Por Techopedia Staff, 27 de outubro de 2016
Takeaway: O anfitrião Eric Kavanagh discute a segurança do banco de dados com Robin Bloor, Dez Blanchfield e Ignacio Rodriguez, do IDERA.
No momento, você não está logado. Faça o login ou inscreva-se para ver o vídeo.
Eric Kavanagh: Olá e bem-vindo de volta, mais uma vez, à Hot Technologies. Meu nome é Eric Kavanagh; Serei seu anfitrião do webcast hoje e é um tópico importante e nunca será um tópico importante. Este é um tópico importante agora, por causa de, francamente, todas as violações que ouvimos e posso garantir que isso nunca vai desaparecer. Portanto, o tópico de hoje, o título exato do programa que devo dizer, é "O novo normal: lidando com a realidade de um mundo inseguro". É exatamente com isso que estamos lidando.
Temos seu anfitrião, o seu verdadeiramente, bem ali. Há alguns anos, lembre-se, eu provavelmente deveria atualizar minha foto; isso foi em 2010. O tempo voa. Envie-me um e-mail com se você quiser fazer algumas sugestões. Portanto, este é o nosso slide "quente" padrão para Hot Technologies. Todo o objetivo deste show é realmente definir um espaço específico. Então hoje nós estamos falando sobre segurança, obviamente. Na verdade, estamos adotando um ângulo muito interessante com nossos amigos da IDERA.
E vou apontar que você, como membros da nossa audiência, desempenha um papel significativo no programa. Por favor, não seja tímido. Envie-nos uma pergunta a qualquer momento e nós a colocaremos na fila para as perguntas e respostas, se tivermos tempo suficiente para isso. Hoje temos três pessoas on-line, Dr. Robin Bloor, Dez Blanchfield e Ignacio Rodriguez, que estão ligando de um local não revelado. Então, primeiro de tudo, Robin, você é o primeiro apresentador. Entregarei as chaves para você. Leve embora.
Dr. Robin Bloor: Ok, obrigado por isso, Eric. Protegendo o banco de dados - Suponho que poderíamos dizer que a probabilidade de que os dados mais valiosos que qualquer empresa esteja realmente presidindo esteja em um banco de dados. Portanto, há uma série de coisas de segurança sobre as quais poderíamos falar. Mas o que eu pensei em fazer é falar sobre o assunto de proteger o banco de dados. Não quero tirar nada da apresentação que Ignacio fará.
Então, vamos começar: é fácil pensar na segurança dos dados como um destino estático, mas não é. É um alvo em movimento. E isso é meio importante de entender no sentido de que os ambientes de TI da maioria das pessoas, principalmente os ambientes de TI de grandes empresas, estão mudando o tempo todo. E como eles estão mudando o tempo todo, a superfície de ataque, as áreas em que alguém pode tentar, de um jeito ou de outro, de dentro ou de fora, comprometer a segurança dos dados, estão mudando o tempo todo. E quando você faz algo como, atualiza um banco de dados, não faz ideia se, ao fazer isso, criou algum tipo de vulnerabilidade para si mesmo. Mas você não está ciente e nunca poderá descobrir até que algo ruim aconteça.
Há uma breve visão geral da segurança dos dados. Antes de tudo, o roubo de dados não é novidade e os dados valiosos são direcionados. Normalmente, é fácil descobrir para uma organização quais são os dados que eles precisam colocar mais proteção. Um fato curioso é que o primeiro, ou o que poderíamos afirmar ser o primeiro computador, foi construído pela inteligência britânica durante a Segunda Guerra Mundial com um objetivo em mente: roubar dados das comunicações alemãs.
Portanto, o roubo de dados faz parte do setor de TI desde o início. Tornou-se muito mais sério com o nascimento da internet. Eu estava olhando para um log do número de violações de dados que estavam ocorrendo ano após ano após ano. E o número subiu acima de 100 em 2005 e, a partir desse momento, tende a piorar a cada ano.
Quantidades maiores de dados são roubadas e um número maior de hacks está ocorrendo. E esses são os hacks que são relatados. Há um número muito grande de incidentes que ocorrem onde a empresa nunca diz nada, porque não há nada que a force a dizer algo. Portanto, mantém a violação de dados silenciosa. Existem muitos atores no setor de hackers: governos, empresas, grupos de hackers, indivíduos.
Uma coisa que eu acho interessante mencionar: quando fui a Moscou, acho que foi há cerca de quatro anos, era uma conferência de software em Moscou, conversava com um jornalista especializado na área de hacking de dados. E ele alegou - e tenho certeza de que ele está correto, mas eu não o conheço, exceto que ele é a única pessoa que já mencionou isso para mim, mas - há um negócio russo chamado The Russian Business Network, provavelmente tem um russo nome, mas acho que é a tradução para o inglês, que na verdade é contratada para hackear.
Portanto, se você é uma organização grande em qualquer lugar do mundo e deseja fazer algo para prejudicar sua concorrência, pode contratar essas pessoas. E se você contratar essas pessoas, terá uma negação muito plausível sobre quem estava por trás do hack. Porque se for descoberto quem está por trás do hack, isso indicará que provavelmente é alguém na Rússia que fez isso. E não parecerá que você estava tentando prejudicar um concorrente. E acredito que a Russian Business Network foi realmente contratada pelos governos para fazer coisas como invadir bancos e tentar descobrir como o dinheiro terrorista está se movimentando. E isso é feito com negação plausível por parte dos governos que nunca admitirão que realmente fizeram isso.
A tecnologia de ataque e defesa evolui. Há muito tempo, eu costumava ir ao Chaos Club. Era um site na Alemanha onde você podia se registrar e seguir as conversas de várias pessoas e ver o que estava disponível. E eu fiz isso quando estava olhando para a tecnologia de segurança, acho que por volta de 2005. E fiz isso apenas para ver o que estava acontecendo naquele momento e o que me surpreendeu foi o número de vírus, onde era basicamente um sistema de código aberto Eu continuava e as pessoas que tinham escrito vírus ou vírus aprimorados estavam apenas colocando o código lá em cima para que alguém pudesse usá-lo. E ocorreu-me na época que os hackers podem ser muito, muito inteligentes, mas há muitos hackers que não são necessariamente inteligentes, mas estão usando ferramentas inteligentes. E algumas dessas ferramentas são notavelmente inteligentes.
E o ponto final aqui: as empresas têm o dever de cuidar de seus dados, sejam eles proprietários ou não. E acho que isso está se tornando cada vez mais realizado do que costumava ser. E está se tornando cada vez mais, digamos, caro para uma empresa realmente sofrer uma invasão. Sobre os hackers, eles podem estar localizados em qualquer lugar, talvez difícil de ser julgado, mesmo que sejam devidamente identificados. Muitos deles muito habilidosos. Recursos consideráveis, eles têm botnets por todo o lado. Acredita-se que o recente ataque DDoS ocorrido tenha vindo de mais de um bilhão de dispositivos. Não sei se isso é verdade ou se é apenas um repórter usando um número redondo, mas certamente um grande número de dispositivos robóticos foi usado para fazer um ataque à rede DNS. Algumas empresas lucrativas, há grupos governamentais, há guerra econômica, há guerra cibernética, tudo está acontecendo por aí, e é improvável, acho que estávamos dizendo no pré-show, é improvável que acabe sempre.
Conformidade e regulamentos - existem várias coisas que realmente acontecem. Existem muitas iniciativas de conformidade baseadas no setor, você sabe - o setor farmacêutico, o setor bancário ou o setor da saúde - podem ter iniciativas específicas que as pessoas podem seguir, vários tipos de melhores práticas. Mas também existem muitos regulamentos oficiais que, por serem leis, têm penalidades para quem violar a lei. Os exemplos dos EUA são HIPAA, SOX, FISMA, FERPA, GLBA. Existem alguns padrões, o PCI-DSS é um padrão para empresas de cartões. A ISO / IEC 17799 baseia-se na tentativa de obter um padrão comum. Esta é a propriedade dos dados. Os regulamentos nacionais diferem de país para país, mesmo na Europa, ou talvez deva-se dizer, especialmente na Europa, onde é muito confuso. E há um GDPR, um regulamento global de proteção de dados que está sendo negociado atualmente entre a Europa e os Estados Unidos para tentar harmonizar os regulamentos, porque existem tantos, geralmente como eles são, de fato, internacionais e, em seguida, existem serviços em nuvem que você pode não pense que seus dados eram internacionais, mas se tornaram internacionais assim que você entrou na nuvem, porque saiu do seu país. Portanto, esses são um conjunto de regulamentos que estão sendo negociados, de uma maneira ou de outra, para lidar com a proteção de dados. E a maior parte disso tem a ver com os dados de um indivíduo, o que, é claro, inclui praticamente todos os dados de identidade.
O que pensar: vulnerabilidades no banco de dados. Há uma lista de vulnerabilidades que são conhecidas e relatadas pelos fornecedores de banco de dados quando são descobertas e corrigidas o mais rápido possível, portanto, há tudo isso. Há coisas relacionadas a ele em termos de identificação de dados vulneráveis. Um dos maiores e mais bem-sucedidos hacks de dados de pagamento foi realizado em uma empresa de processamento de pagamentos. Posteriormente, isso foi assumido porque, se não o fizesse, seria necessário liquidar, mas os dados não foram roubados de nenhum banco de dados operacional. Os dados foram roubados de um banco de dados de teste. Aconteceu que os desenvolvedores acabaram de pegar um subconjunto dos dados que eram dados reais e usá-los, sem nenhuma proteção, em um banco de dados de teste. O banco de dados de teste foi hackeado e muitos dados financeiros pessoais foram retirados.
A política de segurança, particularmente em relação à segurança de acesso no que diz respeito aos bancos de dados, quem pode ler, quem pode escrever, quem pode conceder permissões, existe alguma maneira de alguém contornar isso? Depois, é claro, criptografias dos bancos de dados permitem isso. Existe o custo de uma violação de segurança. Não sei se é prática padrão nas organizações, mas sei que alguns, como chefes de segurança, tentam fornecer aos executivos uma idéia do custo real de uma violação de segurança antes que aconteça e não depois. E eles, meio que, precisam fazer isso para garantir que tenham a quantidade certa de orçamento para poder defender a organização.
E então a superfície de ataque. A superfície de ataque parece crescer o tempo todo. É ano a ano que a superfície de ataque parece crescer. Portanto, em resumo, o alcance é outro ponto, mas a segurança dos dados geralmente faz parte do papel do DBA. Mas a segurança dos dados também é uma atividade colaborativa. Você precisa ter, se estiver fazendo segurança, uma idéia completa das proteções de segurança para a organização como um todo. E é preciso haver política corporativa sobre isso. Se não houver políticas corporativas, você acaba com soluções fragmentadas. Você sabe, elástico e plástico tentam impedir a segurança.
Então, tendo dito isso, acho que entrego a Dez, que provavelmente vai lhe contar várias histórias de guerra.
Eric Kavanagh: Vá embora, dez.
Dez Blanchfield: Obrigado, Robin. É sempre um ato difícil de seguir. Vou abordar isso do lado oposto do espectro apenas para, acho, nos dar uma idéia da escala do desafio que você está enfrentando e por que devemos fazer mais do que apenas sentar e prestar atenção a isso . O desafio que estamos vendo agora com a escala, a quantidade e o volume, a velocidade com que essas coisas estão acontecendo, é que o que estou ouvindo em todo o lugar agora é com muitos CXOs, não apenas CIOs, mas certamente Os CIOs são os que estão presentes onde o dinheiro acaba, é que eles consideram violações de dados rapidamente se tornando a norma. É algo que eles quase esperam que aconteça. Então, eles estão analisando isso do ponto de vista de: "Ok, bem, quando somos violados - e não se - quando somos violados, o que precisamos fazer sobre isso?". E então as conversas começam, o que eles estão fazendo nos ambientes de borda tradicionais e roteadores, switches, servidores, detecção de intrusão, inspeção de intrusão? O que eles estão fazendo nos próprios sistemas? O que eles estão fazendo com os dados? E então tudo volta ao que eles fizeram com seus bancos de dados.
Permitam-me apenas tocar em alguns exemplos de algumas dessas coisas que capturaram muita imaginação das pessoas e, em seguida, detalhar, meio que, quebrá-las um pouco. Então, ouvimos nas notícias que o Yahoo - provavelmente o maior número que as pessoas ouviram - cerca de meio milhão, mas na verdade parece que não é oficialmente mais como um bilhão - ouvi um número estranho de três bilhões, mas isso é quase metade da população mundial, então eu acho que é um pouco alto. Mas eu já verifiquei isso com várias pessoas em espaços relevantes que acreditam que há pouco mais de um bilhão de registros que foram violados no Yahoo. E este é apenas um número incompreensível. Agora, alguns jogadores olham e pensam: bem, são apenas contas de webmail, não é grande coisa, mas você acrescenta o fato de que muitas dessas contas de webmail e um número curiosamente alto, mais alto do que eu esperava, são realmente contas pagas. É aí que as pessoas inserem os detalhes do cartão de crédito e pagam para remover os anúncios, porque ficam cansados dos anúncios e, por isso, US $ 4 ou US $ 5 por mês estão dispostos a comprar um serviço de webmail e armazenamento em nuvem que não possui anúncios, e eu sou um desses, e eu tenho isso em três provedores diferentes nos quais conecto meu cartão de crédito.
Então, o desafio chama a atenção um pouco mais, porque não se trata apenas de uma linha descartável de dizer: "Oh, bem, o Yahoo perdeu, digamos, entre 500 milhões e 1.000 milhões de contas", sendo que 1.000 milhões soam muito grandes e contas de webmail, mas detalhes do cartão de crédito, nome, sobrenome, endereço de e-mail, data de nascimento, cartão de crédito, número do PIN, o que você quiser, senhas e, então, torna-se um conceito muito mais assustador. E, novamente, as pessoas me dizem: "Sim, mas é apenas serviço da web, é apenas webmail, não é grande coisa". E então eu digo: "Sim, bem, essa conta do Yahoo também pode ter sido usada nos serviços de dinheiro do Yahoo para comprar e vender ações. ”Então fica mais interessante. E quando você começa a se aprofundar nisso, percebe que, tudo bem, isso é realmente mais do que apenas mães e pais em casa e adolescentes, com contas de mensagens, isso é algo que as pessoas fazem transações comerciais.
Então esse é um fim do espectro. O outro lado do espectro é que um prestador de serviços de saúde de clínica geral muito pequeno na Austrália teve cerca de 1.000 registros roubados. Era um trabalho interno, alguém saiu, eles estavam apenas curiosos, eles saíram pela porta, neste caso, era um disquete de 3, 5 polegadas. Foi há pouco tempo - mas você pode dizer a era da mídia -, mas eles usavam tecnologia antiga. Mas o motivo pelo qual eles pegaram os dados foi que estavam curiosos sobre quem estava lá. Porque eles tinham muitas pessoas nesta pequena cidade, que era nossa capital nacional, que eram políticos. E eles estavam interessados em quem estava lá e onde estavam suas vidas e todo esse tipo de informação. Portanto, com uma pequena violação de dados que foi feita internamente, um número significativamente grande de políticos nos detalhes do governo australiano supostamente estava em público.
Temos dois extremos diferentes do espectro a serem considerados. Agora, a realidade é que a escala dessas coisas é impressionante e eu tenho um slide para o qual vamos pular muito, muito rapidamente aqui. Existem alguns sites que listam todos os tipos de dados, mas este em particular é de um especialista em segurança que tinha o site onde você pode ir e procurar seu endereço de e-mail ou seu nome, e ele mostra todos os incidentes de dados nos últimos 15 anos, ele tenha conseguido pôr as mãos em prática e, em seguida, carregado em um banco de dados e verificado, e ele informará se você foi pwned, como é o termo. Mas quando você começa a olhar para alguns desses números e essa captura de tela não foi atualizada com sua versão mais recente, que inclui alguns, como o Yahoo. Mas pense nos tipos de serviços aqui. Temos o Myspace, o LinkedIn, a Adobe. A Adobe é interessante porque as pessoas olham e pensam, bem, o que a Adobe significa? A maioria de nós que está baixando o Adobe Reader de alguma forma, muitos compraram produtos Adobe com cartão de crédito, ou seja, 152 milhões de pessoas.
Agora, ao ponto de Robin anteriormente, esses são números muito grandes, é fácil ficar impressionado com eles. O que acontece quando você tem 359 milhões de contas que foram violadas? Bem, há algumas coisas. Robin destacou o fato de que esses dados estão invariavelmente em um banco de dados de alguma forma. Essa é a mensagem crítica aqui. Quase ninguém neste planeta, que eu saiba, que executa um sistema de qualquer forma, não o armazena em um banco de dados. Mas o interessante é que existem três tipos diferentes de dados nesse banco de dados. Existem coisas relacionadas à segurança, como nomes de usuário e senhas, que geralmente são criptografadas, mas, invariavelmente, há muitos exemplos em que não são. Há as informações reais do cliente em torno do perfil e dos dados que eles criaram, seja um registro de integridade ou um email ou uma mensagem instantânea. E há a lógica incorporada real, portanto, isso pode ser procedimentos armazenados, pode haver várias regras, se + isso + então + aquilo. E, invariavelmente, isso é apenas texto ASCII preso no banco de dados, poucas pessoas ficam lá pensando: “Bem, essas são regras de negócios, é assim que nossos dados são movidos e controlados; devemos criptografar isso potencialmente quando estiver em repouso e quando estiver em uso. movimento, talvez nós o decifremos e o mantemos na memória ”, mas o ideal seria que provavelmente também fosse.
Mas volta a esse ponto-chave que todos esses dados estão em um banco de dados de alguma forma e, na maioria das vezes, o foco, historicamente, está em roteadores, switches e servidores e até em armazenamento, e nem sempre no banco de dados em o back-end. Porque achamos que temos a borda da rede coberta e é como uma espécie típica de idade, vivendo em um castelo e você coloca um fosso em volta dele e espera que os bandidos não ser capaz de nadar. Mas, de repente, os bandidos descobriram como fazer escadas estendidas e jogá-las sobre o fosso, subir sobre o fosso e subir as paredes. E de repente seu fosso é praticamente inútil.
Portanto, agora estamos no cenário em que as organizações estão no modo de atualização em um sprint. Eles estão literalmente correndo em todos os sistemas, na minha opinião, e certamente minha experiência é que nem sempre são apenas esses unicórnios da web, como costumamos nos referir a eles, mais frequentemente do que as organizações empresariais tradicionais que estão sendo violadas. E você não precisa ter muita imaginação para descobrir quem eles são. Existem sites como o chamado pastebin.net e, se você for para pastebin.net e digitar apenas a lista de e-mails ou a senha, você terá centenas de milhares de entradas por dia sendo adicionadas por dia, onde as pessoas listam exemplos de conjuntos de dados de até mil registros de nome, sobrenome, detalhes do cartão de crédito, nome de usuário, senha, senhas descriptografadas, a propósito. Onde as pessoas podem pegar essa lista, verificar três ou quatro delas e decidir que sim, quero comprar essa lista e geralmente há algum tipo de mecanismo que fornece algum tipo de gateway anônimo para a pessoa que vende os dados.
Agora, o interessante é que, uma vez que o empreendedor afiliado percebe que pode fazer isso, não é preciso muita imaginação para perceber que, se você gastar US $ 1.000 para comprar uma dessas listas, qual é a primeira coisa que você faz com isso? Você não tenta rastrear as contas, coloca uma cópia novamente em pastbin.net e vende duas cópias por US $ 1.000 cada uma e obtém lucro de US $ 1.000. E essas são as crianças que estão fazendo isso. Existem algumas organizações profissionais extremamente grandes em todo o mundo que fazem isso para ganhar a vida. Existem até nações-estado que atacam outros estados. Você sabe, fala-se muito em América atacando a China, China atacando a América, não é tão simples assim, mas definitivamente existem organizações governamentais que estão violando sistemas que são invariavelmente alimentados por bancos de dados. Não é apenas um caso de pequenas organizações, é também países contra países. Isso nos leva de volta à questão de onde estão os dados armazenados? Está em um banco de dados. Quais controles e mecanismos existem? Ou, invariavelmente, eles não são criptografados e, se são criptografados, nem sempre são todos os dados, talvez seja apenas a senha salgada e criptografada.
Além disso, temos uma série de desafios com o conteúdo desses dados e como fornecemos acesso a dados e conformidade com SOX. Portanto, se você pensa em gerenciamento de patrimônio ou bancário, tem organizações que se preocupam com o desafio da credencial; você tem organizações que se preocupam com a conformidade no espaço corporativo; você tem requisitos regulatórios e de conformidade do governo; você tem cenários agora em que temos bancos de dados no local; temos bancos de dados em data centers de terceiros; temos bancos de dados em ambientes de nuvem, portanto, seus ambientes de nuvem nem sempre estão no país. E, portanto, isso está se tornando um desafio cada vez maior, não apenas do ponto de vista da segurança pura, não sejamos invadidos, mas também, como podemos atender a todos os diferentes níveis de conformidade? Não apenas os padrões HIPAA e ISO, mas existem literalmente dezenas e dezenas e dezenas deles em nível estadual, nacional e global que cruzam fronteiras. Se você estiver negociando com a Austrália, não poderá mover dados do governo. Qualquer dado privado australiano não pode deixar o país. Se você estiver na Alemanha, é ainda mais rigoroso. E sei que a América está se movendo muito rapidamente nisso por várias razões também.
Mas isso me traz de volta a todo esse desafio de como você sabe o que está acontecendo no seu banco de dados, como o monitora, como diz quem está fazendo o que no banco de dados, quem tem visualizações de várias tabelas e linhas e colunas e campos, quando o lêem, com que frequência o lêem e quem o acompanha? E acho que isso me leva ao meu ponto final antes de entregar hoje ao nosso convidado que nos ajudará a falar sobre como resolvemos esse problema. Mas quero deixar-nos com esse pensamento e isto é, muito do foco está no custo para os negócios e no custo para a organização. E não vamos cobrir esse ponto em detalhes hoje, mas quero deixar isso em mente para ponderar, e é que há uma estimativa de aproximadamente entre US $ 135 e US $ 585 por registro para limpar após uma violação. Portanto, o investimento que você faz em sua segurança em torno de roteadores, switches e servidores é muito bom e firewalls, mas quanto você investiu na segurança do banco de dados?
Mas é uma economia falsa e, quando a violação do Yahoo aconteceu recentemente, e eu a tenho em boa autoridade, são aproximadamente um bilhão de contas, e não 500 milhões. Quando a Verizon comprou a organização por algo como 4, 3 bilhões, assim que a violação ocorreu, eles pediram um bilhão de dólares de volta ou um desconto. Agora, se você fizer as contas e disser que há cerca de um bilhão de registros violados, um desconto de um bilhão de dólares, a estimativa de US $ 135 a US $ 535 para limpar um registro agora se torna US $ 1. O que, novamente, é ridículo. Não custa US $ 1 para limpar um bilhão de registros. Em US $ 1 por registro para limpar um bilhão de registros por uma violação desse tamanho. Você não pode nem publicar um press release para esse tipo de custo. E assim, sempre focamos nos desafios internos.
Mas uma das coisas, eu acho, e cabe a nós levar isso muito a sério no nível do banco de dados, e é por isso que este é um tópico muito, muito importante para falarmos, e é isso, nunca falamos sobre o ser humano. Pedágio. Qual é o custo humano em que incorremos nisso? E vou dar um exemplo antes de terminar rapidamente. LinkedIn: em 2012, o sistema LinkedIn foi invadido. Havia vários vetores e não vou entrar nisso. E centenas de milhões de contas foram roubadas. As pessoas dizem cerca de 160 milhões, mas na verdade é um número muito maior, pode chegar a 240 milhões. Mas essa brecha não foi anunciada até o início deste ano. São quatro anos que centenas de milhões de registros de pessoas estão lá fora. Agora, havia algumas pessoas pagando pelos serviços com cartão de crédito e outras com contas gratuitas. Mas o LinkedIn é interessante, porque eles não apenas obtiveram acesso aos detalhes da sua conta se você foi violado, mas também tiveram acesso a todas as informações do seu perfil. Então, com quem você estava conectado e todas as conexões que tinha, e os tipos de trabalho que eles tinham e os tipos de habilidades que tinham e por quanto tempo eles trabalharam nas empresas e todo esse tipo de informação e seus detalhes de contato.
Portanto, pense no desafio que temos em proteger os dados nesses bancos de dados, protegendo e gerenciando os próprios sistemas de banco de dados, e o fluxo de impacto, o número humano desses dados por quatro anos. E a probabilidade de alguém aparecer de férias em algum lugar do sudeste da Ásia e ter seus dados por aí há quatro anos. E alguém pode ter comprado um carro ou adquirido um empréstimo à habitação ou comprado dez telefones com cartões de crédito durante o ano, onde criou um ID falso nesses dados que estavam lá por quatro anos - porque até os dados do LinkedIn forneciam informações suficientes para você crie uma conta bancária e um documento de identidade falso - e você entra no avião, passa férias, aterrissa e é preso. E por que você é jogado na cadeia? Bem, porque você teve sua identidade roubada. Alguém criou uma identidade falsa e agiu como você e centenas de milhares de dólares, e eles estavam fazendo isso há quatro anos e você nem sabia disso. Porque está lá fora, aconteceu.
Então, acho que isso nos leva a esse desafio central: como sabemos o que está acontecendo em nossos bancos de dados, como rastreamos e como monitoramos? E estou ansioso para ouvir como nossos amigos da IDERA criaram uma solução para resolver isso. E com isso, eu vou entregar.
Eric Kavanagh: Tudo bem, Ignacio, o chão é seu.
Ignacio Rodriguez: Tudo bem. Bem-vindos a todos. Meu nome é Ignacio Rodriguez, mais conhecido como Iggy. Estou com a IDERA e um gerente de produtos de segurança. Tópicos realmente bons que acabamos de abordar e realmente precisamos nos preocupar com as violações de dados. Precisamos ter políticas de segurança reforçadas, precisamos identificar vulnerabilidades e avaliar os níveis de segurança, controlar as permissões do usuário, controlar a segurança do servidor e cumprir as auditorias. Venho fazendo auditorias na minha história passada, principalmente no lado Oracle. Fiz algumas no SQL Server e as fiz com ferramentas ou, basicamente, scripts caseiros, o que foi ótimo, mas você precisa criar um repositório e garantir que o repositório esteja seguro, constantemente mantendo os scripts com alterações dos auditores, o que você tem.
Então, em ferramentas, se eu soubesse que o IDERA estava lá fora e tivesse uma ferramenta, provavelmente teria comprado. Mas, de qualquer maneira, falaremos sobre Secure. É um dos nossos produtos em nossa linha de produtos de segurança e o que basicamente faz é observar as políticas de segurança e mapear essas diretrizes às diretrizes regulatórias. Você pode visualizar um histórico completo das configurações do SQL Server e também pode fazer basicamente uma linha de base dessas configurações e, em seguida, comparar com as alterações futuras. Você é capaz de criar um instantâneo, que é uma linha de base de suas configurações, e pode acompanhar se alguma dessas coisas foi alterada e também ser alertado se elas forem alteradas.
Uma das coisas que fazemos bem é evitar riscos e violações de segurança. O cartão de relatório de segurança oferece uma visão das principais vulnerabilidades de segurança nos servidores e, também, cada verificação de segurança é classificada como de alto, médio ou baixo risco. Agora, nessas categorias ou verificações de segurança, tudo isso pode ser modificado. Digamos que se você tem alguns controles e usa um dos modelos que possuímos e decide, bem, nossos controles realmente indicam ou desejam que essa vulnerabilidade não seja realmente alta, mas média ou vice-versa. Você pode ter alguns rotulados como médios, mas em sua organização os controles que deseja rotulá-los ou considerá-los como altos, todas essas configurações são configuráveis pelo usuário.
Outra questão crítica que precisamos examinar é identificar as vulnerabilidades. Entendendo quem tem acesso a quê e identifique cada um dos direitos efetivos do usuário em todos os objetos do SQL Server. Com a ferramenta, poderemos analisar os direitos de todos os objetos do SQL Server e veremos uma captura de tela disso aqui em breve. Também relatamos e analisamos permissões de usuário, grupo e função. Um dos outros recursos é o fornecimento de relatórios detalhados de riscos de segurança. Temos relatórios prontos para o uso e contém parâmetros flexíveis para você criar os tipos de relatórios e exibir os dados exigidos pelos auditores, agentes de segurança e gerentes.
Também podemos comparar alterações de segurança, risco e configuração ao longo do tempo, como mencionei. E esses estão com os instantâneos. E esses instantâneos podem ser configurados conforme você desejar - mensal, trimestral, anualmente - que pode ser agendado na ferramenta. E, novamente, você pode fazer comparações para ver o que mudou e o que é legal sobre isso. Se você tiver uma violação, poderá criar um instantâneo depois de corrigido, fazer uma comparação e ver que houve um alto nível. risco associado ao instantâneo anterior e, em seguida, ao relatório, você realmente vê no próximo instantâneo depois que foi corrigido que não era mais um problema. É uma boa ferramenta de auditoria que você pode fornecer ao auditor, um relatório que pode fornecer aos auditores e dizer: “Olha, nós tínhamos esse risco, mitigamos e agora não é mais um risco”. E, novamente, eu mencionado nos snapshots, você pode alertar quando uma configuração for alterada e, se uma configuração for alterada e detectada, que apresente um novo risco, você também será notificado.
Nós recebemos algumas perguntas sobre nossa Arquitetura do SQL Server com Secure, e quero fazer uma correção no slide aqui onde diz “Serviço de Coleta”. Não temos nenhum serviço, ele deveria ser “Servidor de Gerenciamento e Coleta. ”Temos nosso console e, em seguida, nosso Management and Collection Server e uma captura sem agente que será enviada aos bancos de dados registrados e coletará os dados por meio de trabalhos. E nós temos um repositório do SQL Server e trabalhamos junto com o SQL Server Reporting Services para agendar relatórios e criar relatórios personalizados também. Agora, em um cartão de relatório de segurança, esta é a primeira tela que você verá quando o SQL Secure for iniciado. Você verá facilmente quais itens críticos você detectou. E, novamente, temos os altos, os médiuns e os baixos. E também temos as políticas que estão em jogo com as verificações de segurança específicas. Temos um modelo HIPAA; temos modelos de nível 1, 2 e 3 de segurança IDERA; nós temos diretrizes de PCI. Esses são todos os modelos que você pode usar e, novamente, você pode criar seu próprio modelo, com base em seus próprios controles. E, novamente, eles são modificáveis. Você pode criar o seu próprio. Qualquer um dos modelos existentes pode ser usado como linha de base, e você pode modificá-los como desejar.
Uma das coisas boas a se fazer é ver quem tem permissões. E com essa tela aqui, poderemos ver quais logins do SQL Server estão na empresa e você poderá visualizar todos os direitos e permissões atribuídos e efetivos no banco de dados do servidor no nível do objeto. Fazemos isso aqui. Você poderá selecionar, novamente, os bancos de dados ou os servidores e, em seguida, poderá exibir o relatório das permissões do SQL Server. Tão capaz de ver quem tem que acesso a quê. Outro recurso interessante é que você poderá comparar as configurações de segurança. Digamos que você tenha configurações padrão que precisem ser definidas em sua empresa. Você poderá fazer uma comparação de todos os seus servidores e ver quais configurações foram definidas nos outros servidores da sua empresa.
Novamente, os modelos de política, esses são alguns dos modelos que temos. Você basicamente, novamente, usa um desses, cria o seu próprio. Você pode criar sua própria política, como visto aqui. Use um dos modelos e você pode modificá-los conforme necessário. Também podemos visualizar os direitos efetivos do SQL Server. Isso irá verificar e provar que as permissões estão definidas corretamente para os usuários e funções. Novamente, você pode ir lá e olhar, ver e verificar se a permissão está definida corretamente para os usuários e as funções. Em seguida, com os Direitos de acesso a objetos do SQL Server, você poderá procurar e analisar a árvore de objetos do SQL Server, desde o nível do servidor até as funções e os pontos de extremidade do nível do objeto. E você pode visualizar instantaneamente as permissões herdadas atribuídas e efetivas e as propriedades relacionadas à segurança no nível do objeto. Isso fornece uma boa visão dos acessos que você possui nos objetos do banco de dados e de quem tem acesso a eles.
Temos, de novo, nossos relatórios que temos. São relatórios em lata, temos vários que você pode selecionar para fazer seus relatórios. E muitos deles podem ser personalizados ou você pode ter os relatórios de seus clientes e usá-los em conjunto com os serviços de relatórios, além de poder criar seus próprios relatórios personalizados a partir daí. Agora, nas Comparações de instantâneos, acho que esse é um recurso muito interessante, onde você pode ir lá e fazer uma comparação dos instantâneos que tirou e verificar se há alguma diferença no número. Há algum objeto adicionado, houve permissões que foram alteradas, qualquer coisa que possamos ver quais alterações foram feitas entre os diferentes snapshots. Algumas pessoas analisam isso mensalmente - fazem um instantâneo mensal e, em seguida, fazem uma comparação todos os meses para ver se alguma coisa mudou. E se não havia nada que deveria ter sido alterado, tudo que foi às reuniões de controle de alterações e você vê que algumas permissões foram alteradas, você pode voltar para ver o que ocorreu. Esse é um recurso bastante interessante aqui, onde você pode fazer a comparação, novamente, de tudo o que é auditado no instantâneo.
Em seguida, sua comparação de avaliação. Esse é outro recurso interessante que temos, onde você pode ver as avaliações, compará-las e observar que a comparação aqui tinha uma conta SA que não foi desativada neste instantâneo recente que eu fiz. agora está corrigido. É uma coisa bastante agradável, onde você pode mostrar que, ok, tínhamos alguns riscos, eles foram identificados pela ferramenta e agora mitigamos esses riscos. E, novamente, este é um bom relatório para mostrar aos auditores que esses riscos foram atenuados e resolvidos.
Em resumo, a segurança do banco de dados é fundamental e acho que muitas vezes observamos violações provenientes de fontes externas e, às vezes, não prestamos muita atenção a violações internas, e são algumas das coisas que precisa tomar cuidado. E o Secure o ajudará lá para garantir que não haja privilégios que não precisam ser atribuídos, você sabe, para garantir que toda essa segurança esteja definida corretamente nas contas. Verifique se suas contas do SA têm senhas. Também verifica, tanto quanto suas chaves de criptografia, elas foram exportadas? Apenas várias coisas diferentes que verificamos e iremos alertá-lo para o fato de que houve um problema e em que nível de problema. Precisamos de uma ferramenta, muitos profissionais precisam de ferramentas para gerenciar e monitorar as permissões de acesso ao banco de dados e, na verdade, procuramos fornecer um amplo recurso para controlar as permissões do banco de dados e rastrear atividades de acesso e mitigar o risco de violação.
Agora, outra parte de nossos produtos de segurança é a existência de um WebEx coberto e parte da apresentação sobre a qual conversamos anteriormente eram dados. Você sabe quem está acessando o que, o que você tem, e essa é a nossa ferramenta SQL Compliance Manager. E há um WebEx registrado nessa ferramenta e que permite monitorar quem está acessando quais tabelas, quais colunas, você pode identificar tabelas que possuem colunas sensíveis, até a data de nascimento, informações do paciente, esses tipos de tabelas e realmente veja quem tem acesso a essas informações e se elas estão sendo acessadas.
Eric Kavanagh: Tudo bem, então vamos mergulhar nas perguntas, eu acho, aqui. Talvez Dez, eu jogue para você primeiro, e Robin, grite o máximo que puder.
Dez Blanchfield: Sim, estou ansioso para fazer uma pergunta do segundo e terceiro slides. Qual é o caso de uso típico que você está vendo para esta ferramenta? Quais são os tipos mais comuns de usuários que você está adotando e colocando em prática? E por trás disso, o tipo típico de modelo de caso de uso, como eles estão fazendo isso? Como está sendo implementado?
Ignacio Rodriguez: Ok, o caso de uso típico que temos são DBAs aos quais foi atribuída a responsabilidade de controle de acesso ao banco de dados, garantindo que todas as permissões sejam definidas da maneira que precisam e depois mantendo o controle e seus padrões no lugar. Você sabe, essas contas de usuário específicas podem ter acesso apenas a essas tabelas, etc. E o que eles estão fazendo com isso é garantir que esses padrões sejam definidos e que não sejam alterados ao longo do tempo. E essa é uma das grandes coisas pelas quais as pessoas estão usando é rastrear e identificar se estão sendo feitas alterações que não são conhecidas.
Dez Blanchfield: Porque eles são assustadores, não são? Será que você pode ter um, digamos, um documento de estratégia, você tem políticas que sustentam isso, você tem conformidade e governança por trás disso, e você segue as políticas, que adere à governança e ela recebe uma luz verde e, de repente, um mês depois, alguém lança uma mudança e, por algum motivo, ela não passa pelo mesmo quadro de revisão ou processo de mudança, ou seja o que for, ou o projeto acabou de avançar e ninguém sabe.
Você tem algum exemplo que possa compartilhar - e eu sei, obviamente, nem sempre é algo que você compartilha porque os clientes estão um pouco preocupados com isso, por isso não precisamos necessariamente nomear nomes - mas dê um exemplo de onde você pode ter visto isso na verdade, você sabe, uma organização colocou isso em prática sem perceber e eles apenas encontraram algo e perceberam: "Uau, valeu a pena dez vezes, apenas encontramos algo que não percebemos". algum exemplo em que as pessoas implementaram isso e descobriram que eles tinham um problema maior ou um problema real que eles não perceberam que tinham e então você é imediatamente adicionado à lista de cartões de Natal?
Ignacio Rodriguez: Bem, acho que a maior coisa que vimos ou relatamos é o que acabei de mencionar, no que diz respeito ao acesso que alguém teve. Há desenvolvedores e, quando implementaram a ferramenta, eles realmente não perceberam que X quantidade desses desenvolvedores tinha tanto acesso ao banco de dados e acesso a objetos específicos. E outra coisa são contas somente leitura. Havia algumas contas somente leitura que eles possuíam, descobriram que essas contas somente leitura são realmente inseridas e excluíram privilégios. É aí que vimos algum benefício para os usuários. A grande coisa, novamente, que ouvimos dizer que as pessoas gostam, é poder, novamente, acompanhar as mudanças e garantir que nada as oculte.
Dez Blanchfield: Bem, como Robin destacou, você tem cenários em que as pessoas nem sempre pensam, certo? Quando estamos ansiosos, pensamos que, se fizermos tudo de acordo com as regras, eu descobrir, e tenho certeza de que você também o verá - diga-me se não concorda com isso - as organizações se concentram pesadamente no desenvolvimento de estratégias, políticas, conformidade, governança, KPIs e relatórios, para que eles fiquem tão fixos nisso, que não pensam nos valores extremos. E Robin teve um ótimo exemplo que eu vou roubar dele - desculpe Robin - mas o exemplo é a outra vez em que uma cópia ao vivo do banco de dados, um instantâneo e o coloca em teste de desenvolvimento, certo? Nós desenvolvemos, fazemos testes, fazemos UAT, fazemos integração de sistemas, todo esse tipo de coisa e depois fazemos vários testes de conformidade agora. Muitas vezes, o teste de desenvolvimento, UAT, SIT, na verdade, possui um componente de conformidade, onde apenas garantimos que tudo esteja saudável e seguro, mas nem todo mundo faz isso. Este exemplo que Robin deu com uma cópia de uma cópia ao vivo do banco de dados posta em teste com o ambiente de desenvolvimento para verificar se ele ainda funciona com os dados ao vivo. Pouquíssimas empresas sentam-se e pensam: “Isso acontece ou é possível?” Elas estão sempre fixadas no material de produção. Como é a jornada de implementação? Estamos falando de dias, semanas, meses? Como é uma implantação regular para uma organização de tamanho médio?
Ignacio Rodriguez: Dias. Não são nem dias, quero dizer, são apenas alguns dias. Acabamos de adicionar um recurso em que podemos registrar muitos servidores. Em vez de precisar entrar na ferramenta e dizer que você tinha 150 servidores, você precisava entrar individualmente e registrar os servidores - agora não precisa fazer isso. Você cria um arquivo CSV e o removemos automaticamente e não o mantemos por causa de questões de segurança. Mas isso é outra coisa que devemos considerar: você terá um arquivo CSV com nome de usuário / senha.
O que fazemos é automaticamente, é excluí-lo novamente, mas essa é uma opção que você tem. Se você quiser entrar lá individualmente e registrá-los e não quiser correr esse risco, pode fazê-lo. Mas se você quiser usar um arquivo CSV, coloque-o em um local seguro, aponte o aplicativo para esse local, ele executará esse arquivo CSV e será automaticamente configurado para excluir o arquivo assim que terminar. E ele vai garantir que o arquivo seja removido. O pólo mais longo na areia que tínhamos até a implementação foi o registro dos servidores reais.
Dez Blanchfield: Tudo bem. Agora você falou sobre relatórios. Você pode nos dar um pouco mais de detalhes e insights sobre o que vem pré-agrupado no que diz respeito a apenas, eu acho, o componente de descoberta de olhar o que está lá e informar sobre ele, o estado atual da nação, o que vem antes criados e pré-fabricados, tanto quanto os relatórios sobre o estado atual de conformidade e segurança, e com que facilidade eles são extensíveis? Como construímos sobre isso?
Ignacio Rodriguez: Tudo bem. Alguns dos relatórios que temos, temos relatórios que lidam com servidores cruzados, verificações de login, filtros de coleta de dados, histórico de atividades e, em seguida, os relatórios de avaliação de riscos. E também qualquer conta suspeita do Windows. Há muitos, muitos aqui. Veja logins SQL suspeitos, logins de servidor e mapeamento de usuários, permissões de usuário, todas as permissões de usuário, funções de servidor, funções de banco de dados, alguma quantidade de vulnerabilidade que possuímos ou relatórios de autenticação em modo misto, bancos de dados de ativação de convidados, vulnerabilidade de SO via XPSs, procedimentos estendidos, e depois os papéis fixos vulneráveis. Esses são alguns dos relatórios que temos.
Dez Blanchfield: E você mencionou que eles são significativos o suficiente e vários deles, o que é uma coisa lógica. É fácil adaptá-lo? Se eu gero um relatório e recebo esse grande gráfico, mas quero extrair algumas partes nas quais não estou realmente interessado e adicionar alguns outros recursos, existe um redator de relatórios, algum tipo de interface e ferramenta para configurar e adaptar ou mesmo potencialmente criar outro relatório a partir do zero?
Ignacio Rodriguez: Em seguida, orientaríamos os usuários a usar o Microsoft SQL Report Services para fazer isso e temos muitos clientes que, na verdade, pegam alguns dos relatórios, personalizam e agendam quando quiserem. Alguns desses caras querem ver esses relatórios mensalmente ou semanalmente e pegam as informações que temos, movem-nas para o Reporting Services e depois as fazem a partir daí. Não temos um redator de relatórios integrado à nossa ferramenta, mas aproveitamos o Reporting Services.
Dez Blanchfield: Eu acho que esse é um dos maiores desafios com essas ferramentas. Você pode chegar lá e encontrar coisas, mas precisa poder retirá-las e reportá-las a pessoas que não são necessariamente DBAs e engenheiros de sistemas. Há um papel interessante que surgiu na minha experiência e que, sabe, os oficiais de risco sempre estiveram nas organizações e que eles predominam e existem uma gama de riscos completamente diferente que vimos recentemente, enquanto que agora com dados Quando as violações se tornam não apenas uma coisa, mas um tsunami real, o CRO deixou de ser, você sabe, RH e conformidade, e o tipo de saúde e segurança ocupacional agora se concentra no risco cibernético. Você sabe, violar, invadir, invadir segurança - muito mais técnico. E está ficando interessante porque existem muitos CROs provenientes de um pedigree de MBA e não de um técnico, portanto, eles precisam entender o que isso significa para a transição entre o risco cibernético de mudar para um CRO e assim por diante. Mas o principal é que eles querem apenas relatórios de visibilidade.
Você pode nos dizer algo sobre o posicionamento em relação à conformidade? Obviamente, um dos grandes pontos fortes disso é que você pode ver o que está acontecendo, pode monitorar, aprender, reportar, reagir a isso e até antecipar algumas coisas. O desafio principal é a conformidade com a governança. Existem partes importantes disso que se vinculam deliberadamente aos requisitos de conformidade existentes ou à conformidade do setor, como PCI, ou algo parecido atualmente, ou é algo que está surgindo no caminho? Isso meio que se enquadra na estrutura de padrões COBIT, ITIL e ISO? Se implantamos essa ferramenta, ela nos fornece uma série de verificações e equilíbrios que se encaixam nessas estruturas, ou como a construímos nessas estruturas? Onde está a posição com esse tipo de coisa em mente?
Ignacio Rodriguez: Sim, existem modelos que temos que entregamos com a ferramenta. E estamos chegando ao ponto novamente em que estamos reavaliando nossos modelos e vamos adicionar e haverá mais em breve. FISMA, FINRA, alguns modelos adicionais que temos e, normalmente, revisamos os modelos e procuramos ver o que mudou, o que precisamos adicionar? Na verdade, queremos chegar ao ponto em que, você sabe, os requisitos de segurança mudaram bastante, por isso estamos procurando uma maneira de tornar isso expansível em tempo real. Isso é algo que estamos vendo no futuro.
No momento, estamos analisando a criação de modelos e a possibilidade de obtê-los em um site; você pode baixá-los. E é assim que lidamos com isso - lidamos com eles através de modelos e estamos procurando maneiras no futuro aqui para tornar isso facilmente expansível e rápido. Porque quando eu fazia auditoria, as coisas mudam. Um auditor viria um mês e no mês seguinte eles querem ver algo diferente. Então esse é um dos desafios das ferramentas: poder fazer essas alterações e obter o que você precisa, e é nesse tipo de lugar que queremos chegar.
Dez Blanchfield: Eu acho que o desafio de um auditor muda regularmente, tendo em vista que o mundo está se movendo mais rapidamente. E uma vez, na minha experiência, o requisito do ponto de vista da auditoria seria apenas conformidade comercial pura e, em seguida, tornou-se conformidade técnica e agora é conformidade operacional. E existem todos esses outros, todos os dias, alguém aparece e não está apenas medindo você em algo como a operação ISO 9006 e 9002, mas olhando para todos os tipos de coisas. E agora vejo que as 38.000 séries também estão se tornando uma grande coisa na ISO. Eu imagino que isso vai ficar cada vez mais desafiador. Estou prestes a entregar para Robin, porque estou consumindo a largura de banda.
Muito obrigado, e definitivamente vou dedicar mais tempo a conhecê-lo, porque eu realmente não percebi que isso era realmente tão profundo. Então, obrigado, Ignacio, vou entregar a Robin agora. Uma ótima apresentação, obrigado. Robin, do outro lado para você.
Dr. Robin Bloor: Ok Iggy, eu vou chamá-lo de Iggy, se estiver tudo bem. O que me surpreende, e acho que, à luz de algumas das coisas que Dez disse em sua apresentação, há muita coisa acontecendo por aí que você tem que dizer que as pessoas realmente não estão cuidando dos dados. Você sabe, especialmente quando se trata do fato de você ver apenas parte do iceberg e provavelmente há muita coisa acontecendo que ninguém está relatando. Estou interessado em sua perspectiva de quantos clientes que você conhece, ou clientes em potencial que você conhece, têm o nível de proteção que você está oferecendo, oferecendo não apenas isso, mas também sua tecnologia de acesso a dados? Quero dizer, quem está bem equipado para lidar com a ameaça, é a questão?
Ignacio Rodriguez: Quem está devidamente equipado? Quero dizer, muitos clientes que realmente não abordamos nenhum tipo de auditoria, você sabe. Eles tiveram alguns, mas o importante é tentar acompanhá-lo e tentar mantê-lo e garantir. O grande problema que vimos é - e até eu tenho quando cumpri a conformidade - é: se você executasse seus scripts, faria isso uma vez a cada trimestre quando os auditores chegassem e você encontrasse um problema. Bem, adivinhe, já é tarde demais, a auditoria está lá, os auditores estão lá, eles querem seu relatório, eles o sinalizam. E então, ou obtemos uma marca ou fomos informados, ei, precisamos corrigir esses problemas, e é aí que isso entraria. Seria algo mais proativo, no qual você pode encontrar seu risco e mitigá-lo. o que nossos clientes estão procurando. Uma maneira de ser um pouco pró-ativo, em vez de ser reativo, quando os auditores chegam e descobrem que alguns dos acessos não estão onde precisam estar, outras pessoas têm privilégios administrativos e não deveriam ter esses tipos de coisas. E é daí que recebemos muitos comentários, de que as pessoas gostam da ferramenta e a usam.
Dr. Robin Bloor: Ok, tenho outra pergunta que, de certa forma, também é óbvia, mas estou curiosa. Quantas pessoas realmente procuram você depois de um hack? Onde, você sabe, você está conseguindo o negócio, não porque eles olhavam para o ambiente e pensavam que precisavam ser protegidos de uma maneira muito mais organizada, mas na verdade você está lá simplesmente porque eles já sofreram parte do problema. dor.
Ignacio Rodriguez: No meu tempo aqui no IDERA, eu não vi um. Para ser sincero com você, a maior parte da interação que tive com os clientes com os quais me envolvi é mais ansiosa e tenta começar a auditoria e começa a procurar privilégios, etc. Como eu disse, eu mesmo, não experimentei no meu tempo aqui, que tivemos alguém que veio depois da violação que eu conheço.
Dr. Robin Bloor: Oh, isso é interessante. Eu teria pensado que teria havido pelo menos alguns. Na verdade, estou olhando para isso, mas também adicionando, todas as complexidades que realmente tornam os dados seguros em toda a empresa de todas as formas e em todas as atividades que você faz. Vocês oferecem consultoria diretamente para ajudar as pessoas? Quero dizer, está claro que você pode comprar ferramentas, mas na minha experiência, muitas vezes as pessoas compram ferramentas sofisticadas e as usam muito mal. Você oferece consultoria específica - o que fazer, quem treinar e coisas assim?
Ignacio Rodriguez: Existem alguns serviços que você poderia, tanto quanto serviços de suporte, que permitiriam que isso acontecesse. Mas, no que diz respeito à consultoria, não fornecemos nenhum serviço de consultoria, mas treinamento, você sabe, como usar as ferramentas e coisas assim, algumas delas seriam abordadas com o nível de suporte. Mas, por si só, não temos um departamento de serviços que faz isso.
Dr. Robin Bloor: Ok. Em termos de banco de dados que você cobre, a apresentação aqui menciona apenas o Microsoft SQL Server - você também faz Oracle?
Ignacio Rodriguez: Vamos expandir o domínio Oracle com o Compliance Manager primeiro. Vamos iniciar um projeto com isso, então vamos procurar expandir isso para o Oracle.
Dr. Robin Bloor: E você provavelmente irá a outro lugar?
Ignacio Rodriguez: Sim, é algo que precisamos examinar nos roteiros e ver como estão as coisas, mas essas são algumas das coisas que estamos considerando, e quais outras plataformas de banco de dados precisamos atacar também.
Dr. Robin Bloor: Eu também estava interessado na divisão, não tenho uma imagem preconcebida disso, mas em termos de implantações, quanto disso está realmente sendo implantado na nuvem, ou é quase tudo no local ?
Ignacio Rodriguez: Tudo no local. Também estamos planejando estender o Secure para cobrir o Azure.
Dr. Robin Bloor: Essa foi a pergunta do Azure, você ainda não está lá, mas está indo para lá, faz muito sentido.
Ignacio Rodriguez: Sim, vamos para lá muito em breve.
Dr. Robin Bloor: Sim, bem, meu entendimento da Microsoft é que há muita ação com o Microsoft SQL Server no Azure. Está se tornando, se você gosta, uma parte essencial do que eles oferecem. A outra questão na qual eu meio que estou interessado - não é técnica, é mais como uma pergunta de como você se envolve - quem é o comprador para isso? Você está sendo abordado pelo departamento de TI ou pelas OSCs, ou é uma variedade diferente de pessoas? Quando algo assim está sendo considerado, isso faz parte de uma série de coisas para proteger o meio ambiente? Qual é a situação lá?
Ignacio Rodriguez: É uma mistura. Temos OSCs, muitas vezes a equipe de vendas entra em contato com os DBAs. E então os DBAs, novamente, foram contratados para a implementação de algum tipo de política de processo de auditoria. A partir daí, eles avaliarão as ferramentas, informarão a cadeia e tomarão uma decisão sobre qual parte eles desejam comprar. Mas é um saco misto de quem entrará em contato conosco.
Dr. Robin Bloor: Ok. Acho que voltarei a Eric agora porque, meio que, terminamos a hora, mas pode haver algumas perguntas da platéia. Eric?
Eric Kavanagh: Sim, claro, nós gravamos muito conteúdo bom aqui. Aqui está uma pergunta muito boa que vou lhe apresentar de um dos participantes. Ele está falando sobre o blockchain e o que você está falando, e está perguntando, existe uma maneira possível de migrar uma parte somente leitura de um banco de dados SQL para algo semelhante ao que o blockchain oferece? É meio difícil.
Ignacio Rodriguez: Sim, vou ser sincero com você, não tenho uma resposta para isso.
Eric Kavanagh: Vou passar para Robin. Não sei se você ouviu essa pergunta, Robin, mas ele está apenas perguntando: existe uma maneira de migrar a parte somente leitura de um banco de dados SQL para algo semelhante ao que o blockchain oferece? O que você acha disso?
Dr. Robin Bloor: É como, se você for migrar o banco de dados, também migrará o tráfego do banco de dados. Há todo um conjunto de complexidade envolvido nisso. Mas você não faria isso por nenhum outro motivo, além de tornar os dados invioláveis. Como um blockchain será mais lento para acessar, você sabe, se a velocidade é sua coisa - e quase sempre é a coisa - então você não faria isso. Mas se você quiser fornecer, meio que, acesso criptografado com chave a parte dele para algumas pessoas que fazem esse tipo de coisa, você poderá fazê-lo, mas precisará de um bom motivo. É muito mais provável deixá-lo onde está e protegê-lo onde está.
Dez Blanchfield: Sim, eu concordo com isso, se eu puder pesar rapidamente. Eu acho que o desafio da blockchain, mesmo a blockchain publicamente disponível, é usada no bitcoin - estamos achando difícil escalá-lo além de, mais ou menos, quatro transações por minuto de forma totalmente distribuída. Não muito por causa do desafio da computação, embora exista, os nós completos estão apenas achando difícil acompanhar os volumes do banco de dados se movendo para trás e para a frente e a quantidade de dados copiados porque são shows agora, não apenas megas.
Mas também acho que o principal desafio é que você precisa alterar a arquitetura do aplicativo, porque em um banco de dados é predominantemente trazer tudo para um local central e você tem esse modelo do tipo cliente-servidor. Blockchain é o inverso; é sobre cópias distribuídas. É mais parecido com o BitTorrent de várias maneiras, e isso significa que muitas cópias estão disponíveis com os mesmos dados. E, como você sabe, como o Cassandra e os bancos de dados na memória em que você o distribui e muitos servidores podem fornecer cópias dos mesmos dados de um índice distribuído. Acho que as duas partes principais, como você disse, Robin, são: uma, se você deseja protegê-la e garantir que não possa ser roubada ou invadida, isso é ótimo, mas ainda não é necessariamente uma plataforma transacional, e nós já experimentei isso com o projeto bitcoin. Mas, em teoria, outros o resolveram. Mas também, arquitetonicamente, muitos aplicativos por aí simplesmente não sabem como consultar e ler de uma blockchain.
Há muito trabalho a ser feito lá. Mas acho que o ponto principal da pergunta, se eu puder, é a lógica de movê-la para uma blockchain, acho que a pergunta que está sendo feita é: você pode retirar dados de um banco de dados e colocá-los de alguma forma que seja mais seguro? E a resposta é: você pode deixá-lo no banco de dados e apenas criptografá-lo. Existem muitas tecnologias agora. Apenas criptografe os dados em repouso ou em movimento. Não há razão para que você não possa ter dados criptografados na memória e no banco de dados em disco, o que é um desafio muito mais simples, porque você não possui uma única alteração na arquitetura. Invariavelmente, na maioria das plataformas de banco de dados, na verdade, é apenas um recurso ativado.
Eric Kavanagh: Sim, temos uma última pergunta que vou fazer para você, Iggy. É muito bom. Do ponto de vista do SLA e do planejamento da capacidade, que tipo de imposto existe usando o seu sistema? Em outras palavras, existe alguma sobrecarga adicional de latência ou taxa de transferência se, em um sistema de banco de dados de produção, alguém quiser envolver a tecnologia da IDERA aqui?
Ignacio Rodriguez: Realmente não vemos muito impacto. Novamente, é um produto sem agente e tudo depende, como mencionei antes, dos instantâneos. O Secure é baseado em instantâneos. Ele será divulgado e criará um trabalho que será divulgado com base nos intervalos que você selecionou. Ou você deseja fazer isso novamente, semanalmente, diariamente, mensalmente. Ele vai lá e executa esse trabalho e, em seguida, coleta os dados das instâncias. Nesse ponto, a carga volta aos serviços de gerenciamento e coleta, quando você começa a fazer comparações e tudo mais, a carga no banco de dados não faz parte disso. Toda essa carga está agora no servidor de gerenciamento e coleta, na medida em que faz comparações e todos os relatórios e tudo mais. A única vez em que você acessa o banco de dados é sempre quando está fazendo a captura instantânea real. E não temos realmente nenhum relatório de que isso seja prejudicial aos ambientes de produção.
Eric Kavanagh: Sim, esse é um ponto muito bom que você faz lá. Basicamente, você pode definir quantas capturas instantâneas você tira, qual é esse intervalo de tempo e dependendo do que pode ser, mas essa é uma arquitetura muito inteligente. Isso é bom, cara. Bem, vocês estão na linha de frente, tentando nos proteger de todos os hackers de que falamos nos primeiros 25 minutos do programa. E eles estão lá fora, pessoal, não se enganem.
Bem, ouça, publicaremos um link para este webcast, os arquivos, em nosso site insideanalysis.com. Você pode encontrar coisas no SlideShare, no YouTube. E pessoal, coisas boas. Obrigado pelo seu tempo, Iggy, eu amo o seu apelido, a propósito. Com isso, despediremos vocês, pessoal. Muito obrigado pelo seu tempo e atenção. Até a próxima. Tchau tchau.
