycket att hålla reda på, jag skulle säga som en DBA-att-lista, du försöker säkerställa den fysiska säkerhetskrypteringskonfigurationen, du försöker se till att tillgången till den informationen granskas för din överensstämmelse. , se till att dina känsliga kolumner, att du vet vad de är, var de är, vilka du ska kryptera och titta på åtkomst till. Och se till att konfigurationerna är i linje med de reglerande riktlinjerna som du är föremål för. Och du måste hålla detta uppdaterat när saker och ting förändras.
Så det är mycket att göra, och så om jag skulle lämna det bara där, skulle jag säga gå gör det. Men det finns många olika verktyg för det, och så, om jag kanske under de senaste minuterna, ville jag visa er några av de verktyg vi har på IDERA för det. Och de två jag ville prata om idag är SQL Secure och SQL Compliance Manager. SQL Secure är vårt verktyg för att identifiera typ av konfigurationssårbarheter. Dina säkerhetspolicyer, dina användarrättigheter, dina ytytekonfigurationer. Och den har mallar som hjälper dig att följa olika regelverk. Det i sig själv, den sista raden, kan vara anledningen för människor att överväga den. För att läsa igenom dessa olika regler och identifiera vad de betyder, PCI och sedan ta det hela vägen ner till min SQL Server i min butik, det är mycket arbete. Det är något du kan betala mycket för att konsultera pengar att göra; Vi har gått och gjort det samråd, vi har arbetat med de olika revisionsföretagen, etc., för att komma med vad dessa mallar är - något som sannolikt kommer att klara en revision om dessa är på plats. Och sedan kan du använda dessa mallar och se dem i din miljö.
Vi har också ett annat slags systerverktyg i form av SQL Compliance Manager, och det är här SQL Secure handlar om konfigurationsinställningar. SQL Compliance Manager handlar om att se vad som gjordes av vem, när. Så, dess granskning, så det låter dig övervaka aktiviteten som den inträffar och låter dig upptäcka och spåra vem som kommer åt saker. Var det någon, det prototypiska exemplet som en kändis som checkades in på ditt sjukhus, gick någon och letade efter deras information, bara av nyfikenhet? Hade de en anledning att göra det? Du kan titta på revisionshistoriken och se vad som hände, vem som fick åtkomst till dessa poster. Och du kan identifiera att detta har verktyg som hjälper dig att identifiera känsliga kolumner, så att du inte nödvändigtvis behöver läsa igenom och göra det själv.
Så om jag får, ska jag gå vidare och visa dig några av dessa verktyg här under de senaste minuterna - och snälla tänker inte betrakta det som en djupgående demo. Jag är en produktchef, inte en försäljningsingenjör, så jag ska visa dig några av de saker som jag tycker är relevanta för denna diskussion. Så detta är vår SQL Secure-produkt. Och som ni kan se här har Ive ett slags rapportkort på hög nivå. Jag körde detta, tror jag, igår. Och det visar mig några av de saker som inte är korrekt inställda och några av de saker som är korrekt inställda. Så du kan se theres ett stort antal över 100 olika kontroller som vi har gjort här. Och jag kan se att min backupkryptering på de säkerhetskopior jag har gjort, jag inte har använt backupkryptering. Mitt SA-konto, som uttryckligen heter "SA-konto" är inte inaktiverat eller bytt namn. Den offentliga serverrollen har tillstånd, så det här är allt jag kanske vill titta på att ändra.
Ive fick upp politiken här, så om jag ville inrätta en ny policy, att gälla för mina servrar, har vi alla dessa inbyggda policyer. Så jag använder en befintlig policymall och du kan se att jag har CIS, HIPAA, PCI, SR och pågår, och vi är faktiskt i processen att kontinuerligt lägga till ytterligare policyer, baserade på de saker som människor behöver ute i fältet. Och du kan också skapa en ny policy, så om du vet vad din revisor letar efter kan du skapa den själv. Och när du gör det kan du välja bland alla dessa olika inställningar, vad du behöver ha ställt in, i vissa fall har du några - låt mig gå tillbaka och hitta en av de förbyggda. Detta är bekvämt, jag kan välja, säga, HIPAA - Jag har redan fått HIPAA, min dåliga - PCI, och sedan, när jag klickar här inne, kan jag faktiskt se den externa korsreferensen till avsnittet i förordningen att detta är relaterat till. Så det hjälper dig senare, när du försöker ta reda på varför ställer jag in det här? Varför försöker jag titta på det här? Vilket avsnitt är det här relaterat till?
Detta har också ett trevligt verktyg genom att det låter dig gå in och bläddra bland dina användare, så en av de knepiga sakerna med att utforska dina användarroller, är att jag faktiskt ska ta en titt här. Så om jag visar behörigheter för min, låt oss se, låter oss välja en användare här. Visa behörigheter. Jag kan se de tilldelade behörigheterna för den här servern, men sedan kan jag klicka här och beräkna de effektiva behörigheterna, och det ger mig hela listan baserad på, så i det här fallet är det admin, så det är inte så spännande, men jag kunde gå igenom och välj de olika användarna och se vad deras effektiva behörigheter är, baserat på alla de olika grupperna som de kan tillhöra. Om du någonsin försöker göra detta på egen hand kan det faktiskt vara lite besvärligt, för att räkna ut, OK, den här användaren är medlem i dessa grupper och har därför tillgång till dessa saker via grupper, etc.
Så, hur denna produkt fungerar, är det att det tar stillbilder, så det är verkligen inte en mycket svår process att ta en stillbild av servern regelbundet och sedan håller de dessa stillbilder över tid så att du kan jämföra för ändringar. Så detta är inte en kontinuerlig övervakning i traditionell bemärkelse som ett prestationsövervakningsverktyg; detta är något som du kanske har satt upp för att köras en gång per natt, en gång i veckan - hur ofta du tycker är giltig - så att du, när du gör analysen och du gör lite mer, faktiskt bara arbetar i vårt verktyg. Du ansluter inte tillbaka så mycket till din server, så det här är ett ganska trevligt litet verktyg att arbeta med för att följa den typen av statiska inställningar.
Det andra verktyget jag vill visa er vårt Compliance Manager-verktyg. Compliance Manager kommer att övervaka på ett mer kontinuerligt sätt. Och det kommer att se vilka som gör vad på din server och låter dig titta på den. Så vad jag har gjort här, under de senaste timmarna eller så, har jag faktiskt försökt skapa några små problem. Så här har jag fått om det är ett problem eller inte, jag kanske känner till det, någon har faktiskt skapat en inloggning och lagt till den i en serverrolle. Så om jag går in och tittar på det kan jag se - jag antar att jag inte kan högerklicka där, jag kan se vad som händer.Så detta är min instrumentbräda och jag kan se att jag hade ett antal misslyckade inloggningar lite tidigare i dag. Jag hade ett gäng säkerhetsaktiviteter, DBL-aktivitet.
Så låt mig gå till mina revisionshändelser och ta en titt. Här har jag fått mina revisionshändelser grupperade efter kategori och målobjekt, så om jag tittar på den säkerheten från tidigare kan jag se DemoNewUser, detta skapade server-inloggning inträffade. Och jag kan se att inloggnings-SA skapade det här DemoNewUser-kontot här, klockan 2:42. Och sedan kan jag se att i sin tur lägger till inloggning till servern, denna DemoNewUser lades till serveradministratörsgruppen, de lades till inställningsadministratorgruppen, de lades till sysadmingruppen. Så det är något som jag skulle vilja veta att det hade hänt. Ive har också konfigurerat det så att de känsliga kolumnerna i mina tabeller spåras, så jag kan se vem som har åtkomst till den.
Så här har jag ett par utvalda som har inträffat på mitt personbord från Adventure Works. Och jag kan ta en titt och se att användaren SA på Adventure Works-bordet gjorde en utvald tiostjärna från person dot person. Så kanske i min organisation vill jag inte att folk ska välja stjärnor från person dot person, eller jag förväntar mig att bara vissa användare ska göra det, och så jag kommer att se detta här. Så, det du behöver i fråga om din revision, vi kan ställa in det baserat på ramverket och detta är lite mer ett intensivt verktyg. Den använder SQL Trace eller SQLX-händelser, beroende på version. Och det är något som du kommer att behöva ha lite utrymme på din server för att rymma, men det är en av dessa saker, typ av liknande försäkring, vilket är trevligt om vi inte behövde ha bilförsäkring - det skulle vara en kostnad som vi inte skulle måste ta - men om du har en server där du behöver hålla reda på vem som gör vad, kanske du måste ha lite extra utrymme och ett verktyg som detta för att göra detta. Oavsett om du använder vårt verktyg eller om du själv rullar det, kommer du i slutändan att ansvara för att ha denna information för lagstiftningssyfte.
Så som jag sa, inte en djupgående demo, bara en snabb, liten sammanfattning. Jag ville också visa dig ett snabbt, litet gratis verktyg i form av denna SQL-kolumnsökning, vilket är något du kan använda för att identifiera vilka kolumner i din miljö som verkar vara känslig information. Så vi har ett antal sökkonfigurationer där det letar efter de olika namnen på kolumner som vanligtvis innehåller känslig data, och sedan har Ive hela listan över dem som har identifierats. Jag har fått 120 av dem, och sedan exporterade jag dem hit, så att jag kan använda dem för att säga, släpper och ser till att jag spårar åtkomst till mellannamnet, en person prickperson eller momssats etc.
Jag vet att det blev rätt i slutet av vår tid här. Och det är allt jag faktiskt var tvungen att visa dig, så några frågor för mig?
Eric Kavanagh: Jag har ett par bra för dig. Låt mig bläddra upp här. En av de deltagande ställde en riktigt bra fråga. En av dem frågar om prestationsskatten, så jag vet att den varierar från lösning till lösning, men har du någon allmän uppfattning om vad resultatskatten är för att använda IDERA-säkerhetsverktyg?
Vicky Harp: Så på SQL Secure är det, som sagt, mycket lågt, det kommer bara att ta några tillfälliga ögonblicksbilder. Och även om du har kört ganska ofta är det att få statisk information om inställningar, och därför är det mycket lågt, nästan försumbart. När det gäller Compliance Manager är det—
Eric Kavanagh: Som en procent?
Vicky Harp: Om jag var tvungen att ge ett procenttal, ja, det skulle vara en procent eller lägre. Det är grundläggande information om hur man använder SSMS och gå in i säkerhetsfliken och utvidga saker. På Compliance-sidan är dess mycket högre - det är därför jag sa att den behöver lite utrymme - det är liksom dess långt utöver vad du har när det gäller prestationsövervakning. Nu vill jag inte skrämma människor bort från det, tricket med övervakning av överensstämmelse, och om dess revision är att se till att du bara granskar vad du kommer att vidta åtgärder på. Så när du filtrerar ner för att säga, "Hej, jag vill veta när människor har åtkomst till dessa tabeller, och jag vill veta när människor kommer åt, vidta de här åtgärderna", då kommer det att baseras på hur ofta dessa saker är händer och hur mycket data du genererar. Om du säger: "Jag vill ha fullständig SQL för alla markeringar som någonsin händer på någon av dessa tabeller", det kommer bara att bli möjligen gigabyte och gigabyte data som måste analyseras av SQL Server lagrad flyttas till vår produkt, etc. .
Om du håller det ner till ett - kommer det också att vara mer information än du antagligen skulle kunna hantera. Om du kunde ta ner det till en mindre uppsättning, så att du får ett par hundra händelser per dag, är det uppenbarligen mycket lägre. Så, på vissa sätt, skys gränsen. Om du sätter på alla inställningar på all övervakning för allt, ja, det kommer att bli en 50-procentig prestations hit. Men om du kommer att förvandla det till en sorts mer måttlig, ansedd nivå, skulle jag kanske ögongloben 10 procent? Det är verkligen en av de saker som det kommer att vara mycket beroende av din arbetsbelastning.
Eric Kavanagh: Ja visst. Det finns en annan fråga om hårdvara. Och sedan kom hårdvaruförsäljare in i spelet och samarbetar verkligen med mjukvaruleverantörer och jag svarade genom fönstret Frågor och svar. Jag känner till ett särskilt fall, av Cloudera som arbetade med Intel där Intel gjorde så enorma investeringar i dem, och en del av beräkningen var att Cloudera skulle få tidig tillgång till chipdesign och därmed kunna sätta säkerhet i chipnivån för arkitektur, vilket är ganska imponerande. Men det är ändå, det är något som kommer att komma ut där, och fortfarande kan utnyttjas av båda sidor. Känner du till några trender eller tendenser hos hårdvaruförsäljare att samarbeta med mjukvaruleverantörer om säkerhetsprotokoll?
Vicky Harp: Ja, faktiskt tror jag att Microsoft har samarbetat för att ha lite av, till exempel, minnesutrymmet för en del av krypteringsarbetet som faktiskt händer på separata chips på moderkort som är separata från ditt huvudminne, så att några av de sakerna är fysiskt separerad. Och jag tror att det faktiskt var något som kom från Microsoft när det gäller att gå ut till leverantörerna för att säga, "Kan vi komma med ett sätt att göra detta, i princip dess oadresserade minne, kan jag inte genom ett buffertöverskridande komma till detta minne , för det är inte ens där, i någon mening, så jag vet att något av det händer. ”
Eric Kavanagh: Ja.
Vicky Harp: Det är uppenbarligen de riktigt stora leverantörerna, troligen.
Eric Kavanagh: Ja. Jag är nyfiken på att se efter det, och kanske Robin, om du har en kort sekund, är jag nyfiken på att veta din erfarenhet genom åren, för igen, när det gäller hårdvara, i termer av den faktiska materialvetenskapen som går in på vad du sätter tillsammans från säljarens sida kan den informationen gå till båda sidor, och teoretiskt går vi till båda sidor ganska snabbt, så finns det något sätt att använda hårdvaran mer noggrant, från ett designperspektiv för att stärka säkerheten? Vad tror du? Robin, är du på stum?
Robin Bloor: Jaja. Jag är ledsen, jag är här; Jag funderar bara på frågan. För att vara ärlig, jag har inte fått en åsikt, det är ett område som jag inte har tittat på i betydande djup, så jag är typ av, du vet, jag kan uppfinna en åsikt, men jag vet inte riktigt. Jag föredrar att saker är säkra i mjukvara, det är precis som jag spelar, i princip.
Eric Kavanagh: Ja. Tja, folk, vi har bränt igenom en timme och förändrats här. Stort tack till Vicky Harp för hennes tid och uppmärksamhet - för all din tid och uppmärksamhet; vi uppskattar att du dyker upp för dessa saker. Det är en stor sak; det kommer inte att försvinna när som helst snart. Det är ett katt-och-mus-spel som kommer att fortsätta att gå och gå och gå. Och så var tacksamma för att vissa företag är där ute, fokuserade på att möjliggöra säkerhet, men som Vicky till och med hänvisade till och pratade lite om i sin presentation, i slutet av dagen, dess människor i organisationer som behöver tänka mycket noga över dessa phishingattacker, den här typen av socialteknik och håll i dina bärbara datorer - lämna inte det på kaféet! Ändra ditt lösenord, gör grunderna så kommer du att få 80 procent av vägen dit.
Så, med det, folk, kommer att ge dig farväl, tack än en gång för din tid och uppmärksamhet. Väl komma ihåg dig nästa gång, ta hand. Hejdå.
Vicky Harp: Tja, tack.