על ידי צוות Techopedia, 27 באוקטובר 2016
ברק: המארח אריק קוואנה דן באבטחת בסיס נתונים עם רובין בלור, דז בלנשפילד ואיגנסיו רודריגז של IDERA.
אינך מחובר כרגע. התחבר או הירשם כדי לראות את הסרטון.
אריק קוואנה: שלום וברוך הבא, שוב, להוט טכנולוגיות. שמי אריק קוואנה; אני אהיה המארח שלך לשידור האינטרנט היום וזה נושא חם וזה אף פעם לא יהיה נושא חם. זה נושא חם עכשיו בגלל, למען האמת, כל הפרצות שאנחנו שומעות עליהן ואני יכול להבטיח לך שהיא לעולם לא תיעלם. אז הנושא היום, הכותרת המדויקת של המופע שעלי לומר, הוא "הנורמלי החדש: התמודדות עם מציאותו של עולם לא בטוח." בדיוק עם זה עסקנו.
יש לנו את המארח שלך, באמת שלך, ממש שם. מלפני כמה שנים, שים לב, אני כנראה צריך לעדכן את התמונה שלי; זה היה 2010. הזמן עובר. שלח לי דוא"ל עם אתה רוצה להציע הצעות. אז זוהי השקופית ה"חמה "הרגילה שלנו עבור Hot Technologies. כל מטרת המופע הזה היא באמת להגדיר מרחב מסוים. אז היום אנחנו מדברים על ביטחון, ברור. אנו נוקטים בזה זווית מאוד מעניינת, עם חברינו מ- IDERA.
ואציין כי אתם, כחברי הקהל שלנו, ממלאים תפקיד משמעותי בתוכנית. אנא אל תתביישו. שלח לנו שאלה בכל עת ואנחנו עומדים בתור לשאלות ותשובות אם יש לנו מספיק זמן לכך. יש לנו שלושה אנשים מקוונים היום, ד"ר רובין בלור, דז בלנשפילד ואיגנסיו רודריגז שמתקשר למקום שלא פורסם. אז קודם כל, רובין, אתה הפרזנטור הראשון. אני אתן לך את המפתחות. קח את זה מפה.
ד"ר רובין בלור: אוקיי, תודה על זה, אריק. אבטחת בסיס נתונים - אני מניח שנוכל לומר כי הסבירות שהנתונים החשובים ביותר שכל חברה למעשה עומדת בראשם נמצאים במאגר נתונים. אז יש סדרה שלמה של דברים ביטחוניים שיכולנו לדבר עליהם. אבל מה שחשבתי שאעשה זה לדבר על נושא אבטחת בסיס הנתונים. אני לא רוצה לקחת שום דבר מהמצגת שאיגנסיו הולך לתת.
אז בואו נתחיל, קל לחשוב על אבטחת מידע כיעד סטטי, אך זה לא. זה יעד נע. וזה די חשוב להבין במובן זה שסביבות ה- IT של האנשים, במיוחד סביבות ה- IT הגדולות של החברה, משתנות כל הזמן. ומכיוון שהם משתנים כל הזמן, משטח ההתקפה, האזורים שבהם מישהו יכול לנסות, בדרך זו או אחרת, מבפנים או מבחוץ, לפגוע באבטחת מידע, משתנה כל הזמן. וכשאתה עושה משהו כזה, אתה משדרג בסיס נתונים, אין לך מושג אם פשוט יצרת לעצמך סוג של פגיעות. אך אינך מודע לכך ולעולם לא תוכל לגלות על כך עד שקורה משהו מחורבן.
יש סקירה קצרה של אבטחת מידע. ראשית, גניבת נתונים אינה דבר חדש ונתונים בעלי ערך ממוקדים. בדרך כלל קל לעבוד עבור ארגון מה הנתונים שהם צריכים לשים עליהם הכי הרבה הגנה. עובדה מוזרה היא שהראשון, או מה שיכולנו לטעון שהוא המחשב הראשון, נבנה על ידי המודיעין הבריטי במלחמת העולם השנייה עם מטרה אחת בראש, וזה היה לגנוב נתונים מהתקשורת הגרמנית.
אז גניבת נתונים הייתה חלק מענף ה- IT די הרבה מאז שהחלה. זה התחיל להיות הרבה יותר רציני עם לידתו של האינטרנט. הסתכלתי ביומן של מספר הפרות הנתונים שהתרחשו שנה אחר שנה אחרי שנה. והמספר התייקר מעל 100 עד 2005 ומכאן ואילך הוא נטה להחמיר ולהחמיר בכל שנה.
כמויות גדולות יותר של נתונים שנגנבים ומספר גדול יותר של פריצות מתרחשות. ואלה הפריצות המדווחות. יש מספר גדול מאוד של אירועים המתרחשים שבהם החברה אף פעם לא אומרת דבר מכיוון שאין שום דבר שמאלץ אותה לומר דבר. אז זה שומר על פריצת הנתונים בשקט. ישנם הרבה שחקנים בעסקי ההאקינג: ממשלות, עסקים, קבוצות האקרים, יחידים.
דבר אחד שאני חושב שזה מעניין לציין, כשעברתי למוסקבה, אני חושב שזה היה מתישהו לפני כארבע שנים, זה היה ועידת תוכנה במוסקבה, דיברתי עם עיתונאית שהתמחתה בתחום פריצת נתונים. והוא טען - ואני בטוח שהוא צודק, אבל אני לא יודע את זה מלבד שהוא האדם היחיד שהזכיר לי את זה אי פעם, אבל - יש עסק רוסי בשם רשת העסקים הרוסית, כנראה שיש לו רוסית שם אבל אני חושב שזו התרגום לאנגלית, שהוא למעשה נשכר לפרוץ.
כך שאם אתה ארגון גדול בכל מקום בעולם ואתה רוצה לעשות משהו כדי לפגוע בתחרות שלך, אתה יכול להעסיק את האנשים האלה. ואם אתה שוכר את האנשים האלה אתה מקבל דחיקות מאוד מתקבלת על הדעת מי עמד מאחורי הפריצה. כי אם בכלל יתגלה מי עומד מאחורי הפריצה, זה יצביע על כך שסביר להניח שמישהו ברוסיה עשה את זה. וזה לא ייראה כאילו ניסית לפגוע במתחרה. ואני מאמין שהרשת העסקית הרוסית נשכרה בפועל על ידי ממשלות כדי לעשות דברים כמו לפרוץ לבנקים כדי לנסות ולגלות איך כספי הטרור מסתובבים. וזה נעשה בהכחשות סבירה מצד ממשלות שמעולם לא יודו שבעצם עשו זאת.
הטכנולוגיה של התקפה והגנה מתפתחת. לפני הרבה זמן הייתי הולך למועדון הכאוס. זה היה אתר בגרמניה בו ניתן היה להירשם ואפשר פשוט לעקוב אחר שיחותיהם של אנשים שונים ולראות מה היה זמין. ועשיתי את זה כשהסתכלתי על טכנולוגיית אבטחה, אני חושב בסביבות 2005. ועשיתי את זה רק כדי לראות מה יורד אז והדבר שהדהים אותי היה מספר הנגיפים, שם זה בעצם מערכת קוד פתוח המשכתי ואנשים שכתבו וירוסים או וירוסים משופרים פשוט הדביקו את הקוד שם למישהו שישמש. ובאותה עת עלה בדעתי שהאקרים יכולים להיות מאוד חכמים, אבל יש המון האקרים שהם לא בהכרח חכמים, אבל הם משתמשים בכלים חכמים. וכמה מהכלים הללו חכמים להפליא.
והנקודה הסופית כאן: לעסקים מוטלת חובת זהירות על הנתונים שלהם, בין אם הם הבעלים של זה ובין אם לא. ואני חושב שזה מתממש יותר ויותר ממה שהיה פעם. וזה הופך ליותר ויותר, נניח, יקר עבור עסק לעבור למעשה פריצה. לגבי ההאקרים הם יכולים להיות ממוקמים בכל מקום, אולי קשה להביא לדין גם אם הם מזוהים כראוי. רבים מהם מיומנים מאוד. משאבים ניכרים, יש להם botnets בכל מקום. ככל הנראה, מתקפת ה- DDoS שהתרחשה הגיעה ביותר ממיליארד מכשירים. אני לא יודע אם זה נכון או שמא מדובר רק בכתב שמשתמש במספר עגול, אבל בהחלט נעשה שימוש במספר גדול של מכשירי רובוט כדי לבצע התקפה על רשת ה- DNS. יש עסקים רווחיים, יש קבוצות ממשלתיות, יש לוחמה כלכלית, יש סווארבריי, הכל קורה שם, וזה לא סביר, אני חושב שאמרנו בתכנית הראשית, סביר להניח שזה לא ייגמר.
ציות ותקנות - ישנם מספר דברים שאכן מתנהלים. יש המון יוזמות ציות המבוססות על מגזר, אתה יודע - מגזר התרופות או מגזר הבנקאות או מגזר הבריאות - יכולות להיות יוזמות ספציפיות שאנשים יכולים לבצע, סוגים שונים של שיטות מומלצות. אבל יש גם הרבה תקנות רשמיות שבגלל שהן חוק, יש להן עונשין המצורף לכל מי שמפר את החוק. הדוגמאות האמריקאיות הן HIPAA, SOX, FISMA, FERPA, GLBA. יש כמה תקנים, PCI-DSS הוא תקן לחברות כרטיסים. ISO / IEC 17799 מבוסס על ניסיון להשיג תקן משותף. זו בעלות על נתונים. התקנות הלאומיות שונות ממדינה למדינה, אפילו באירופה, או שאולי צריך לומר, במיוחד באירופה שבה זה מאוד מבלבל. וישנו GDPR, תקנה בנושא הגנת נתונים עולמית שנמצאת בימים אלה במשא ומתן בין אירופה לארצות הברית כדי לנסות ולהרמוניז בתקנות מכיוון שיש כל כך הרבה, בדרך כלל כמו שהן, למעשה, בינלאומיות, ואז יש שירותי ענן שאתה יכול לא חושב שהנתונים שלך היו בינלאומיים, אבל הם הלכו בינלאומיים ברגע שנכנסת לענן, כי הם עברו מארצך. אז אלה קבוצה של תקנות שנמצאים במשא ומתן, בדרך זו או אחרת, להתמודדות עם הגנת המידע. ורוב זה קשור לנתונים של אדם, שכמובן כולל כמעט כל נתוני זהות.
דברים שכדאי לחשוב עליהם: פגיעויות במאגר. יש רשימה של נקודות תורפה שמוכרות ומדווחות על ידי ספקי מסדי נתונים כאשר הם מתגלים ומתוקנים במהירות האפשרית, כך שיש את כל זה. יש דברים שקשורים אליו מבחינת זיהוי נתונים פגיעים. אחד הפריצים הגדולים והמצליחים ביותר בנתוני תשלומים נעשה לחברת עיבוד תשלומים. לאחר מכן זה השתלט על כך שהוא נדרש לחיסול אם לא, אך הנתונים לא נגנבו מאף אחד ממאגרי המידע התפעוליים. הנתונים נגנבו ממסד נתונים לבדיקה. זה פשוט קרה שהמפתחים פשוט לקחו מערך משנה של הנתונים שהיו נתונים אמיתיים והשתמשו בהם, ללא שום הגנה כלשהי, במסד נתונים של מבחן. מאגר המידע של הבדיקה נפרץ והרבה פרטים כלכליים אישיים של אנשים נלקחו ממנו.
מדיניות האבטחה, במיוחד ביחס לאבטחת גישה בכל הנוגע למאגרי מידע, מי יכול לקרוא, מי יכול לכתוב, מי יכול לתת הרשאות, האם יש דרך שמישהו יכול לעקוף את כל זה? ואז, כמובן, הצפנות ממאגרי מידע מאפשרים זאת. יש עלות הפרת אבטחה. אני לא יודע אם זה נוהג רגיל בארגונים, אבל אני יודע שחלק, כמו, אנשי ביטחון ראשיים, מנסים לספק למנהלים מושג מה העלות של הפרת אבטחה בפועל לפני שזה קורה ולא אחרי. והם, סוג של, צריכים לעשות זאת כדי לוודא שהם מקבלים את הסכום הנכון של התקציב כדי להיות מסוגלים להגן על הארגון.
ואז משטח ההתקפה. נראה כי משטח ההתקפה גדל כל הזמן. זה משנה לשנה שמשטח ההתקפה פשוט נראה צומח. אז לסיכום, טווח הוא נקודה נוספת, אך בדרך כלל אבטחת מידע היא חלק מתפקיד ה- DBA. אבל אבטחת מידע היא גם פעילות שיתופית. אתה צריך שיהיה לך, אם אתה מבצע אבטחה, אתה צריך לקבל מושג מלא לגבי הגנות האבטחה של הארגון בכללותו. וצריך להיות מדיניות ארגונית בנושא זה. אם אין מדיניות תאגידית, אתה פשוט מסתכם בפתרונות חלקיים. אתה יודע, גומיות ופלסטיק, סוג של, ניסיונות לעצור את התרחשות הביטחון.
אז לאחר שאמרתי את זה, אני חושב שאני מוסר לדז שכנראה הולך לספר לכם סיפורי מלחמה שונים.
אריק קוואנה: קח אותו משם, דצמ.
דז בלנשפילד: תודה, רובין. זה תמיד מעשה קשה לעקוב אחריו. אני הולך לבוא עם זה מהקצה ההפוך של הספקטרום רק כדי, אני מניח, תן לנו תחושה של גודל האתגר שעומד בפניך ולמה עלינו לעשות יותר מאשר רק לשבת ולשים לב לזה . האתגר שאנחנו רואים עכשיו עם הסקאלה והכמות והנפח, המהירות שבה הדברים האלה מתרחשים, הוא שהדבר שאני שומע סביב המקום עכשיו עם הרבה CXOs, לא רק מנכ"לים, אבל בהחלט נציגי המנכ"ל הם אלה שנמצאים במקום בו הדול נעצר, הוא שהם מחשיבים שפרות נתונים הופכות במהירות לנורמה. זה משהו שהם כמעט מצפים שיקרה. אז הם מסתכלים על זה מנקודת המבט של "אוקיי, ובכן, כשאנחנו נפרצים - לא אם - כשאנחנו נפרצים, מה אנחנו צריכים לעשות בקשר לזה?" ואז השיחות מתחילות, מה הם עושים בסביבות הקצה המסורתיות ונתבים, מתגים, שרתים, איתור חדירות, בדיקת חדירות? מה הם עושים במערכות עצמן? מה הם עושים עם הנתונים? ואז הכל חוזר למה שהם עשו עם בסיסי הנתונים שלהם.
תן לי רק לגעת בכמה דוגמאות לכמה דברים שכבשו הרבה דמיון של אנשים ואז להתעמק, סוג של, לפרק אותם קצת. אז שמענו בחדשות שיאהו - ככל הנראה המספר הגדול ביותר שאנשים שמעו הוא כחצי מיליון, אבל מתברר שהוא דומה באופן לא רשמי למיליארד - שמעתי מספר חיצוני של שלושה מיליארד, אבל זה כמעט חצי מאוכלוסיית העולם אז אני חושב שזה קצת גבוה. אבל אימתתי את זה ממספר אנשים במקומות רלוונטיים שמאמינים שיש קצת יותר ממיליארד רשומות שנפרצו מ- Yahoo. וזה רק מספר מדהים. עכשיו כמה שחקנים נראים וחושבים, ובכן, מדובר בסך הכל בחשבונות דואר אלקטרוני, לא עניין גדול, אבל אז אתה מוסיף את העובדה שהרבה מאותם חשבונות דוא"ל, ומספר גבוה באופן מוזר, גבוה ממה שציפיתי, הם למעשה חשבונות בתשלום. שם אנשים מכניסים את פרטי כרטיס האשראי שלהם והם משלמים כדי להסיר את המודעות, מכיוון שנמאס להם מהפרסומות ולכן 4 $ או 5 $ לחודש הם מוכנים לקנות שירות דואר אלקטרוני ושירותי אחסון בענן שאין להם מודעות, ואני אחד מאותם, וקיבלתי את זה על פני שלושה ספקים שונים שבהם אני מחבר את כרטיס האשראי שלי.
אז האתגר זוכה לתשומת לב קצת יותר מכיוון שזה לא סתם משהו שנמצא שם כשורה אחת שנאמר "נו טוב, יאהו הפסידה, נניח, בין 500 מיליון ל -1, 000 מיליון חשבונות, " 1, 000 מיליון הופכים את זה נשמעים חשבונות גדולים מאוד ודוא"ל, אבל פרטי כרטיסי אשראי, שם פרטי, שם משפחה, כתובת דוא"ל, תאריך לידה, כרטיס אשראי, מספר סיכה, מה שאתה רוצה, סיסמאות, ואז זה הופך למושג הרבה יותר מפחיד. ושוב אנשים אומרים לי, "כן, אבל זה רק שירות אינטרנט, זה רק דואר אלקטרוני, לא עניין גדול." ואז אני אומר, "כן, ובכן, ייתכן שחשבון יאהו שימש גם בשירותי הכסף של יאהו כדי לקנות ולמכור מניות. "ואז זה נהיה יותר מעניין. וכשאתה מתחיל להתעמק בזה אתה מבין שבאמת, מדובר למעשה רק באמהות ואבות בבית, ובני נוער, עם חשבונות העברת הודעות, זה בעצם משהו בו אנשים מבצעים עסקאות עסקיות.
אז זהו קצה אחד של הספקטרום. הקצה השני של הספקטרום הוא שמספק שירותי בריאות מאוד קטן, כללי, באוסטרליה נגנבו כאלף רשומות. הייתה עבודה פנימית, מישהו עזב, הם פשוט היו סקרנים, הם יצאו מהדלת, במקרה זה מדובר בתקליטון בגודל 3.5 אינץ '. זה היה לפני קצת - אבל אפשר לספר את עידן התקשורת - אבל הם היו על טכנולוגיה ישנה. אבל התברר שהסיבה שלקחו את הנתונים היא שהם סתם סקרנים לגבי מי נמצא שם. מכיוון שהיו להם די הרבה אנשים בעיירה הקטנה הזו, שהייתה בירתנו הלאומית, שהיו פוליטיקאים. והם התעניינו מי נמצא שם ואיפה חייהם וכל מידע מסוג זה. אז עם הפרת נתונים קטנה מאוד שנעשתה באופן פנימי, מספר גדול משמעותית של פוליטיקאים בפרטי ממשלת אוסטרליה היו כביכול בציבור.
יש לנו שני קצוות שונים של הספקטרום שיש לקחת בחשבון. עכשיו המציאות היא המידה העצומה של הדברים האלה פשוט מדהימה ויש לי שקופית שאנחנו הולכים לקפוץ אליה מאוד מאוד מהר לכאן. ישנם כמה אתרים המפרטים כל מיני נתונים, אך האתר הספציפי הזה הוא ממומחה אבטחה שהיה באתר בו תוכל לחפש את כתובת הדוא"ל שלך, או את שמך, וזה יראה לך כל אירוע של נתונים הפרה ב -15 השנים האחרונות שהוא הצליח לשים ידיים ואז לטעון למסד נתונים ולאמת, וזה יגיד לך אם הוצמדת לך, כמו המונח. אבל כשאתה מתחיל להתבונן בכמה מהמספרים האלה והמסך המסך הזה לא עודכן בגירסה האחרונה שלו, הכוללת זוג, כמו Yahoo. אבל רק תחשוב על סוגי השירותים כאן. יש לנו Myspace, יש לנו לינקדאין, אדובי. המעניין של אדובי מכיוון שאנשים נראים וחושבים, ובכן, מה המשמעות של אדובי? רובנו שמורידים את Adobe Reader בצורה כלשהי, רבים מאתנו קנו מוצרי אדובי עם כרטיס אשראי, שהם 152 מיליון איש.
כעת, לנקודת מבטו של רובין, מדובר במספרים גדולים מאוד, קל להציף אותם. מה קורה כשיש לך 359 מיליון חשבונות שהופרו? ובכן, יש כמה דברים. רובין הדגיש את העובדה כי נתונים הם תמיד במסד נתונים של צורה כלשהי. זה המסר הקריטי כאן. כמעט אף אחד בכוכב הלכת הזה, שאני מודע אליו, שמריץ מערכת מכל צורה שהיא, לא מאחסן אותה במסד נתונים. אבל מה שמעניין הוא שיש שלושה סוגים שונים של נתונים באותו בסיס נתונים. יש דברים הקשורים לאבטחה כמו שמות משתמשים וסיסמאות, שהם בדרך כלל מוצפנים, אך תמיד יש המון דוגמאות בהן הם לא נמצאים. יש את פרטי הלקוחות בפועל סביב הפרופיל והנתונים שהם יצרו בין אם מדובר ברשומת בריאות או בין אם מדובר בדוא"ל או בהודעה מיידית. ואז יש את ההיגיון המוטמע בפועל, כך שאפשר לאחסן את הנהלים, זה יכול להיות חבורה שלמה של כללים, אם + זה + אז + זה. ובאופן בלתי נמנע זה רק טקסט ASCII שנתקע במאגר, מעט מאוד אנשים יושבים שם וחושבים, "ובכן, אלה כללים עסקיים, ככה הנתונים שלנו נעו ושולטים עליהם. עלינו להצפין את זה כאשר הם במנוחה, וכשזה נמצא תנועה אולי אנו מפענחים את זה ושומרים אותו בזיכרון, "אבל באופן אידיאלי זה אמור להיות גם כן.
אבל זה חוזר לנקודת המפתח הזו שכל הנתונים האלה נמצאים בבסיס נתונים של איזושהי צורה ולא פעם הפוקוס הוא, רק מבחינה היסטורית, היה על נתבים ומתגים ושרתים ואפילו אחסון, ולא תמיד על בסיס הנתונים ב הקצה האחורי. מכיוון שאנחנו חושבים שיש לנו כיסוי מקצה הרשת וזה, כמו, ישן טיפוסי, סוג של, חי בטירה ואתה מציב אותה חפיר ואתה מקווה שהחבר'ה הרעים לא יתכוונו להיות מסוגל לשחות. אבל פתאום הרעים פיתחו איך להכין סולמות מורחבים ולזרוק אותם מעל החפיר, לטפס מעל החפיר ולעלות על הקירות. ופתאום החפיר שלך די חסר תועלת.
אז אנו נמצאים כעת בתרחיש בו ארגונים נמצאים במצב תפיסה בספרינט. הם ממש רצים בכל המערכות, לדעתי, ובוודאי הניסיון שלי בכך, שזה לא תמיד רק חד-קרן האינטרנט הזה, כפי שאנו מתייחסים אליהם לעתים קרובות, לא פעם מדובר בארגונים ארגוניים מסורתיים שנפרצים. ואתה לא צריך להיות הרבה דמיון כדי לגלות מי הם. יש אתרים כמו אחד שנקרא pastebin.net, ואם אתה עובר ל- pastebin.net ואתה פשוט מקליד רשימת דוא"ל או רשימת סיסמאות, אתה בסופו של דבר עם מאות אלפי רשומות ביום שמתווספות בהן אנשים מציגים ערכות נתונים לדוגמה של עד אלף רשומות של שם פרטי, שם משפחה, פרטי כרטיס אשראי, שם משתמש, סיסמא, סיסמאות מפוענחות, אגב. איפה שאנשים יכולים לתפוס את הרשימה הזו, ללכת לאמת שלושה או ארבעה מהם ולהחליט ש, כן, אני רוצה לקנות את הרשימה הזו ובדרך כלל יש איזושהי צורה של מנגנון שמספק איזשהו שער אנונימי למי שמוכר את הנתונים.
עכשיו מה שמעניין הוא שברגע שהיזם המסונף מבין שהן יכולות לעשות זאת, לא צריך כל כך הרבה דמיון להבין שאם אתה מוציא 1, 000 דולר ארה"ב לרכישת אחת מהרשימות האלה, מה הדבר הראשון שאתה עושה עם זה? אתה לא הולך לנסות לעקוב אחר החשבונות, אתה מחזיר עותק ממנו ל- pastbin.net ואתה מוכר שני עותקים תמורת 1, 000 דולר כל אחד ומרוויח 1, 000 דולר. ואלה ילדים שעושים את זה. ישנם כמה ארגונים מקצועיים גדולים במיוחד ברחבי העולם שעושים זאת למחייתם. יש אפילו מדינות מדינות שתוקפות מדינות אחרות. אתה יודע, יש הרבה דיבורים על אמריקה שתוקפת את סין, סין תוקפת את אמריקה, זה לא כל כך פשוט, אבל בהחלט יש ארגונים ממשלתיים שמפרים מערכות שמופעלות תמיד על ידי מסדי נתונים. זה לא רק מקרה של ארגונים קטנים, זה גם מדינות לעומת מדינות. זה מחזיר אותנו לנושא ההוא של, היכן נשמרים הנתונים? זה נמצא בבסיס נתונים. אילו בקרות ומנגנונים נמצאים שם? או תמיד שהם לא מוצפנים, ואם הם מוצפנים, זה לא תמיד כל הנתונים, אולי זו רק הסיסמה שמומלצת ומוצפנת.
וכאשר אנו עוטפים את זה יש לנו מגוון של אתגרים עם מה שיש בנתונים האלה ואיך אנו מספקים גישה לנתונים ולתאימות SOX. אז אם אתה חושב על ניהול הון או בנקאות, יש לך ארגונים שדואגים מהאתגר האשראי; יש לך ארגונים הדואגים לציות במרחב הארגוני; יש לך דרישות ממשלתיות ודרישות רגולטוריות; יש לך כעת תרחישים שבהם יש לנו מסדי נתונים על בסיס השטח; יש לנו מסדי נתונים במרכזי נתונים של צד שלישי; יש לנו מסדי נתונים היושבים בסביבות ענן, כך שסביבות הענן שלה תמיד אינן תמיד במדינה. וכך זה הופך לאתגר גדול יותר ויותר, לא רק מנקודת המבט הבהירה-לא-נפרצת של האבטחה, אלא גם, כיצד אנו עומדים בכל הרמות השונות של תאימות? לא רק תקני HIPAA ו- ISO, אלא יש ממש עשרות ועשרות ועשרות כאלה ברמת מדינה, ברמה הלאומית וברמות העולמיות שחוצים גבולות. אם אתה עושה עסקים עם אוסטרליה, אינך יכול להעביר נתוני ממשלה. כל מידע פרטי אוסטרלי לא יכול לעזוב את המדינה. אם אתה בגרמניה זה מחמיר עוד יותר. ואני יודע שאמריקה מתקדמת במהירות רבה גם מסיבות שונות.
אבל זה מחזיר אותי שוב לאתגר השלם הזה של איך אתה יודע מה קורה בבסיס הנתונים שלך, איך אתה עוקב אחר זה, איך אתה יודע מי עושה מה במאגר, למי יש תצוגות של טבלאות ושורות ועמודות ושדות שונים, מתי הם קוראים אותו, באיזו תדירות הם קוראים אותו ומי עוקב אחריו? ואני חושב שזה מביא אותי לנקודה הסופית שלי לפני שאני מוסר היום לאורח שלנו מי הולך לעזור לנו לדבר על האופן בו אנו פותרים את הבעיה. אבל אני רוצה להשאיר אותנו עם המחשבה האחת הזו, כלומר הרבה מההתמקדות היא בעלות לעסק ובעלות לארגון. ואנחנו לא מתכוונים לסקור את הנקודה הזו היום בפרטי, אבל אני רק רוצה להשאיר אותה במוחנו למחשבה וזה שיש אומדן של בערך בין 135 $ לסך 585 דולר לכל רשומה כדי לנקות לאחר הפרה. אז ההשקעה שאתה עושה באבטחה שלך סביב נתבים ומתגים ושרתים הכל טוב ויפה וחומות אש, אבל כמה השקעת באבטחת בסיס הנתונים שלך?
אבל זו כלכלה שקרית וכשהפרצה של יאהו התרחשה לאחרונה, ויש לי את זה בסמכות טובה, זה בערך מיליארד חשבונות, ולא 500 מיליון. כאשר ורייזון קנתה את הארגון תמורת משהו כמו 4.3 מיליארד, ברגע שהפרצה התרחשה הם ביקשו החזר של מיליארד דולר, או הנחה. עכשיו אם תעשה את המתמטיקה ותגיד שיש בערך מיליארד רשומות שנפרצו, הנחה של מיליארד דולר, האומדן בין 135 ל -535 דולר לניקוי שיא הופך להיות 1 דולר. וזה, שוב, פארקי. לא עולה $ 1 כדי לנקות מיליארד רשומות. במחיר של $ 1 לכל רשומה כדי לנקות מיליארד רשומות בגין הפרה בסדר גודל זה. אתה אפילו לא יכול לפרסם הודעה לעיתונות בעלות מסוג זה. וכך אנו תמיד מתמקדים באתגרים הפנימיים.
אבל אני חושב, אחד הדברים, וזה שצריך לקחת את זה ברצינות רבה ברמת בסיס הנתונים, וזו הסיבה שזה נושא מאוד מאוד חשוב לנו לדבר עליו, וזה שאנחנו לעולם לא מדברים על האדם אגרה. מה האגרה האנושית שאנו חלים על זה? ואני אקח דוגמא אחת לפני שאמץ במהירות. לינקדאין: בשנת 2012 נפרצה מערכת הלינקדאין. היו מספר וקטורים ואני לא אכנס לזה. ומאות מיליוני חשבונות נגנבו. אנשים אומרים בערך 160 מיליון מוזרים, אבל זה למעשה מספר גדול בהרבה, זה יכול להיות כמו 240 מיליון בערך. אולם על הפרה זו לא הוכרז מוקדם יותר השנה. זה ארבע שנים שמאות מיליוני רשומות של אנשים נמצאים שם. כעת היו אנשים ששילמו עבור שירותים עם כרטיסי אשראי והיו אנשים עם חשבונות בחינם. אבל לינקדאין מעניין, כי לא רק שהם קיבלו גישה לפרטי החשבון שלך אם הופרתם, אלא שהם גם קיבלו גישה לכל פרטי הפרופיל שלך. אז, למי הייתם מחוברים וכל הקשרים שהיו לכם, וסוגי המשרות שהיו להם וסוגי הכישורים שהיו להם וכמה זמן הם עבדו בחברות וכל המידע הסוג הזה, ופרטי הקשר שלהם.
אז חשוב על האתגר העומד בפנינו באבטחת הנתונים במאגרי נתונים אלה, ואבטחת וניהול מערכות מסדי הנתונים עצמם, ועל זרימת ההשפעה, האגרה האנושית של אותם נתונים שנמצאים שם במשך ארבע שנים. והסבירות שמישהו עשוי להופיע לחופשה איפשהו בדרום מזרח אסיה ויש להם את הנתונים שלהם כבר ארבע שנים. ומישהו יכול היה לקנות מכונית או לקבל הלוואת דירה או לקנות עשרה טלפונים במהלך השנה בכרטיסי אשראי, שם הם יצרו תעודת זהות מזויפת על אותם נתונים שהיו שם במשך ארבע שנים - כי אפילו נתוני הלינקדאין העניקו לך מספיק מידע כדי צור חשבון בנק ותעודת זהות מזויפת - ואתה עולה על המטוס, אתה יוצא לחופשה, אתה נוחת ונזרק לכלא. ולמה אתה נזרק לכלא? ובכן, מכיוון שגנבת את תעודת הזהות שלך. מישהו יצר תעודת זהות מזויפת והתנהג כמוך ומאות אלפי דולרים והם עשו את זה ארבע שנים ואפילו לא ידעת על זה. בגלל שזה בחוץ, זה פשוט קרה.
אז אני חושב שזה מביא אותנו לאתגר הליבה הזה של איך אנחנו יודעים מה קורה במאגרי המידע שלנו, כיצד אנו עוקבים אחר זה, כיצד אנו עוקבים אחר זה? ואני מצפה לשמוע כיצד חברינו באי.די.א.א מצאו פיתרון להתייחס לזה. ועם זה אני אמסור.
אריק קוואנה: בסדר, איגנסיו, הרצפה שלך.
איגנסיו רודריגז: בסדר. ובכן, ברוך הבא לכולם. שמי איגנסיו רודריגז, הידוע יותר בשם איגי. אני עם IDERA ומנהל מוצר למוצרי אבטחה. נושאים טובים באמת שרק סקרנו, ואנחנו באמת צריכים לדאוג מהפרות הנתונים. עלינו לקבוע מדיניות אבטחה מוקשה, עלינו לזהות נקודות תורפה ולהעריך את רמות האבטחה, לשלוט על הרשאות המשתמש, לשלוט על אבטחת השרת ולציית לביקורות. עשיתי ביקורת בהיסטוריה האחרונה שלי, בעיקר בצד האורקל. עשיתי כמה ב- SQL Server וביצעתי אותם עם כלים או, בעצם, סקריפטים מגדלים ביתיים, וזה היה נהדר אבל צריך ליצור מאגר ולוודא שהמאגר היה מאובטח, כל הזמן צריך לתחזק את הסקריפטים עם שינויים מבקרי הביקורת, מה יש לך.
אז בכלים, אם הייתי יודע ש- IDERA היה שם בחוץ ויש לי כלי, סביר להניח שהייתי קונה את זה. אבל בכל מקרה, אנחנו מדברים על Secure. זה אחד המוצרים שלנו בקו מוצרי האבטחה שלנו ומה שהוא בעצם עושה זה שאנחנו בוחנים את מדיניות האבטחה ומיפוי אלה להנחיות רגולטוריות. אתה יכול להציג היסטוריה שלמה של הגדרות SQL Server ותוכל בעצם לבצע קו בסיס של הגדרות אלה ואז להשוות לעומת שינויים עתידיים. אתה יכול ליצור תמונת מצב, שהיא קו הבסיס של ההגדרות שלך, ואז תוכל לעקוב אם כל אחד מהדברים האלה השתנה וגם לקבל התראה אם הם משתנים.
אחד הדברים שאנו עושים היטב הוא מניעת סיכון ביטחוני והפרות. כרטיס דוח האבטחה נותן תצוגה של פגיעויות אבטחה מובילות בשרתים ואז כל בדיקת אבטחה מסווגת כסיכון גבוה, בינוני או נמוך. כעת, בקטגוריות או בבדיקות אבטחה, ניתן לשנות את כל אלה. בואו נגיד שאם יש לכם כמה פקדים ומשתמשים באחת מהתבניות שיש לנו ואתם מחליטים, ובכן, הפקדים שלנו באמת מצביעים או רוצים שהפגיעות הזו היא לא ממש גבוהה אלא מדיום, או להפך. יתכן שיהיה לך כמה שמתויגות כבינוניות אבל בארגון שלך את הפקדים שאתה רוצה לתייג אותם, או שתחשיב אותם כגבוהים, כל ההגדרות הללו ניתנות להגדרה על ידי המשתמש.
נושא קריטי נוסף שעלינו לבחון הוא זיהוי הפגיעויות. הבנה למי יש גישה למה ולזהות כל אחת מהזכויות האפקטיביות של המשתמש בכל אובייקטי SQL Server. בעזרת הכלי נוכל לעבור ולבחון את הזכויות על כל האובייקטים של SQL Server ונראה צילום מסך של זה כאן די בקרוב. אנו גם מדווחים ומנתחים הרשאות משתמשים, קבוצות ותפקידים. אחת התכונות האחרות היא שאנו מספקים דוחות סיכון אבטחה מפורטים. יש לנו דוחות שאינם מהקופסא ומכילים פרמטרים גמישים עבורך ליצור את סוגי הדוחות ולהציג את הנתונים הדרושים למבקרים, קציני אבטחה ומנהלים.
כמו כן, אנו יכולים להשוות בין שינויי אבטחה, סיכון ותצורה לאורך זמן, כפי שציינתי. ואלו עם תמונות התצלום. ואת התצלומים הללו ניתן להגדיר עד כמה שתרצה לעשות אותם - חודשי, רבעוני, שנתי - שניתן לתזמן בתוך הכלי. ושוב, תוכלו לבצע השוואות כדי לראות מה השתנה ומה שנחמד בזה, אם הייתה לכם הפרה, תוכלו ליצור תמונת מצב אחרי שהיא תוקנה, עשו השוואה והייתם רואים שיש רמה גבוהה סיכון הקשור לתמונת המצב הקודמת ואז דווח, למעשה אתה רואה בתמונת המצב הבאה לאחר שתוקן שזה כבר לא נושא. זה כלי ביקורת טוב שאתה יכול לתת למבקר, דו"ח שאתה יכול לתת למבקרים ולהגיד "תראה, היה לנו את הסיכון הזה, הקלנו את זה, ועכשיו זה כבר לא סיכון." ושוב, אני מוזכרים בתמונות המגע שתוכלו להתריע כאשר תצורה משתנה, ואם תצורה משתנה ומתגלה, המהווים סיכון חדש, תקבלו הודעה גם על כך.
אנחנו כן מקבלים כמה שאלות על ארכיטקטורת השרת SQL שלנו עם אבטחה, ואני כן רוצה לבצע תיקון לשקופית שכאן כתוב "שירות איסוף." אין לנו שירותים, זה היה צריך להיות "שרת ניהול ואיסוף. "יש לנו את המסוף שלנו ואז את שרת הניהול והגבייה שלנו ויש לנו לכידת ללא סוכן שתצא למאגרי המידע שנרשמו ותאסוף את הנתונים באמצעות עבודות. ויש לנו מאגר SQL Server ואנחנו עובדים יחד עם שירותי דיווח SQL Server על מנת לתאם דוחות וליצור דוחות מותאמים אישית גם כן. כעת בכרטיס דוח אבטחה זהו המסך הראשון שתראה בעת הפעלת SQL Secure. תוכלו לראות בקלות אילו פריטים קריטיים גילתה. ושוב, יש לנו את השיאים, המדיומים והמורדות. ואז יש לנו גם את המדיניות העוסקת בבדיקות האבטחה הספציפיות. יש לנו תבנית HIPAA; יש לנו תבניות אבטחה ברמה 1, 2 ו -3 של IDERA; יש לנו הנחיות PCI. כל אלה הם תבניות בהן תוכלו להשתמש ושוב תוכלו ליצור תבנית משלכם, על סמך פקדים משלכם. ושוב, הם ניתנים לשינוי. אתה יכול ליצור משלך. כל אחת מהתבניות הקיימות יכולה לשמש קו בסיס, ואז תוכל לשנות את התבניות כרצונך.
אחד הדברים הנחמדים לעשות זה לראות למי יש הרשאות. ועם מסך זה כאן, נוכל לראות אילו כניסות SQL Server קיימות בארגון ותוכלו לראות את כל הזכויות וההרשאות שהוקצו ויעילות במאגר השרת ברמת האובייקט. אנו עושים זאת כאן. תוכל לבחור שוב, את מסדי הנתונים או את השרתים, ואז תוכל להעלות את הדוח של הרשאות שרת SQL. כך מסוגל לראות למי יש גישה למה. תכונה נחמדה נוספת היא שתוכל להשוות בין הגדרות אבטחה. נניח שהיו לך הגדרות סטנדרטיות שהיו צריכות להיות מוגדרות בכל הארגון שלך. לאחר מכן תוכל לבצע השוואה בין כל השרתים שלך ולראות אילו הגדרות הוגדרו על פני השרתים האחרים בארגון שלך.
שוב, תבניות המדיניות, אלה הן חלק מהתבניות שיש לנו. בעצם, שוב, השתמש באחד כזה, צור משלך. אתה יכול ליצור מדיניות משלך, כפי שניתן לראות כאן. השתמש באחת מהתבניות ותוכל לשנות אותן לפי הצורך. אנו גם יכולים להציג זכויות אפקטיביות של שרת SQL. זה יאמת ויוכיח כי הרשאות מוגדרות כראוי למשתמשים ולתפקידים. שוב, אתה יכול לצאת לשם להסתכל ולראות ולאמת שההגדרה מוגדרת כראוי למשתמשים ולתפקידים. ואז עם זכויות הגישה לאובייקטים של SQL Server תוכלו לדפדף ולנתח את עץ האובייקטים של SQL Server מטה מרמת השרת למטה לתפקידים ונקודות הקצה ברמת האובייקט. ותוכלו להציג מייד את ההרשאות שהוקצו ויעילות בירושה ונכסים הקשורים לאבטחה ברמת האובייקט. זה נותן מבט טוב על הגישות שיש לאובייקי מסד הנתונים שלך ולמי יש גישה לאלו.
יש לנו, שוב, את הדוחות שלנו. מדובר בדוחות משומרים, יש לנו כמה שתוכל לבחור מהם כדי לבצע את הדיווח שלך. והרבה מהם ניתן להתאים אישית או שתוכלו לקבל את דוחות הלקוחות שלכם ולהשתמש בהם בשילוב עם שירותי הדיווח ולהיות מסוגלים ליצור משם דוחות מותאמים אישית. עכשיו השוואת התמונות, זו תכונה די מגניבה, אני חושב, איפה אתה יכול לצאת לשם ותוכל לעשות השוואה בין תמונות התצלום שלך שצילמת ולחפש אם היו הבדלים במספר. האם נוספו אובייקטים, האם היו הרשאות שהשתנו, כל מה שנוכל לראות אילו שינויים בוצעו בין תמונות התמונות השונות. יש אנשים שיסתכלו על אלה ברמה חודשית - הם יעשו תמונת מצב חודשית ואז יעשו השוואה מדי חודש כדי לבדוק אם משהו השתנה. ואם לא היה דבר שהיה אמור להשתנות, כל דבר שהלך לישיבות בקרת השינויים, ואתה רואה שכמה הרשאות שונו אתה יכול לחזור להסתכל כדי לראות מה התרחש. זו תכונה די נחמדה כאן שבה תוכלו לבצע את ההשוואה, שוב, בין כל מה שנבדק בתוך תמונת המצב.
ואז השוואת ההערכה שלך. זו עוד תכונה נחמדה שיש לנו איפה שתוכלו לצאת לשם ולהסתכל על ההערכות ואז לעשות השוואה שלהן ולשים לב שלהשוואה כאן היה חשבון SA שלא הושבת בתמונת המצב האחרונה שעשיתי - זה מתוקן כעת. זה דבר די נחמד שבו אתה יכול להראות, בסדר, היה לנו סיכון כלשהו, הם זוהו על ידי הכלי, ועכשיו הקלנו את הסיכונים האלה. ושוב, מדובר בדו"ח טוב להראות למבקרים שלמעשה סיכונים אלה הוקלו ונפגעו.
לסיכום, אבטחת בסיס נתונים, זה קריטי, ואני חושב שהרבה פעמים אנו מסתכלים על הפרות שמקורן במקורות חיצוניים ולעיתים איננו שמים לב יותר מדי להפרות פנימיות וזה חלק מהדברים שאנחנו צריך להיזהר. ו- Secure תעזור לכם שם לוודא שאין הרשאות שלא צריך להקצות, אתם יודעים, וודאו שכל האבטחה הזו מוגדרת כראוי לחשבונות. וודא שבחשבונות SA שלך יש סיסמאות. בדוק גם האם, מפתחות ההצפנה שלך, האם הם מיוצאים? פשוט מספר דברים שונים שאנו בודקים ואנו נזהר אתכם אם היה בעיה ובאיזו רמת נושא זה. אנו זקוקים לכלי, הרבה אנשי מקצוע זקוקים לכלים לניהול ופיקוח על הרשאות גישה למסד נתונים, ואנחנו למעשה בודקים מתן יכולת נרחבת לשלוט על הרשאות מסד נתונים ולעקוב אחר פעילויות גישה ולהפחית את הסיכון להפרה.
כעת חלק אחר ממוצרי האבטחה שלנו הוא שיש WebEx שכוסה וחלק מהמצגת עליה דיברנו קודם היו נתונים. אתה יודע למי ניגש למה, מה יש לך, וזה הכלי שלנו ל- SQL Compliance Manager. ויש כלי WebEx מוקלט בכלי זה וזה בעצם יאפשר לך לפקח למי ניגש לאילו טבלאות, לאילו עמודות, אתה יכול לזהות טבלאות שיש בהן עמודות רגישות, עד תאריך הלידה, מידע על המטופלים, סוגי הטבלאות האלה, למעשה לראות למי יש גישה למידע זה ואם יש גישה אליו.
אריק קוואנה: בסדר, אז בואו נצלול לשאלות, אני מניח, כאן. אולי דז, אני אזרוק לך את זה קודם, ורובין תצלם פנימה ככל שתוכל.
דז בלנשפילד: כן, התחלתי לשאול שאלה מהשקף השני והשלישי . מה מקרה השימוש האופייני שאתה רואה לכלי זה? מי הם הסוגים הנפוצים ביותר של המשתמשים שאתה רואה שמאמצים את זה ומכניסים אותו לפעולה? ובגב זה, המודל המקורי, הטיפוסי, השימוש, איך הם מתנהלים בזה? כיצד מיושמים?
איגנסיו רודריגז: אוקיי, מקרה השימוש הטיפוסי שיש לנו הם DBAs שהוטלו עליהם אחריות בקרת הגישה למסד הנתונים, שמוודאים שכל ההרשאות נקבעות כמו שהם צריכים להיות ואז עוקבים אחר הסטנדרטים שלהם. במקום. אתה יודע, לחשבונות משתמש מסוימים אלה יכולים להיות גישה רק לטבלאות הספציפיות הללו וכו '. ומה שהם עושים עם זה הוא לוודא שהסטנדרטים האלה נקבעו וסטנדרטים אלה לא השתנו במהלך הזמן. וזה אחד הדברים הגדולים שאנשים משתמשים בהם הוא לעקוב ולזהות אם נעשים שינויים שלא ידועים עליהם.
דז בלנשפילד: מכיוון שהם המפחידים, לא? האם יתכן שיש לך, נניח, מסמך אסטרטגיה, יש לך מדיניות העומדת בבסיס זה, יש לך תאימות וממשל מתחתיו, ואתה פועל לפי המדיניות, אתה מקפיד על הממשל וזה מקבל אור ירוק ואז פתאום חודש אחר כך מישהו מפעיל שינוי ומסיבה כלשהי הוא לא עובר על אותו לוח בחינת שינוי או תהליך שינוי, או מה שזה לא יהיה, או שהפרויקט פשוט המשיך ואף אחד לא יודע.
יש לך דוגמאות שאתה יכול לשתף - ואני יודע, ברור, זה לא תמיד משהו שאתה משתף מכיוון שלקוחות קצת חוששים מזה, אז אנחנו לא צריכים בהכרח לנקוב בשמות - אבל תן לנו דוגמה למקום שאתה אולי ראו את זה בעצם, אתה יודע, ארגון הציב את זה במקום בלי להבין וזה פשוט מצאו משהו והבינו, "וואו, זה היה שווה עשר פעמים, פשוט מצאנו משהו שלא הבנו." איזו דוגמה שבה אנשים יישמו זאת ואז גילו שיש להם בעיה גדולה יותר או בעיה אמיתית שהם לא הבינו שיש להם ואז אתה מתווסף מיד לרשימת כרטיסי חג המולד?
איגנסיו רודריגז: אני חושב שהדבר הכי גדול שראינו או שדיווחנו עליו הוא מה שציינתי זה עתה, בכל הנוגע לגישה שיש למישהו. יש מפתחים וכאשר הם יישמו את הכלי הם ממש לא הבינו שלכמות ה- X של המפתחים האלה הייתה גישה כה רבה למסד הנתונים והייתה להם גישה לאובייקטים מסוימים. ודבר נוסף הוא חשבונות לקריאה בלבד. היו כמה חשבונות לקריאה בלבד שהיו להם, גילו שחשבונות הקריאה בלבד הם למעשה, הכניסו נתונים ומחקו גם הרשאות. שם ראינו תועלת מסוימת למשתמשים. הדבר הגדול, שוב, ששמענו שאנשים אוהבים, הוא מסוגל, שוב, לעקוב אחר השינויים ולוודא ששום דבר לא מסתתר להם.
דז בלנשפילד: כמו שרובין הדגיש, יש לך תרחישים שאנשים לא חושבים לעיתים קרובות, נכון? כשאנחנו מצפים קדימה אנחנו, סוג של חשיבה, אתה יודע, אם אנחנו עושים הכל על פי הכללים, ואני מוצא, ואני בטוח שאתה רואה את זה גם - תגיד לי אם אתה לא מסכים עם זה - ארגונים מתמקדים כך בעיקר בפיתוח אסטרטגיה ומדיניות ותאימות וממשל ו- KPI ודיווח, שלעתים קרובות הם מתקבעים כל כך בכך שהם לא חושבים על המתחרים. ולרובין הייתה דוגמה ממש נהדרת שאני הולך לגנוב ממנו - סליחה על רובין - אבל הדוגמא היא הפעם השנייה בה עותק חי של מסד הנתונים, תמונת מצב והכניס אותו למבחן פיתוח, נכון? אנו מבצעים dev, אנו מבצעים בדיקות, אנו מבצעים UAT, אנו מבצעים שילוב מערכות, כל מיני דברים כאלה ואחר כך אנו מבצעים המון בדיקות תאימות. לעתים קרובות מבחן dev, UAT, SIT מכיל רכיב תאימות בו אנו פשוט מוודאים שהכל בריא ובטוח, אך לא כולם עושים זאת. הדוגמא הזו שרובין העניקה עם עותק של עותק חי של מסד הנתונים הוכנס למבחן עם סביבת פיתוח כדי לבדוק אם הוא עדיין עובד עם הנתונים החיים. מעט מאוד חברות מתרפקות וחושבות, "האם זה קורה או שזה אפשרי?" הן תמיד מקובעות על חומר הייצור. איך נראה מסע היישום? האם מדובר על ימים, שבועות, חודשים? איך נראית פריסה קבועה לארגון בגודל ממוצע?
איגנסיו רודריגז: ימים. זה אפילו לא ימים, זאת אומרת, זה רק יומיים. רק הוספנו תכונה בה אנו יכולים לרשום שרתים רבים. במקום שתצטרך להיכנס לשם בכלי, ולהגיד שיש לך 150 שרתים, היית צריך להיכנס לשם בנפרד ולרשום את השרתים - עכשיו אתה לא צריך לעשות את זה. יש קובץ CSV שאתה יוצר ואנחנו מסירים אותו אוטומטית ואנחנו לא שומרים אותו שם בגלל חששות ביטחוניים. אבל זה דבר נוסף שעלינו לקחת בחשבון, האם יהיה לך קובץ CSV שם עם שם משתמש / סיסמא.
מה שאנחנו עושים זה שאנחנו אוטומטית, האם למחוק את זה שוב, אבל זו אפשרות שיש לך. אם אתה רוצה להיכנס לשם בנפרד ולרשום אותם ולא רוצה לקחת סיכון זה, אתה יכול לעשות את זה. אבל אם אתה רוצה להשתמש בקובץ CSV, שים אותו במיקום מאובטח, הצב את היישום למיקום זה, הוא יפעיל את קובץ ה- CSV ואז הוא מוגדר אוטומטית למחוק את הקובץ לאחר סיוםו. וזה יוודא ולבדוק שהקובץ מוסר. הקוטב הארוך ביותר בחול שהיה לנו עד ליישום היה רישום השרתים בפועל.
דז בלנשפילד: אוקיי. עכשיו דיברת על דיווחים. האם אתה יכול לתת לנו קצת יותר פירוט ותובנות לגבי הדברים שמגיעים לפני היקף כל הדיווחים סביב, אני מניח, מרכיב הגילוי של התבוננות במה שיש שם ודיווח עליו, מצב האומה הנוכחי, מה קורה לפני נבנו ואופים מראש עד דיווחים סביב המצב הנוכחי של תאימות וביטחון, ואז באיזו קלות ניתן להרחבה? איך בונים על אלה?
איגנסיו רודריגז: אוקיי. חלק מהדוחות שיש לנו, יש לנו דוחות העוסקים בשרתים חוצים, בדיקות התחברות, מסנני איסוף נתונים, היסטוריית פעילויות ואז דוחות הערכת הסיכון. וגם כל חשבונות של Windows החשודים. יש כאן הרבה מאוד. ראו כניסות SQL חשודות, כניסות שרתים ומיפוי משתמשים, הרשאות משתמש, כל הרשאות המשתמש, תפקידי שרת, תפקידי מסד נתונים, כמות פגיעות שיש לנו או דוחות אימות במצב מעורב, מסדי נתונים המאפשרים אורחים, פגיעות מערכת הפעלה באמצעות XPS, הנהלים המורחבים, ואז התפקידים הקבועים הפגיעים. אלה חלק מהדיווחים שיש לנו.
דז בלנשפילד: והזכרת שהם מספיק משמעותיים ומספר מהם, וזה דבר הגיוני. כמה קל לי להתאים את זה? אם אני מנהל דוח ואני מקבל גרף גדול נהדר זה, אבל אני רוצה להוציא כמה קטעים שאני לא כל כך מעוניין בהם ולהוסיף עוד כמה תכונות, האם יש כותב דוחות, האם יש ממשק כלשהו וכלי לתצורה ולהתאים או אפילו לבנות דוח אחר מאפס?
איגנסיו רודריגז: לאחר מכן היינו מכוונים את המשתמשים להשתמש בשירותי הדוחות של SQL של מיקרוסופט כדי לעשות זאת ויש לנו לקוחות רבים שלמעשה ייקחו חלק מהדוחות, יתאימו אותם ויתאימנו אותם מתי שהם רוצים. חלק מהחבר'ה האלה רוצים לראות את הדוחות האלה על בסיס חודשי או שבועי והם ייקחו את המידע שיש לנו, יעבירו אותו לשירותי הדיווח ואז יעשו זאת משם. אין לנו כותב דוחות המשולב בכלי שלנו, אך אנו מנצלים את שירותי הדיווח.
דז בלנשפילד: אני חושב שזה אחד האתגרים הגדולים ביותר בכלים האלה. אתה יכול להיכנס לשם ולמצוא דברים, אבל אז אתה צריך להיות מסוגל לשלוף את זה, לדווח על כך לאנשים שאינם בהכרח DBAs ומהנדסי מערכות. יש ניסיון מעניין שיצא לי מניסיוני, כלומר, אתה יודע, קציני סיכון היו תמיד בארגונים ושבעיקרם הם היו בסביבה ומגוון שונה לחלוטין של סיכונים שראינו לאחרונה, ואילו כעת עם נתונים הפרות הופכות לא רק למשהו אלא לצונאמי בפועל, CRO עבר מלהיות, אתה יודע, משאבי אנוש ותאימות ובריאות תעסוקתית וסוגית בטיחות עכשיו לסיכון סייבר. אתה יודע, הפרה, פריצה, ביטחון - הרבה יותר טכני. וזה נהיה מעניין מכיוון שיש המון אנשי צוות המגיעים מאיוחני תואר שני במנהל עסקים (MBA) ולא מדור יוחס טכני, כך שהם צריכים לסובב את הראש, סוג של מה זה אומר למעבר בין סיכון הסייבר לעבור ל CRO וכן הלאה. אבל הדבר הגדול שהם רוצים זה רק דיווח על נראות.
האם אתה יכול לספר לנו משהו סביב המיקום בכל הקשור לציות? ברור שאחת החוזקות הגדולות של זה היא שאתה יכול לראות מה קורה, אתה יכול לפקח על זה, אתה יכול ללמוד, אתה יכול לדווח על זה, אתה יכול להגיב עליו, אתה יכול אפילו להקדים מקדים דברים. האתגר הכללי הוא ציות לממשל. האם ישנם חלקים עיקריים בזה שמתקשרים במכוון לדרישות התאימות הקיימות או לציות בתעשייה כמו PCI, או משהו כזה כרגע, או שזה משהו שיורד במפת הדרכים? האם זה, במידה מסוימת, מתאים למסגרת של אנשים כמו תקני COBIT, ITIL ו- ISO? אם נפרוס את הכלי הזה, האם זה נותן לנו סדרה של בדיקות ואיזונים שמתאימים למסגרות האלה, או איך בונים אותו למסגרות האלה? איפה המיקום עם דברים מסוג זה בראש?
איגנסיו רודריגז: כן, יש תבניות שיש לנו שאנחנו מספקים בעזרת הכלי. ואנחנו שוב מגיעים לנקודה בה אנו מעריכים מחדש את התבניות שלנו ואנחנו נוסיף ויהיה עוד בקרוב. FISMA, FINRA, כמה תבניות נוספות שיש לנו, ובדרך כלל אנו בודקים את התבניות ונראה מה השתנה, מה עלינו להוסיף? ואנחנו בעצם רוצים להגיע למצב בו, אתה יודע, דרישות האבטחה השתנו לא מעט, כך שאנו בוחנים דרך להפוך את זה להרחבה תוך כדי תנועה. זה משהו שאנחנו מסתכלים עליו בעתיד.
אבל כרגע אנו בוחנים אולי ליצור תבניות ולהצליח להשיג את התבניות מאתר; אתה יכול להוריד אותם. וככה אנו מטפלים בכך - אנו מטפלים בהם באמצעות תבניות, ואנחנו מחפשים דרכים בעתיד כאן להפוך את זה בקלות להרחבה ומהירה. כי פעם הייתי עושה ביקורת, אתה יודע, דברים משתנים. מבקר היה בא חודש אחד ובחודש הבא הוא רוצה לראות משהו אחר. ואז זה אחד האתגרים עם הכלים, היכולת לבצע את השינויים האלה ולקבל את מה שאתה צריך, וזה סוג של המקום אליו אנו רוצים להגיע.
דז בלנשפילד: אני מניח שהאתגר של מבקר משתנה על בסיס קבוע לאור העובדה שהעולם מתקדם מהר יותר. ופעם אחת הדרישה מנקודת מבט של ביקורת, מניסיוני, הייתה פשוט ציות מסחרי טהור, ואז זה הפך להיות ציות טכני ועכשיו זו תאימות תפעולית. ויש את כל שאר הדברים האלה, אתה יודע, כל יום מישהו מופיע והם לא סתם מודדים אותך על משהו כמו פעולת ISO 9006 ו- 9002, הם מסתכלים על כל מיני דברים. ואני רואה שעכשיו 38, 000 הסדרות הופכות להיות דבר גדול גם ב- ISO. אני מתאר לעצמי שזה פשוט הולך להיות יותר ויותר מאתגר. אני עומד למסור לרובין כיוון שאספתי את רוחב הפס.
תודה רבה לך לראות את זה, ואני בהחלט מתכוונת להקדיש זמן רב יותר להכיר את זה מכיוון שלא ממש הבנתי שזה באמת היה זה לעומק. אז תודה לך איגנסיו, אני הולך למסור לרובין עכשיו. מצגת נהדרת, תודה. רובין, אלייך.
ד"ר רובין בלור: אוקיי איגי, אני הולך לקרוא לך איגי, אם זה בסדר. מה שמפחיד אותי, ואני חושב לאור כמה מהדברים שאמר דז במצגת שלו, יש המון דברים נוראיים שאתה צריך לומר שאנשים ממש לא דואגים לנתונים. אתה יודע, במיוחד כשמדובר בעובדה שאתה רואה רק חלק מהקרחון וכנראה שקורה הרבה שאף אחד לא מדווח עליו. אני מעוניין בפרספקטיבה שלך לגבי כמה מהלקוחות שאתה מודע אליהם, או לקוחות פוטנציאליים שאתה מודע אליהם, יש את רמת ההגנה שאתה, סוג של, מציע עם לא רק זה, אבל גם טכנולוגיית גישת הנתונים שלך? כלומר, מי שם מצויד כראוי להתמודד עם האיום, זו השאלה?
איגנסיו רודריגז: מי מצויד כראוי? כלומר, הרבה לקוחות שממש לא התייחסנו אליהם בשום סוג של ביקורת, אתם יודעים. היו להם כמה, אבל הדבר הגדול הוא לנסות לעמוד בזה ולנסות לתחזק את זה ולוודא. הנושא הגדול שראינו הוא - ואפילו יש לי כשעשיתי את הציות הוא - אם היית מנהל את התסריטים שלך, היית עושה את זה פעם ברבעון כשהמבקר היה נכנס ומצאת בעיה. ובכן, נחשו מה, זה כבר מאוחר מדי, הביקורת שם, מבקרי הביקור שם, הם רוצים את הדוח שלהם, הם מסמנים אותו. ואז או שאנחנו מקבלים חותם או שנאמר לנו, היי, אנחנו צריכים לתקן את הבעיות האלה, וכאן זה ייכנס. זה יהיה יותר מסוג פרואקטיבי שבו אתה יכול למצוא את הסיכון שלך ולהקטין את הסיכון וזה מה הלקוחות שלנו מחפשים. דרך להיות פרואקטיבית מעט לעומת להיות תגובתי כאשר מבקרים נכנסים ומגלים שחלק מהנגישות אינן היכן שהן צריכות להיות, לאנשים אחרים יש הרשאות ניהוליות ואסור שיהיה להם אותם, אלו סוגים של דברים. וכאן ראינו הרבה משוב, שאנשים אוהבים את הכלי ומשתמשים בו עבורו.
ד"ר רובין בלור: אוקיי, שאלה נוספת שיש לי שהיא, במובן מסוים, שאלה מובנת מאליה, אבל אני פשוט סקרן. כמה אנשים באמת מגיעים אליך בעקבות גרזן? איפה, אתה יודע, אתה משיג את העסק, לא בגלל שהם הביטו בסביבתם והבינו שהם צריכים להיות מאובטחים בצורה הרבה יותר מסודרת, אבל למעשה אתה שם פשוט בגלל שהם כבר סבלו חלק מה כאב.
איגנסיו רודריגז: בזמני כאן ב- IDERA לא ראיתי אחד כזה. אם להיות כנה אתכם, רוב האינטראקציה שניהלתי עם הלקוחות שהייתי מעורב בהם הם יותר מבט קדימה ומנסים להתחיל לבקר והתחלתי להסתכל על הרשאות וכו '. כמו שאמרתי, גם אני עצמי לא חוויתי בזמני כאן שיש לנו מישהו שהגיע לאחר הפרה שאני מכיר.
ד"ר רובין בלור: אה, זה מעניין. הייתי חושבת שהיו לפחות כמה. אני בעצם בוחן את זה, אבל גם מוסיף לזה, את כל המורכבות שלמעשה הופכות את הנתונים לאבטחים ברחבי הארגון בכל דרך ובכל פעילות שאתה מבצע. האם אתה מציע ייעוץ ישירות כדי לעזור לאנשים לצאת? כלומר, ברור שאפשר לקנות כלים, אך מניסיוני, אנשים קונים לעתים קרובות כלים מתוחכמים ומשתמשים בהם בצורה לא טובה. האם אתה מציע ייעוץ ספציפי - מה לעשות, את מי לאמן ודברים כאלה?
איגנסיו רודריגז: ישנם שירותים שאתה יכול, ביחס לשירותי תמיכה, שיאפשרו לחלק מהדברים להתרחש. אך בכל הנוגע לייעוץ, אנו לא מספקים שירותי ייעוץ אלא הדרכות, אתה יודע, כיצד להשתמש בכלים וכאלה, חלק מהעניין יטופל ברמת התמיכה. אבל כשלעצמה אין לנו מחלקת שירותים שיוצאת ועושה את זה.
ד"ר רובין בלור: אוקיי. מבחינת בסיס הנתונים שאתה מכסה, המצגת כאן רק מזכירה את Microsoft SQL Server - האם אתה עושה גם את אורקל?
איגנסיו רודריגז: אנו הולכים להתרחב תחום אורקל עם מנהל הציות. אנו הולכים לפתח פרויקט עם זה אז אנו הולכים ונבחן להרחיב את זה לאורקל.
ד"ר רובין בלור: ואתה צפוי לנסוע למקום אחר?
איגנסיו רודריגז: כן, זה משהו שאנחנו צריכים להסתכל עליו במפות הדרכים ולראות איך הדברים, אבל זה חלק מהדברים שאנחנו שוקלים, זה איזה פלטפורמות מסד נתונים אחרות אנחנו צריכים לתקוף גם כן.
ד"ר רובין בלור: גם אני התעניינתי בפיצול. אין לי שום תמונה מראש שקבעה את זה, אבל מבחינת הפריסה, כמה מכל זה בעצם נפרס בענן, או שזה כמעט הכל באתר ?
איגנסיו רודריגז: הכל באתר. אנו בוחנים להרחיב את Secure גם לכסות את Azure, כן.
ד"ר רובין בלור: זו הייתה שאלת התכלת, אתה עדיין לא שם אבל אתה הולך לשם, זה הגיוני מאוד.
איגנסיו רודריגז: כן, אנחנו הולכים לשם ממש בקרוב.
ד"ר רובין בלור: כן, טוב, ההבנה שלי ממיקרוסופט היא שיש הרבה פעולה נוראית עם Microsoft SQL Server ב- Azure. זה הופך להיות, אם תרצה, חלק מרכזי ממה שהם מציעים. השאלה האחרת שבה אני מעוניינת - היא לא טכנית, זה יותר כמו שאלה של איך לעשות אתכם - מיהו הקונה לזה? פונים אליך מחלקת ה- IT או שמסמכי CSO פונים אליך, או שמא מדובר במגוון שונה של אנשים? כשמדובר בדבר כזה, האם זה חלק מהסתכלות על סדרה שלמה של דברים להבטחת הסביבה? מה המצב שם?
איגנסיו רודריגז: זה תערובת. יש לנו CSOs, פעמים רבות צוות המכירות יושיט יד ושוחח עם DBA. ואז שוב הוסמכו ה- DBA עם קבלת מדיניות כלשהי בנושא תהליכי ביקורת. ואז משם הם יעריכו את הכלים ויתייצבו על הרשת ויקבלו החלטה באיזה חלק הם רוצים לקנות. אבל זה תיק מעורב של מי שיפנה אלינו.
ד"ר רובין בלור: אוקיי. אני חושב שאחזיר לאריק עכשיו מכיוון שעשינו, למשל, את השעה, אבל יתכן שיש כמה שאלות קהל. אריק?
אריק קוואנה: כן בטוח, שרפנו כאן הרבה מאוד תוכן טוב. הנה שאלה אחת ממש טובה שאעביר לך מאחד הנוכחים. הוא מדבר על הבלוקצ'יין ועל מה אתה מדבר, והוא שואל, האם יש דרך אפשרית להעביר חלק לקריאה בלבד של מסד נתונים SQL למשהו דומה למה שמציע blockchain? זה די קשה.
איגנסיו רודריגז: כן, אני אהיה כנה איתך, אין לי תשובה לזה.
אריק קוונהאג: אני אזרוק את זה לרובין. אני לא יודע אם שמעת את השאלה הזו, רובין, אבל הוא רק שואל, האם יש דרך להעביר את החלק הקריא בלבד של מסד נתונים SQL למשהו הדומה למה שמציע blockchain? מה אתה חושב על זה?
ד"ר רובין בלור: זה כמו שאם אתה מעביר את מסד הנתונים אתה גם יעביר את תעבורת מסד הנתונים. יש מערך שלם של מורכבות הכרוך בכך. אבל לא הייתם עושים זאת מכל סיבה שהיא פרט להפקרת הנתונים. מכיוון ש- blockchain הולך להיות איטי יותר בגישה, אז אתה יודע, אם המהירות היא הדבר שלך - וזה כמעט תמיד הדבר - אז לא היית עושה את זה. אבל אם היית רוצה לספק גישה מוצפנת מסוג כלשהו, המוצפנת לחלק ממנה, לאנשים מסוימים שעושים דבר כזה, היית יכול לעשות את זה, אבל תצטרך להיות סיבה טובה מאוד. אתה הרבה יותר סביר להשאיר את זה במקום שהוא ולהבטיח אותו איפה שהוא.
דז בלנשפילד: כן, אני מסכים על זה, אם אוכל לשקול במהירות. אני חושב שהאתגר של הבלוקצ'יין, אפילו הבלוקצ'יין שנמצא בפומבי בחוץ, הוא משמש בביטקוין - אנו מתקשים לגדול את זה מעבר לסוג של ארבע עסקאות בדקה באופן מופץ מלא. לא כל כך בגלל האתגר המחושב, למרות שהוא קיים, הצמתים המלאים פשוט מתקשים לעמוד בכמויות בסיסי הנתונים שנעים אחורה וקדימה וכמויות הנתונים המועתקות מכיוון שזה הופעות עכשיו, ולא רק מגה.
אבל גם אני חושב שהאתגר המרכזי הוא שאתה צריך לשנות את הארכיטקטורה של היישום מכיוון שבמסד נתונים זה בעיקר מביא את הכל למיקום מרכזי ויש לך את המודל של סוג השרת-לקוח. Blockchain הוא ההפוך; זה עותקים מופצים. זה דומה יותר ל- BitTorrent במובנים רבים, וזה שהרבה עותקים נמצאים מאותם נתונים. ואתם יודעים, כמו קסנדרה ובסיסי נתונים בזיכרון בהם אתם מפיצים אותם והרבה שרתים יכולים לתת לכם עותקים של אותם נתונים מתוך אינדקס מבוזר. אני חושב ששני חלקי המפתח, כמו שאמרת, רובין, הם: אחד, אם אתה רוצה לאבטח את זה ולוודא שלא ניתן יהיה לגנוב אותו או לפרוץ אותו, זה נהדר, אבל זה עדיין לא בהכרח פלטפורמה עסקית, ואנחנו חווינו את זה עם פרויקט הביטקוין. אולם בתיאוריה אחרים פתרו זאת. אבל גם מבחינה ארכיטקטונית הרבה מהיישומים שם פשוט לא יודעים לשאול ולקרוא מתוך blockchain.
יש שם עבודה רבה. אבל אני חושב שנקודת המפתח עם השאלה שם, רק אם אני יכולה, היא הרציונל של העברתם לבלוקצ'יין, אני חושב שהשאלה שנשאלת היא האם אתה יכול להוציא נתונים ממסד נתונים ולהכניס אותם לצורה שהיא יותר בטוח? והתשובה היא, אתה יכול להשאיר אותו בבסיס הנתונים ופשוט להצפין אותו. יש עכשיו הרבה טכנולוגיות. פשוט הצפני את הנתונים במנוחה או בתנועה. אין שום סיבה שלא תוכל להחזיק נתונים מוצפנים בזיכרון ובמאגר הנתונים בדיסק, וזה אתגר פשוט בהרבה מכיוון שאין לך שינוי ארכיטקטוני אחד. בדרך כלל רוב הפלטפורמות של מסד הנתונים, זו למעשה רק תכונה שמופעלת.
אריק קוואנה: כן, יש לנו שאלה אחת אחרונה שאעביר לך, איגי. זה די טוב. מנקודת מבט של SLA ותכנון קיבולת, איזה סוג מס יש באמצעות המערכת שלך? במילים אחרות, כל תקופת חביון או תפוקה נוספת אם במערכת מסד נתונים של ייצור, מישהו רוצה לערב כאן את הטכנולוגיה של IDERA?
איגנסיו רודריגז: אנחנו באמת לא רואים הרבה השפעה. שוב, מדובר במוצר ללא סוכן והכל תלוי, כפי שציינתי קודם, בתמונות. אבטחה מבוססת על תמונות תצלום. זה ייצא לשם ולמעשה ייצור עבודה שתצא לשם על בסיס המרווחים שבחרת. או שאתה רוצה לעשות את זה, שוב, שבועי, יומי, חודשי. הוא ייצא לשם ויבצע את העבודה הזו ואז יאסוף את הנתונים מהמקרים. בשלב זה העומס ואז חוזר לשירותי הניהול והגבייה, ברגע שמתחילים לבצע את ההשוואות וכל זה, העומס על בסיס הנתונים אינו משחק בכך. כל העומס הזה נמצא כעת בשרת הניהול והגבייה, ככל שעושה את ההשוואה וכל הדיווח וכל זה. הפעם היחידה שתפגע במסד הנתונים היא תמיד כשהיא עושה את צילומי האיתור בפועל. ולא היו לנו באמת דיווחים על כך שזה באמת מזיק לסביבות הייצור.
אריק קוואנה: כן, זו נקודה ממש טובה שאתה עושה שם. בעיקרון אתה יכול פשוט לקבוע כמה תמונות אי פעם אתה מצלם, מה מרווח הזמן הזה, ותלוי מה זה יכול להיות, אבל זו ארכיטקטורה חכמה מאוד. זה דברים טובים, בנאדם. ובכן אתם בחזיתית ומנסים להגן עלינו מכל אותם האקרים עליהם דיברנו ב 25 הדקות הראשונות של ההופעה. והם שם בחוץ, אנשים, לא טועים.
ובכן, שמע, אנו נפרסם קישור לשידור האינטרנט הזה, הארכיונים, באתר insideanalysis.com. אתה יכול למצוא דברים ב- SlideShare, אתה יכול למצוא אותם ב- YouTube. ואנשים, דברים טובים. תודה על זמנך, איגי, אני אוהב את הכינוי שלך, אגב. עם זה ניפרד מכם, חברים. תודה רבה לך על זמנך ותשומת לבך. אנו נתעדכן בפעם הבאה. ביי ביי.
