Lar Bases de dados Melhor pedir permissão: práticas recomendadas para privacidade e segurança

Melhor pedir permissão: práticas recomendadas para privacidade e segurança

Anonim

Por Techopedia Staff, 10 de maio de 2017

Takeaway: O anfitrião Eric Kavanagh discute segurança e permissões com o Dr. Robin Bloor e Vicky Harp do IDERA.

No momento, você não está logado. Faça o login ou inscreva-se para ver o vídeo.

Eric Kavanagh: OK, senhoras e senhores, olá e bem-vindos de volta. É quarta-feira, são quatro no leste e no mundo da tecnologia corporativa, o que significa que chegou a hora de Hot Technologies! Sim, de fato. Apresentado pelo Bloor Group, é claro, desenvolvido por nossos amigos do Techopedia. O tópico de hoje é bem interessante: "Melhor pedir permissão: práticas recomendadas para privacidade e segurança". É isso mesmo, é um tópico difícil, muitas pessoas falam sobre isso, mas é bem sério, e está ficando cada vez mais sério todos os dias, francamente. É um problema grave de várias maneiras para muitas organizações. Vamos falar sobre isso e sobre o que você pode fazer para proteger sua organização dos personagens nefastos que parecem estar por toda parte nos dias de hoje.

Então, o apresentador de hoje é Vicky Harp ligando da IDERA. Você pode ver o software IDERA no LinkedIn - adoro a nova funcionalidade no LinkedIn. Embora eu possa dizer que eles estão mexendo em algumas maneiras de certas maneiras, não permitindo que você acesse pessoas, tentando fazer com que você compre essas associações premium. Lá está, temos o nosso próprio Robin Bloor, discando - ele está atualmente na área de San Diego hoje. E o seu verdadeiramente como moderador / analista.

Então, do que estamos falando? Violações de dados. Acabei de pegar essas informações do IdentityForce.com, elas já estão disponíveis. Estamos em maio, é claro, este ano, e há apenas uma tonelada de violações de dados, e algumas realmente grandes, pelo Yahoo! foi grande e ouvimos falar, é claro, de que o governo dos EUA foi hackeado. Acabamos de invadir as eleições francesas.

Isso está acontecendo em todo o lugar, continua e não vai parar, por isso é uma realidade, é a nova realidade, como eles dizem. Realmente precisamos pensar em maneiras de reforçar a segurança de nossos sistemas e dados. E é um processo contínuo, então chegou a tempo de pensar em todos os diferentes problemas que entram em jogo. Esta é apenas uma lista parcial, mas isso fornece uma perspectiva de quão precária é a situação atualmente nos sistemas corporativos. E antes deste programa, conversávamos sobre ransomware que atingiu alguém que eu conheço, o que é uma experiência muito desagradável quando alguém pega o seu iPhone e exige dinheiro para você voltar a ter acesso ao seu telefone. Mas acontece, acontece com computadores, acontece com sistemas, vi outro dia, está acontecendo com bilionários com seus iates. Imagine ir ao seu iate um dia, tentando impressionar todos os seus amigos e você nem pode ligá-lo, porque algum ladrão roubou o acesso aos controles, o painel de controle. Eu apenas disse outro dia em uma entrevista para alguém, sempre tenho a substituição manual. Tipo, eu não sou um grande fã de todos os carros conectados - até carros podem ser invadidos. Qualquer coisa que esteja conectada à Internet ou conectada a uma rede que possa ser invadida pode ser invadida, qualquer coisa.

Portanto, aqui estão apenas alguns itens a serem considerados em termos de enquadrar o contexto de quão séria é a situação. Atualmente, os sistemas baseados na Web estão em toda parte, eles continuam a proliferar. Quantas pessoas compram coisas online? Hoje em dia, é apenas o limite, é por isso que a Amazon é uma força tão poderosa nos dias de hoje. É porque muitas pessoas estão comprando coisas online.

Então, você se lembra, naquela época, há 15 anos, as pessoas estavam muito nervosas em colocar seu cartão de crédito em um formulário da Web para obter suas informações e, naquela época, o argumento era: “Bem, se você entregar seu cartão de crédito a um garçom no um restaurante, então é a mesma coisa. ”Então, nossa resposta é sim, é a mesma coisa, existem todos esses pontos de controle ou pontos de acesso, a mesma coisa, lado diferente da mesma moeda, onde as pessoas podem ser colocadas em risco, onde alguém pode pegar seu dinheiro ou alguém pode roubar de você.

É claro que a IoT expande o cenário de ameaças - adoro essa palavra - por ordens de magnitude. Quero dizer, pense nisso - com todos esses novos dispositivos em todos os lugares, se alguém pode invadir um sistema que os controla, eles podem virar todos esses bots contra você e causar muitos e muitos problemas, então esse é um problema muito sério. Atualmente, temos uma economia global que expande ainda mais o cenário de ameaças. Além disso, você tem pessoas em outros países que podem acessar a Web da mesma maneira que você e eu, e se você não sabe falar russo ou em vários outros idiomas, será difícil entender o que está acontecendo quando eles invadem o sistema. Portanto, temos avanços em redes e virtualização, isso é bom.

Mas eu tenho no lado direito da foto aqui, uma espada e a razão pela qual eu a tenho, é porque toda espada corta nos dois sentidos. É uma faca de dois gumes, como eles dizem, e é um velho clichê, mas significa que a espada que eu tenho pode prejudicá-lo ou pode me prejudicar. Isso pode voltar em mim, seja devolvendo-o ou por alguém que o esteja levando. Na verdade, é uma das fábulas de Esopo - geralmente damos a nossos inimigos as ferramentas de nossa própria destruição. É realmente o enredo convincente e tem a ver com alguém que usou um arco e flecha e abateu um pássaro e a serra de pássaros, quando a flecha estava subindo, a pena de uma de suas aves estava na ponta da flecha, na parte de trás da flecha para guiá-lo, e ele pensou consigo mesmo: "Oh, cara, aqui está, minhas próprias penas, minha própria família serão usadas para me derrubar". Isso acontece o tempo todo, você ouve estatísticas sobre você ter uma arma em casa, o ladrão pode pegar a arma. Bem, isso tudo é verdade. Então, eu estou jogando isso lá fora como uma analogia apenas para considerar, todos esses diferentes desenvolvimentos têm lados positivos e negativos.

E, falando nisso, contêineres para aqueles que realmente seguem a vanguarda da computação corporativa, os contêineres são a última e a mais recente maneira de fornecer funcionalidade, é realmente o casamento da virtualização na arquitetura orientada a serviços, pelo menos para microsserviços e é coisas muito interessantes. Você certamente pode ofuscar seus protocolos de segurança e protocolos de aplicativos e seus dados e assim por diante, usando contêineres, o que lhe dá um avanço por um período de tempo, mas mais cedo ou mais tarde, os bandidos descobrirão isso e será ainda mais difícil impedi-los de tirar proveito de seus sistemas. Portanto, existe uma força de trabalho global que complica a rede e a segurança e de onde as pessoas estão acessando.

Temos as guerras de navegadores que continuam em ritmo acelerado e exigem trabalho constante para atualizar e manter o controle das coisas. Continuamos ouvindo sobre os navegadores antigos do Microsoft Explorer, como eles foram hackeados e disponíveis lá. Então, há mais dinheiro a ser ganhado em hackers hoje em dia, existe toda uma indústria, isso é algo que meu parceiro, Dr. Bloor, me ensinou há oito anos - eu estava me perguntando por que estamos vendo tanto disso, e ele lembrou eu, é toda uma indústria envolvida em hackers. E, nesse sentido, a narrativa, que é uma das minhas palavras menos favoritas sobre segurança, é realmente muito desonesta, porque a narrativa mostra todos esses vídeos e qualquer tipo de cobertura noticiosa. Alguns hackers mostram um cara de capuz, sentado no porão de uma sala escura, não é esse o caso. Isso não é de todo representativo da realidade. São hackers solitários, existem muito poucos hackers solitários, estão por aí, estão causando alguns problemas - eles não causarão o grande problema, mas podem ganhar muito dinheiro. Então o que acontece é que os hackers entram e penetram no seu sistema e depois vendem esse acesso a outra pessoa, que se vira e vende para outra pessoa e, em algum momento da linha, alguém explora esse hack e tira vantagem de você. E há inúmeras maneiras de tirar proveito dos dados roubados.

Eu até me maravilhei com o modo como glamourizamos esse conceito. Você vê esse termo em todos os lugares, “hackers de crescimento” como se fosse uma coisa boa. Hacking de crescimento, você sabe, hackers podem ser uma coisa boa, se você está tentando trabalhar para os mocinhos, por assim dizer e invadir um sistema, como nós continuamos ouvindo sobre a Coréia do Norte e seus lançamentos de mísseis, potencialmente sendo hackeados - isso é bom. Mas hackers geralmente são uma coisa ruim. Então agora estamos glamourizando, quase como Robin Hood, quando glamourizamos Robin Hood. E depois há a sociedade sem dinheiro, algo que francamente diz respeito à luz do dia. Tudo o que penso sempre que ouço é: “Não, por favor, não faça isso! Por favor, não! Eu não quero que todo o nosso dinheiro desapareça. Portanto, essas são apenas algumas questões a considerar e, novamente, é um jogo de gato e rato; nunca vai parar, sempre haverá a necessidade de protocolos de segurança e de avançar nos protocolos de segurança. E para monitorar seus sistemas, mesmo sabendo e sentindo quem está lá fora, com o entendimento de que pode até ser um trabalho interno. Portanto, é um problema em andamento, por um bom tempo - não se engane.

E com isso, vou entregá-lo ao Dr. Bloor, que pode compartilhar conosco algumas idéias sobre a segurança de bancos de dados. Robin, leve embora.

Robin Bloor: OK, um dos hacks interessantes, acho que ocorreu cerca de cinco anos atrás, mas basicamente era uma empresa de processamento de cartões que foi invadida. E um grande número de detalhes do cartão foi roubado. Mas o mais interessante, para mim, foi o fato de que eles eram o banco de dados de teste e eles provavelmente tiveram muita dificuldade em entrar no banco de dados real e real dos cartões de processamento. Mas você sabe como é com os desenvolvedores, eles apenas pegam um pedaço de um banco de dados, enfiam nele. Teria que haver muito mais vigilância para impedir isso. Mas há muitas histórias interessantes sobre hackers, isso faz em uma área, é um assunto muito interessante.

Então, de uma forma ou de outra, vou repetir algumas das coisas que Eric disse, mas é fácil pensar na segurança dos dados como um alvo estático; é mais fácil apenas porque é mais fácil analisar situações estáticas e depois pensar em colocar defesas, defesas ali, mas não é. É um alvo em movimento e essa é uma das coisas que define todo o espaço de segurança. É da maneira que toda a tecnologia evolui, a tecnologia dos bandidos também. Então, uma breve visão geral: roubo de dados não é novidade; na verdade, espionagem de dados é roubo de dados e isso acontece há milhares de anos, eu acho.

O maior roubo de dados nesses termos foi o britânico quebrando os códigos alemães e os americanos quebrando os códigos japoneses, e em ambos os casos eles reduziram a guerra consideravelmente. E eles estavam apenas roubando dados úteis e valiosos, era muito inteligente, é claro, mas você sabe, o que está acontecendo agora é muito inteligente de várias maneiras. O roubo cibernético nasceu com a Internet e explodiu por volta de 2005. Analisei todas as estatísticas e quando você começou a ficar realmente sério e, de uma maneira ou de outra, números notavelmente altos a partir de 2005. Isso só piorou desde então. Muitos jogadores, governos estão envolvidos, empresas estão envolvidas, grupos de hackers e indivíduos.

Eu fui a Moscou - isso deve ter passado cerca de cinco anos - e na verdade passei muito tempo com um cara do Reino Unido, que está pesquisando todo o espaço de hackers. E ele disse isso - e não tenho idéia se isso é verdade, só tenho a palavra dele, mas parece muito provável - que na Rússia exista algo chamado Business Network, que é um grupo de hackers que são todos, eles saíram das ruínas da KGB. E eles se vendem, não apenas, quero dizer, tenho certeza que o governo russo os usa, mas eles se vendem a qualquer pessoa, e havia rumores, ou ele disse que havia boatos, de que vários governos estrangeiros estavam usando a Rede de Negócios para negação plausível. Esses caras tinham redes de milhões de PCs comprometidos dos quais podiam atacar. E eles tinham todas as ferramentas que você pode imaginar.

Então, a tecnologia de ataque e defesa evoluiu. E as empresas têm o dever de cuidar de seus dados, sejam eles proprietários ou não. E isso está começando a ficar muito mais claro em termos dos vários regulamentos que já estão em vigor ou estão entrando em vigor. E com probabilidade de melhorar, alguém de uma maneira ou de outra, alguém tem que arcar com o custo de invadir de tal maneira que seja incentivado a fechar a possibilidade. Essa é uma das coisas que acho necessárias. Então, sobre os hackers, eles podem ser localizados em qualquer lugar. Particularmente dentro da sua organização - muitos dos hacks engenhosos que ouvi falar envolveram alguém abrindo a porta. Você sabe, a pessoa é como a situação de assaltante de banco, quase sempre eles costumavam dizer que em bons assaltos a banco há um insider. Mas o insider só precisa fornecer informações, por isso é difícil obtê-las, saber quem era e assim por diante.

E pode ser difícil levá-los à justiça, porque se você foi invadido por um grupo de pessoas na Moldávia, mesmo se você souber que era esse grupo, como vai fazer algum tipo de evento legal acontecer ao seu redor? É uma espécie de, de uma jurisdição para outra, é apenas, não há um conjunto muito bom de acordos internacionais para identificar os hackers. Eles compartilham tecnologia e informação; muito disso é de código aberto. Se você deseja criar seu próprio vírus, existem muitos kits de vírus por aí - código-fonte completamente aberto. E eles têm recursos consideráveis, houve um número que teve botnets em mais de um milhão de dispositivos comprometidos em data centers e em PCs e assim por diante. Algumas são empresas lucrativas que já existem há muito tempo, e há grupos governamentais, como mencionei. É improvável, como Eric disse, é improvável que esse fenômeno acabe.

Então, esse é um truque interessante que eu pensei em mencionar, porque foi um truque relativamente recente; aconteceu no ano passado. Havia uma vulnerabilidade no contrato DAO associado à moeda criptográfica Etherium. E isso foi discutido em um fórum e, em um dia, o contrato do DAO foi hackeado, usando essa vulnerabilidade com precisão. US $ 50 milhões em éter foram desviados, causando uma crise imediata no projeto DAO e encerrando-o. E o Etherium realmente lutou para tentar impedir o hacker de acessar o dinheiro, e eles meio que reduziram sua opinião. Mas também se acreditava - não se sabe ao certo - que o hacker realmente reduziu o preço do éter antes de seu ataque, sabendo que o preço do colapso entraria em colapso e, assim, obteve lucro de outra maneira.

E essa é outra estratégia, se você preferir, que os hackers podem usar. Se eles podem danificar o preço de suas ações e eles sabem que farão isso, então é necessário que eles reduzam o preço das ações e façam o hack, então é meio que esses caras são inteligentes, você sabe. E o preço é roubo total de dinheiro, interrupção e resgate, incluindo investimentos, nos quais você interrompe e diminui o estoque, sabotagem, roubo de identidade, todo tipo de fraude, apenas para fins publicitários. E tende a ser política, ou obviamente, espionagem de informações e até existem pessoas que ganham a vida com as recompensas de insetos que você pode obter tentando invadir o Google, Apple, Facebook - até o Pentágono, na verdade, oferece recompensas de insetos. E você acabou de hackear; se for bem-sucedido, basta reivindicar seu prêmio e nenhum dano será causado, então é uma coisa boa, você sabe.

Eu também poderia mencionar conformidade e regulamentação. Além das iniciativas do setor, existem muitos regulamentos oficiais: HIPAA, SOX, FISMA, FERPA e GLBA são todos legislação dos EUA. Existem padrões; O PCI-DSS se tornou um padrão bastante geral. E há a ISO 17799 sobre propriedade de dados. Os regulamentos nacionais diferem de país para país, mesmo na Europa. E atualmente o RGPD - Dados Globais, o que significa? Regulamentação global de proteção de dados, acho que representa - mas está entrando em vigor no próximo ano, disse. E o interessante é que se aplica ao mundo. Se você possui 5.000 ou mais clientes, nos quais possui informações pessoais e eles moram na Europa, a Europa o levará a tarefas, independentemente de sua empresa estar realmente sediada ou onde ela opera. E as penalidades, a penalidade máxima, são quatro por cento da receita anual, que é enorme, de modo que será uma reviravolta interessante no mundo, quando entrar em vigor.

Coisas para pensar, bem, vulnerabilidades do DBMS, a maioria dos dados valiosos está realmente nos bancos de dados. É valioso porque dedicamos muito tempo para disponibilizá-lo e organizá-lo bem, o que o torna mais vulnerável, se você não aplicar os títulos DBMS corretos. Obviamente, se você planeja coisas como essa, precisa identificar o que são dados vulneráveis ​​em toda a organização, tendo em mente que os dados podem ser vulneráveis ​​por diferentes razões. Podem ser dados de clientes, mas também podem ser documentos internos que seriam valiosos para fins de espionagem e assim por diante. A política de segurança, particularmente em relação à segurança de acesso - que na minha opinião tem sido muito fraca nos últimos tempos - nas novas fontes de código aberto - a criptografia está sendo mais utilizada porque é bastante sólida.

O custo de uma violação de segurança, a maioria das pessoas não sabia, mas se você realmente observar o que aconteceu com organizações que sofreram violações de segurança, o custo de uma violação de segurança geralmente é muito maior do que você imagina. . E a outra coisa a se pensar é a superfície de ataque, porque qualquer software em qualquer lugar, executando com suas organizações, apresenta uma superfície de ataque. O mesmo ocorre com qualquer um dos dispositivos, assim como os dados, independentemente de como eles são armazenados. É tudo, a superfície de ataque está crescendo com a Internet das coisas, a superfície de ataque provavelmente vai dobrar.

Então, finalmente, DBA e segurança de dados. A segurança dos dados geralmente faz parte do papel do DBA. Mas é colaborativo também. E precisa estar sujeito à política corporativa, caso contrário provavelmente não será implementado bem. Dito isto, acho que posso passar a bola.

Eric Kavanagh: Tudo bem, deixe-me dar as chaves para Vicky. E você pode compartilhar sua tela ou ir para esses slides, é com você, leve-o embora.

Vicky Harp: Não, vou começar com esses slides, muito obrigado. Então, sim, eu só queria ter um momento rápido e me apresentar. Eu sou Vicky Harp. Sou gerente de gerenciamento de produtos SQL no software IDERA e, para aqueles que talvez não estejam familiarizados, o IDERA possui várias linhas de produtos, mas estou falando aqui do lado do SQL Server. E assim, fazemos monitoramento de desempenho, conformidade de segurança, backup, ferramentas administrativas - e é apenas uma espécie de lista delas. E, claro, o que eu estou aqui para falar hoje é segurança e conformidade.

A maior parte do que eu quero falar hoje não são necessariamente nossos produtos, embora pretenda mostrar alguns exemplos disso mais tarde. Eu queria falar com você mais sobre segurança de banco de dados, algumas das ameaças no mundo da segurança de banco de dados agora, algumas coisas em que pensar e algumas das idéias introdutórias do que você precisa observar para proteger seu SQL Bancos de dados do servidor e também para garantir que eles estejam em conformidade com a estrutura regulamentar à qual você pode estar sujeito, conforme mencionado. Existem muitos regulamentos diferentes em vigor; eles trabalham em diferentes setores, em diferentes lugares ao redor do mundo, e essas são coisas em que pensar.

Então, eu meio que quero ter um momento e falar sobre o estado das violações de dados - e não repetir muito do que já foi discutido aqui - eu estava analisando este estudo de pesquisa de segurança da Intel recentemente e em todo o seu - eu acho Cerca de 1500 organizações com as quais conversaram - elas tiveram uma média de seis violações de segurança, em termos de violações de perda de dados, e 68% delas exigiram divulgação em algum sentido, por isso afetaram o preço das ações ou tiveram que fazer algum crédito monitoramento para seus clientes ou funcionários etc.

Algumas outras estatísticas interessantes são os atores internos que foram responsáveis ​​por 43% deles. Portanto, muitas pessoas pensam bastante sobre hackers e esse tipo de organização quase governamental obscura ou crime organizado, etc., mas os atores internos ainda estão agindo diretamente contra seus empregadores, em uma proporção bastante alta dos casos. E às vezes são mais difíceis de se proteger, porque as pessoas podem ter razões legítimas para ter acesso a esses dados. Cerca da metade disso, 43% foi perda acidental em algum sentido. Por exemplo, no caso em que alguém levou os dados para casa e depois perdeu o controle desses dados, o que me leva a esse terceiro ponto, que é o material para a mídia física ainda estava envolvido em 40% das violações. Então, são as chaves USB, os laptops das pessoas, as mídias reais que foram gravadas em discos físicos e retiradas do prédio.

Se você pensa sobre, você tem um desenvolvedor que tenha uma cópia do desenvolvedor do banco de dados de produção no laptop deles? Então eles entram em um avião e saem do avião, pegam a bagagem despachada e seu laptop é roubado. Você já teve uma violação de dados. Você pode não necessariamente pensar que é por isso que o laptop foi levado, ele pode nunca aparecer na natureza. Mas isso ainda é algo que conta como violação, exigirá divulgação, você terá todos os efeitos posteriores de ter perdido esses dados, apenas por causa da perda dessa mídia física.

E a outra coisa interessante é que muitas pessoas pensam nos dados de crédito e nas informações do cartão de crédito como os mais valiosos, mas esse não é mais o caso. Esses dados são valiosos, os números dos cartões de crédito são úteis, mas, honestamente, esses números são alterados muito rapidamente, enquanto os dados pessoais das pessoas não são alterados muito rapidamente. Algo que a notícia recente, relativamente recente, a VTech, fabricante de brinquedos, tinha esses brinquedos projetados para crianças. E as pessoas teriam, teriam o nome de seus filhos, teriam informações sobre onde as crianças moram, teriam os nomes de seus pais, teriam fotografias das crianças. Nada disso foi criptografado, porque não foi considerado importante. Mas suas senhas foram criptografadas. Bem, quando a violação aconteceu inevitavelmente, você está dizendo: “OK, então eu tenho uma lista de nomes de crianças, nomes de seus pais, onde eles moram - todas essas informações estão disponíveis, e você pensa que a senha foi a parte mais valiosa disso? ”Não era; as pessoas não podem alterar esses aspectos de seus dados pessoais, endereço, etc. E, portanto, essas informações são realmente muito valiosas e precisam ser protegidas.

Então, queria falar sobre algumas das coisas que estão acontecendo, para contribuir com a maneira como as violações de dados estão acontecendo no momento. Um dos grandes hotspots, atualmente, os espaços são a engenharia social. Então, as pessoas chamam de phishing, representação, etc., onde as pessoas estão obtendo acesso aos dados, geralmente por meio de atores internos, apenas convencendo-os de que devem ter acesso a eles. Então, outro dia, tivemos esse worm do Google Docs que estava circulando. E o que aconteceria - e eu realmente recebi uma cópia dele, embora felizmente não tenha clicado nele - você estava recebendo e-mails de um colega dizendo: “Aqui está um link do Google Doc; você precisa clicar nele para ver o que acabei de compartilhar com você. ”Bem, em uma organização que usa o Google Docs, isso é muito convencional, você recebe dezenas dessas solicitações por dia. Se você clicou nele, você solicitaria permissão para acessar este documento e talvez você diga: “Ei, isso parece um pouco estranho, mas você sabe, parece legítimo também, então eu vou em frente e clique nele "e, assim que você fez isso, estava dando a terceiros acesso a todos os seus documentos do Google e, assim, criando esse link para esse ator externo ter acesso a todos os seus documentos no Google Drive. Isso se espalhava por todo o lugar. Atingiu centenas de milhares de pessoas em questão de horas. E este foi fundamentalmente um ataque de phishing que o próprio Google acabou tendo que desligar, porque foi muito bem executado. As pessoas se apaixonaram por isso.

Menciono aqui a violação do SnapChat HR. Era apenas uma questão simples de alguém enviar um e-mail, fingindo que era o CEO, enviando um e-mail para o departamento de RH, dizendo: "Preciso que você me envie esta planilha". E eles acreditaram neles e colocaram uma planilha com 700 funcionários diferentes 'informações de remuneração, seus endereços residenciais etc., enviaram por e-mail para essa outra parte, na verdade não era o CEO. Agora, os dados estavam disponíveis e todas as informações pessoais e privadas de seus funcionários estavam disponíveis e disponíveis para exploração. Então, engenharia social é algo que eu mencionei no mundo dos bancos de dados, porque é algo que você pode tentar se defender através da educação, mas você também precisa se lembrar de que em qualquer lugar em que você tem uma pessoa interagindo com sua tecnologia, e se você está confiando no bom senso deles para evitar uma interrupção, está pedindo muitas delas.

As pessoas cometem erros, as pessoas clicam em coisas que não deveriam ter, as pessoas caem em artifícios inteligentes. E você pode se esforçar muito para protegê-los contra isso, mas não é forte o suficiente, você precisa limitar a capacidade das pessoas acidentalmente fornecerem essas informações em seus sistemas de banco de dados. A outra coisa que eu queria mencionar que obviamente estamos falando muito é sobre ransomware, botnets, vírus - todas essas diferentes maneiras automatizadas. Então, o que eu acho importante entender sobre o ransomware é que ele realmente muda o modelo de lucro para os invasores. No caso de você estar falando de uma violação, eles precisam, de algum modo, extrair dados e tê-los por si mesmos e utilizá-los. E se seus dados forem obscuros, se forem criptografados, se forem específicos do setor, talvez eles não tenham nenhum valor para isso.

Até esse ponto, as pessoas podem ter pensado que isso era uma proteção para elas: “Eu não preciso me proteger de uma violação de dados, porque se elas entrarem no meu sistema, tudo o que terão é, sou um estúdio de fotografia, tenho uma lista de quem virá em que dias para o próximo ano. Quem se importa com isso? ”Bem, acontece que a resposta é que você se importa com isso; você está armazenando essas informações, são informações críticas para os negócios. Então, usando o ransomware, um invasor dirá: "Bem, ninguém mais vai me dar dinheiro por isso, mas você pagará." Então, eles aproveitam o fato de que nem precisam obter os dados, eles não nem precisa ter uma violação, eles só precisam usar ferramentas de segurança ofensivamente contra você. Eles acessam seu banco de dados, criptografam o conteúdo e dizem: “OK, temos a senha e você terá que pagar US $ 5.000 para obter essa senha, caso contrário, você simplesmente não tem esses dados mais ".

E as pessoas pagam; eles se veem tendo que fazer isso. O MongoDB teve um grande problema alguns meses atrás, acho que foi em janeiro, onde o ransomware atingiu, eu acho, mais de um milhão de bancos de dados do MongoDB que eles têm em público na Internet, com base em algumas configurações padrão. E o que tornou ainda pior é o fato de as pessoas estarem pagando e outras organizações entrarem e criptografarem novamente ou alegarem ter sido as que originalmente a criptografaram; portanto, quando você pagou seu dinheiro, acho que, nesse caso, elas estavam pedindo algo como US $ 500, as pessoas diziam: “OK, eu pagaria mais do que isso para pagar um pesquisador para entrar aqui para me ajudar a descobrir o que deu errado. Pagarei apenas os US $ 500. ”E eles nem estavam pagando para o ator certo, para que fossem empilhados com dez organizações diferentes dizendo:“ Temos a senha ”ou“ Nós temos conseguiu o caminho para você desbloquear seus dados resgatados. ”E você teria que pagar todos eles para que eles funcionassem.

Também houve casos em que os autores do ransomware apresentaram bugs, ou seja, não estamos falando de uma situação perfeitamente exagerada; portanto, mesmo depois de ser atacado, mesmo depois de pago, não há garantia de que você está Para recuperar todos os seus dados, parte disso também está sendo complicada pelas ferramentas armadas da InfoSec. Portanto, o Shadow Brokers é um grupo que está lançando ferramentas que eram da NSA. Eles eram ferramentas projetadas por entidades governamentais para fins de espionagem e na verdade trabalhando contra outras entidades governamentais. Alguns desses ataques foram realmente de alto nível, zero dia, que basicamente fazem com que os protocolos de segurança conhecidos caiam de lado. E, portanto, havia uma grande vulnerabilidade no protocolo SMB, por exemplo, em um dos despejos recentes dos Shadow Brokers.

E, portanto, essas ferramentas lançadas aqui podem, em questão de algumas horas, realmente mudar o jogo em você, em termos de sua superfície de ataque. Portanto, sempre que penso nisso, é algo que, no nível organizacional, a segurança do InfoSec é sua própria função, precisa ser levada a sério. Sempre que falamos de bancos de dados, eu posso resumir um pouco, você não precisa necessariamente ter como administrador de banco de dados um entendimento completo do que está acontecendo com os Shadow Brokers esta semana, mas precisa estar ciente de que tudo destes estão mudando, há coisas acontecendo e, portanto, o grau em que você mantém seu próprio domínio firme e seguro, realmente ajudará no caso de coisas serem arrancadas de você.

Então, eu queria dedicar um momento aqui, antes de passar a falar especificamente sobre o SQL Server, para realmente ter um pouco de uma discussão aberta com nossos membros do painel sobre algumas das considerações sobre segurança de banco de dados. Então, cheguei a esse ponto, algumas das coisas que não mencionamos, eu queria falar sobre a injeção de SQL como um vetor. Portanto, essa é a injeção de SQL, obviamente, é a maneira pela qual as pessoas inserem comandos em um sistema de banco de dados, meio que deformando as entradas.

Eric Kavanagh: Sim, eu realmente conheci um cara - acho que foi na base da Força Aérea Andrews - há cerca de cinco anos, um consultor que eu estava conversando com ele no corredor e estávamos meio que compartilhando histórias de guerra - sem trocadilhos - e ele mencionou que havia sido contratado por alguém para consultar um membro das forças armadas de alto escalão, e o sujeito perguntou-lhe: "Bem, como sabemos que você é bom no que faz?" E isso e aquilo . E, enquanto conversava com eles, usou no computador, entrou na rede, usou injeção de SQL para entrar no registro de e-mail dessa base e dessas pessoas. E ele encontrou o e-mail da pessoa com quem estava falando e apenas lhe mostrou o e-mail na máquina! E o cara estava tipo: "Como você fez isso?" Ele disse: "Bem, eu usei injeção de SQL".

Então, isso foi há apenas cinco anos e estava na base da Força Aérea, certo? Então, em termos de contexto, essa coisa ainda é muito real e pode ser usada com efeitos realmente aterradores. Quero dizer, eu ficaria curioso para saber de alguma história de guerra que Robin tenha sobre o assunto, mas todas essas técnicas ainda são válidas. Eles ainda são usados ​​em muitos casos, e é uma questão de se educar, certo?

Robin Bloor: Bem, sim. Sim, é possível se defender contra a injeção de SQL fazendo o trabalho. É fácil entender por que, quando a idéia foi inventada e proliferada pela primeira vez, é fácil entender por que teve tanto sucesso, porque você pode colocá-la em um campo de entrada em uma página da Web e fazer com que ela retorne dados para você ou obtenha para excluir dados no banco de dados, ou qualquer coisa - você pode simplesmente injetar código SQL para fazer isso. Mas o que mais me interessou é que, você sabe, você precisaria analisar um pouco cada parte dos dados inseridos, mas é bem possível perceber que alguém está tentando fazer isso. E é realmente, eu acho que é realmente, porque as pessoas ainda se safam, quero dizer, é realmente muito estranho que não tenha havido uma maneira fácil de combater isso. Você sabe, que todo mundo poderia usar facilmente, quer dizer, até onde eu sei, Vicky não tem?

Vicky Harp: Bem, na verdade, algumas das soluções de reféns, como o SQL Azure, acho que existem métodos de detecção muito bons, baseados no aprendizado de máquina. Isso é provavelmente o que veremos no futuro, é algo que está tentando criar com o tamanho único. Acho que a resposta foi que não existe um tamanho único, mas temos máquinas que podem aprender qual é o seu tamanho e garantir que você se encaixa nele, certo? E para que, se você tem um falso positivo, é porque você está realmente fazendo algo incomum, não porque você teve que passar e identificar minuciosamente tudo o que seu aplicativo pode fazer.

Acho que uma das razões pelas quais ainda é tão prolífico é que as pessoas ainda confiam em aplicativos de terceiros, e aplicativos de ISVs e outros são difundidos com o tempo. Então, você fala sobre uma organização que comprou um aplicativo de engenharia que foi escrito em 2001. E eles não o atualizaram, porque não houve grandes alterações funcionais desde então, e o autor original era meio que, eles não eram engenheiros, não eram especialistas em segurança de bancos de dados, não faziam as coisas da maneira certa no aplicativo e acabavam sendo um vetor. Meu entendimento é que - eu acho que foi a violação de dados do Target, realmente grande - o vetor de ataque foi através de um de seus fornecedores de ar condicionado, certo? Portanto, o problema com esses terceiros, você pode, se você possui sua própria loja de desenvolvimento, talvez possa ter algumas dessas regras em vigor, fazendo-o genericamente sempre que. Como organização, você pode ter centenas ou até milhares de aplicativos em execução, com todos os perfis diferentes. Eu acho que é aí que o aprendizado de máquina surgirá e começará a nos ajudar bastante.

Minha história de guerra era vida educacional. Vi um ataque de injeção de SQL, e algo que nunca me ocorreu é que use SQL legível. Eu faço essas coisas chamadas cartões de feriado P SQL ofuscados; Eu gosto de fazer, você faz esse SQL parecer o mais confuso possível. Há um concurso de código C ++ ofuscado que já dura décadas e é meio que a mesma ideia. Então, o que você conseguiu foi a injeção de SQL que estava em um campo de string aberto, fechou a string, inseriu o ponto-e-vírgula e, em seguida, o comando exec, que tinha uma série de números e, basicamente, estava usando o comando de conversão para converter esses números em binários e, em seguida, converter esses valores em caracteres e, em seguida, executá-los. Portanto, não é como se você visse algo que dizia "Excluir inicialização da tabela de produção"; na verdade, ele estava empacotado em campos numéricos que tornavam muito mais difícil a visualização. E mesmo depois que você o viu, para identificar o que estava acontecendo, foram necessárias algumas tentativas reais de SQL, para poder descobrir o que estava acontecendo, e nessa época, é claro, o trabalho já havia sido feito.

Robin Bloor: E uma das coisas que é apenas um fenômeno em todo o mundo dos hackers é que, se alguém encontra uma fraqueza e acontece em um software que geralmente é vendido, você sabe, um dos primeiros problemas é a senha do banco de dados que você recebeu quando um banco de dados foi instalado, muitos bancos de dados eram apenas um padrão. E muitos DBAs simplesmente nunca o mudaram e, portanto, você poderia entrar na rede; você poderia apenas tentar essa senha e, se funcionasse, bem, você acabou de ganhar na loteria. E o interessante é que todas essas informações circulam de maneira muito eficiente e eficaz entre as comunidades de hackers nos sites da darknet. E eles sabem. Então, eles podem fazer uma varredura do que está por aí, encontrar algumas instâncias e simplesmente lançar alguma exploração de hackers nele, e eles estão dentro. E isso, eu acho, que muitas pessoas que estão pelo menos no Na periferia de tudo isso, não entendo com que rapidez a rede de hackers responde à vulnerabilidade.

Vicky Harp: Sim, isso traz à tona outra coisa que eu queria mencionar antes de seguir em frente, que é essa noção de preenchimento de credenciais, que é algo que vem aparecendo muito, ou seja, uma vez que suas credenciais foram roubadas por alguém em qualquer lugar, em qualquer site, essas credenciais tentarão ser reutilizadas de maneira geral. Portanto, se você estiver usando senhas duplicadas, digamos, se seus usuários estiverem, mesmo assim, digamos assim, alguém poderá obter acesso através do que parece ser um conjunto de credenciais completamente válido. Então, digamos que eu usei minha mesma senha na Amazon e no meu banco, e também em um fórum e que o software do fórum foi hackeado, bem, eles têm meu nome de usuário e minha senha. E eles podem usar o mesmo nome de usuário na Amazon ou no banco. E, no que diz respeito ao banco, era um login completamente válido. Agora, você pode executar ações nefastas através do acesso totalmente autorizado.

Então, isso volta ao que eu estava dizendo sobre as violações internas e os usos internos. Se houver pessoas em sua organização que usam a mesma senha para acesso interno que elas usam para acesso externo, você tem a possibilidade de alguém entrar e se passar por você através de uma violação em outro site que você não usa. nem sei. E esses dados são disseminados muito rapidamente. Há listas de, eu acho que a carga mais recente de “eu fui atacada” por Troy Hunt, ele disse que tinha meio bilhão de conjuntos de credenciais, o que é - se você considerar o número de pessoas no planeta - esse é um número realmente grande de credenciais que foram disponibilizadas para preenchimento de credenciais.

Então, vou aprofundar um pouco e falar sobre segurança do SQL Server. Agora, quero dizer que não vou tentar fornecer tudo o que você precisa saber para proteger seu SQL Server nos próximos 20 minutos; isso parece um pouco difícil. Portanto, para começar, quero dizer que existem grupos online e recursos online que você certamente pode pesquisar no Google, há livros, existem documentos de práticas recomendadas na Microsoft, há um capítulo virtual de segurança para os profissionais associados do SQL Server, eles estão no security.pass.org e eles têm, acredito, webcasts mensais e gravações de webcasts para examinar o real e profundo como executar a segurança do SQL Server. Mas estas são algumas das coisas que eu, falando com você como profissionais de dados, profissionais de TI e DBAs, quero que saiba que você precisa conhecer a segurança do SQL Server.

Então, o primeiro é a segurança física. Então, como eu disse anteriormente, roubar mídia física ainda é extremamente comum. E assim, o cenário que eu dei com a máquina dev, com uma cópia do seu banco de dados na máquina dev que é roubada - esse é um vetor extremamente comum, é um vetor do qual você precisa estar ciente e tentar executar ações. O mesmo vale para a segurança de backup; portanto, sempre que você estiver fazendo backup de seus dados, você precisará fazer backup deles criptografados, precisará fazer backup em um local seguro. Muitas vezes esses dados que estavam realmente protegidos no banco de dados, assim que começam a sair para locais periféricos, para máquinas de desenvolvimento, para máquinas de teste, temos um pouco menos de cuidado com o patch, um pouco menos cuidado com as pessoas que têm acesso a ele. A próxima coisa que você sabe é que você tem backups de banco de dados não criptografados armazenados em um compartilhamento público em sua organização, disponíveis para exploração por muitas pessoas diferentes. Então, pense em segurança física e, de maneira simples, alguém pode subir e simplesmente colocar uma chave USB no seu servidor? Você não deveria permitir isso.

O próximo item em que quero que você pense é a segurança da plataforma, sistema operacional tão atualizado e patches atualizados. É muito cansativo ouvir as pessoas falando sobre permanecer em versões mais antigas do Windows, versões mais antigas do SQL Server, pensando que o único custo em jogo é o custo da atualização do licenciamento, o que não é o caso. Estamos com segurança, é um fluxo que continua descendo a colina e, com o tempo, mais explorações são encontradas. A Microsoft, neste caso, e outros grupos, conforme o caso, atualizarão os sistemas mais antigos a um certo ponto e, eventualmente, ficarão sem suporte e não os atualizarão mais, porque é apenas um processo interminável de manutenção.

Portanto, você precisa estar em um sistema operacional suportado e estar atualizado sobre seus patches, e descobrimos recentemente como com os Shadow Brokers; em alguns casos, a Microsoft pode ter informações sobre as principais violações de segurança futuras antes delas. sendo tornado público antes da divulgação, portanto, não se deixe distorcer totalmente. Prefiro não ter tempo de inatividade, prefiro esperar e ler cada um deles e decidir. Você pode não saber qual é o valor até algumas semanas depois de descobrir por que esse patch ocorreu. Então, fique por dentro disso.

Você deve ter seu firewall configurado. Foi chocante na violação do SNB quantas pessoas estavam executando versões mais antigas do SQL Server com o firewall completamente aberto à Internet, para que qualquer pessoa pudesse entrar e fazer o que quisesse com seus servidores. Você deveria estar usando um firewall. O fato de você ocasionalmente ter que configurar as regras ou fazer exceções específicas para a maneira como você faz seus negócios é um preço razoável a pagar. Você precisa controlar a área de superfície em seus sistemas de banco de dados - você está co-instalando serviços ou servidores da Web como o IIS na mesma máquina? Compartilhando o mesmo espaço em disco, compartilhando o mesmo espaço de memória que seus bancos de dados e seus dados privados? Tente não fazer isso, tente isolá-lo, mantenha a área da superfície menor, para que você não precise se preocupar tanto em garantir que tudo isso esteja seguro no topo do banco de dados. Você pode separar fisicamente aqueles, plataforma, separá-los, dar um pouco de espaço para respirar.

Você não deve ter superadministradores em execução em todos os lugares, capazes de ter acesso a todos os seus dados. As contas de administrador do sistema operacional talvez não precisem necessariamente ter acesso ao seu banco de dados ou aos dados subjacentes no banco de dados via criptografia, sobre os quais falaremos em um minuto. E o acesso aos arquivos do banco de dados, você também precisa restringir isso. É meio bobo se você dissesse, bem, alguém não pode acessar esses bancos de dados via banco de dados; O próprio SQL Server não permitirá que eles acessem, mas se eles puderem navegar, tirar uma cópia do arquivo MDF real, movê-lo com simplicidade, anexá-lo ao próprio SQL Server, você realmente não realizou muito Muito de.

Criptografia, então a criptografia é a famosa espada de duas mãos. Existem muitos níveis diferentes de criptografia que você pode fazer no nível do SO e a maneira contemporânea de fazer as coisas para SQL e Windows é com o BitLocker e, no nível do banco de dados, é chamado de TDE ou criptografia de dados transparente. Portanto, essas são as duas formas de manter seus dados criptografados em repouso. Se você deseja manter seus dados criptografados de maneira mais abrangente, pode criptografar - desculpe, eu meio que dei um passo à frente. Você pode fazer conexões criptografadas para que, sempre que estiver em trânsito, ele ainda seja criptografado para que, se alguém estiver ouvindo ou tiver um homem no meio de um ataque, tenha alguma proteção desses dados por cabo. Seus backups precisam ser criptografados, como eu disse, podem estar acessíveis a outras pessoas e, se você quiser que ele seja criptografado na memória e durante o uso, temos criptografia de coluna e, em seguida, o SQL 2016 tem essa noção de “sempre criptografado ”, onde é realmente criptografado em disco, na memória, na conexão, até o aplicativo que realmente está usando os dados.

Agora, toda essa criptografia não é gratuita: há sobrecarga na CPU, às vezes na criptografia de colunas e no caso sempre criptografado, há implicações no desempenho em termos de sua capacidade de realizar buscas nesses dados. No entanto, essa criptografia, se estiver montada adequadamente, significa que, se alguém tiver acesso aos seus dados, o dano será muito menor, porque eles foram capazes de obtê-lo e, portanto, não podem fazer nada com ele. No entanto, também é dessa maneira que o ransomware funciona: alguém entra e ativa esses itens, com seu próprio certificado ou sua própria senha e você não tem acesso a ele. Portanto, é por isso que é importante garantir que você esteja fazendo isso e tenha acesso a ele, mas você não está dando, aberto para que outros e atacantes o façam.

E então, princípios de segurança - não vou abordar esse ponto, mas verifique se você não tem todos os usuários executando no SQL Server como superadministrador. Seus desenvolvedores podem querer, usuários diferentes podem querer - eles ficam frustrados ao solicitar acesso a itens individuais - mas você precisa ser diligente quanto a isso, e mesmo que seja mais complicado, dê acesso aos objetos e os bancos de dados e os esquemas válidos para o trabalho em andamento, e há um caso especial, talvez isso signifique um login especial, não significa necessariamente uma elevação de direitos, para o usuário médio do caso.

E então, há considerações de conformidade regulatória que se encaixam nisso e alguns casos podem realmente sair do seu próprio jeito - então há HIPAA, SOX, PCI - há todas essas considerações diferentes. E quando você passa por uma auditoria, espera-se que você mostre que está tomando ações para permanecer em conformidade com isso. E assim, é muito para acompanhar, eu diria que, como uma lista de tarefas do DBA, você está tentando garantir a configuração de criptografia física de segurança, tentando garantir que o acesso a esses dados esteja sendo auditado para fins de conformidade, verifique se suas colunas confidenciais sabem o que são, onde estão e quais devem ser criptografadas e assistindo ao acesso. E certifique-se de que as configurações estejam alinhadas com as diretrizes regulamentares às quais você está sujeito. E você precisa manter tudo atualizado, à medida que as coisas estão mudando.

Então, é muito o que fazer, e se eu deixasse ali, eu diria: faça isso. Mas existem muitas ferramentas diferentes para isso, e, se puder, nos últimos minutos, quero mostrar algumas das ferramentas que temos na IDERA para isso. E os dois que eu queria falar hoje são o SQL Secure e o SQL Compliance Manager. O SQL Secure é nossa ferramenta para ajudar a identificar o tipo de vulnerabilidades de configuração. Suas políticas de segurança, suas permissões de usuário, suas configurações de área de superfície. E possui modelos para ajudá-lo a cumprir diferentes estruturas regulatórias. Isso por si só, essa última linha, pode ser a razão para as pessoas considerarem isso. Como ler esses regulamentos diferentes e identificar o que isso significa, PCI e levá-lo até o meu SQL Server na minha loja, é muito trabalhoso. Isso é algo que você pode pagar muito dinheiro com consultoria; fizemos essa consultoria, trabalhamos com as diferentes empresas de auditoria etc. para descobrir quais são esses modelos - algo que provavelmente passará em uma auditoria se eles estiverem em vigor. E então você pode usar esses modelos e vê-los em seu ambiente.

Também temos outra ferramenta irmã, na forma do SQL Compliance Manager, e é aqui que o SQL Secure se refere às definições de configuração. O SQL Compliance Manager trata de ver o que foi feito por quem e quando. Portanto, é uma auditoria, permitindo monitorar a atividade à medida que ela ocorre e detectar e rastrear quem está acessando as coisas. Alguém, o exemplo prototípico de uma celebridade foi internado em seu hospital, foi alguém que procurava suas informações apenas por curiosidade? Eles tinham um motivo para fazê-lo? Você pode dar uma olhada no histórico de auditoria e ver o que estava acontecendo, quem estava acessando esses registros. E você pode identificar que isso possui ferramentas para ajudá-lo a identificar colunas sensíveis, para que você não precise necessariamente ler e fazer isso sozinho.

Portanto, se eu puder, vou mostrar algumas dessas ferramentas aqui nestes últimos minutos - e não a considere uma demonstração detalhada. Como gerente de produto, não engenheiro de vendas, mostrarei algumas das coisas que acho relevantes para esta discussão. Portanto, este é o nosso produto SQL Secure. E como você pode ver aqui, eu tenho esse tipo de boletim de alto nível. Ontem eu acho que fiz isso. E isso me mostra algumas das coisas que não estão configuradas corretamente e algumas das coisas que estão configuradas corretamente. Portanto, você pode ver que existem mais de 100 verificações diferentes que fizemos aqui. E posso ver que minha criptografia de backup nos backups que eu faço, não uso criptografia de backup. Minha conta SA, denominada explicitamente "conta SA", não é desativada ou renomeada. A função de servidor público tem permissão, portanto, todas essas coisas podem ser alteradas.

Eu tenho a política configurada aqui; portanto, se eu quiser configurar uma nova política, para aplicar nos meus servidores, temos todas essas políticas internas. Então, vou usar um modelo de política existente e você pode ver que tenho CIS, HIPAA, PCI, SR e continuamos, e na verdade estamos no processo de adicionar continuamente políticas adicionais, com base nas coisas que as pessoas precisam em campo . E você também pode criar uma nova política; portanto, se você sabe o que seu auditor está procurando, você pode criá-la. E então, quando você fizer isso, poderá escolher entre todas essas configurações diferentes, as quais você precisa definir, em alguns casos, você tem algumas - deixe-me voltar e encontrar uma das configurações pré-criadas. Isso é conveniente, eu posso escolher, digamos, HIPAA - eu já tenho HIPAA, meu mal - PCI e, ao clicar aqui, posso ver a referência cruzada externa à seção do regulamento ao qual isso está relacionado. Então, isso o ajudará mais tarde, quando você estiver tentando descobrir por que estou definindo isso? Por que estou tentando olhar para isso? A que seção isso está relacionado?

Isso também tem uma boa ferramenta, pois permite que você entre e navegue em seus usuários; portanto, uma das coisas complicadas sobre como explorar suas funções de usuário é que, na verdade, vou dar uma olhada aqui. Então, se eu mostrar permissões para o meu, vamos ver, vamos escolher um usuário aqui. Mostrar permissões. Eu posso ver as permissões atribuídas para este servidor, mas então posso clicar aqui e calcular as permissões efetivas, e ele me fornecerá a lista completa com base em, portanto, neste caso, isso é admin, então não é tão emocionante, mas Eu poderia pesquisar e escolher os diferentes usuários e ver quais são suas permissões efetivas, com base em todos os diferentes grupos aos quais eles podem pertencer. Se você tentar fazer isso sozinho, pode ser um pouco complicado, para descobrir, OK, esse usuário é membro desses grupos e, portanto, tem acesso a esses itens por meio de grupos, etc.

Portanto, a maneira como esse produto funciona é tirar instantâneos, portanto, não é um processo muito difícil tirar um instantâneo do servidor regularmente e, em seguida, mantém esses instantâneos ao longo do tempo para que você possa comparar as alterações. Portanto, este não é um monitoramento contínuo no sentido tradicional de como uma ferramenta de monitoramento de desempenho; isso é algo que você pode ter configurado para executar uma vez por noite, uma vez por semana - por mais que você pense que seja válido - para que, sempre que estiver fazendo a análise e fazendo um pouco mais, esteja realmente apenas trabalhando dentro de nossa ferramenta. Você não está se conectando tanto ao seu servidor, por isso é uma ferramenta muito boa de se trabalhar, para se adaptar a esse tipo de configuração estática.

A outra ferramenta que quero mostrar é a nossa ferramenta Gerenciador de conformidade. O Compliance Manager vai monitorar de maneira mais contínua. E ele vai ver quem está fazendo o que no seu servidor e permite que você dê uma olhada nele. Então, o que eu fiz aqui, nas últimas duas horas, tentei criar alguns pequenos problemas. Então, aqui estou, se é um problema ou não, talvez eu saiba, alguém realmente criou um login e o adicionou a uma função de servidor. Então, se eu der uma olhada nisso, posso ver - acho que não posso clicar com o botão direito do mouse lá, posso ver o que está acontecendo. Portanto, este é o meu painel e posso ver que tive vários logins com falha um pouco mais cedo hoje. Eu tive um monte de atividade de segurança, atividade DBL.

Então, deixe-me ir aos meus eventos de auditoria e dar uma olhada. Aqui, meus eventos de auditoria são agrupados por categoria e objeto de destino; portanto, se eu der uma olhada nessa segurança anteriormente, posso ver DemoNewUser, ocorreu o login do servidor de criação. E posso ver que a SA de logon criou esta conta DemoNewUser, aqui, às 14:42. E então, posso ver que, por sua vez, adicione o logon ao servidor, esse DemoNewUser foi adicionado ao grupo de administradores do servidor, eles foram adicionados ao grupo de administração de instalação, eles foram adicionados ao grupo sysadmin. Então, isso é algo que eu gostaria de saber que aconteceu. Também o configurei para que as colunas sensíveis nas minhas tabelas sejam rastreadas, para que eu possa ver quem está acessando.

Então, aqui eu selecionei algumas que ocorreram na minha mesa pessoal, da Adventure Works. E eu posso dar uma olhada e ver que o usuário SA na tabela Adventure Works fez uma estrela dez selecionada de pessoa ponto pessoa. Então, talvez na minha organização eu não queira que as pessoas selecionem estrelas de pessoa por pessoa, ou espero que apenas alguns usuários o façam, e por isso vou ver isso aqui. Portanto, o que você precisa em termos de auditoria, podemos configurá-lo com base na estrutura e isso é um pouco mais de uma ferramenta intensiva. Ele está usando eventos SQL Trace ou SQLX, dependendo da versão. E é algo que você terá que ter algum espaço livre no servidor para acomodar, mas é uma dessas coisas, como seguro, o que é bom se não precisássemos de seguro de carro - seria um custo que não teríamos de suportar - mas se você tiver um servidor em que precisa acompanhar quem está fazendo o que, poderá ter que ter um pouco mais de espaço extra e uma ferramenta como essa para fazer isso. Independentemente de você estar usando nossa ferramenta ou implementando você mesmo, você será responsável por ter essas informações para fins de conformidade regulamentar.

Então, como eu disse, não uma demonstração detalhada, apenas um pequeno e rápido resumo. Eu também queria mostrar uma ferramenta rápida e gratuita na forma desta Pesquisa de colunas do SQL, que é algo que você pode usar para identificar quais colunas do seu ambiente parecem ser informações confidenciais. Portanto, temos várias configurações de pesquisa em que ele procura os diferentes nomes de colunas que geralmente contêm dados confidenciais e, em seguida, tenho toda essa lista deles que foram identificados. Eu tenho 120 deles e depois os exportei aqui, para que eu possa usá-los para dizer: vamos procurar e ter certeza de que estou rastreando o acesso ao nome do meio, ponto pessoal ou imposto sobre vendas taxa etc.

Eu sei que estamos chegando bem no final do nosso tempo aqui. E isso é tudo que eu realmente tinha para lhe mostrar, então tem alguma pergunta para mim?

Eric Kavanagh: Eu tenho alguns bons para você. Deixe-me rolar isso aqui em cima. Um dos participantes estava fazendo uma pergunta muito boa. Uma delas é perguntar sobre o imposto sobre desempenho, por isso sei que varia de solução para solução, mas você tem alguma idéia geral de qual é o imposto sobre desempenho para usar as ferramentas de segurança IDERA?

Vicky Harp: Então, no SQL Secure, como eu disse, é muito baixo, apenas tira alguns instantâneos ocasionais. E mesmo se você estiver rodando com bastante frequência, está obtendo informações estáticas sobre configurações e, portanto, é muito baixo, quase insignificante. Em termos do Compliance Manager, é:

Eric Kavanagh: Como um por cento?

Vicky Harp: Se eu tivesse que dar um número percentual, sim, seria um por cento ou menos. São informações básicas sobre a ordem de usar o SSMS, acessar a guia de segurança e expandir as coisas. No lado da conformidade, é muito maior - foi por isso que eu disse que precisa de um pouco de espaço - é como se estivesse muito além do que você tem em termos de monitoramento de desempenho. Agora, não quero afugentar as pessoas, o truque do monitoramento de conformidade e se a auditoria é garantir que você esteja apenas auditando o que vai tomar. Então, quando você filtrar para baixo para dizer: "Ei, eu quero saber quando as pessoas acessam essas tabelas específicas e quero que sempre que as pessoas acessam, realizem essas ações específicas", será baseado na frequência com que essas coisas acontecendo e quantos dados você está gerando. Se você disser: "Quero que o texto SQL completo de todas as seleções que ocorra em qualquer uma dessas tabelas" seja possível que gigabytes e gigabytes de dados que precisam ser analisados ​​pelo SQL Server armazenados sejam movidos para o nosso produto, etc.

Se você reduzi-lo a um - também haverá mais informações do que você provavelmente poderia lidar. Se você puder reduzi-lo para um conjunto menor, de modo a receber algumas centenas de eventos por dia, então isso é obviamente muito menor. Então, realmente, de certa forma, o céu é o limite. Se você ativar todas as configurações de todos os monitores para tudo, sim, será um impacto de 50% no desempenho. Mas se você quiser transformá-lo em um nível mais moderado e considerado, talvez eu visse 10% dos olhos? Realmente, é uma daquelas coisas que dependerá muito da sua carga de trabalho.

Eric Kavanagh: Sim, certo. Há outra pergunta sobre hardware. E então, há fornecedores de hardware entrando no jogo e realmente colaborando com fornecedores de software, e eu respondi através da janela de perguntas e respostas. Conheço um caso em particular: Cloudera trabalhando com a Intel, onde a Intel fez um grande investimento neles, e parte do cálculo era que Cloudera teria acesso antecipado ao design do chip e, portanto, seria capaz de aumentar a segurança no nível do chip. arquitetura, o que é bastante impressionante. Mas, no entanto, é algo que vai sair por aí e ainda pode ser explorado pelos dois lados. Você conhece alguma tendência ou tendência de fornecedores de hardware colaborarem com fornecedores de software no protocolo de segurança?

Vicky Harp: Sim, na verdade, acredito que a Microsoft colaborou para ter parte do espaço de memória de parte do trabalho de criptografia, na verdade, acontecendo em chips separados nas placas-mãe separadas da memória principal. desse material é fisicamente separado. E eu acredito que isso realmente foi algo que veio da Microsoft em termos de procurar os fornecedores para dizer: “Podemos encontrar uma maneira de fazer isso, basicamente é uma memória não endereçável, não posso através de um estouro de buffer chegar a essa memória, porque nem sequer está lá, em certo sentido, então eu sei que algo disso está acontecendo. ”

Eric Kavanagh: Sim.

Vicky Harp: Serão obviamente os grandes fornecedores, provavelmente.

Eric Kavanagh: Sim. Estou curioso para assistir a isso, e talvez Robin, se você tiver um segundo rápido, eu ficaria curioso para saber sua experiência ao longo dos anos, porque, novamente, em termos de hardware, em termos da ciência material real que se aplica no que você está montando do lado do fornecedor, essas informações podem ir para os dois lados e, teoricamente, vamos para os dois lados rapidamente, então existe alguma maneira de usar o hardware com mais cuidado, do ponto de vista do design, para aumentar a segurança? O que você acha? Robin, você está mudo?

Robin Bloor: Sim, sim. Me desculpe, eu estou aqui; Estou apenas pensando na questão. Para ser sincero, eu não tenho uma opinião, é uma área que eu não olhei em profundidade significativa, então eu sou tipo, você sabe, eu posso inventar uma opinião, mas eu realmente não sei. Eu prefiro que as coisas sejam seguras no software, basicamente é o jeito que eu jogo.

Eric Kavanagh: Sim. Bem, pessoal, nós queimamos por uma hora e mudamos aqui. Muito obrigado a Vicky Harp por seu tempo e atenção - por todo o seu tempo e atenção; agradecemos por você ter aparecido para essas coisas. É um grande negócio; não vai desaparecer tão cedo. É um jogo de gato e rato que vai continuar indo e vindo e indo. Por isso, somos gratos por algumas empresas estarem lá fora, focadas em possibilitar a segurança, mas como Vicky até mencionou e falou um pouco em sua apresentação, no final do dia, são pessoas de organizações que precisam pensar com muito cuidado sobre esses ataques de phishing, esse tipo de engenharia social e segure em seus laptops - não o deixe na cafeteria! Altere sua senha, faça o básico e você terá 80% do caminho até lá.

Então, com isso, pessoal, vamos dizer adeus, obrigado mais uma vez pelo seu tempo e atenção. Até a próxima, tenha cuidado. Tchau tchau.

Vicky Harp: Tchau, obrigada.

Melhor pedir permissão: práticas recomendadas para privacidade e segurança