על ידי צוות Techopedia, 10 במאי 2017
ברק: המארח אריק קוואנה דן באבטחה והרשאות עם ד"ר רובין בלור ויקי נבל של IDERA.
אינך מחובר כרגע. התחבר או הירשם כדי לראות את הסרטון.
אריק קוואנה: אוקיי, גבירותיי ורבותיי, שלום, ברוך הבא שוב. זה יום רביעי, זה ארבע מזרחיות ובעולם הטכנולוגיה הארגונית שפירושו שהגיע הזמן שוב להוט טכנולוגיות! אכן כן. מוגש על ידי קבוצת Bloor כמובן, מופעל על ידי חברינו בטקופדיה. הנושא להיום הוא נושא ממש מגניב: "עדיף לבקש רשות: שיטות עבודה מומלצות לפרטיות וביטחון." זה נכון, זה סוג של נושא קשה, הרבה אנשים מדברים על זה, אבל זה נושא די רציני, זה באמת נהיה יותר רציני בכל יום, בכנות. זה נושא חמור במובנים רבים עבור ארגונים רבים. אנחנו נדבר על זה ואנחנו נדבר על מה שאתה יכול לעשות כדי להגן על הארגון שלך מפני הדמויות הנבזות שנראות כאילו הן בכל מקום בימינו.
אז הפרזנטור של היום הוא ויקי נבל שמתקשר מ- IDERA. אתה יכול לראות תוכנת IDERA בלינקדאין - אני אוהב את הפונקציונליות החדשה בלינקדאין. למרות שאני יכול לומר שהם מושכים כמה מיתרים בדרכים מסוימות, לא מאפשרים לך לגשת לאנשים, מנסים לגרום לך לקנות את החברות הפרמיות האלה. הנה לך, יש לנו רובין בלור משלנו, ומתקשר אליו - הוא נמצא היום באזור סן דייגו. שלך באמת כמנחה / אנליסט שלך.
אז על מה אנחנו מדברים? הפרות נתונים. פשוט לקחתי את המידע הזה מ- IdentityForce.com, הוא כבר עבר למירוצים. אנחנו במאי כמובן השנה, ויש רק המון הפרות נתונים, יש כמה כאלה באמת ענקיות, כמובן, על ידי Yahoo! היה גדול, ושמענו על כמובן שממשלת ארה"ב נפרצת. בדיוק נפרצנו הבחירות בצרפת.
זה קורה בכל מקום, זה ממשיך וזה לא הולך להפסיק, אז זו מציאות, זו המציאות החדשה, כמו שאומרים. אנו באמת צריכים לחשוב על דרכים לאכוף את אבטחת המערכות והנתונים שלנו. וזה תהליך מתמשך, כך שזה בדיוק הזמן לחשוב על כל הנושאים השונים שנכנסים לתמונה. זו רק רשימה חלקית, אבל זה נותן לך נקודת מבט על עד כמה המצב רעוע בימינו במערכות ארגוניות. ולפני המופע הזה, בסרטון הקדם-מופע שלנו דיברנו על תוכנות רנסומיות שפגעו במישהו שאני מכיר, וזו חוויה מאוד לא נעימה, כשמישהו משתלט על האייפון שלכם ודורש מכם כסף כדי לקבל גישה חזרה לטלפון שלכם. אבל זה קורה, זה קורה למחשבים, זה קורה למערכות, ראיתי בדיוק שלשום, זה קורה למיליארדרים עם היאכטות שלהם. דמיין לעצמך לנסוע יום אחד ליאכטה שלך, לנסות להרשים את כל חבריך ואתה אפילו לא יכול להדליק אותה, מכיוון שגנב כלשהו גנב גישה לפקדים, לוח הבקרה. בדיוק אמרתי לפני כמה ימים בראיון למישהו, תמיד יש לעקוף את הידנית. כאילו, אני לא מעריץ גדול של כל המכוניות המחוברות - אפילו מכוניות ניתנות לפריצה. כל דבר שקשור לאינטרנט, או שמחובר לרשת שאפשר לחדור, יכול להיפרץ, כל דבר אחר.
אז הנה כמה פריטים שכדאי לקחת בחשבון מבחינת מסגור ההקשר של עד כמה המצב חמור. מערכות מבוססות-אינטרנט נמצאות בכל מקום בימינו, הן ממשיכות להתפשט. כמה אנשים קונים דברים ברשת? זה פשוט דרך הגג בימינו, זו הסיבה שאמזון היא כוח כה חזק בימינו. זה בגלל שכל כך הרבה אנשים קונים דברים ברשת.
אז, אתה זוכר אז, לפני 15 שנה, אנשים היו די עצבניים מהכניסה של כרטיס האשראי שלהם לטופס אינטרנט כדי לקבל את המידע שלהם, ואז, הוויכוח היה, "ובכן, אם אתה מוסר את כרטיס האשראי שלך למלצר בבית מסעדה, אז זה אותו דבר. "אז התשובה שלנו היא כן, זה אותו דבר, יש את כל נקודות הבקרה האלה, או נקודות גישה, אותו דבר, צד אחר של אותו מטבע, שם ניתן להכניס אנשים לסכנה, שם מישהו יכול לקחת את הכסף שלך, או מישהו יכול לגנוב ממך.
ואז IoT כמובן מרחיב את נוף האיומים - אני אוהב את המילה הזו - על פי צווי גודל. כלומר, חשבו על זה - עם כל המכשירים החדשים האלה בכל מקום, אם מישהו יכול לפרוץ למערכת ששולטת בהם, הם יכולים להפוך את כל הבוטים האלה נגדכם ולגרום להרבה בעיות, אז זה נושא רציני מאוד. יש לנו כלכלה גלובלית בימינו, שמרחיבה את נוף האיומים ביתר שאת, ויתרה מזאת, יש לך אנשים במדינות אחרות שיכולים לגשת לרשת באותה דרך שאתה ואני יכולים, ואם אתה לא יודע לדבר רוסית, או כל מספר של שפות אחרות, אתה מתקשה להבין מה קורה כאשר הם פורצים למערכת שלך. אז יש לנו התקדמות ברשת וירטואליזציה, ובכן זה טוב.
אבל יש לי בצד ימין של תמונה זו כאן, חרב והסיבה שיש לי את זה שם היא מכיוון שכל חרב חותכת בשני הכיוונים. זו חרב פיפיות, כמו שאומרים, וזו קלישאה ישנה, אבל זה אומר שהחרב שיש לי יכולה להזיק לך או שהיא יכולה לפגוע בי. זה יכול לחזור עלי, אם על ידי ניתור בחזרה, או על ידי מישהו שייקח את זה. זה למעשה אחד מהמשלים של אייסופ - לעתים קרובות אנו נותנים לאויבינו את כלי ההרס שלנו. זה באמת קו העלילה המשכנע וקשור למישהו שהשתמש בחץ וקשת והפיל ציפור והציפור ראתה, כשהחץ מתקרב, הנוצה מאותה אחד החברים של העופות שלה הייתה בשולי החץ, בצד האחורי של החץ כדי להנחות אותו, והוא חשב לעצמו, "אוי, הנה, הנה, הנוצות שלי, המשפחה שלי הולכת להיות רגילה להוריד אותי." זה קורה כל הזמן, אתה שומע נתונים סטטיסטיים לגבי שיש לך אקדח בבית, הגנב יכול לקחת את האקדח. ובכן, הכל נכון. אז אני זורק את זה לשם אנלוגיה רק כדי לקחת בחשבון, לכל ההתפתחויות השונות הללו יש צדדים חיוביים וצדדים שליליים.
ואם כבר מדברים על, מכולות לאלו מכם שבאמת עוקבים אחר חוד החנית של מחשוב ארגוני, מכולות הן הדבר האחרון, הדרך האחרונה לספק פונקציונליות, זה באמת נישואי הווירטואליזציה בארכיטקטורה מוכוונת השירות, לפחות עבור שירותי מיקרו וזה דברים מאוד מעניינים. אתה בהחלט יכול לטשטש את פרוטוקולי האבטחה שלך ואת פרוטוקולי היישום שלך והנתונים שלך וכן הלאה, על ידי שימוש במכולות, וזה נותן לך התקדמות לפרק זמן, אך במוקדם או במאוחר, הרעים הולכים להבין את זה, אז יהיה קשה עוד יותר למנוע מהם לנצל את המערכות שלך. אז הנה, יש כוח עבודה גלובלי שמסבך את הרשת ואת האבטחה ואיפה אנשים נכנסים.
יש לנו את מלחמות הדפדפן שממשיכות להתקדם במהירות, ודורשות עבודה מתמדת כדי לעדכן ולהישאר מעודכן. אנו ממשיכים לשמוע על דפדפני Microsoft Explorer הישנים, כיצד הם נפרצו וזמינים שם. אז יש עוד כסף להרוויח פריצה בימינו, יש תעשייה שלמה, זה משהו שבן זוגי, ד"ר בלור, לימד אותי לפני שמונה שנים - תהיתי למה אנחנו רואים כל כך הרבה מזה, והוא הזכיר אני, מדובר בתעשייה שלמה שעוסקת בפריצה. ובמובן הזה, הנרטיב, שהוא אחת המילים הכי פחות אהובות עליי בנושא ביטחון, הוא באמת מאוד לא ישר, מכיוון שהנרטיב מראה לך בכל הסרטונים האלה ובכל סוג של חדשות חדשות איזה פריצה הם מראים לאיזה בחור בקפוצ'ון, יושב במרתף שלו בחדר מואר, זה בכלל לא המקרה. זה בכלל לא מייצג את המציאות. זה האקרים בודדים, יש מעט מאוד האקרים בודדים, הם שם בחוץ, הם גורמים קצת צרות - הם לא מתכוונים לגרום לצרה הגדולה, אבל הם יכולים להרוויח הרבה כסף. אז מה שקורה זה שההאקרים נכנסים, וחודרים למערכת שלך ואז מוכרים את הגישה הזו למישהו אחר, שמסתובב ומוכר אותו למישהו אחר, ואז איפשהו במורד הקו, מישהו מנצל את הגרזן הזה ומנצל אותך. ויש אין ספור דרכים לנצל את הנתונים הגנובים.
אפילו התפעלתי מעצמי מהאופן בו אנו מפארים את המושג הזה. אתה רואה את המונח הזה בכל מקום, "פריצת צמיחה" כאילו זה דבר טוב. פריצת צמיחה, אתה יודע, פריצה יכולה להיות דבר טוב, אם אתה מנסה לפעול למען החבר'ה הטובים כדי לדבר ולפרוץ למערכת, כמו שאנחנו ממשיכים לשמוע על כך עם צפון קוריאה ומשגרי הטילים שלהם, שעלולים להיפרץ - זה טוב. אבל לעתים קרובות פריצה היא דבר רע. אז עכשיו אנחנו מפארים את זה, כמעט כמו רובין הוד, כשאנחנו הזוהרנו את רובין הוד. ואז יש את החברה חסרת המזומנים, משהו שבאמת נוגע לפנסים שקיימים ממני. כל מה שאני חושב בכל פעם שאני שומע זה, "לא, בבקשה אל תעשה את זה! בבקשה אל תעשו! "אני לא רוצה שכל הכסף שלנו ייעלם. אז אלה רק כמה סוגיות שיש לקחת בחשבון, ושוב, זה משחק חתול ועכבר; זה לעולם לא ייפסק, תמיד יהיה צורך בפרוטוקולי אבטחה ולקידום פרוטוקולי אבטחה. ולניטור המערכות שלך אפילו לדעת ולחוש את מי שם בחוץ, מתוך הבנה שזה יכול להיות אפילו עבודה פנימית. אז זהו נושא מתמשך, זה הולך להיות נושא מתמשך די הרבה זמן - אל תטעו בזה.
ועם זה, אני אעביר את זה לד"ר בלור, שיכול לחלוק איתנו כמה מחשבות על אבטחת מאגרי מידע. רובין, קח את זה משם.
רובין בלור: אוקיי, אחד ההאקים המעניינים, אני חושב שזה התרחש לפני כחמש שנים, אבל בעיקרון הייתה זו חברת עיבוד כרטיסים שנפרצה. ומספר גדול של פרטי הכרטיס נגנבו. אבל הדבר המעניין בזה, מבחינתי, היה העובדה שמדובר במאגר הבדיקות שהם למעשה נכנסו אליו, וכנראה שזה היה המקרה שהם התקשו מאוד להיכנס למאגר המידע האמיתי של כרטיסי העיבוד. אבל אתה יודע איך זה עם מפתחים, הם פשוט לוקחים חתך של מסד נתונים, דוחפים אותו לשם. היה צריך להיות ערנות הרבה יותר כדי לעצור זאת. אבל יש המון סיפורי פריצה מעניינים, זה עושה בתחום אחד, זה עושה נושא מאוד מעניין.
אז אני מתכוון לחזור על דברים כאלה שאריק אמר בדרך זו או אחרת, אבל קל לחשוב על אבטחת מידע כיעד סטטי; זה קל יותר פשוט כי קל יותר לנתח מצבים סטטיים ואז לחשוב להכניס הגנות, הגנות שם, אבל זה לא. זה מטרה נע וזה אחד הדברים שמגדירים את כל מרחב האבטחה. זה פשוט בדרך שכל הטכנולוגיה מתפתחת, גם הטכנולוגיה של הרעים מתפתחת. אז סקירה קצרה: גניבת נתונים אינה דבר חדש, למעשה, ריגול נתונים הוא גניבת נתונים וזה קורה כבר אלפי שנים, אני חושב.
הנתונים הגדולים ביותר בהיסטוריה במונחים אלה היו הבריטים ששברו את הקודים הגרמנים והאמריקאים שברו את הקודים היפנים, ודי בשני המקרים הם קיצרו את המלחמה בצורה משמעותית מאוד. והם פשוט גנבו נתונים מועילים ובעלי ערך, זה היה חכם מאוד כמובן, אבל אתה יודע, מה שקורה ברגע זה מאוד חכם בהרבה מובנים. גניבת סייבר נולדה עם האינטרנט והתפוצצה בסביבות 2005. הלכתי והסתכלתי על כל הסטטיסטיקות וכשהתחלת להיות ממש רצינית, ובצורה כזו או אחרת, מספרים גבוהים להפליא שהתחילו בערך בשנת 2005. זה פשוט החמיר מאז לאחר מכן. שחקנים רבים, ממשלות מעורבים, עסקים מעורבים, קבוצות האקרים ואנשים פרטיים.
נסעתי למוסקבה - בטח זה בערך חמש שנים - ובעצם ביליתי הרבה זמן עם בחור מבריטניה, שחוקר את כל חלל הפריצה. והוא אמר את זה - ואין לי מושג אם זה נכון, יש לי רק את המילה שלו על זה, אבל נשמע מאוד סביר - שברוסיה יש משהו שנקרא הרשת העסקית, שהיא קבוצה של האקרים שכולם, אתה יודע, הם יצאו מההריסות של הק.ג.ב. והם מוכרים את עצמם, לא סתם, אני מתכוון, אני בטוח שממשלת רוסיה משתמשת בהם, אלא שהם מוכרים את עצמם לכל אחד, ושמועה, או שהוא אמר שמועה, שממשלות זרות שונות משתמשות ברשת העסקית הכחשות מתקבלת על הדעת. לחבר'ה האלה היו רשתות של מיליוני מחשבים אישיים שהתפשרו מהן. והיו להם את כל הכלים שאתה יכול לדמיין.
אז טכנולוגיית ההתקפה וההגנה התפתחה. ועל עסקים מוטלת חובת הזהירות על הנתונים שלהם, בין אם הם הבעלים של זה ובין אם לא. וזה מתחיל להיות הרבה יותר ברור מבחינת חלקי הרגולציה השונים שנמצאים בפועל כבר בתוקף, או נכנסים לתוקף. וככל הנראה ישתפר, מישהו בדרך זו או אחרת, מישהו צריך לשאת בעלות הפריצה בצורה כזו שהם מתמרצים לסגור את האפשרות. זה אחד הדברים שלדעתי נחוצים. אז לגבי ההאקרים, הם יכולים להיות ממוקמים בכל מקום. במיוחד בארגון שלך - הרבה מאוד פריצות גאוניות ששמעתי עליהן מעורב מישהו שפתח את הדלת. אתה יודע, האדם, זה כמו מצב שודדי הבנקים, כמעט תמיד נהגו לומר בשודדי בנק טובים שיש פנים. אבל המבקר צריך רק למסור מידע, כך שקשה להשיג אותם, לדעת מי זה היה, וכן הלאה וכן הלאה.
וייתכן שקשה להביא אותם לדין, מכיוון שאם קבוצת אנשים במולדובה נפרצה אליך, גם אם אתה יודע שזו הייתה הקבוצה הזו, איך אתה מתכוון לעשות אירוע משפטי כלשהו סביבם? זה סוג של, מתחום שיפוט אחד לשני, זה פשוט, אין קבוצה טובה מאוד של הסדרים בינלאומיים להצמיד את ההאקרים. הם חולקים טכנולוגיה ומידע; חלק גדול ממנו הוא קוד פתוח. אם אתה רוצה לבנות וירוס משלך, יש המון ערכות וירוס בחוץ - קוד פתוח לחלוטין. ויש להם משאבים רבים, היו מספר שהיו להם בוטנט ביותר ממיליון מכשירים שהתפשרו במרכזי נתונים ובמחשבים וכן הלאה. חלקם הם עסקים רווחיים שנמשכים זמן רב, ואז יש קבוצות ממשלתיות, כפי שציינתי. לא סביר, כמו שאריק אמר, אין זה סביר שתופעה זו תסתיים אי פעם.
אז זהו גרזן מעניין, פשוט חשבתי שאזכיר את זה, כי זה היה גרזן די לאחרונה; זה קרה בשנה שעברה. הייתה פגיעות בחוזה DAO שקשור למטבע הקריפטו אתרנט. וזה נדון בפורום, ותוך יום נפרץ חוזה ה- DAO תוך שימוש בדיוק בפגיעות זו. 50 מיליון דולר באתר נמחקו, מה שגרם למשבר מיידי בפרויקט DAO וסגירתו. והאתרנט למעשה נלחם כדי לנסות ולהשאיר את ההאקר מהגישה לכסף, והם די הפחיתו את הקח שלו. אך גם האמינו - שלא ידוע בוודאות - שהאקר למעשה קיצר את מחיר האתר לפני התקפתו, בידיעה שמחיר האתר יתמוטט, וכך הרוויח בדרך אחרת.
וזה עוד, אם תרצה, ריבוע שההאקרים יכולים להשתמש בהם. אם הם יכולים לפגוע במחיר המניה שלך, והם יודעים שהם יעשו זאת, זה רק הכרחי להם לקצר את מחיר המניה ולעשות את האק, אז זה סוג של, החבר'ה האלה חכמים, אתה יודע. והמחיר הוא גניבה של כסף, שיבוש וכופר, כולל השקעות, שם אתה משבש ומקצר את המניה, חבלה, גניבת זהות, כל מיני הונאות, רק למען הפרסום. וזה נוטה להיות ריגול מידע פוליטי, או ברור, ויש אפילו אנשים שמתפרנסים מסכני הבאג שתוכלו להשיג על ידי ניסיון לפרוץ את גוגל, אפל, פייסבוק - אפילו הפנטגון, למעשה נותנים שפע באגים. ואתה פשוט מפרץ; אם זה מצליח, אתה פשוט הולך לתבוע את הפרס שלך, ולא נגרם נזק, אז זה דבר נחמד, אתה יודע.
באותה מידה אוכל להזכיר את הציות והתקנות. מלבד יוזמות מגזריות, יש המון תקנות רשמיות: HIPAA, SOX, FISMA, FERPA ו- GLBA הם כולם חקיקה בארה"ב. יש סטנדרטים; PCI-DSS הפך לסטנדרט כללי למדי. ואז יש ISO 17799 בנושא בעלות על נתונים. התקנות הלאומיות שונות זו מזו ממדינה למדינה, אפילו באירופה. וכרגע ה- GDPR - הנתונים הגלובליים, לשם מה הוא נועד? אני חושב שזה תקנה עולמית להגנת נתונים - אבל זה נכנס לתוקף בשנה הבאה. והדבר המעניין בזה הוא שהוא חל ברחבי העולם. אם יש לך 5, 000 לקוחות ויותר, שיש לך מידע אישי עליהם והם גרים באירופה, אז אירופה אכן תיקח אותך למשימה, לא משנה אם התאגיד שלך ממוקד, או היכן הוא פועל. והעונשים, העונש המרבי הוא ארבעה אחוזים מההכנסות השנתיות, שזה פשוט עצום, כך שזה יהיה פיתול מעניין בעולם, כשזה ייכנס לתוקף.
דברים שכדאי לחשוב עליהם, ובכן, פגיעויות של DBMS, רוב הנתונים החשובים הם למעשה ישיבה במאגרי מידע. זה יקר מכיוון שהשקענו זמן לא מבוטל בהפיכתו לזמינה וארגון זה היטב וזה הופך אותו לפגיע יותר, אם אינכם מיישמים את ניירות הערך הנכונים של DBMS. ברור שאם אתה מתכוון לדברים כאלה, עליך לזהות מהם נתונים פגיעים ברחבי הארגון, תוך התחשבות בנתונים שעלולים להיות פגיעים מסיבות שונות. זה יכול להיות נתוני לקוחות, אך באותה מידה יכולים להיות מסמכים פנימיים שיהיו בעלי ערך לצורכי ריגול וכן הלאה. מדיניות האבטחה, במיוחד ביחס לאבטחת גישה - שבעבר לאחרונה הייתה לדעתי מאוד חלשה, בענייני הקוד הפתוח החדשים - ההצפנה נכנסת לשימוש יותר מכיוון שהיא די סולידית.
עלות הפרת אבטחה, רוב האנשים לא ידעו, אבל אם אתה באמת מסתכל על מה שקרה עם ארגונים שעברו הפרות אבטחה, מסתבר שעלות הפרת אבטחה היא בדרך כלל הרבה יותר גבוהה ממה שאתה חושב שזה יהיה . ואז הדבר האחר שצריך לחשוב עליו הוא משטח ההתקפה, כי כל פיסת תוכנה בכל מקום, הפועלת עם הארגונים שלך, מציגה משטח התקפה. כך גם כל אחד מהמכשירים, כך גם הנתונים, לא משנה איך הם מאוחסנים. הכל, משטח ההתקפה צומח עם האינטרנט של הדברים, ככל הנראה משטח ההתקפה יוכפל.
אז סוף סוף, DBA ואבטחת מידע. אבטחת מידע היא בדרך כלל חלק מתפקיד ה- DBA. אבל זה גם שיתופי. וזה צריך להיות כפוף למדיניות התאגידית, אחרת זה כנראה לא יושם היטב. אחרי שאמרתי את זה, אני חושב שאני יכול להעביר את הכדור.
אריק קוואנה: בסדר, תן לי לתת את המפתחות לויקי. ואתה יכול לשתף את המסך שלך או לעבור לשקופיות האלה, זה תלוי בך, קח אותו משם.
ויקי נבל: לא, אני אתחיל עם השקופיות האלה, תודה רבה. אז כן, רק רציתי לקחת רגע מהיר ולהציג את עצמי. אני ויקי נבל. אני מנהל, ניהול מוצר של מוצרי SQL בתוכנת IDERA, ולאלה מכם שאולי לא מכירים אותנו, ל- IDERA מספר קווי מוצרים, אבל אני כאן מדבר בצד השרת של SQL. וכך אנו מבצעים ניטור ביצועים, תאימות אבטחה, גיבוי, כלי ניהול - וזה פשוט סוג של רשימה שלהם. וכמובן, מה שאני כאן לדבר עליו היום זה ביטחון ותאימות.
עיקר הדברים שאני רוצה לדבר עליהם היום הם לאו דווקא המוצרים שלנו, אם כי אני מתכוון להראות כמה דוגמאות לכך בהמשך. רציתי לדבר איתך יותר על אבטחת מסד נתונים, כמה איומים בעולם אבטחת מסד הנתונים כרגע, כמה דברים שכדאי לחשוב עליהם וכמה רעיונות המקדמים של מה שאתה צריך להסתכל עליהם בכדי לאבטח את ה- SQL שלך מסדי נתונים של שרתים וגם כדי לוודא שהם תואמים את המסגרת הרגולטורית שעשויה להיות כפופה לה, כאמור. קיימות תקנות רבות ושונות; הם עוסקים בתעשיות שונות, במקומות שונים בעולם ואלה דברים שצריך לחשוב עליהם.
לכן, אני מעוניין להקדיש רגע ולדבר על מצב הפרות הנתונים - ולא לחזור על יותר מדי ממה שכבר נידון כאן - בדקתי את מחקר מחקרי האבטחה הזה של אינטל לאחרונה, ועל פני - אני חושב 1500 ארגונים בערך שהם שוחחו איתם - היו להם שש הפרות אבטחה בממוצע, מבחינת הפרות אובדן נתונים, ו -68 אחוז מאלה דרשו חשיפה במובן מסוים, ולכן הם השפיעו על מחיר המניה, או שהם נאלצו לעשות אשראי פיקוח על לקוחותיהם או על עובדיהם וכו '.
כמה נתונים סטטיסטיים מעניינים אחרים הם ששחקנים פנימיים שהיו אחראים ל -43 אחוזים מאלו. אז הרבה אנשים חושבים הרבה על האקרים ועל ארגונים מעין-ממשלתיים מוצלים מסוג זה או על פשע מאורגן וכו ', אבל שחקנים פנימיים עדיין נוקטים בפעולה ישירה נגד מעסיקיהם, בשיעור די גבוה של המקרים. ולפעמים קשה יותר להגן עליהם, מכיוון שלאנשים יכולות להיות סיבות לגיטימיות לקבל גישה למידע זה. כמחצית מזה, 43 אחוזים היו אובדן מקרי במובן מסוים. כך, למשל, במקרה שמישהו לקח נתונים הביתה ואז איבד את המעקב אחר הנתונים האלה, מה שמוביל אותי לנקודה השלישית הזו, שהיא הדברים שמדובר במדיה הפיזית עדיין היו מעורבים בכ -40 אחוז מההפרות. אז זהו מקשי USB, זה מחשבים ניידים של אנשים, זוהי מדיה ממש שנצרבה על דיסקים פיזיים ונלקחה מהבניין.
אם אתה חושב על זה, האם יש לך מפתח שיש לו עותק dev של מסד הנתונים הייצור שלך במחשב הנייד? ואז הם עולים על מטוס ויורדים מהמטוס, והם מקבלים את הכבודה המשובצת והמחשב הנייד שלהם נגנב. עברת כעת הפרת נתונים. יתכן שאתה לא בהכרח חושב שזו הסיבה שהמחשב הנייד הזה נלקח, יתכן שהוא אף פעם לא יופיע בטבע. אבל זה עדיין משהו שנחשב להפרה, זה ידרוש גילוי נאות, יש לך את כל ההשפעות במורד הזרם של איבוד הנתונים האלה, רק בגלל אובדן המדיה הפיזית ההיא.
והדבר המעניין הנוסף הוא שהרבה אנשים חושבים על נתוני אשראי, ומידע על כרטיסי אשראי הם בעלי ערך רב, אבל זה כבר לא באמת המקרה. נתונים אלה הם בעלי ערך, מספרי כרטיסי אשראי מועילים, אך בכנות, המספרים הללו משתנים במהירות רבה, ואילו הנתונים האישיים של האנשים אינם משתנים במהירות רבה. משהו שבפרסום החדשות האחרון, יחסית יחסית, VTech, יצרנית צעצועים, היה צעצועים אלה שתוכננו לילדים. ואנשים היו עושים להם שמות של ילדיהם, יהיה להם מידע על היכן הילדים גרים, היו להם שמות של הוריהם, היו להם תמונות של הילדים. שום דבר מזה לא היה מוצפן, מכיוון שהוא לא נחשב לחשוב. אבל הסיסמאות שלהם היו מוצפנות. ובכן, כאשר ההפרה קרה בהכרח, את אומרת, "בסדר, אז יש לי רשימה של שמות של ילדים, שמות של ההורים שלהם, איפה הם גרים - כל המידע הזה נמצא שם בחוץ, ואתה חושב שהסיסמה זה היה החלק היקר ביותר בזה? ”זה לא היה; אנשים לא יכולים לשנות את ההיבטים האלה לגבי הנתונים האישיים שלהם, הכתובת שלהם וכו ', וכך המידע הוא באמת חשוב מאוד והוא צריך להיות מוגן.
אז, רציתי לדבר על כמה מהדברים שקורים, לתרום לאופן בו הפרות נתונים מתרחשות ברגע זה. אחד הנקודות החמות הגדולות, החללים כרגע הוא הנדסה חברתית. אז אנשים קוראים לזה פישינג, יש התחזות וכו ', שם אנשים מקבלים גישה לנתונים, לרוב באמצעות שחקנים פנימיים, רק על ידי שכנוע שהם אמורים לקבל גישה אליהם. אז ממש שלשום היה לנו תולעת Google Docs שהסתובבה. ומה זה יקרה - ולמעשה קיבלתי עותק ממנו, אם כי למרבה המזל לא לחצתי עליו - קיבלת דוא"ל מקולגה ואמרת, "הנה קישור של Google Doc; אתה צריך ללחוץ על זה כדי לראות מה בדיוק שיתפתי איתך. "ובכן, בארגון שמשתמש ב- Google Docs, זה מאוד קונבנציונאלי, אתה תקבל עשרות מהבקשות האלה ביום. אם לחצת עליו, היא תבקש ממך אישור לגשת למסמך זה, ואולי היית אומרת, "היי, זה נראה קצת מוזר, אבל אתה יודע, זה נראה גם לגיטימי, אז אני אקדים לחץ עליו ", ומיד ברגע שעשית את זה, נתת לצד שלישי זה גישה לכל המסמכים שלך ב- Google, וכך יצרת קישור זה לשחקן חיצוני זה כדי לגשת לכל המסמכים שלך ב- Google Drive. זה תולע בכל מקום. זה פגע במאות אלפי אנשים תוך שעות ספורות. וזו הייתה ביסודה התקפת דיוג שגוגל עצמה בסופו של דבר נאלצה לסגור, מכיוון שהיא בוצעה היטב. אנשים נפלו על זה.
אני מזכיר כאן את הפרת ה- HR של SnapChat. זה היה רק עניין פשוט של לשלוח דוא"ל, התחזה שהם המנכ"ל, לשלוח דוא"ל למחלקת משאבי אנוש, באומרו "אני צריך שתשלח לי את הגיליון האלקטרוני הזה." והם האמינו להם, והם שמו גיליון אלקטרוני עם 700 עובדים שונים מידע על פיצויים, כתובות הבית שלהם וכו ', שלחו אותו בדוא"ל לצד אחר זה. זה לא היה המנכ"ל. כעת, הנתונים היו בחוץ, וכל המידע האישי והפרטי של עובדיהם היה שם בחוץ וזמין לניצול. אז הנדסה חברתית היא דבר שאני מציין אותו בעולם מסדי הנתונים, מכיוון שזה משהו שאתה יכול לנסות להגן עליו באמצעות חינוך, אבל אתה צריך גם לזכור שבכל מקום שיש לך אדם שמתקשר עם הטכנולוגיה שלך, אם אתה סומך על שיקול דעתם הטוב כדי למנוע הפסקות, אתה מבקש הרבה מהם.
אנשים עושים טעויות, אנשים לוחצים על דברים שלא היו צריכים שיהיו להם, אנשים נופלים על מעשים חכמים. ותוכלו להתאמץ מאוד להגן עליהם מפני זה, אבל זה לא מספיק חזק, עליכם לנסות להגביל את היכולת של אנשים למסור בטעות את המידע הזה במערכות מסד הנתונים שלכם. הדבר האחר שרציתי לציין שברור שאנחנו מדברים הרבה על זה הוא תוכנות רנסומטיות, בוטנות, וירוסים - כל הדרכים האוטומטיות השונות הללו. ולכן מה שאני חושב שחשוב להבין לגבי תוכנות רנסומיס זה באמת משנה את מודל הרווח עבור התוקפים. במקרה שאתה מדבר על הפרה, הם חייבים, במובן מסוים, לחלץ נתונים ולהשתמש בהם בעצמם ולהשתמש בהם. ואם הנתונים שלך מעורפלים, אם הם מוצפנים, אם הם ספציפיים לתעשייה, אולי אין להם שום ערך לזה.
עד לנקודה זו אנשים עשויים להרגיש כאילו זה הגנה עבורם, "אני לא צריך להגן על עצמי מפני הפרת נתונים, כי אם הם הולכים להיכנס למערכת שלי, כל מה שהם יצטרכו הוא, אני סטודיו לצילום, יש לי רשימה של מי יבוא באילו ימים לשנה הבאה. למי אכפת מזה? "ובכן, מסתבר שהתשובה היא שאכפת לך מזה; אתה מאחסן את המידע הזה, זה המידע הקריטי לעסק שלך. לכן, באמצעות תוכנות כופר, תוקף יגיד, "ובכן, אף אחד אחר לא הולך לתת לי כסף על זה, אבל אתה תעשה זאת." אז, הם ממנפים את העובדה שהם אפילו לא צריכים להוציא את הנתונים, הם לא אפילו לא צריך לעבור הפרה, הם רק צריכים להשתמש בכלי אבטחה באופן פוגעני נגדך. הם נכנסים למסד הנתונים שלך, הם מצפינים את תוכנו ואז הם אומרים, "בסדר, יש לנו את הסיסמה, ואתה תצטרך לשלם לנו 5, 000 דולר כדי לקבל את הסיסמה הזו, או אחרת פשוט אין לך הנתונים האלה כבר. "
ואנשים אכן משתלמים; הם מוצאים את עצמם צריכים לעשות זאת. ל- MongoDB הייתה סוג של בעיה ענקית לפני כמה חודשים, אני מניח שזה היה בינואר, שם פגעו תוכנות כופר על ידי יותר ממיליון מסדי נתונים של MongoDB שיש להם בציבור לאינטרנט, על סמך כמה הגדרות ברירת מחדל. ומה שהחמיר את זה הוא שאנשים שילמו ולכן ארגונים אחרים היו נכנסים ומצפינים מחדש או טוענים שהם היו אלה שהצפנו אותם במקור, אז כששילמת את הכסף שלך, ואני חושב שבמקרה כזה הם היו מבקשים משהו כמו 500 $, אנשים היו אומרים, "בסדר, הייתי משלם יותר מזה כדי לשלם לחוקר שיכנס לכאן כדי לעזור לי להבין מה השתבש. אני פשוט אשלם את 500 הדולר. "והם אפילו לא שילמו את זה לשחקן הנכון, אז הם היו נערמים עם עשרה ארגונים שונים שאומרים להם" יש לנו את הסיסמה "או" יש לנו יש לך דרך לבטל את הנעילה של הנתונים הכופר שלך. "ואתה צריך לשלם לכולם על מנת שאולי יעבוד אותם.
היו גם מקרים שלכותבי ransomware היו באגים, אני מתכוון, אנחנו לא מדברים על זה שזה מצב מושלם מעל הלוח, כך שאפילו ברגע שהוא הותקף, אפילו לאחר ששילמת, אין שום ערובה לכך שאתה כאשר תחזיר את כל הנתונים שלך, חלקם מסתבכים גם כן באמצעות כלי InfoSec נשק. אז מתווכי הצללים הם קבוצה שהדליפה כלים שנמצאו מ- NSA. הם היו כלים שתוכננו על ידי גורם ממשלתי לצורך ריגול ולמעשה עובדים נגד גורמים ממשלתיים אחרים. כמה מאלו היו התקפות ממש אפס-יום בפרופיל גבוה, שבאופן בסיסי גורמים לפרוטוקולי האבטחה הידועים פשוט ליפול הצידה. וכך הייתה פגיעות משמעותית בפרוטוקול SMB, למשל, באחד ממזבלות הברוקרים של הצלליות האחרונות.
וכך הכלים האלה שיוצאים לכאן יכולים, תוך מספר שעות, באמת לשנות את המשחק עליכם מבחינת משטח ההתקפה שלכם. אז בכל פעם שאני חושב על זה, זה משהו שברמה ארגונית, InfoSec אבטחה הוא תפקידו שלה, יש להתייחס אליו ברצינות. בכל פעם שאנחנו מדברים על מסדי נתונים, אני יכול להוריד את זה קצת, אתה לא בהכרח צריך להיות כמנהל מסד נתונים הבנה מלאה של מה שקורה עם מתווכי הצללים השבוע, אבל אתה צריך להיות מודע לכך שכל מבין אלה משתנים, יש דברים שקורים, וכך המידה שבה אתה שומר על התחום שלך חזק ומהודק, זה באמת יעזור לך במקרה שדברים כאלה ייקרעו מתחתיך.
אז רציתי לקחת רגע כאן, לפני שעברתי לדבר על SQL Server באופן ספציפי, לקיים דיון פתוח עם חברי הפאנל שלנו בכמה מהשיקולים עם אבטחת מסד נתונים. אז הגעתי לנקודה הזו, כמה מהדברים שלא הזכרנו, רציתי לדבר על הזרקת SQL כווקטור. אז זוהי הזרקת SQL, ברור שזו הדרך בה אנשים מכניסים פקודות למערכת בסיס נתונים, על ידי מעוותים של התשומות.
אריק קוואנה: כן, למעשה הכרתי בחור - אני חושב שזה היה בבסיס חיל האוויר של אנדרוס - לפני כחמש שנים, יועץ שדיברתי איתו במסדרון ופשוט דיברנו על סיפורי מלחמה - שום משחק מילים לא התכוון - והוא ציין שהוא הובא על ידי מישהו להתייעץ עם איש צבא בכיר למדי והבחור שאל אותו, "נו, איך אנחנו יודעים שאתה טוב במה שאתה עושה?" וזה וזה . וכשדיבר איתם הוא השתמש במחשב שלו, הוא נכנס לרשת, הוא השתמש בהזרקת SQL כדי להיכנס לרישום הדוא"ל של אותו בסיס ולאנשים אלה. והוא מצא את הדוא"ל של האדם שהוא מדבר איתו והוא פשוט הראה לו את הדוא"ל שלו במכונה שלו! והבחור היה כמו "איך עשית את זה?" הוא אמר, "ובכן, השתמשתי בהזרקת SQL."
אז, זה רק לפני חמש שנים וזה היה בבסיס חיל האוויר, נכון? אז כוונתי, מבחינת ההקשר, הדבר הזה עדיין אמיתי מאוד וניתן להשתמש בו עם אפקטים ממש אימתניים. כלומר, הייתי סקרן לדעת על סיפורי מלחמה שיש לרובין בנושא, אבל כל הטכניקות הללו עדיין תקפות. הם עדיין משמשים במקרים רבים, וזו שאלה של חינוך עצמך, נכון?
רובין בלור: טוב, כן. כן, אפשר להתגונן מפני הזרקת SQL על ידי ביצוע העבודה. קל להבין מדוע כאשר הומצא הרעיון והתפשט לראשונה, קל להבין מדוע הוא היה כה מוצלח לעזאזל, מכיוון שאתה יכול פשוט לתקוע אותו בשדה קלט בדף אינטרנט ולקבל אותו להחזיר לך נתונים, או להשיג כדי למחוק נתונים במסד הנתונים, או כל דבר אחר - תוכלו פשוט להזרים קוד SQL כדי לעשות זאת. אבל הדבר שעניין אותי הוא שזה שאתה יודע, היית צריך לעשות קצת ניתוח, מכל פיסת נתונים שהוזנה, אבל בהחלט ניתן להבחין בכך שמישהו מנסה לעשות זאת. וזה באמת, אני חושב שזה באמת, בגלל שאנשים עדיין מסתדרים עם זה, אני מתכוון שזה פשוט ממש מוזר שלא הייתה דרך קלה להילחם בזה. אתה יודע, שכולם יכולים להשתמש בהם בקלות, כלומר, עד כמה שידוע לי, לא היה ויקי?
ויקי נבל: ובכן, למעשה חלק מהפתרונות בבני ערובה, כמו SQL Azure, לדעתי יש כמה שיטות גילוי די טובות המבוססות על למידת מכונה. זה כנראה מה שנראה בעתיד, זה משהו שהוא מנסה לבוא עם הגודל האחד שמתאים לכל. אני חושב שהתשובה הייתה שאין גודל אחד שמתאים לכל, אבל יש לנו מכונות שיכולות ללמוד מה הגודל שלך ולוודא שאתה מתאים לזה, נכון? וכך שאם יש לך חיובית שגויה, זה בגלל שאתה בעצם עושה משהו חריג, זה לא בגלל שנאלצת לעבור ולזהות בקפדנות את כל מה שהיישום שלך עשוי לעשות אי פעם.
אני חושב שאחת הסיבות שזה באמת כל כך פורה היא שאנשים עדיין סומכים על יישומים של צד שלישי, ויישומים של שירותי ISV ואלו נמרחים לאורך זמן. אז אתה מדבר על ארגון שקנה יישום הנדסי שנכתב בשנת 2001. והם לא עדכנו אותו מכיוון שלא היו שינויים פונקציונליים גדולים מאז, והמחבר המקורי של זה היה סוג של, הם לא היו מהנדסים, הם לא היו מומחים לאבטחת בסיסי נתונים, הם לא עשו דברים בצורה הנכונה ביישום והם בסופו של דבר להיות וקטור. ההבנה שלי היא שנדמה לי שזו הייתה הפרת נתוני היעד, הגדולה באמת - וקטור ההתקפה היה דרך אחד מספקי המזגנים שלהם, נכון? אז, הבעיה עם הצד השלישי ההוא, אתה יכול, אם יש לך חנות לפיתוח משלך, אולי תוכל להחזיק כמה מהכללים הללו במקום לעשות זאת באופן כללי בכל פעם. כארגון יתכנו מאות או אפילו אלפי אפליקציות הפועלות, עם כל הפרופילים השונים. אני חושב שכאן לימוד מכונות יתחיל לעזור לנו הרבה.
סיפור המלחמה שלי היה חיים חינוכיים. יצא לי לראות התקף הזרקת SQL, ומשהו שמעולם לא עלה בדעתי הוא להשתמש ב- SQL קריא רגיל. אני עושה את הדברים האלה שנקראים כרטיסי חג SQL מעורפלים; אני אוהב לעשות, אתה גורם ל- SQL הזה להיראות מבלבל ככל האפשר. יש תחרות קוד מוסתרת C ++ שנמשכת כבר עשרות שנים וזה סוג של אותו רעיון. אז מה שקיבלת בפועל היה הזרקת SQL שנמצאת בשדה מחרוזת פתוח, היא סגרה את המחרוזת, היא הכניסה את נקודה-הפסיק ואז היא הכניסה פקודה exec שאז הייתה סדרה של מספרים ואז היא בעצם השתמשה ב הפקודה לליהוק כדי להעביר את המספרים האלה לבינארי ואז להעביר אותם, בתורם, לערכי תווים ואז לבצע את זה. אז זה לא כמו שצריך לראות משהו שאמר "מחק את ההפעלה משולחן הייצור", זה למעשה היה ממולא בשדות מספריים שהקשו לראות את זה הרבה יותר. ואפילו ברגע שראיתם את זה, כדי לזהות מה קורה, נדרשו כמה צילומי SQL אמיתיים, בכדי להיות מסוגלים להבין מה קורה, ואיזה שעה כמובן שהעבודה כבר נעשתה.
רובין בלור: ואחד הדברים שזה רק תופעה בכל עולם ההאקינג הוא שאם מישהו ימצא חולשה וזה קורה בחלק מהתוכנה שנמכרת בדרך כלל, אתה יודע, אחת הבעיות המוקדמות היא סיסמת בסיס הנתונים שניתנה לך בעת התקנת בסיס נתונים, הרבה בסיסי נתונים היו למעשה כברירת מחדל. והרבה DBA פשוט מעולם לא שינו את זה, ולכן יכולת להצליח להיכנס לרשת אז; אתה יכול פשוט לנסות את הסיסמא הזו ואם זה עובד, ובכן, אתה פשוט זכית בלוטו. והדבר המעניין הוא שכל המידע הזה מופץ ביעילות וביעילות רבה בקרב קהילות הפריצה באתרי darknet. והם יודעים. אז הם יכולים לעשות כמעט טאטא ממה שיש שם, למצוא כמה מקרים ופשוט אוטומטית לזרוק לזה ניצול פריצה, והם נמצאים. וזה, אני חושב, שהרבה אנשים שנמצאים לפחות על בפריפריה של כל זה, אינני מבין כמה מהר רשת הפריצות מגיבה לפגיעות.
ויקי נבל: כן, זה בעצם מעלה עוד דבר שרציתי לציין לפני שאמשיך הלאה, וזה הרעיון של מלית אישורים, וזה משהו שצץ הרבה, וזה שברגע שגילו את האישורים שלך למישהו בכל מקום, בכל אתר, ניתנת לשימוש חוזר בתעודות אלה בכל הכביש. לכן, אם אתה משתמש בסיסמאות כפולות, נניח, אם המשתמשים שלך הם, אפילו, בוא נגיד את זה ככה, מישהו אולי יוכל לקבל גישה דרך מה שנראה כסט אישורים תקף לחלוטין. אז בואו נגיד שהשתמשתי באותה סיסמה באמזון ובבנק שלי, וגם בפורום ותוכנת הפורום נפרצה, ובכן, יש להם את שם המשתמש והסיסמה שלי. ואז הם יכולים להשתמש באותו שם משתמש באמזון, או להשתמש בהם בבנק. ומבחינת הבנק זה היה כניסה חוקית לחלוטין. עכשיו אתה יכול לנקוט בפעולות מצערות באמצעות הגישה המורשית לחלוטין.
אז, סוג כזה חוזר שוב למה שאמרתי על הפריצות הפנימיות והשימושים הפנימיים. אם יש לך אנשים בארגון שלך המשתמשים באותה סיסמה לגישה פנימית שהם עושים לצורך גישה חיצונית, יש לך אפשרות שמישהו ייכנס ולהתחזה לך באמצעות הפרה באתר אחר שאתה לא מציב אני אפילו לא יודע על זה. והנתונים האלה מופצים מהר מאוד. ישנן רשימות של, אני חושב שהעומס האחרון ש"הוצמדתי "על ידי טרוי האנט, הוא אמר שיש לו חצי מיליארד סט אישורים, וזה אם אתה מחשיב את מספר האנשים בכוכב הלכת - זה מספר גדול מאוד של אישורים שהועמדו לרשות מילוי האישורים.
אז אני הולך להעמיק מעט יותר ולדבר על אבטחת SQL Server. עכשיו אני רוצה לומר שאני לא מתכוון לנסות לתת לך את כל מה שאתה צריך לדעת כדי לאבטח את SQL Server שלך בעשרים הדקות הבאות; זה נראה קצת מסדר גבוה. אז, אפילו לצאת לדרך, אני רוצה לומר שיש קבוצות מקוונות ומשאבים ברשת שאפשר בהחלט לגוגל, יש ספרים, יש מסמכי תרגול מיטבי במיקרוסופט, יש פרק וירטואלי אבטחה למקורבים המקצועיים ב- SQL Server, הם באתר security.pass.org ויש להם, אני מאמין, שידורי אינטרנט והקלטות של שידורי אינטרנט כדי לעבור על האופן המעמיק האמיתי כיצד לבצע אבטחת SQL Server. אבל אלה כמה מהדברים שאני, מדבר אליך כאנשי מקצוע בתחום נתונים, כמומחי IT, כ- DBA, אני רוצה שתדע שאתה צריך לדעת עליהם עם אבטחת SQL Server.
אז הראשון הוא ביטחון גופני. לכן, כמו שאמרתי קודם, גניבת מדיה פיזית היא עדיין נפוצה ביותר. וכך התרחיש שנתתי עם מכשיר ה- dev, עם עותק של מסד הנתונים שלך במחשב ה- dev שנגנב - זה וקטור נפוץ ביותר, זה וקטור שאתה צריך להיות מודע אליו ולנסות לנקוט בפעולות נגד. זה נכון גם לאבטחת הגיבוי, כך שבכל פעם שאתה מגבה את הנתונים שלך, אתה צריך לגבות אותם מוצפן, אתה צריך לגבות למיקום מאובטח. הרבה פעמים הנתונים שהוגנו באמת במסד הנתונים, ברגע שהוא מתחיל לצאת למיקומי פריפריה, למחשבי dev, למכונות בדיקה, אנחנו קצת פחות מקפידים על התיקון, אנחנו קצת פחות נזהר באנשים שיש להם גישה אליו. הדבר הבא שאתה יודע, יש לך גיבויים לא מוצפנים של מסד נתונים המאוחסנים בשיתוף ציבור בארגון שלך, שניתן יהיה להשתמש בהם להרבה אנשים שונים. אז, חשוב על אבטחה גופנית ופשוטה ככל שמישהו יכול לקום ופשוט להכניס מפתח USB לשרת שלך? אתה לא אמור לאפשר זאת.
הפריט הבא שאני רוצה שתחשבו עליו הוא אבטחת פלטפורמות, כך מערכת הפעלה עדכנית, תיקונים עדכניים. זה מאוד מייגע לשמוע אנשים מדברים על הישארות בגרסאות ישנות יותר של Windows, גרסאות ישנות יותר של SQL Server, מתוך מחשבה שהעלות היחידה במשחק היא עלות שדרוג הרישוי, וזה לא המקרה. אנחנו עם ביטחון, זה נחל שממשיך לרדת במורד הגבעה וככל שעובר הזמן, נמצאים עוד מעלולים. מיקרוסופט במקרה זה, וקבוצות אחרות לפי העניין, הן יעדכנו מערכות ישנות יותר לנקודה, ובסופו של דבר הן ייפולו מתמיכה והן לא עודכנו אותן יותר, כי זה פשוט תהליך שאינו נגמר של תחזוקה.
וכך, אתה צריך להיות במערכת הפעלה נתמכת ואתה צריך להיות מעודכן בתיקונים שלך, ומצאנו לאחרונה כמו עם מתווכי צללים, בחלק מהמקרים של מיקרוסופט עשויה להיות תובנה לגבי הפרות אבטחה משמעותיות הקרובות, לפנין מתפרסמים לפני הגילוי, אז אל תתנו לעצמכם להיפטר מכל הסדר. אני מעדיף לא לקחת את ההשבתה, אני מעדיף לחכות ולקרוא כל אחד מהם ולהחליט. יתכן שלא תדע מה הערך שלו עד שבועות ספורים בתור לאחר שתגלה מדוע התיקון הזה התרחש. אז, הישאר עם זה.
עליך להגדיר את חומת האש שלך. זה היה מזעזע מהפרת SNB כמה אנשים מריצים גרסאות ישנות יותר של SQL Server עם חומת האש פתוחה לחלוטין לאינטרנט, כך שכל אחד יוכל להיכנס ולעשות כל מה שרצה עם השרתים שלהם. אתה אמור להשתמש בחומת אש. העובדה שאתה צריך לפעמים לקבוע את התצורה של החוקים או לבצע חריגים ספציפיים לדרך בה אתה עושה את העסק שלך, זה מחיר טוב לשלם. אתה צריך לשלוט על שטח הפנים במערכות מסד הנתונים שלך - האם אתה מתקין שירותים או שרתי אינטרנט כמו IIS באותה התקנה? חולקים את אותו שטח דיסק, חולקים את אותו שטח זיכרון כמו בסיסי הנתונים והנתונים הפרטיים שלך? נסה לא לעשות זאת, נסה לבודד אותו, שמור על שטח הפנים קטן יותר, כך שלא תצטרך לדאוג כל כך לוודא שכל זה מאובטח בראש מסד הנתונים. אתה יכול להפריד פיזית בין אלה, לפלטפורמה, להפריד ביניהם, לתת לעצמך קצת חדר נשימה.
לא אמור להיות לכם מנהלי-על שעוברים בכל מקום ויכולים לקבל גישה לכל הנתונים שלכם. חשבונות מנהלי מערכת ההפעלה עשויים שלא בהכרח להיות זקוקים לגישה למסד הנתונים שלך, או לנתונים העומדים בבסיס הנתונים באמצעות הצפנה, עליהם נדבר בעוד רגע. והגישה לקבצי מסד הנתונים, עליכם להגביל גם את זה. זה די מטופש אם היית אומר, ובכן, מישהו לא יכול לגשת למאגרים האלה דרך בסיס הנתונים; שרת SQL עצמו לא יאפשר להם לגשת אליו, אבל אם הם יוכלו להסתובב, לקחת עותק של קובץ ה- MDF בפועל, להעביר אותו פשוט כך, לצרף אותו לשרת ה- SQL שלהם, לא ממש הצלחת להשיג הרבה.
הצפנה, אז הצפנה היא אותה חרב דו כיוונית מפורסמת. יש הרבה רמות הצפנה שונות שאתה יכול לעשות ברמת מערכת ההפעלה והדרך העכשווית לעשות דברים עבור SQL ו- Windows היא עם BitLocker וברמת בסיס הנתונים זה נקרא TDE או קידוד נתונים שקוף. אז, שתי אלה הן דרכים לשמור על נתונים מוצפנים במנוחה. אם אתה רוצה לשמור על הנתונים שלך מוצפנים בצורה יותר מקיפה, אתה יכול לעשות מוצפן - סליחה, צעדתי לפני. אתה יכול ליצור חיבורים מוצפנים כך שבכל פעם שהם עוברים, הם עדיין מוצפנים כך שאם מישהו מקשיב פנימה או שיש גבר באמצע התקפה, יש לך הגנה מסוימת על נתונים אלה על החוט. צריך להצפין את הגיבויים שלך, כמו שאמרתי, הם עשויים להיות נגישים לאחרים ואז, אם אתה רוצה שהוא יוצפן בזיכרון ובמהלך השימוש, יש לנו קידוד עמודות ואז ל- SQL 2016 הרעיון הזה של "תמיד מוצפן "היכן שהוא מוצפן בדיסק, בזיכרון, בחוט, כל הדרך ליישום שעושה שימוש בנתונים.
כעת, כל ההצפנה הזו אינה חינמית: יש תקורה של מעבד, יש לפעמים להצפנת העמודות ולמקרה המוצפן תמיד, יש השלכות על הביצועים מבחינת היכולת שלך לבצע חיפושים על נתונים אלה. עם זאת, הצפנה זו, אם היא מורכבת כראוי, פירוש הדבר שאם מישהו היה מקבל גישה לנתונים שלך, הנזק מצטמצם מאוד, מכיוון שהם הצליחו להשיג אותם ואז הם לא יכולים לעשות עם זה כלום. עם זאת, זו גם הדרך בה ransomware עובד, היא שמישהו נכנס ומדליק את הפריטים האלה, עם אישור משלו או סיסמא משלו ואין לך גישה אליו. לכן, חשוב לוודא שאתה עושה זאת, ויש לך גישה לזה, אך אינך נותן את זה, פתוח לאחרים ותוקפים לעשות זאת.
ואז, עקרונות אבטחה - אני לא מתכוון לפרט את הנקודה הזו, אלא לוודא שאין לך כל משתמש הפועל ב- SQL Server כמנהל-על. המפתחים שלך עשויים לרצות את זה, משתמשים אחרים עשויים לרצות את זה - הם מתוסכלים מהצורך לבקש גישה לפריטים בודדים - אבל אתה צריך להיות שקד בקשר לזה, ולמרות שזה עשוי להיות מסובך יותר, תן גישה לאובייקטים ו מסדי הנתונים והסכמות תקפים לעבודה שוטפת, ויש מקרה מיוחד, אולי זה אומר כניסה מיוחדת, זה לא אומר בהכרח העלאת זכויות, למשתמש המקרה הממוצע.
ואז, ישנם שיקולי ציות לתקנות שמשתלבים בזה ובמקרים מסוימים עשויים למעשה להיפטר בדרכם שלהם - כך שיש HIPAA, SOX, PCI - יש את כל השיקולים השונים הללו. וכשאתה עובר ביקורת, צפוי לך להראות שאתה נוקט בפעולות כדי להישאר בקנה אחד עם זה. וכך, יש הרבה מה לעקוב אחריו, הייתי אומר כרשימת מטלות של DBA, אתה מנסה להבטיח את תצורת ההצפנה הפיזית של האבטחה, אתה מנסה לוודא שהגישה לאותם נתונים מבוקרת. למטרות התאמה שלך, וודא שהעמודות הרגישות שלך, שאתה יודע מה הן, היכן הן נמצאות, אילו מהן אתה צריך להצפין ולצפות בגישה אליהן. וודא כי התצורות תואמות את ההנחיות הרגולטוריות שאתה כפוף להן. ועליכם להתעדכן כל זה כאשר הדברים משתנים.
אז, זה הרבה לעשות, ולכן אם הייתי משאיר את זה רק שם, הייתי אומר לך. אבל יש הרבה כלים שונים לזה, ולכן, אם אוכל בדקות האחרונות, רציתי להראות לכם כמה מהכלים שיש לנו ב- IDERA לשם כך. והשניים שרציתי לדבר עליהם היום הם SQL Secure ו- SQL Compliance Manager. SQL Secure הוא הכלי שלנו לסייע בזיהוי סוג של פגיעויות התצורה. מדיניות האבטחה שלך, הרשאות המשתמש שלך, תצורות שטח הפנים שלך. ויש לו תבניות שיעזרו לך לעמוד במסגרות רגולטוריות שונות. זה כשלעצמו, השורה האחרונה הזו, עשויה להיות הסיבה שאנשים ישקלו בה. מכיוון שקראתי את התקנות השונות האלה וזיהה את המשמעות של אלה, PCI ואז לוקח את זה כל הדרך אל SQL Server בחנות שלי, זו עבודה רבה. זה משהו שאתה יכול לשלם הרבה כסף לייעוץ לעשות; עברנו את הייעוץ הזה, עבדנו עם חברות הביקורת השונות וכו ', כדי לבחון מה הן התבניות האלו - דבר שעשוי לעבור ביקורת אם אלה קיימים. ואז אתה יכול להשתמש בתבניות האלה ולראות אותן בסביבה שלך.
יש לנו גם כלי אחות מסוג אחר בצורה של SQL Compliance Manager, וכאן SQL Secure עוסק בהגדרות תצורה. SQL Compliance Manager עוסק במציאת מה נעשה על ידי מי, מתי. לכן, מדובר בביקורת, כך שהיא מאפשרת לעקוב אחר הפעילות בזמן שהיא מתרחשת ולאפשר לכם לאתר ולעקוב אחר מי הגישה לדברים. האם מישהו, שהדוגמה האבטיפוסית שלו הייתה ידוען שנבדקה בבית החולים שלך, מישהו הלך וחיפש את המידע שלהם, רק מתוך סקרנות? האם הייתה להם סיבה לעשות זאת? אתה יכול להסתכל בהיסטוריית הביקורת ולראות מה קורה, מי ניגש לרשומות האלה. ותוכלו לזהות שיש לזה כלים שיעזרו לכם לזהות עמודות רגישות, כך שאתם לא בהכרח צריכים לקרוא ולעשות את הכל בעצמכם.
לכן, אם יורשה לי, אני הולך להמשיך ולהראות לכם כמה מהכלים הללו כאן בדקות האחרונות האחרונות - ואל נא לא רואים בזה הדגמה מעמיקה. אני מנהל מוצר, לא מהנדס מכירות, אז אני הולך להראות לך כמה מהדברים שלדעתי רלוונטיים לדיון הזה. אז זהו, מוצר ה- SQL Secure שלנו. וכפי שאתה יכול לראות כאן, יש לי סוג של כרטיס דוח ברמה גבוהה זו. ניהלתי את זה, אני חושב, אתמול. וזה מראה לי כמה מהדברים שלא מוגדרים נכון וחלק מהדברים שמוגדרים נכון. אז אתה יכול לראות שיש מספר לא מבוטל של למעלה ממאה בדיקות שונות שעשינו כאן. ואני יכול לראות שהצפנת הגיבוי שלי בגיבויים שעשיתי, לא השתמשתי בהצפנת גיבוי. חשבון SA שלי, המכונה במפורש "חשבון SA" אינו מושבת או שונה שמו. לתפקיד השרת הציבורי יש הרשאה, כך שכל הדברים שאולי תרצה להסתכל עליהם משתנים.
יש לי את המדיניות שמוגדרת כאן, כך שאם הייתי רוצה להגדיר מדיניות חדשה, שתחול על השרתים שלי, יש לנו את כל המדיניות המובנית הזו. אז, אני אשתמש בתבנית מדיניות קיימת ותוכל לראות שיש לי CIS, HIPAA, PCI, SR ונמשך, ואנחנו למעשה נמצאים בתהליך של הוספה מתמדת של מדיניות נוספת, על בסיס הדברים שאנשים צריכים בתחום. . ואתה יכול גם ליצור מדיניות חדשה, כך שאם אתה יודע מה המבקר שלך מחפש, אתה יכול ליצור אותה בעצמך. ואז, כשאתה עושה זאת, אתה יכול לבחור בין כל ההגדרות השונות הללו, את מה שאתה צריך להגדיר, בחלק מהמקרים, יש לך כמה - הרשו לי לחזור ולמצוא אחת מהבנות שהוקמו מראש. זה נוח, אני יכול לבחור, לומר, HIPAA - יש לי כבר HIPAA, הגרוע שלי - PCI, ואז, כשאני לוחץ כאן, אני באמת יכול לראות את ההפניה החיצונית לקטע של תקנה שזה קשור. אז זה יעזור לך אחר כך, כשאתה מנסה להבין מדוע אני מגדיר זאת? מדוע אני מנסה להסתכל על זה? לאיזה קטע זה קשור?
יש לזה גם כלי נחמד בכך שהוא מאפשר לך להיכנס ולעיין במשתמשים שלך, כך שאחד הדברים המסובכים בבחינת תפקידי המשתמש שלך הוא שלמעשה אני הולך לבדוק כאן. לכן, אם אני מציג הרשאות שלי, בואו נראה, בואו לבחור משתמש כאן. הצג הרשאות. אני יכול לראות את ההרשאות שהוקצו לשרת זה, אבל אז אני יכול ללחוץ כאן למטה ולחשב את ההרשאות האפקטיביות וזה ייתן לי את הרשימה המלאה המבוססת על, כך שבמקרה זה זה מנהל, אז זה לא כל כך מרגש, אבל יכולתי לעבור ולבחור את המשתמשים השונים ולראות מהן ההרשאות האפקטיביות שלהם, על סמך כל הקבוצות השונות שאולי הן שייכות אליהן. אם אי פעם תנסו לעשות זאת בעצמכם, זה יכול להיות קצת טרחה, להבין, אוקיי, המשתמש הזה הוא חבר בקבוצות האלה ולכן יש לו גישה לדברים האלה דרך קבוצות וכו '.
לכן, אופן פעולתו של מוצר זה היא צילום תמונות, כך שזה ממש לא תהליך קשה במיוחד של צילום תמונה של השרת על בסיס קבוע ואז הוא שומר על תמונות אלה לאורך זמן, כך שתוכל להשוות בין שינויים. אז זהו, שלא מדובר במעקב רציף במובן המסורתי של כמו כלי לניטור ביצועים; זה משהו שאתה יכול להגדיר להפעיל פעם אחת בלילה, פעם בשבוע - עם זאת, לעיתים קרובות אתה חושב שהוא תקף - כך שבכל פעם שאתה מבצע את הניתוח ואתה עושה קצת יותר, אתה למעשה פשוט עובד בתוך הכלי שלנו. אתה לא מתחבר כל כך לשרת שלך, אז זהו כלי די נחמד לעבוד איתו בכדי שתוכל לעמוד בהגדרות סטטיות מסוג זה.
הכלי האחר שאני רוצה להראות לכם הוא הכלי שלנו למנהל ציות. מנהל הציות עומד לפקח בצורה רציפה יותר. וזה הולך לראות מי עושה מה בשרת שלך ולאפשר לך להסתכל על זה. אז מה שעשיתי כאן, בשעות האחרונות האחרונות בערך, ניסיתי ליצור כמה בעיות קטנות. אז הנה, בין אם זו בעיה ובין אם לא, אולי אני יודע על זה, מישהו בעצם יצר כניסה והוסיף אותו לתפקיד שרת. לכן, אם אני נכנסת ומסתכל על זה, אני יכול לראות - אני מניח שאיני יכול ללחוץ שם ימינה, אני יכול לראות מה קורה. אז זהו לוח המחוונים שלי ואני יכול לראות שהיו לי מספר כניסות כושלות מעט מוקדם יותר היום. הייתה לי חבורה של פעילות ביטחונית, פעילות DBL.
אז הרשו לי לעבור לאירועי הביקורת שלי ולהסתכל. כאן יש לי את אירועי הביקורת שלי מקובצים לפי קטגוריות ואובייקטי יעד, כך שאם אני מסתכל על האבטחה ההיא מקודם, אוכל לראות DemoNewUser, כניסה ליצירת שרת זו התרחשה. ואני יכול לראות ש- SA ההתחברות יצר את חשבון DemoNewUser זה, כאן בשעה 14:42 ואז, אני יכול לראות שבתורו, הוסף כניסה לשרת, DemoNewUser זה נוסף לקבוצת השרת של השרת, הם נוספו ל הגדרת קבוצת מנהל המערכת, הם נוספו לקבוצת מערכת הניהול. אז זה משהו שהייתי רוצה לדעת שקרה. יש לי גם להגדיר את זה כך לעקוב אחר העמודות הרגישות בטבלאות שלי, כך שאוכל לראות מי ניגש אליו.
אז הנה, יש לי כמה נבחרים שהתרחשו על שולחן האדם שלי, מתוך עבודות הרפתקאות. ואני יכול להסתכל ולראות שהמשתמש SA בשולחן עבודות הרפתקאות עשה את עשרת הכוכבים המובילים מבין האדם הנקודה האישית. אז אולי בארגון שלי אני לא רוצה שאנשים יבחרו כוכבים מאדם נקודה, או שאני מצפה שרק משתמשים מסוימים יעשו זאת ולכן אני אראה זאת כאן. אז, מה שאתה צריך מבחינת הביקורת שלך, אנחנו יכולים להגדיר את זה על בסיס המסגרת וזה קצת יותר כלי אינטנסיבי. זה משתמש באירועי SQL Trace, או SQLX, תלוי בגירסה. וזה משהו שתצטרך שיהיה לך איזו מקום על השרת שלך בכדי להכיל אותו, אבל זה אחד הדברים האלה, סוג של ביטוח, כמו שנחמד אם לא היינו צריכים להיות בעלי ביטוח רכב - זה יהיה עלות שלא נצטרך לקחת - אבל אם יש לך שרת שבו אתה צריך לעקוב אחר מי שעושה מה, ייתכן שיהיה עליך קצת מרווח ראש נוסף וכלי כזה כדי לעשות זאת. בין אם אתה משתמש בכלי שלנו או שאתה מגלגל אותו בעצמך, בסופו של דבר אתה תהיה אחראי למידע זה למטרות ציות לתקנות.
אז כמו שאמרתי, לא הדגמה מעמיקה, רק סיכום מהיר וקטן. רציתי גם להראות לך כלי מהיר וחינמי מהיר בצורה של חיפוש SQL עמודות זה, וזה דבר שתוכל להשתמש בו כדי לזהות באילו עמודות בסביבתך נראה מידע רגיש. אז יש לנו מספר תצורות חיפוש בהן היא מחפשת את השמות השונים של העמודות שמכילים בדרך כלל נתונים רגישים, ואז יש לי את כל הרשימה הזו שזוהתה. יש לי 120 כאלה ואז ייצאתי אותם לכאן, כדי שאוכל להשתמש בהם בכדי לומר, בואו נעבור ונוודא שאני עוקב אחר הגישה לשם האמצעי, אדם אחד נקודה או מס מכירות שיעור וכו '.
אני יודע שאנחנו מתחילים בסוף ימינו כאן. וזה כל מה שבאמת הייתי צריך להראות לך, אז יש לך שאלות בשבילי?
אריק קוואנה: יש לי כמה טובים בשבילך. תן לי לגלול את זה כאן. אחד הנוכחים שאל שאלה ממש טובה. אחד מהם שואל על מס הביצועים, כך שאני יודע שזה משתנה בין פיתרון לפיתרון, אבל האם יש לך מושג כללי לגבי מס הביצועים לשימוש בכלי אבטחה של IDERA?
וויקי נבל: אז ב- SQL Secure, כמו שאמרתי, הוא נמוך מאוד, זה פשוט הולך לקחת כמה תמונות מזדמנות. וגם אם אתה פועל לעתים קרובות למדי, זה מקבל מידע סטטי על הגדרות, ולכן הוא נמוך מאוד, כמעט זניח. מבחינת מנהל הציות, זהו -
אריק קוונהאג: כמו אחוז אחד?
ויקי נבל: אם הייתי צריך לתת מספר אחוזים, כן, זה היה אחוז אחד או נמוך יותר. זה מידע בסיסי על סדר השימוש ב- SSMS והיכנס ללשונית האבטחה והרחבת הדברים. בצד של ציות, זה הרבה יותר גבוה - בגלל זה אמרתי שהוא צריך קצת מרווח ראש - זה כאילו זה הרבה מעבר למה שיש לך מבחינת ניטור ביצועים. עכשיו, אני לא רוצה להפחיד אנשים מזה, הטריק עם פיקוח על ציות, ואם זה ביקורת הוא לוודא שאתה רק מבקר את מה שאתה הולך לנקוט בפעולה. אז ברגע שתסננו למטה ואמרו "היי, אני רוצה לדעת מתי אנשים ניגשים לטבלאות הספציפיות הללו, ואני רוצה לדעת בכל פעם שאנשים ניגשים, יבצעו את הפעולות הספציפיות הללו", אז זה יהיה מבוסס על התדירות שבה הדברים האלה קורה וכמה נתונים אתה מייצר. אם אתה אומר, "אני רוצה את הטקסט SQL המלא של כל בחירה שמתרחשת אי פעם על אחת מהטבלאות האלה", זה פשוט הולך להיות גיגה-בייט וג'יגה-בייט של נתונים שצריכים לעבור ניתוח על ידי SQL Server המאוחסנים הועברו למוצר שלנו, וכו '
אם אתה ממשיך את זה ל - זה יהיה מידע נוסף מכפי שאתה בטח יכול להתמודד איתו. אם היית יכול להוריד את זה למערכה קטנה יותר, כך שתקבל כמה מאות אירועים ביום, ברור שזה הרבה יותר נמוך. אז באמת, במובנים מסוימים, השמיים הם הגבול. אם תפעיל את כל ההגדרות על כל הניטור לכל דבר, כן, זה יהיה להיט ביצועים של 50 אחוז. אבל אם אתה מתכוון להפוך אותו לסוג של מתון ונחשב יותר, הייתי אולי גלגל העין 10 אחוז? זה באמת, זה אחד הדברים האלה שזה יהיה מאוד תלוי בעומס העבודה שלך.
אריק קוואנה: כן, צודק. יש שאלה נוספת לגבי חומרה. ואז יש ספקי חומרה שנכנסים למשחק וממש משתפים פעולה עם ספקי תוכנה ועניתי דרך חלון שאלות ותשובות. אני יודע על מקרה מסוים אחד, של קלודרה העובדת עם אינטל, שם אינטל השקיעה בהם את ההשקעה האדירה ההיא, וחלק מהחשבון היה שקלודרה תקבל גישה מוקדמת לעיצוב השבבים, וכך תוכל לאפות אבטחה ברמת השבב של אדריכלות, שהיא די מרשימה. אבל זה בכל זאת, זה משהו שעומד לצאת שם, ועדיין שניתן לנצל אותו על ידי שני הצדדים. האם ידוע לך על מגמות או נטיות כלשהן של ספקי חומרה לשתף פעולה עם ספקי תוכנה בפרוטוקול האבטחה?
ויקי נבל: כן, למעשה, אני מאמין שמיקרוסופט שיתפה פעולה בכדי שיהיה כמה, כמו, שטח הזיכרון של חלק מעבודות ההצפנה מתרחש למעשה על שבבים נפרדים בלוחות אם שנפרדים מהזיכרון הראשי שלך, כך שכמה מהדברים האלה מופרדים פיזית. ואני מאמין שזה בעצם היה משהו שמגיע ממיקרוסופט מבחינת היציאה לספקים לומר "האם נוכל למצוא דרך לעשות זאת, בעצם זה זיכרון בלתי ניתן לטיפול, אני לא יכול לעבור הצפת מאגר להגיע ל הזיכרון הזה, כי הוא אפילו לא שם, במובן מסוים, אז אני יודע שחלק מזה קורה. "
אריק קוואנה: כן.
ויקי נבל: ככל הנראה מדובר בספקים הגדולים באמת.
אריק קוואנה: כן. אני סקרן לצפות בזה, ואולי לרובין, אם יש לך שנייה מהירה, הייתי סקרן לדעת את החוויה שלך לאורך השנים, כי שוב, מבחינת חומרה, מבחינת מדע החומרים האמיתי שעובר במה שאתה מרכיב מצד הצד של היצרן, מידע זה יכול לעבור לשני הצדדים, ותאורטית אנו הולכים לשני הצדדים די מהר, אז האם יש דרך להשתמש בזהירות יותר בחומרה, מנקודת מבט עיצובית לחיזוק האבטחה? מה אתה חושב? רובין, אתה אילם?
רובין בלור: כן, כן. אני מצטער, אני כאן; אני רק מהרהר בשאלה. אם להיות כנה, אין לי דעה, זה תחום שלא הסתכלתי עליו בצורה משמעותית, אז אני די, אתה יודע, אני יכול להמציא דעה, אבל אני לא ממש יודע. אני מעדיף שדברים יהיו מאובטחים בתוכנה, זו רק הדרך בה אני משחק, בעיקרון.
אריק קוואנה: כן. ובכן, חברים, שרפנו כשעה ונשתנה כאן. תודה גדולה לוויקי נבל על זמנה ותשומת לבך - על כל זמנך ותשומת לבך; אנו מעריכים אותך שהופעת לדברים האלה. זה עסקה גדולה; זה לא ייעלם בקרוב. זה משחק חתול ועכבר שעומד להמשיך ולהמשיך ולהמשיך. וכך אנו מודים לכך שחברות מסוימות נמצאות שם בחוץ, המתמקדות באפשרת אבטחה, אך כפי שויקי אפילו רמזה ודיברה עליה מעט במצגת שלה, בסופו של יום, מדובר באנשים בארגונים שצריכים לחשוב היטב. על התקפות הדיוג האלה, סוג כזה של הנדסה חברתית, והצמדו למחשבים הניידים שלכם - אל תשאירו את זה בבית הקפה! שנה את הסיסמה שלך, עשה את היסודות ותקבל 80 אחוז מהדרך לשם.
אז, עם זאת, אנשים, אנו הולכים להיפרד מכם, שוב תודה לכם על זמנכם ותשומת הלב. אנו נתעדכן בפעם הבאה, נדאג. ביי ביי.
ויקי נבל: ביי, תודה.
