Από το προσωπικό της Techopedia, 10 Μαΐου 2017
Takeaway: Ο οικοδεσπότης Eric Kavanagh συζητά την ασφάλεια και τις άδειες με τον Dr. Robin Bloor και τον Vicky Harp της IDERA.
Δεν έχετε εισέλθει αυτήν τη στιγμή. Συνδεθείτε ή εγγραφείτε για να δείτε το βίντεο.
Eric Kavanagh: Εντάξει, κυρίες και κύριοι, γεια σου και καλωσορίζω ξανά. Είναι μια Τετάρτη, είναι τέσσερις ανατολικές και στον κόσμο της τεχνολογίας των επιχειρήσεων που σημαίνει ότι είναι καιρός και πάλι για Hot Technologies! Ναι πράγματι. Παρουσιάστηκε από την ομάδα Bloor φυσικά, που τροφοδοτείται από τους φίλους μας στην Techopedia. Το θέμα για σήμερα είναι πραγματικά πολύ καλό: "Καλύτερα να ζητάς άδειες: βέλτιστες πρακτικές για την προστασία της ιδιωτικής ζωής και την ασφάλεια." Αυτό είναι σωστό, είναι ένα είδος σκληρού θέματος, πολλοί άνθρωποι μιλούν γι 'αυτό, αλλά είναι πολύ σοβαρό και Είναι πραγματικά πιο σοβαρό κάθε μέρα, ειλικρινά. Είναι ένα σοβαρό ζήτημα με πολλούς τρόπους για πολλούς οργανισμούς. Θα μιλήσουμε γι 'αυτό και θα μιλήσουμε για το τι μπορείτε να κάνετε για να προστατέψετε τον οργανισμό σας από τους κακοποιούς χαρακτήρες που φαίνεται να είναι παντού σήμερα.
Έτσι ο σημερινός παρουσιαστής είναι η Vicky Harp που καλεί από το IDERA. Μπορείτε να δείτε το λογισμικό IDERA στο LinkedIn - Λατρεύω τη νέα λειτουργικότητα στο LinkedIn. Παρόλο που μπορώ να πω ότι τράβηξαν μερικές συμβολοσειρές με ορισμένους τρόπους, χωρίς να σας επιτρέπουν να έχετε πρόσβαση σε ανθρώπους, προσπαθώντας να σας πάρουν για να αγοράσετε αυτά τα premium μέλη. Εκεί πηγαίνετε, έχουμε το δικό μας Robin Bloor, καλώντας - είναι στην περιοχή San Diego σήμερα. Και δική σας πραγματικά ως συντονιστής / αναλυτής σας.
Τι λέμε λοιπόν; Παραβιάσεις δεδομένων. Μόλις πήρα αυτές τις πληροφορίες από το IdentityForce.com, είναι ήδη εκτός των φυλών. Είμαστε το Μάιο φυσικά του τρέχοντος έτους, και υπάρχει μόνο ένας τόνος παραβιάσεων δεδομένων, υπάρχουν μερικές πραγματικά τεράστιες, φυσικά, από το Yahoo! ήταν ένα μεγάλο, και ακούσαμε για φυσικά την αμερικανική κυβέρνηση που χάκεται. Είχαμε μόλις χάσει τις γαλλικές εκλογές.
Αυτό συμβαίνει σε όλη τη χώρα, συνεχίζεται και δεν πρόκειται να σταματήσει, έτσι είναι πραγματικότητα, είναι η νέα πραγματικότητα, όπως λένε. Πραγματικά πρέπει να σκεφτούμε τρόπους για την επιβολή της ασφάλειας των συστημάτων μας και των δεδομένων μας. Και είναι μια συνεχής διαδικασία, οπότε είναι έγκαιρα να σκεφτούμε όλα τα διαφορετικά ζητήματα που τίθενται σε ισχύ. Πρόκειται μόνο για μια μερική λίστα, αλλά αυτό σας δίνει κάποια προοπτική για το πόσο επισφαλής είναι η κατάσταση αυτή τη στιγμή με τα συστήματα των επιχειρήσεων. Και πριν από αυτή την παράσταση, στην εκπομπή πριν από την εκπομπή μιλάμε για ransomware που έπληξε κάποιον που γνωρίζω, κάτι που είναι μια πολύ δυσάρεστη εμπειρία, όταν κάποιος αναλάβει το iPhone σας και απαιτεί χρήματα για να πάρετε πίσω την πρόσβαση στο τηλέφωνό σας. Αλλά συμβαίνει, συμβαίνει σε υπολογιστές, συμβαίνει σε συστήματα, είδα μόλις την άλλη μέρα, συμβαίνει σε δισεκατομμυριούχους με τα σκάφη τους. Φανταστείτε να πηγαίνετε στο σκάφος σας μια μέρα, προσπαθώντας να εντυπωσιάσετε όλους τους φίλους σας και δεν μπορείτε να το ενεργοποιήσετε, επειδή κάποιοι κλέφτες έχουν κλέψει την πρόσβαση στα χειριστήρια, τον πίνακα ελέγχου. Μόλις είπα την άλλη μέρα σε μια συνέντευξη σε κάποιον, πάντα να έχει το χειροκίνητο override. Όπως και εγώ, δεν είμαι μεγάλος οπαδός όλων των συνδεδεμένων αυτοκινήτων - ακόμα και τα αυτοκίνητα μπορούν να χαραχτούν. Οτιδήποτε συνδέεται με το διαδίκτυο ή συνδέεται με ένα δίκτυο που μπορεί να διεισδύσει μπορεί να χαραχτεί, οτιδήποτε.
Επομένως, εδώ είναι μερικά μόνο στοιχεία που πρέπει να εξεταστούν από την άποψη της διαμόρφωσης του πλαισίου της σοβαρότητας της κατάστασης. Τα συστήματα που βασίζονται στο Web είναι παντού αυτές τις μέρες, συνεχίζουν να πολλαπλασιάζονται. Πόσοι άνθρωποι αγοράζουν υλικό online; Είναι ακριβώς μέσα από τη στέγη αυτές τις μέρες, γι 'αυτό το λόγο η Amazon είναι μια τόσο ισχυρή δύναμη αυτές τις μέρες. Είναι επειδή τόσοι πολλοί άνθρωποι αγοράζουν υλικό online.
Έτσι, θυμάστε τότε, πριν από 15 χρόνια, οι άνθρωποι ήταν αρκετά νευρικοί για την τοποθέτηση της πιστωτικής τους κάρτας σε μια φόρμα διαδικτύου για να πάρουν τις πληροφορίες τους και τότε το επιχείρημα ήταν: "Λοιπόν, αν παραδώσετε την πιστωτική σας κάρτα σε έναν σερβιτόρο ένα εστιατόριο, τότε αυτό είναι το ίδιο πράγμα. "Έτσι, η απάντησή μας είναι ναι, είναι το ίδιο πράγμα, υπάρχουν όλα αυτά τα σημεία ελέγχου, ή σημεία πρόσβασης, το ίδιο πράγμα, διαφορετική πλευρά του ίδιου νομίσματος, όπου μπορούν να τοποθετηθούν οι άνθρωποι σε κίνδυνο, όπου κάποιος μπορεί να πάρει τα χρήματά σας, ή κάποιος μπορεί να κλέψει από εσάς.
Στη συνέχεια, το IoT φυσικά διευρύνει το απειλητικό κλίμα - μου αρέσει αυτή η λέξη - με τάξεις μεγέθους. Θέλω να το σκεφτώ - με όλες αυτές τις νέες συσκευές παντού, αν κάποιος μπορεί να εισβάλει σε ένα σύστημα που τον ελέγχει, μπορεί να στρέψει όλα αυτά τα bots εναντίον σας και να προκαλέσει πολλά και πολλά προβλήματα, γι αυτό είναι ένα πολύ σοβαρό ζήτημα. Έχουμε μια παγκόσμια οικονομία στις μέρες μας, η οποία επεκτείνει ακόμη περισσότερο το απειλητικό στίγμα και, επιπλέον, έχετε ανθρώπους σε άλλες χώρες που έχουν πρόσβαση στον ιστό με τον ίδιο τρόπο που εσείς και εγώ μπορούμε και αν δεν ξέρετε πώς να μιλήσετε ρωσικά, ή οποιουδήποτε αριθμού άλλων γλωσσών, θα δυσκολευτείτε να καταλάβετε τι συμβαίνει όταν εισέρχονται στο σύστημά σας. Έτσι έχουμε πρόοδο στη δικτύωση και την εικονικοποίηση, καλά ότι είναι καλό.
Αλλά έχω στο δεξί μέρος αυτής της εικόνας εδώ, ένα σπαθί και ο λόγος που το έχω, υπάρχει επειδή κάθε σπαθί κόβει και τους δύο τρόπους. Είναι ένα σπαθί με δύο άκρα, όπως λένε, και είναι ένα παλιό κλισέ, αλλά αυτό σημαίνει ότι το σπαθί που έχω μπορεί να σας προκαλέσει βλάβη ή ότι μπορεί να με βλάψει. Μπορεί να επανέλθει σε μένα είτε με αναπήδηση πίσω, είτε με κάποιον που το παίρνει. Είναι πραγματικά ένας από τους Μύθους του Αισώπου - συχνά δίνουμε στους εχθρούς μας τα εργαλεία της δικής μας καταστροφής. Είναι πραγματικά η συναρπαστική ιστορία και έχει να κάνει με κάποιον που χρησιμοποίησε τόξο και βέλος και κατέλυσε ένα πουλί και το πουλί είδε, καθώς το βέλος έφτασε, εκείνο το φτερό από έναν φίλο των πτηνών ήταν στην άκρη του βέλους, στο πίσω μέρος του βέλους για να τον καθοδηγήσει, και σκέφτηκε τον εαυτό του: "Ω άνθρωπος, εδώ είναι, τα φτερά μου, η δική μου οικογένεια θα συνηθίσει να με πάει κάτω." Αυτό συμβαίνει όλη την ώρα, ακούτε στατιστικά στοιχεία για το ότι έχετε ένα όπλο στο σπίτι, ο κλέφτης μπορεί να πάρει το όπλο. Αυτό είναι αλήθεια. Έτσι, ρίχνω αυτό έξω εκεί ως αναλογία μόνο για να εξετάσει, όλες αυτές οι διαφορετικές εξελίξεις έχουν θετικές πλευρές και αρνητικές πλευρές.
Και μιλώντας για τα δοχεία για όσους από εσάς ακολουθούν πραγματικά την αιχμή της επιχειρησιακής πληροφορικής, τα δοχεία είναι το πιο πρόσφατο πράγμα, ο τελευταίος τρόπος να παραδώσει λειτουργικότητα, είναι πραγματικά ο γάμος της εικονικοποίησης στην αρχιτεκτονική που προσανατολίζεται στις υπηρεσίες, τουλάχιστον για τις μικροσυντηρήσεις και είναι πολύ ενδιαφέρον πράγματα. Μπορείτε σίγουρα να παγιδέψετε τα πρωτόκολλα ασφαλείας, τα πρωτόκολλα εφαρμογής σας και τα δεδομένα σας και ούτω καθεξής, χρησιμοποιώντας δοχεία, και αυτό σας δίνει μια προκαταβολή για κάποιο χρονικό διάστημα, αλλά αργά ή γρήγορα, οι κακοί τύποι θα το υπολογίσουν και τότε θα είναι ακόμη πιο δύσκολο να τους αποτρέψετε να εκμεταλλευτούν τα συστήματά σας. Έτσι, υπάρχει, ότι υπάρχει παγκόσμιο εργατικό δυναμικό που περιπλέκει το δίκτυο και την ασφάλεια, και από πού συνδέονται οι χρήστες.
Έχουμε τους πολέμους του προγράμματος περιήγησης που συνεχίζουν γρήγορα, και απαιτούν συνεχή εργασία για ενημέρωση και παραμονή στην κορυφή των πραγμάτων. Παρακολουθούμε συνεχώς τα παλιά προγράμματα περιήγησης του Microsoft Explorer, τον τρόπο με τον οποίο υπήρξαν πειρατεία και ήταν διαθέσιμα εκεί. Έτσι, υπάρχουν περισσότερα χρήματα που πρέπει να γίνουν σε hacking αυτές τις μέρες, υπάρχει μια ολόκληρη βιομηχανία, αυτό είναι κάτι που μου δίδαξε ο συνάδελφός μου, ο Δρ. Bloor, πριν οκτώ χρόνια - αναρωτιόμουν γιατί βλέπουμε τόσο πολύ και θυμήθηκε εγώ, είναι μια ολόκληρη βιομηχανία που εμπλέκεται σε hacking. Και με αυτή την έννοια, η αφήγηση, η οποία είναι μία από τις λιγότερο αγαπημένες μου λέξεις για την ασφάλεια, είναι πραγματικά πολύ ανέντιμη, διότι η αφήγηση σας δείχνει σε όλα αυτά τα βίντεο και σε κάθε είδους ειδησεογραφική κάλυψη κάποιο hacking δείχνουν κάποιο τύπο σε ένα hoodie, στο υπόγειο του σε ένα σκοτεινό δωμάτιο, αυτό δεν συμβαίνει καθόλου. Αυτό δεν είναι καθόλου αντιπροσωπευτικό της πραγματικότητας. Είναι μοναχικοί χάκερ, υπάρχουν πολύ λίγοι μοναχικοί χάκερ, είναι εκεί έξω, προκαλούν κάποιο πρόβλημα - δεν πρόκειται να προκαλέσουν το μεγάλο πρόβλημα, αλλά μπορούν να κάνουν πολλά χρήματα. Αυτό που συμβαίνει είναι να εισέλθουν οι χάκερ και να διεισδύσουν στο σύστημά σας και στη συνέχεια να πουλήσουν αυτή την πρόσβαση σε κάποιον άλλο, ο οποίος γυρίζει και το πουλάει σε κάποιον άλλο, και κάπου κάτω από τη γραμμή, κάποιος εκμεταλλεύεται αυτό το hack και σας εκμεταλλεύεται. Και υπάρχουν αμέτρητοι τρόποι να εκμεταλλευτείτε τα κλεμμένα δεδομένα.
Μάλιστα, είμαι με θαυμασμό για τον εαυτό μου για το πώς είχαμε λατρεύει αυτή την ιδέα. Βλέπετε αυτό τον όρο παντού, "hacking ανάπτυξης", όπως είναι ένα καλό πράγμα. Η πειρατεία της ανάπτυξης μπορεί να είναι καλό, αν προσπαθείτε να εργαστείτε για να μιλήσετε και να εισέλθετε σε ένα σύστημα, όπως συνεχίζουμε να ακούμε με τη Βόρεια Κορέα και τις εκτοξεύσεις πυραύλων που ενδεχομένως να χάνονται - αυτό είναι καλό. Αλλά η πειρατεία είναι συχνά ένα κακό πράγμα. Τώρα λοιπόν, το γοητεύουμε, σχεδόν όπως ο Ρομπέν Χουντ, όταν λάτρευαμε τον Robin Hood. Και τότε υπάρχει η κοινωνία χωρίς μετρητά, κάτι που ειλικρινά αφορά τα φώτα ημέρας από μένα. Το μόνο που σκέφτομαι κάθε φορά που ακούω ότι είναι, "Όχι, παρακαλώ μην το κάνετε! Παρακαλώ όχι! "Δεν θέλω να εξαφανιστούν όλα τα χρήματά μας. Έτσι, αυτά είναι μόνο μερικά θέματα που πρέπει να εξετάσετε, και πάλι, είναι ένα παιχνίδι cat-and-mouse? δεν πρόκειται ποτέ να σταματήσει, θα υπάρχει πάντα ανάγκη για πρωτόκολλα ασφαλείας και για την προώθηση πρωτοκόλλων ασφαλείας. Και για να παρακολουθείτε τα συστήματά σας για να γνωρίζετε και να αισθανθείτε ποιος είναι εκεί έξω, με την κατανόηση που θα μπορούσε να είναι ακόμη και μια εσωτερική δουλειά. Συνεπώς, είναι ένα συνεχιζόμενο ζήτημα, πρόκειται να είναι ένα διαρκές ζήτημα εδώ και αρκετό καιρό - μην κάνετε κανένα λάθος γι 'αυτό.
Και με αυτό, θα το παραδώσω στον Δρ Bloor, ο οποίος μπορεί να μοιραστεί μαζί μας κάποιες σκέψεις για την εξασφάλιση βάσεων δεδομένων. Ρόμπιν, πάρτε το μακριά.
Robin Bloor: Εντάξει, μια από τις ενδιαφέρουσες αμυχές, νομίζω ότι συνέβη πριν από περίπου πέντε χρόνια, αλλά βασικά ήταν μια εταιρεία επεξεργασίας καρτών που είχε πειραχτεί. Και ένας μεγάλος αριθμός στοιχείων της κάρτας είχαν κλαπεί. Αλλά το ενδιαφέρον για αυτό, για μένα, ήταν το γεγονός ότι ήταν η δοκιμαστική βάση δεδομένων στην οποία μπήκαν πραγματικά και ήταν πιθανό ότι είχαν πολύ μεγάλη δυσκολία να μπουν στην πραγματική, πραγματική βάση δεδομένων των καρτών επεξεργασίας. Αλλά ξέρετε πώς είναι με τους προγραμματιστές, παίρνουν απλά μια περικοπή μιας βάσης δεδομένων, σπρώξτε το εκεί μέσα. Θα έπρεπε να είχε πολύ μεγαλύτερη επαγρύπνηση για να σταματήσει αυτό. Αλλά υπάρχουν πολλές ενδιαφέρουσες ιστορίες πειρατείας, κάνει σε μια περιοχή, κάνει ένα πολύ ενδιαφέρον θέμα.
Έτσι θα πάω στην πραγματικότητα, με τον ένα ή τον άλλο τρόπο, να επαναλάβω μερικά από τα πράγματα που είπε ο Eric, αλλά είναι εύκολο να σκεφτούμε την ασφάλεια των δεδομένων ως έναν στατικό στόχο. είναι πιο εύκολο απλώς και μόνο επειδή είναι ευκολότερο να αναλύουμε τις στατικές καταστάσεις και στη συνέχεια να σκεφτόμαστε να βάζουμε άμυνες μέσα, άμυνες εκεί, αλλά δεν είναι. Είναι κινούμενος στόχος και αυτό είναι ένα από τα πράγματα που καθορίζουν το σύνολο του χώρου ασφαλείας. Είναι ακριβώς με τον τρόπο που όλη η τεχνολογία εξελίσσεται, η τεχνολογία των κακών ανθρώπων εξελίσσεται επίσης. Έτσι, σύντομη επισκόπηση: Η κλοπή δεδομένων δεν είναι κάτι νέο, στην πραγματικότητα, η κατασκοπεία δεδομένων είναι η κλοπή δεδομένων και αυτό συμβαίνει εδώ και χιλιάδες χρόνια, νομίζω.
Η μεγαλύτερη ληστεία δεδομένων με αυτούς τους όρους ήταν οι Βρετανοί που έσπασαν τους γερμανικούς κώδικες και οι Αμερικανοί έσπαζαν τους ιαπωνικούς κώδικες και λίγο και στις δύο περιπτώσεις μείωσαν πολύ τον πόλεμο. Και απλά κλέβωναν χρήσιμα και πολύτιμα δεδομένα, ήταν πολύ έξυπνο, αλλά ξέρετε, αυτό που συμβαίνει είναι πολύ έξυπνο με πολλούς τρόπους. Η κλοπή Cyber γεννήθηκε με το διαδίκτυο και εξερράγη γύρω στο 2005. Πήγα και εξέτασα όλα τα στατιστικά στοιχεία και όταν άρχισες να παίρνεις πραγματικά σοβαρά και, με κάποιον τρόπο ή άλλον, εξαιρετικά υψηλά αριθμητικά που ξεκινούν γύρω στο 2005. Είναι μόλις χειρότερα από τότε έπειτα. Πολλοί παίκτες, κυβερνήσεις εμπλέκονται, επιχειρήσεις εμπλέκονται, ομάδες χάκερ και άτομα.
Πήγα στη Μόσχα - αυτό έπρεπε να ήταν περίπου πέντε χρόνια - και πραγματικά ξόδεψα πολύ χρόνο με έναν άντρα από το Ηνωμένο Βασίλειο, ο οποίος ερευνά ολόκληρο τον χώρο χάκερ. Και το είπε - και δεν έχω ιδέα αν αυτό είναι αλήθεια, έχω μόνο τη δική του λέξη γι 'αυτό, αλλά ακούγεται πολύ πιθανό - ότι στη Ρωσία υπάρχει κάτι που ονομάζεται Business Network, μια ομάδα hackers που είναι όλα, ξέρετε, βγήκαν από τα ερείπια της KGB. Και πωλούν τους εαυτούς τους, όχι μόνο, εγώ είμαι βέβαιος ότι η ρωσική κυβέρνηση τα χρησιμοποιεί, αλλά πωλούν οι ίδιοι σε οποιονδήποτε και φημολογήθηκε ή είπε ότι φημολογήθηκε ότι διάφορες ξένες κυβερνήσεις χρησιμοποιούν το επιχειρηματικό δίκτυο για αληθοφανής δυσπιστία. Αυτοί οι τύποι είχαν δίκτυα εκατομμυρίων συμβιβασμένων υπολογιστών από τους οποίους θα μπορούσαν να επιτεθούν. Και είχαν όλα τα εργαλεία που μπορείτε να φανταστείτε.
Έτσι, η τεχνολογία της επίθεσης και της άμυνας εξελίχθηκε. Και οι επιχειρήσεις έχουν καθήκον να φροντίζουν τα δεδομένα τους, ανεξάρτητα από το αν κατέχουν ή όχι. Και αυτό αρχίζει να γίνεται σαφέστερο σε ό, τι αφορά τα διάφορα νομοθετήματα που ήδη ισχύουν ή τίθενται σε ισχύ. Και πιθανότατα να βελτιωθεί κάποιος με τον ένα ή τον άλλο τρόπο, κάποιος έχει να επιβαρυνθεί με το κόστος της πειρατείας με τέτοιο τρόπο ώστε να είναι κίνητρο να κλείσει τη δυνατότητα. Αυτό είναι ένα από τα πράγματα που πιστεύω ότι είναι απαραίτητα. Έτσι για τους χάκερς, μπορούν να βρεθούν οπουδήποτε. Ιδιαίτερα μέσα στον οργανισμό σας - ένα φοβερό μέρος των έξυπνων hacks που έχω ακούσει ότι εμπλέκονται με κάποιον που ανοίγει την πόρτα. Ξέρεις, το πρόσωπο, είναι σαν την κατάσταση ληστείας τραπεζών, σχεδόν πάντα έλεγαν σε καλές ληστείες τραπεζών, υπάρχει ένα εμπιστευτικό. Αλλά ο εσωτερικός πρέπει μόνο να δώσει πληροφορίες, γι 'αυτό είναι δύσκολο να τους πάρει, να ξέρει ποιος ήταν, και ούτω καθεξής και ούτω καθεξής.
Και μπορεί να είναι δύσκολο να τους οδηγήσετε στη δικαιοσύνη, διότι αν έχετε μπει από μια ομάδα ανθρώπων στη Μολδαβία, ακόμα κι αν γνωρίζετε ότι ήταν αυτή η ομάδα, πώς θα κάνατε κάποιο νομικό γεγονός γύρω τους; Είναι ένα είδος, από τη μια δικαιοδοσία στην άλλη, είναι απλά, δεν υπάρχει ένα πολύ καλό σύνολο διεθνών ρυθμίσεων για να καταλάβουμε τους χάκερς. Μοιράζονται τεχνολογία και πληροφορίες. πολλά από αυτά είναι ανοικτού κώδικα. Εάν θέλετε να δημιουργήσετε τον δικό σας ιό, υπάρχουν πολλά κιτ ιών εκεί έξω - εντελώς ανοιχτή πηγή. Και έχουν σημαντικούς πόρους, υπήρξε ένας αριθμός που είχε botnets σε περισσότερες από ένα εκατομμύριο συμβιβασμούς συσκευές σε κέντρα δεδομένων και σε υπολογιστές και ούτω καθεξής. Ορισμένες είναι επικερδείς επιχειρήσεις που έχουν πάει για πολύ καιρό και έπειτα υπάρχουν κυβερνητικές ομάδες, όπως ανέφερα. Είναι απίθανο, όπως είπε ο Eric, είναι απίθανο ότι το φαινόμενο αυτό θα τελειώσει ποτέ.
Έτσι, αυτό είναι μια ενδιαφέρουσα hack σκέφτηκα ακριβώς θα το αναφέρω, γιατί ήταν μια αρκετά πρόσφατη hack? αυτό συνέβη πέρυσι. Υπήρχε μια ευπάθεια στη σύμβαση DAO που συνδέεται με το κρυπτογραφικό κέρμα του Etherium. Και συζητήθηκε σε ένα φόρουμ, και μέσα σε μια μέρα, η σύμβαση DAO χάθηκε, χρησιμοποιώντας ακριβώς αυτό το τρωτό σημείο. 50 εκατομμύρια δολάρια σε αιθέρα απομακρύνθηκαν, προκαλώντας άμεση κρίση στο σχέδιο DAO και κλείνοντας το. Και το Etherium αγωνίστηκε πραγματικά για να προσπαθήσει να κρατήσει τον χάκερ από την πρόσβαση στα χρήματα, και μείωσαν την ανάληψη του. Αλλά πίστευε - και δεν είναι γνωστό με βεβαιότητα - ότι ο χάκερ έσπασε πραγματικά την τιμή του αιθέρα πριν από την επίθεσή του, γνωρίζοντας ότι η τιμή του αιθέρα θα κατέρρευσε και έτσι κέρδισε με άλλο τρόπο.
Και αυτό είναι άλλο, αν θέλετε, στρατηγική που μπορούν να χρησιμοποιήσουν οι χάκερ. Αν μπορούν να βλάψουν την τιμή της μετοχής σας και ξέρουν ότι θα το κάνουν αυτό, τότε είναι απαραίτητο μόνο για να μειώσουν την τιμή της μετοχής και να κάνουν το hack, έτσι είναι κάτι τέτοιο, αυτοί οι τύποι είναι έξυπνοι, ξέρετε. Και η τιμή είναι η απροκάλυπτη κλοπή χρημάτων, διαταραχών και λύκων, συμπεριλαμβανομένων των επενδύσεων, όπου διακόπτετε και μειώνετε το απόθεμα, δολιοφθορά, κλοπή ταυτότητας, κάθε είδους απάτες, μόνο για χάρη της διαφήμισης. Και τείνει να είναι πολιτική ή προφανώς πληροφορία κατασκοπεία και υπάρχουν ακόμη και άνθρωποι που ζουν από τα bug bounties που μπορείτε να πάρετε προσπαθώντας να χάσετε το Google, την Apple, το Facebook - ακόμα και το Πεντάγωνο, δίνει πραγματικά τα bugs. Και απλά hack? αν είναι επιτυχής, τότε απλά πηγαίνετε για να διεκδικήσετε το βραβείο σας, και δεν υπάρχει καμία ζημιά, γι 'αυτό είναι ωραίο πράγμα, ξέρετε.
Θα ήθελα να αναφέρω τη συμμόρφωση και τη ρύθμιση. Εκτός από τις τομεακές πρωτοβουλίες, υπάρχουν πολλές επίσημες ρυθμίσεις: η HIPAA, η SOX, η FISMA, η FERPA και η GLBA είναι όλες οι νομοθεσίες των ΗΠΑ. Υπάρχουν πρότυπα. Το PCI-DSS έχει γίνει αρκετά γενικό πρότυπο. Και έπειτα υπάρχει ISO 17799 σχετικά με την ιδιοκτησία δεδομένων. Οι εθνικοί κανονισμοί διαφέρουν από χώρα σε χώρα, ακόμη και στην Ευρώπη. Και επί του παρόντος το GDPR - τα Παγκόσμια Δεδομένα, τι σημαίνει αυτό; Παγκόσμιος Κανονισμός για την Προστασία των Δεδομένων, νομίζω ότι αντιπροσωπεύει - αλλά αυτό θα τεθεί σε ισχύ το επόμενο έτος, είπε. Και το ενδιαφέρον είναι ότι ισχύει σε ολόκληρο τον κόσμο. Εάν έχετε 5.000 ή περισσότερους πελάτες, στους οποίους έχετε προσωπικές πληροφορίες και ζείτε στην Ευρώπη, τότε η Ευρώπη θα σας φέρει πραγματικά στην αποστολή, ανεξάρτητα από το αν η έδρα σας είναι στην πραγματικότητα έδρα ή όπου λειτουργεί. Και οι κυρώσεις, η μέγιστη ποινή είναι τέσσερις τοις εκατό των ετήσιων εσόδων, η οποία είναι απλώς τεράστια, γι 'αυτό θα είναι μια ενδιαφέρουσα συστροφή στον κόσμο, όταν τεθεί σε ισχύ.
Πράγματα που πρέπει να σκεφτείτε, καλά, τρωτά σημεία DBMS, τα περισσότερα από τα πολύτιμα δεδομένα είναι στην πραγματικότητα κάθεται σε βάσεις δεδομένων. Είναι πολύτιμο γιατί έχουμε βάλει ένα πολύ μεγάλο χρονικό διάστημα για να το διαθέσουμε και να το οργανώσουμε καλά και αυτό το κάνει πιο ευάλωτο, αν δεν εφαρμόσετε πραγματικά τους σωστούς τίτλους DBMS. Προφανώς, αν πρόκειται να σχεδιάσετε τέτοια πράγματα, θα πρέπει να προσδιορίσετε τα ευάλωτα δεδομένα σε ολόκληρο τον οργανισμό, έχοντας κατά νου ότι τα δεδομένα μπορούν να είναι ευάλωτα για διάφορους λόγους. Μπορεί να είναι δεδομένα πελατών, αλλά θα μπορούσε επίσης να είναι εσωτερικά έγγραφα που θα ήταν πολύτιμα για σκοπούς κατασκοπείας και ούτω καθεξής. Η πολιτική ασφαλείας, ιδιαίτερα σε σχέση με την ασφάλεια πρόσβασης - η οποία κατά τη γνώμη μου ήταν πολύ αδύναμη κατά τη γνώμη μου, στο νέο υλικό ανοιχτής πηγής - η κρυπτογράφηση έρχεται όλο και περισσότερο σε χρήση, επειδή είναι αρκετά ροκ στερεά.
Το κόστος μιας παραβίασης της ασφάλειας, οι περισσότεροι άνθρωποι δεν το γνώριζαν, αλλά αν εξετάσετε πραγματικά τι συνέβη με οργανισμούς που έχουν υποστεί παραβιάσεις ασφαλείας, αποδεικνύεται ότι το κόστος μιας παραβίασης της ασφάλειας είναι συχνά πολύ υψηλότερο από ό, τι νομίζετε ότι θα ήταν . Και τότε το άλλο πράγμα που πρέπει να σκεφτείτε είναι η επιφάνεια επίθεσης, επειδή κάθε κομμάτι του λογισμικού οπουδήποτε, τρέχοντας με τις οργανώσεις σας παρουσιάζει μια επιφάνεια επίθεσης. Οποιαδήποτε από τις συσκευές, όπως και τα δεδομένα, ανεξάρτητα από το πώς αποθηκεύονται. Είναι όλο, η επιφάνεια επίθεσης αυξάνεται με το διαδίκτυο των πραγμάτων, η επιφάνεια επίθεσης πιθανότατα θα διπλασιαστεί.
Έτσι, τέλος, DBA και την ασφάλεια των δεδομένων. Η ασφάλεια των δεδομένων είναι συνήθως μέρος του ρόλου της DBA. Αλλά είναι και συνεργατική. Και πρέπει να υπόκειται στην εταιρική πολιτική, διαφορετικά δεν θα εφαρμοστεί σωστά. Τούτου λεχθέντος, νομίζω ότι μπορώ να περάσω τη μπάλα.
Eric Kavanagh: Εντάξει, επιτρέψτε μου να δώσω τα κλειδιά στη Βίκυ. Και μπορείτε να μοιραστείτε την οθόνη σας ή να προχωρήσετε σε αυτές τις διαφάνειες, εξαρτάται από εσάς, αφαιρέστε το.
Vicky Harp: Όχι, θα ξεκινήσω με αυτές τις διαφάνειες, ευχαριστώ πολύ. Έτσι, ναι, ήθελα απλώς να κάνω μια γρήγορη στιγμή και να εισαγάγω τον εαυτό μου. Είμαι Vicky Harp. Είμαι διαχειριστής, διαχείριση προϊόντων για προϊόντα SQL στο λογισμικό IDERA και για όσους από εσάς δεν μπορεί να μας εξοικειωθούν, το IDERA έχει πολλές σειρές προϊόντων, αλλά εδώ μιλώ για την πλευρά του SQL Server. Και επομένως, κάνουμε παρακολούθηση απόδοσης, συμμόρφωση με την ασφάλεια, εφεδρικά εργαλεία, εργαλεία διαχείρισης - και είναι απλώς μια λίστα με αυτά. Και φυσικά, αυτό που είμαι εδώ για να μιλήσω σήμερα είναι η ασφάλεια και η συμμόρφωση.
Το μεγαλύτερο μέρος αυτού που θέλω να μιλήσω σήμερα δεν είναι αναγκαστικά τα προϊόντα μας, αν και σκοπεύω να δείξω κάποια παραδείγματα αυτού αργότερα. Ήθελα να σας μιλήσω περισσότερο για την ασφάλεια των βάσεων δεδομένων, μερικές από τις απειλές στον κόσμο της ασφάλειας της βάσης δεδομένων αυτή τη στιγμή, μερικά πράγματα που πρέπει να σκεφτείτε και μερικές από τις εισαγωγικές ιδέες για το τι πρέπει να εξετάσετε για να εξασφαλίσετε την SQL Βάσεις δεδομένων διακομιστών και επίσης να βεβαιωθείτε ότι συμμορφώνονται με το κανονιστικό πλαίσιο στο οποίο ενδέχεται να υποβάλετε, όπως αναφέρθηκε. Υπάρχουν πολλοί διαφορετικοί κανονισμοί. πηγαίνουν σε διαφορετικές βιομηχανίες, σε διαφορετικά μέρη σε όλο τον κόσμο, και αυτά είναι πράγματα που πρέπει να σκεφτούμε.
Θα ήθελα λοιπόν να αφιερώσω μια στιγμή και να μιλήσω για την κατάσταση των παραβιάσεων δεδομένων - και να μην επαναλάβω πάρα πολλά από αυτά που έχουν ήδη συζητηθεί εδώ - Έψαχνα αυτή τη μελέτη έρευνας της Intel για την ασφάλεια πρόσφατα και σε όλη τους - νομίζω Περίπου 1500 οργανώσεις με τους οποίους μιλούσαν - είχαν κατά μέσο όρο έξι παραβιάσεις ασφαλείας, όσον αφορά τις παραβιάσεις των δεδομένων και το 68% αυτών απαιτούσε την αποκάλυψη με κάποια έννοια, έτσι επηρέαζαν την τιμή των μετοχών ή έπρεπε να κάνουν κάποια πίστωση παρακολούθηση για τους πελάτες ή τους υπαλλήλους τους κλπ.
Κάποιες άλλες ενδιαφέρουσες στατιστικές είναι ότι οι εσωτερικοί παράγοντες ήταν υπεύθυνοι για το 43% αυτών. Έτσι, πολλοί άνθρωποι σκέφτονται πολλά για τους χάκερ και αυτές τις σκιώδεις οιονεί κυβερνητικές οργανώσεις ή το οργανωμένο έγκλημα κ.λπ., αλλά οι εσωτερικοί παράγοντες εξακολουθούν να λαμβάνουν άμεσα μέτρα εναντίον των εργοδοτών τους, σε ένα αρκετά μεγάλο ποσοστό των περιπτώσεων. Και είναι μερικές φορές πιο δύσκολο να προστατευθούν, επειδή οι άνθρωποι μπορεί να έχουν νόμιμους λόγους να έχουν πρόσβαση σε αυτά τα δεδομένα. Περίπου το ήμισυ, 43% ήταν τυχαία απώλεια με κάποια έννοια. Έτσι, για παράδειγμα, στην περίπτωση που κάποιος πήρε τα δεδομένα στο σπίτι και έπειτα έχασε τα δεδομένα αυτά, με οδηγεί σε αυτό το τρίτο σημείο, που είναι ότι τα πράγματα στα φυσικά μέσα εξακολουθούσαν να εμπλέκονται στο 40% των παραβιάσεων. Έτσι, αυτά είναι τα κλειδιά USB, δηλαδή οι φορητοί υπολογιστές των ανθρώπων, τα πραγματικά μέσα που κάηκαν σε φυσικούς δίσκους και βγήκαν από το κτίριο.
Αν σκέφτεστε, έχετε έναν προγραμματιστή που έχει ένα αντίγραφο της βάσης δεδομένων παραγωγής σας στο φορητό υπολογιστή; Στη συνέχεια πηγαίνουν σε ένα αεροπλάνο και κατεβαίνουν από το αεροπλάνο, παίρνουν τις αποσκευές που έχουν ελεγχθεί και το laptop τους κλαπεί. Έχετε πλέον παραβιάσει δεδομένα. Ίσως να μην νομίζετε ότι αυτός είναι ο λόγος για τον οποίο το φορητό υπολογιστή έχει τραβηχτεί, ίσως να μην εμφανιστεί ποτέ στη φύση. Αλλά αυτό εξακολουθεί να είναι κάτι που θεωρείται παραβίαση, πρόκειται να απαιτηθεί γνωστοποίηση, θα έχετε όλα τα μεταγενέστερα αποτελέσματα από την απώλεια αυτών των δεδομένων, μόνο και μόνο λόγω της απώλειας αυτών των φυσικών μέσων.
Και το άλλο ενδιαφέρον είναι ότι πολλοί άνθρωποι σκέφτονται τα πιστωτικά στοιχεία και τις πληροφορίες πιστωτικών καρτών ως τις πιο πολύτιμες, αλλά αυτό δεν συμβαίνει πια. Αυτά τα δεδομένα είναι πολύτιμα, οι αριθμοί των πιστωτικών καρτών είναι χρήσιμοι, αλλά ειλικρινά, οι αριθμοί αυτοί αλλάζονται πολύ γρήγορα, ενώ τα προσωπικά δεδομένα των ανθρώπων δεν αλλάζουν πολύ γρήγορα. Κάτι που πρόσφατο είδωλο, σχετικά πρόσφατο, VTech, ένας κατασκευαστής παιχνιδιών είχε αυτά τα παιχνίδια που σχεδιάστηκαν για παιδιά. Και οι άνθρωποι θα είχαν τα ονόματα των παιδιών τους, θα είχαν πληροφορίες για το πού ζουν τα παιδιά, θα είχαν τα ονόματα των γονιών τους, θα είχαν φωτογραφίες των παιδιών. Κανένα από αυτά δεν ήταν κρυπτογραφημένο, επειδή δεν θεωρήθηκε σημαντικό. Αλλά οι κωδικοί τους ήταν κρυπτογραφημένοι. Λοιπόν, όταν η παραβίαση συνέβη αναπόφευκτα, λέτε: "Εντάξει, έτσι έχω μια λίστα με τα ονόματα των παιδιών, τα ονόματα των γονέων τους, όπου ζουν - όλες αυτές οι πληροφορίες είναι εκεί έξω και νομίζετε ότι ο κωδικός πρόσβασης ήταν το πιο πολύτιμο μέρος αυτού; "Δεν ήταν? οι άνθρωποι δεν μπορούν να αλλάξουν αυτές τις πτυχές σχετικά με τα προσωπικά τους δεδομένα, τη διεύθυνσή τους κλπ. Και έτσι ώστε οι πληροφορίες να είναι πραγματικά πολύτιμες και πρέπει να προστατεύονται.
Έτσι, ήθελε να μιλήσει για μερικά από τα πράγματα που συμβαίνουν, να συμβάλει στον τρόπο με τον οποίο οι παραβιάσεις δεδομένων συμβαίνουν αυτή τη στιγμή. Ένα από τα μεγάλα hotspots, οι χώροι τώρα είναι η κοινωνική μηχανική. Έτσι οι άνθρωποι αποκαλούν phishing, υπάρχει πλαστοπροσωπία κλπ., Όπου οι άνθρωποι έχουν πρόσβαση στα δεδομένα, συχνά μέσω εσωτερικών παραγόντων, απλώς πείθοντάς τους ότι υποτίθεται ότι έχουν πρόσβαση σε αυτό. Έτσι, ακριβώς την άλλη μέρα, είχαμε αυτό το σκουλήκι Google Docs που έμενε γύρω. Και τι θα συνέβαινε - και έλαβα πραγματικά ένα αντίγραφο του, αν και ευτυχώς δεν το έκανα κλικ - έλαβα email από έναν συνάδελφο, λέγοντας: "Εδώ είναι ένας σύνδεσμος Google Doc. πρέπει να κάνετε κλικ σε αυτό για να δείτε αυτό που μόλις μοιράστηκα μαζί σας. "Λοιπόν, σε έναν οργανισμό που χρησιμοποιεί τα Έγγραφα Google, αυτό είναι πολύ συμβατικό, θα πάρετε δεκάδες από αυτά τα αιτήματα την ημέρα. Εάν κάνατε κλικ σε αυτό, θα σας ζητούσε άδεια πρόσβασης σε αυτό το έγγραφο και ίσως θα λέγατε "Hey, αυτό φαίνεται λίγο περίεργο, αλλά ξέρετε, φαίνεται επίσης νόμιμο, οπότε θα προχωρήσω και κάντε κλικ σε αυτό "και μόλις το κάνατε αυτό, παρέχετε σε αυτό το τρίτο μέρος πρόσβαση σε όλα τα έγγραφά σας Google και, συνεπώς, δημιουργώντας αυτόν τον σύνδεσμο για αυτόν τον εξωτερικό παράγοντα που έχει πρόσβαση σε όλα τα έγγραφά σας στο Google Drive. Αυτό ξεριζώθηκε σε όλη τη χώρα. Έπληξε εκατοντάδες χιλιάδες ανθρώπους σε λίγες ώρες. Και αυτό ήταν θεμελιωδώς μια επίθεση ηλεκτρονικού "ψαρέματος" (phishing) που η ίδια η Google κατέληξε να πρέπει να κλείσει, επειδή ήταν πολύ καλά εκτελεστεί. Οι άνθρωποι έπεσαν για αυτό.
Αναφέρομαι εδώ στην παραβίαση του SnapChat HR. Αυτό ήταν απλά ένα θέμα απλής αποστολής μηνυμάτων ηλεκτρονικού ταχυδρομείου, υποτιμώντας ότι ήταν ο Διευθύνων Σύμβουλος, στέλνοντας email στο τμήμα Ανθρωπίνων Πόρων, λέγοντας: "Χρειάζεστε να μου στείλετε αυτό το λογιστικό φύλλο." Και το πίστευαν και έβαλαν ένα υπολογιστικό φύλλο με 700 διαφορετικούς υπαλλήλους «οι πληροφορίες αποζημίωσης, οι διευθύνσεις κατοικίας τους κ.λπ., στέλνονταν μέσω ηλεκτρονικού ταχυδρομείου σε αυτό το άλλο μέρος, δεν ήταν στην πραγματικότητα ο διευθύνων σύμβουλος. Τώρα, τα δεδομένα ήταν έξω, και όλα τα προσωπικά, προσωπικά στοιχεία των υπαλλήλων τους ήταν εκεί έξω και ήταν διαθέσιμα για εκμετάλλευση. Έτσι, η κοινωνική μηχανική είναι κάτι που το αναφέρω στον κόσμο των βάσεων δεδομένων, γιατί αυτό είναι κάτι που μπορείτε να προσπαθήσετε να υπερασπιστείτε ενάντια στην εκπαίδευση, αλλά πρέπει επίσης να θυμάστε ότι οπουδήποτε έχετε ένα άτομο που αλληλεπιδρά με την τεχνολογία σας, και εάν βασίζεστε στην καλή τους κρίση για να αποφύγετε μια διακοπή, τους ζητάτε πολλά.
Οι άνθρωποι κάνουν λάθη, οι άνθρωποι κάνουν κλικ σε πράγματα που δεν πρέπει να έχουν, οι άνθρωποι πέφτουν για έξυπνες ruses. Και μπορείτε να προσπαθήσετε πολύ σκληρά για να τους προστατεύσετε από αυτό, αλλά δεν είναι αρκετά ισχυρό, πρέπει να προσπαθήσετε να περιορίσετε την ικανότητα των ανθρώπων να δίνουν τυχαία τις πληροφορίες αυτές στα συστήματα βάσεων δεδομένων σας. Το άλλο πράγμα που ήθελα να αναφέρω ότι προφανώς μιλάμε για πολλά είναι τα ransomware, τα botnets, οι ιοί - όλοι αυτοί οι διαφορετικοί αυτοματοποιημένοι τρόποι. Και αυτό που νομίζω ότι είναι σημαντικό να κατανοήσουμε για το ransomware είναι ότι αλλάζει πραγματικά το μοντέλο κέρδους για τους επιτιθέμενους. Σε περίπτωση που μιλάτε για παραβίαση, πρέπει, κατά κάποιον τρόπο, να αποσπάσουν δεδομένα και να τα έχουν για τον εαυτό τους και να τα χρησιμοποιήσουν. Και αν τα δεδομένα σας είναι σκοτεινά, εάν είναι κρυπτογραφημένα, αν είναι συγκεκριμένα για τον κλάδο, ίσως δεν έχουν αξία γι 'αυτό.
Μέχρι αυτό το σημείο, οι άνθρωποι μπορεί να αισθανόταν ότι ήταν μια προστασία γι 'αυτούς, "δεν χρειάζεται να προστατεύσω τον εαυτό μου από μια παραβίαση δεδομένων, γιατί αν πρόκειται να μπουν στο σύστημά μου, όλοι θα έχουν είναι, είμαι φωτογραφικό στούντιο, έχω μια λίστα με ποιος θα έρχεται σε ποιες ημέρες για το επόμενο έτος. Ποιος νοιάζεται γι 'αυτό; "Λοιπόν, αποδεικνύεται ότι η απάντηση σας ενδιαφέρει αυτό. αποθηκεύετε αυτές τις πληροφορίες, είναι οι κρίσιμες για την επιχείρησή σας πληροφορίες. Έτσι, με τη χρήση ransomware ένας εισβολέας θα πει, "Λοιπόν, κανείς άλλος δεν πρόκειται να μου δώσει χρήματα γι 'αυτό, αλλά θα το κάνετε." Έτσι, αυτοί μοχλεύουν το γεγονός ότι δεν χρειάζεται καν να πάρουν τα δεδομένα έξω, δεν χρειάζεται καν να υπάρχει παραβίαση, πρέπει απλά να χρησιμοποιήσουν τα εργαλεία ασφαλείας εναντίον σας. Παίρνουν στη βάση δεδομένων σας, κρυπτογραφούν τα περιεχόμενα της και στη συνέχεια λένε: "Εντάξει, έχουμε τον κωδικό πρόσβασης και θα πρέπει να μας πληρώσετε 5.000 δολάρια για να λάβετε τον κωδικό αυτό, αλλιώς δεν έχετε αυτά τα δεδομένα πια. "
Και οι άνθρωποι πληρώνουν? βρήκαν ότι πρέπει να το κάνουν αυτό. Το MongoDB είχε ένα τεράστιο πρόβλημα πριν από μερικούς μήνες, υποθέτω ότι ήταν τον Ιανουάριο, όπου το ransomware χτύπησε, νομίζω, πάνω από ένα εκατομμύριο βάσεις δεδομένων MongoDB που έχουν δημόσια στο Διαδίκτυο, με βάση ορισμένες προεπιλεγμένες ρυθμίσεις. Και τι έκανε ακόμη χειρότερο είναι ότι οι άνθρωποι πληρώνουν και έτσι άλλες οργανώσεις θα έρχονται και θα κρυπτογραφούν ή θα ισχυρίζονται ότι ήταν εκείνοι που την κρυπτογράφησαν αρχικά, έτσι όταν πληρώσατε τα χρήματά σας, και νομίζω ότι στην περίπτωση αυτή ήταν ζητώντας κάτι σαν $ 500, οι άνθρωποι θα έλεγαν: "Εντάξει, θα πληρώσω περισσότερο από αυτό να πληρώσω έναν ερευνητή για να μπεί εδώ για να με βοηθήσει να καταλάβω τι συνέβη. Απλώς θα πληρώσω τα 500 δολάρια. "Και δεν το έκαναν ούτε καν στον σωστό ηθοποιό, γι 'αυτό θα έπρεπε να συσσωρεύονται με δέκα διαφορετικές οργανώσεις λέγοντάς τους:" Έχουμε τον κωδικό πρόσβασης "ή" Έχουμε έδωσε το δρόμο για να ξεκλειδώσετε τα εξαργυρωμένα σας δεδομένα. "Και θα έπρεπε να πληρώσετε όλα αυτά για να μπορέσετε να το χρησιμοποιήσετε.
Υπήρξαν επίσης περιπτώσεις όπου οι συγγραφείς ransomware είχαν σφάλματα, εννοώ, δεν μιλάμε για μια κατάσταση που είναι απολύτως υπερκατασκευής, οπότε ακόμα και όταν έχει επιτεθεί, ακόμα και όταν πληρώσετε, δεν υπάρχει καμία εγγύηση ότι είστε θα πάρετε πίσω όλα τα δεδομένα σας, μερικά από αυτά περιπλέκονται και από τα οπλικά εργαλεία του InfoSec. Έτσι, οι Shadow Brokers είναι μια ομάδα που διαρρέει εργαλεία που προέρχονται από την NSA. Αυτά ήταν εργαλεία που σχεδιάστηκαν από κυβερνητικές οντότητες για σκοπούς κατασκοπείας και λειτουργούσαν κατά των άλλων κυβερνητικών οντοτήτων. Ορισμένες από αυτές έχουν επιθέσεις με μηδενικές εμφανίσεις, οι οποίες βασικά καθιστούν τα γνωστά πρωτόκολλα ασφαλείας απλά να παραμείνουν στην άκρη. Επομένως, υπήρχε μια μεγάλη ευπάθεια στο πρωτόκολλο SMB, για παράδειγμα, σε ένα από τα πρόσφατα χωματερή Shadow Brokers.
Και έτσι αυτά τα εργαλεία που βγαίνουν εδώ μπορούν, μέσα σε λίγες ώρες, να αλλάξουν πραγματικά το παιχνίδι σε σας, σε σχέση με την επιφάνεια της επίθεσης σας. Έτσι, κάθε φορά που σκέφτομαι αυτό, είναι κάτι που σε οργανωτικό επίπεδο, η ασφάλεια του InfoSec είναι η δική του λειτουργία, πρέπει να ληφθεί σοβαρά υπόψη. Κάθε φορά που μιλάμε για βάσεις δεδομένων, μπορώ να το καταφέρω λίγο, δεν χρειάζεται απαραίτητα να έχετε ως διαχειριστής βάσης δεδομένων πλήρη κατανόηση του τι συμβαίνει με τους Shadow Brokers αυτή την εβδομάδα, αλλά πρέπει να γνωρίζετε ότι όλα από αυτά αλλάζουν, υπάρχουν πράγματα που συμβαίνουν και έτσι ο βαθμός στον οποίο κρατάτε τον τομέα σας σφιχτά και ασφαλή, είναι πραγματικά πολύ καλός για να σας βοηθήσει στην περίπτωση που κάποια πράγματα εξουδετερώνονται από κάτω σας.
Έτσι, ήθελα να πάρω μια στιγμή εδώ, προτού προχωρήσω να μιλάμε ειδικά για τον SQL Server, να έχουμε πραγματικά μια ανοιχτή συζήτηση με τους πάντες μας σχετικά με κάποιες από τις σκέψεις με την ασφάλεια της βάσης δεδομένων. Έτσι, έχω φτάσει σε αυτό το σημείο, μερικά από τα πράγματα που δεν αναφέραμε, ήθελα να μιλήσω για την ένεση SQL ως φορέα. Επομένως, πρόκειται για SQL injection, προφανώς είναι ο τρόπος με τον οποίο οι άνθρωποι εισάγουν εντολές σε ένα σύστημα βάσης δεδομένων, ανάλογα με τις παρατυπίες των εισροών.
Eric Kavanagh: Ναι, συνάντησα έναν άντρα - νομίζω ότι ήταν στη βάση Air Force του Andrews - πριν από περίπου πέντε χρόνια, ένας σύμβουλος που μιλούσα μαζί του στο διάδρομο και ήμασταν απλά να μοιραζόμαστε ιστορίες πολέμου - - και ανέφερε ότι είχε έρθει από κάποιον για να συμβουλευτεί ένα αρκετά υψηλόβαθμο μέλος του στρατού και ο τύπος τον ρώτησε, "Λοιπόν, πώς ξέρουμε ότι είσαι καλός σε αυτό που κάνεις;" και αυτό και αυτό . Και καθώς μιλούσε μαζί τους χρησιμοποίησε στον υπολογιστή του, έφτασε στο δίκτυο, χρησιμοποίησε SQL injection για να μπει στο μητρώο ηλεκτρονικού ταχυδρομείου για εκείνη την βάση και για αυτούς τους ανθρώπους. Και βρήκε το ηλεκτρονικό ταχυδρομείο του ατόμου με τον οποίο μιλούσε και του έδειξε απλώς το ηλεκτρονικό του ταχυδρομείο στη μηχανή του! Και ο τύπος ήταν όπως, "Πώς το κάνατε αυτό;" Είπε, "Λοιπόν, χρησιμοποίησα SQL ένεση."
Λοιπόν, αυτό ήταν μόνο πριν από πέντε χρόνια, και ήταν σε βάση Πολεμικής Αεροπορίας, σωστά; Έτσι, εννοώ, από πλευράς περιβάλλοντος, αυτό το πράγμα εξακολουθεί να είναι πολύ πραγματικό και θα μπορούσε να χρησιμοποιηθεί με πραγματικά τρομακτικά αποτελέσματα. Θέλω να πω, θα ήμουν περίεργος να γνωρίζω τις ιστορίες πολέμου που έχει ο Robin σχετικά με το θέμα, αλλά όλες αυτές οι τεχνικές είναι ακόμα έγκυρες. Εξακολουθούν να χρησιμοποιούνται σε πολλές περιπτώσεις και είναι θέμα εκπαίδευσης του εαυτού σας, σωστά;
Robin Bloor: Ναι. Ναι, είναι δυνατό να υπερασπιστούμε την ένεση SQL πραγματοποιώντας την εργασία. Είναι εύκολο να καταλάβετε γιατί όταν η ιδέα επινοήθηκε και πολλαπλασιάστηκε αρχικά, είναι εύκολο να καταλάβετε γιατί ήταν τόσο επιτυχημένη, γιατί θα μπορούσατε να το κολλήσετε σε ένα πεδίο εισόδου σε μια ιστοσελίδα και να το πάρετε για να σας επιστρέψει τα δεδομένα ή να πάρετε για να διαγράψετε δεδομένα στη βάση δεδομένων ή οτιδήποτε άλλο - θα μπορούσατε απλώς να εισάγετε SQL κώδικα για να το κάνετε αυτό. Αλλά είναι αυτό που με ενδιέφερε, είναι ότι γνωρίζετε, θα έπρεπε να κάνετε λίγη ανάλυση, για κάθε κομμάτι δεδομένων που εισήχθη, αλλά είναι πολύ πιθανό να εντοπίσουμε ότι κάποιος προσπαθεί να το κάνει αυτό. Και είναι πραγματικά, νομίζω ότι είναι πραγματικά, γιατί οι άνθρωποι εξακολουθούν να ξεφεύγουν από αυτό, εννοώ ότι είναι απλά περίεργο ότι δεν υπήρξε εύκολος τρόπος να καταπολεμηθεί αυτό. Ξέρετε, ότι όλοι θα μπορούσαν εύκολα να χρησιμοποιήσουν, εννοώ, όσο ξέρω, δεν έχει υπάρξει, Βίκυ, εκεί;
Vicky Harp: Λοιπόν, μερικές από τις λύσεις ομηρίας, όπως το SQL Azure, νομίζω ότι έχουν μερικές πολύ καλές μεθόδους ανίχνευσης που βασίζονται στη μηχανική μάθηση. Αυτό είναι πιθανώς αυτό που θα δούμε στο μέλλον, είναι κάτι που προσπαθεί να βρει το ένα μέγεθος που ταιριάζει σε όλους. Νομίζω ότι η απάντηση είναι ότι δεν υπάρχει ένα μέγεθος που να ταιριάζει σε όλους, αλλά έχουμε μηχανές που μπορούν να μάθουν ποιο είναι το μέγεθός σας και να σιγουρευτείτε ότι ταιριάζετε σε αυτό, σωστά; Και έτσι, αν έχετε ένα ψευδώς θετικό, είναι επειδή κάνετε πραγματικά κάτι ασυνήθιστο, δεν είναι επειδή έπρεπε να περάσετε και να εντοπίσετε επιμελώς όλα όσα θα μπορούσε να κάνει η αίτησή σας.
Νομίζω ότι ένας από τους λόγους για τους οποίους είναι ακόμα τόσο παραγωγικός είναι ότι οι άνθρωποι εξακολουθούν να βασίζονται σε εφαρμογές τρίτων κατασκευαστών και οι αιτήσεις από ISV και οι οποίες διαγράφονται με την πάροδο του χρόνου. Έτσι, μιλάτε για έναν οργανισμό ο οποίος έχει αγοράσει μια εφαρμογή μηχανικής που γράφτηκε το 2001. Και δεν το έχουν ενημερώσει, επειδή από τότε δεν υπήρξαν σημαντικές λειτουργικές αλλαγές και ο πρωτότυπος συγγραφέας ήταν κάτι τέτοιο, δεν ήταν μηχανικός, δεν ήταν εμπειρογνώμονας ασφάλειας βάσεων δεδομένων, δεν έκαναν πράγματα με τον σωστό τρόπο στην αίτηση και τελείωσαν ως φορέας. Η κατανόησή μου είναι ότι - νομίζω ότι ήταν η παραβίαση δεδομένων Target, η πραγματικά μεγάλη - ο φορέας της επίθεσης ήταν μέσω ενός από τους προμηθευτές κλιματισμού τους, σωστά; Έτσι, το πρόβλημα με αυτά τα τρίτα μέρη, μπορείτε, αν έχετε το δικό σας αναπτυξιακό κατάστημα, ίσως να έχετε κάποιους από αυτούς τους κανόνες στη θέση του, να το κάνετε γενικά κάθε φορά. Ως οργανισμός μπορεί να έχετε εκατοντάδες ή και χιλιάδες εφαρμογές σε λειτουργία, με όλα τα διαφορετικά προφίλ. Νομίζω ότι εκεί είναι όπου η μηχανική μάθηση πρόκειται να έρθει και να αρχίσει να μας βοηθάει πολύ.
Η ιστορία του πολέμου μου ήταν παιδαγωγική. Πήρα να δω μια επίθεση SQL injection και κάτι που δεν μου είχε συμβεί ποτέ είναι ότι χρησιμοποιούν απλά αναγνώσιμη SQL. Κάνω αυτά τα πράγματα που ονομάζονται παγιδευμένα P κάρτες διακοπών SQL; Μου αρέσει να κάνω, κάνετε αυτό το SQL εμφάνιση όσο πιο σύγχυση γίνεται. Υπάρχει συγκεχυμένος διαγωνισμός κώδικα C ++ που συμβαίνει εδώ και δεκαετίες, και είναι το ίδιο είδος ιδέας. Έτσι, αυτό που πήρατε ήταν η ένεση SQL που ήταν σε ένα ανοιχτό πεδίο χορδών, έκλεισε τη συμβολοσειρά, έβαλε το ερωτηματικό και στη συνέχεια έβαλε exec εντολή που είχε στη συνέχεια μια σειρά αριθμών και στη συνέχεια βασικά χρησιμοποιούσε εντολή χύτευσης για να μεταδώσουν αυτούς τους αριθμούς σε δυαδική μορφή και στη συνέχεια να μεταδώσουν αυτές, με τη σειρά τους, σε τιμές χαρακτήρων και στη συνέχεια να εκτελέσουν αυτό. Έτσι, δεν είναι σαν να έχετε να δείτε κάτι που είπε, "Διαγραφή εκκίνησης από το τραπέζι παραγωγής", ήταν πραγματικά γεμιστό σε αριθμητικά πεδία που καθιστούσε πολύ πιο δύσκολο να δει. Και ακόμα κι αν το είδατε, για να εντοπίσετε τι συνέβαινε, χρειάστηκαν κάποιες πραγματικές φωτογραφίες SQL, για να καταλάβετε τι συνέβαινε, οπότε βέβαια το έργο είχε ήδη γίνει.
Robin Bloor: Και ένα από τα πράγματα που είναι απλά ένα φαινόμενο σε ολόκληρο τον κόσμο hacking είναι ότι αν κάποιος βρει μια αδυναμία και συμβαίνει να είναι σε ένα κομμάτι του λογισμικού που έχει γενικά πωληθεί, ξέρετε, ένα από τα πρώτα προβλήματα είναι τον κωδικό πρόσβασης της βάσης δεδομένων που λάβατε όταν εγκαταστάθηκε μια βάση δεδομένων, πολλές βάσεις δεδομένων στην πραγματικότητα ήταν απλώς μια προεπιλογή. Και πολλά DBA απλά δεν το άλλαξαν ποτέ, και επομένως θα μπορούσατε να καταφέρετε να μπείτε στο δίκτυο στη συνέχεια. θα μπορούσατε να δοκιμάσετε τον κωδικό αυτό και αν αυτό λειτούργησε, κερδίσατε ακριβώς την κλήρωση. Και το ενδιαφέρον είναι ότι όλες αυτές οι πληροφορίες διανέμονται αποτελεσματικά και αποτελεσματικά ανάμεσα στις κοινότητες hacking σε δικτυακούς τόπους darknet. Και το ξέρουν. Έτσι, μπορούν να κάνουν ένα σκούπισμα όσων υπάρχουν εκεί έξω, να βρουν κάποιες περιπτώσεις και να πετάξουν αυτόματα κάποιες hacking εκμεταλλεύονται σε αυτό, και είναι μέσα. Και αυτό είναι, νομίζω, ότι πολλοί άνθρωποι που είναι τουλάχιστον σε την περιφέρεια όλων αυτών, δεν καταλαβαίνω πραγματικά πόσο γρήγορα το δίκτυο hacking ανταποκρίνεται στην ευπάθεια.
Vicky Harp: Ναι, αυτό στην πραγματικότητα φέρνει ένα άλλο πράγμα που ήθελα να αναφέρω προτού να προχωρήσω, η οποία είναι αυτή η έννοια της επίπληξης γέμιση, η οποία είναι κάτι που έχει βρεθεί πολύ, που είναι ότι μόλις τα διαπιστευτήρια σας έχουν κλαπεί για κάποιον οπουδήποτε, σε οποιονδήποτε ιστότοπο, αυτά τα διαπιστευτήρια πρόκειται να επιχειρηθούν για επαναχρησιμοποίηση σε όλους τους τομείς. Επομένως, εάν χρησιμοποιείτε διπλούς κωδικούς πρόσβασης, ας πούμε, αν οι χρήστες σας είναι, ακόμη και, ας το θέσουμε έτσι, κάποιος μπορεί να έχει πρόσβαση μέσω αυτού που φαίνεται να είναι ένα πλήρως έγκυρο σύνολο διαπιστευτηρίων. Λοιπόν, ας πούμε ότι έχω χρησιμοποιήσει τον ίδιο κωδικό μου στο Amazon και στην τράπεζά μου, αλλά και σε ένα φόρουμ και ότι το λογισμικό του φόρουμ έχει πειραχτεί, καλά, έχουν το όνομα χρήστη και τον κωδικό μου. Και μπορούν στη συνέχεια να χρησιμοποιούν το ίδιο όνομα χρήστη στο Amazon, ή να το χρησιμοποιούν στην τράπεζα. Και όσο αφορά την τράπεζα, ήταν μια εντελώς έγκυρη σύνδεση. Τώρα, μπορείτε να πάρετε άνανδρες ενέργειες μέσω της πλήρως εξουσιοδοτημένης πρόσβασης.
Έτσι, αυτό το είδος πηγαίνει πίσω σε αυτό που έλεγα για τις εσωτερικές παραβιάσεις και τις εσωτερικές συνήθειες. Εάν έχετε ανθρώπους στον οργανισμό σας που χρησιμοποιούν τον ίδιο κωδικό πρόσβασης για εσωτερική πρόσβαση που κάνουν για εξωτερική πρόσβαση, έχετε την πιθανότητα κάποιος να έρχεται και να σας παρασταθεί μέσω παραβίασης σε κάποιον άλλο ιστότοπο που έχετε Δεν το ξέρω. Και αυτά τα δεδομένα διαδίδονται πολύ γρήγορα. Υπάρχουν λίστες, νομίζω ότι το πιο πρόσφατο φορτίο για το "έχω βρεθεί" από την Τροία Χαντ, είπε ότι είχε μισό δισεκατομμύριο σύνολο διαπιστευτηρίων, δηλαδή - αν σκεφτείς τον αριθμό των ανθρώπων στον πλανήτη - αυτό είναι πραγματικά μεγάλο αριθμό διαπιστευτηρίων που έχουν τεθεί στη διάθεσή τους για την παραλαβή των πιστοποιητικών.
Έτσι, θα πάω λίγο βαθύτερα και θα μιλήσω για την ασφάλεια του SQL Server. Τώρα θέλω να πω ότι δεν πρόκειται να προσπαθήσω να σας δώσω όλα όσα πρέπει να ξέρετε για να εξασφαλίσετε τον SQL Server σας στα επόμενα 20 λεπτά. που φαίνεται λίγο ψηλή τάξη. Έτσι, για να ξεκινήσετε ακόμη, θέλω να πω ότι υπάρχουν online ομάδες και πόροι online που μπορείτε σίγουρα Google, υπάρχουν βιβλία, υπάρχουν έγγραφα βέλτιστης πρακτικής για τη Microsoft, υπάρχει ένα εικονικό κεφάλαιο ασφάλειας για τους επαγγελματίες συνεργάτες στο SQL Server, είναι στη διεύθυνση security.pass.org και έχουν, νομίζω, μηνιαίες εκπομπές webcast και εγγραφές webcasts σε είδος να ξεπεράσουν το πραγματικό, σε βάθος πώς να κάνετε την ασφάλεια του SQL Server. Αλλά αυτά είναι μερικά από τα πράγματα που με, μιλώντας σε σας ως επαγγελματίες δεδομένων, ως επαγγελματίες πληροφορικής, όπως DBAs, θέλω να ξέρετε ότι πρέπει να ξέρετε για την ασφάλεια του SQL Server.
Έτσι, η πρώτη είναι η φυσική ασφάλεια. Έτσι, όπως είπα και νωρίτερα, η κλοπή φυσικών μέσων εξακολουθεί να είναι εξαιρετικά κοινή. Και έτσι το σενάριο που έδωσα με το μηχάνημα dev, με ένα αντίγραφο της βάσης δεδομένων σας στη μηχανή dev που παίρνει κλαπεί - αυτό είναι ένα πολύ κοινό σύμβολο, αυτό είναι ένας φορέας που πρέπει να γνωρίζετε και να προσπαθείτε να κάνετε ενέργειες ενάντια. Είναι επίσης αλήθεια για την ασφάλεια αντιγράφων ασφαλείας, οπότε κάθε φορά που δημιουργείτε αντίγραφα ασφαλείας των δεδομένων σας, πρέπει να δημιουργείτε αντίγραφα ασφαλείας κρυπτογραφημένα, πρέπει να δημιουργείτε αντίγραφα ασφαλείας σε ασφαλή τοποθεσία. Πολλές φορές τα δεδομένα αυτά που προστατεύονταν πραγματικά στη βάση δεδομένων, μόλις ξεκινήσει να βγαίνει σε περιφέρειες, σε μηχανές Dev, σε μηχανές δοκιμής, έχουμε λίγο λιγότερη προσοχή στο patching, παίρνουμε λίγο λιγότερο προσεκτικοί για τους ανθρώπους που έχουν πρόσβαση σε αυτό. Το επόμενο πράγμα που γνωρίζετε, έχετε κρυπτογραφημένα αντίγραφα ασφαλείας των βάσεων δεδομένων που είναι αποθηκευμένα σε κοινόχρηστο κοινό στον οργανισμό σας και είναι διαθέσιμα για εκμετάλλευση από πολλούς διαφορετικούς ανθρώπους. Έτσι, σκεφτείτε τη φυσική ασφάλεια και εξίσου απλό, μπορεί κάποιος να περπατήσει επάνω και απλά να βάλει ένα κλειδί USB στο διακομιστή σας; Δεν πρέπει να το επιτρέπετε αυτό.
Το επόμενο στοιχείο που θέλω να σκεφτείτε είναι η ασφάλεια πλατφόρμας, τόσο ενημερωμένο λειτουργικό σύστημα, ενημερωμένες ενημερωμένες εκδόσεις κώδικα. Είναι πολύ κουραστικό να ακούμε άτομα που μιλάνε για να παραμείνουν σε παλαιότερες εκδόσεις των Windows, παλαιότερες εκδόσεις του SQL Server, θεωρώντας ότι το μόνο κόστος στο παιχνίδι είναι το κόστος της αναβάθμισης των αδειών, κάτι που δεν συμβαίνει. Είμαστε με ασφάλεια, είναι ένα ρεύμα που συνεχίζει να πηγαίνει κάτω από το λόφο και όσο περνάει ο καιρός, υπάρχουν περισσότερες εκμεταλλεύσεις. Η Microsoft σε αυτή την περίπτωση και άλλες ομάδες, ανάλογα με την περίπτωση, θα αναβαθμίσουν τα παλαιότερα συστήματα σε ένα σημείο και τελικά θα πέσουν από την υποστήριξη και δεν θα τα ενημερώσουν πια, γιατί είναι απλώς μια ατελείωτη διαδικασία συντήρηση.
Έτσι, πρέπει να βρίσκεστε σε ένα υποστηριζόμενο λειτουργικό σύστημα και πρέπει να είστε ενημερωμένοι για τις ενημερώσεις σας και έχουμε βρεθεί πρόσφατα όπως με τους Shadow Brokers, σε ορισμένες περιπτώσεις η Microsoft μπορεί να έχει γνώση για τις επερχόμενες σημαντικές παραβιάσεις ασφαλείας πριν από αυτές να δημοσιοποιηθεί, πριν από την αποκάλυψη, οπότε μην αφήνετε τον εαυτό σας να σπάσει όλα εκτός τάξης. Θα προτιμούσα να μην πάρει το χρόνο διακοπής, θα ήθελα να περιμένω και να διαβάσετε καθένα από αυτά και να αποφασίσει. Μπορεί να μην γνωρίζετε ποια είναι η αξία της μέχρι να περάσουν μερικές εβδομάδες στη γραμμή, αφού μάθετε γιατί συνέβη αυτό το patch. Συνεχίστε λοιπόν.
Πρέπει να έχετε ρυθμίσει το τείχος προστασίας σας. Ήταν συγκλονιστικό στην παραβίαση του SNB πόσοι άνθρωποι χρησιμοποιούσαν παλαιότερες εκδόσεις του SQL Server με το τείχος προστασίας πλήρως ανοιχτό στο διαδίκτυο, οπότε όλοι θα μπορούσαν να μπουν και να κάνουν ό, τι ήθελαν με τους διακομιστές τους. Θα πρέπει να χρησιμοποιείτε ένα τείχος προστασίας. Το γεγονός ότι περιστασιακά πρέπει να διαμορφώσετε τους κανόνες ή να κάνετε συγκεκριμένες εξαιρέσεις για τον τρόπο που κάνετε την επιχείρησή σας είναι μια τιμή ΟΚ για πληρωμή. Πρέπει να ελέγξετε την επιφάνεια στα συστήματα βάσης δεδομένων σας - συγχρηματοδοτούμε υπηρεσίες ή διακομιστές ιστού όπως το IIS στο ίδιο μηχάνημα; Μοιράζοντας τον ίδιο χώρο στο δίσκο, μοιράζοντας τον ίδιο χώρο μνήμης με τις βάσεις δεδομένων και τα προσωπικά σας δεδομένα; Προσπαθήστε να μην κάνετε κάτι τέτοιο, προσπαθήστε να το απομονώσετε, να κρατήσετε μικρότερη την επιφάνεια, ώστε να μην χρειάζεται να ανησυχείτε τόσο πολύ για να βεβαιωθείτε ότι όλα αυτά είναι ασφαλή στην κορυφή της βάσης δεδομένων. Μπορείτε να διαχωρίσετε φυσικά αυτά, την πλατφόρμα, να τα ξεχωρίσετε, να δώσετε στον εαυτό σας λίγο αναπνευστικό χώρο.
Δεν πρέπει να έχετε σούπερ admins που τρέχουν παντού και μπορούν να έχουν πρόσβαση σε όλα σας τα δεδομένα. Οι λογαριασμοί διαχειριστή λειτουργικού συστήματος δεν χρειάζεται απαραίτητα να έχουν πρόσβαση στη βάση δεδομένων σας ή στα υποκείμενα δεδομένα στη βάση δεδομένων μέσω κρυπτογράφησης, για τα οποία θα μιλήσουμε για λίγο. Και η πρόσβαση στα αρχεία βάσης δεδομένων, πρέπει να περιορίσετε και αυτό. Είναι κάπως ανόητο αν ήσασταν να πείτε, καλά, κάποιος δεν μπορεί να έχει πρόσβαση σε αυτές τις βάσεις δεδομένων μέσω της βάσης δεδομένων. Ο ίδιος ο SQL Server δεν θα τους επιτρέψει να έχουν πρόσβαση σε αυτά, αλλά αν μπορούν να πάνε γύρω, πάρτε ένα αντίγραφο του πραγματικού αρχείου MDF, μετακινήστε το απλά, επισυνάψτε το στον δικό του SQL Server, δεν έχετε καταφέρει πολύ πολύ.
Κρυπτογράφηση, έτσι κρυπτογράφηση είναι αυτό το περίφημο ξίφος αμφίδρομο. Υπάρχουν πολλά διαφορετικά επίπεδα κρυπτογράφησης που μπορείτε να κάνετε σε επίπεδο OS και ο σύγχρονος τρόπος για να κάνετε τα πράγματα για SQL και Windows είναι με το BitLocker και σε επίπεδο βάσης δεδομένων ονομάζεται TDE ή διαφανής κρυπτογράφηση δεδομένων. Έτσι, αυτοί είναι και οι δύο τρόποι για να διατηρήσετε τα δεδομένα σας κρυπτογραφημένα σε ηρεμία. Εάν θέλετε να κρατήσετε τα δεδομένα σας κρυπτογραφημένα πιο ολοκληρωμένα, μπορείτε να κάνετε κρυπτογράφηση - λυπάμαι, έχω πάει μπροστά. Μπορείτε να κάνετε κρυπτογραφημένες συνδέσεις έτσι ώστε κάθε φορά που βρίσκεται σε διαμετακόμιση, εξακολουθεί να είναι κρυπτογραφημένη, έτσι ώστε αν κάποιος ακούει ή έχει έναν άνθρωπο στη μέση μιας επίθεσης, έχετε κάποια προστασία αυτών των δεδομένων μέσω του καλωδίου. Τα αντίγραφα ασφαλείας πρέπει να είναι κρυπτογραφημένα, όπως είπα, να είναι προσβάσιμα σε άλλους και στη συνέχεια, αν θέλετε να κρυπτογραφηθεί στη μνήμη και κατά τη χρήση, έχουμε κρυπτογράφηση στη στήλη και στη συνέχεια, το SQL 2016 έχει αυτή την έννοια "πάντα κρυπτογραφημένο "όπου είναι στην πραγματικότητα κρυπτογραφημένο στο δίσκο, στη μνήμη, στο καλώδιο, μέχρι την εφαρμογή που πραγματικά χρησιμοποιεί τα δεδομένα.
Τώρα, όλη αυτή η κρυπτογράφηση δεν είναι ελεύθερη: Υπάρχει εναέρια CPU, μερικές φορές υπάρχει η κρυπτογράφηση της στήλης και η πάντα κρυπτογραφημένη περίπτωση, υπάρχουν επιπτώσεις στην απόδοση από την άποψη της ικανότητάς σας να αναζητάτε αυτά τα δεδομένα. Ωστόσο, αυτή η κρυπτογράφηση, αν είναι σωστά μαζί, τότε σημαίνει ότι αν κάποιος έπρεπε να έχει πρόσβαση στα δεδομένα σας, η ζημιά μειώνεται σημαντικά, επειδή ήταν σε θέση να το πάρει και τότε δεν είναι σε θέση να κάνει τίποτα μαζί του. Ωστόσο, αυτός είναι και ο τρόπος με τον οποίο λειτουργεί το ransomware, είναι ότι κάποιος μπαίνει και μετατρέπει αυτά τα στοιχεία, με δικό του πιστοποιητικό ή δικό του κωδικό πρόσβασης και δεν έχετε πρόσβαση σε αυτό. Έτσι, γι 'αυτό είναι σημαντικό να βεβαιωθείτε ότι το κάνετε αυτό και έχετε πρόσβαση σε αυτό, αλλά δεν το δίνετε, ανοιχτό για τους άλλους και τους επιτιθέμενους να το κάνουν.
Και στη συνέχεια, οι αρχές ασφαλείας - δεν πρόκειται να συνειδητοποιήσω αυτό το σημείο, αλλά βεβαιωθείτε ότι δεν έχετε κάθε χρήστη που τρέχει στο SQL Server ως super admin. Οι προγραμματιστές σας μπορεί να το θέλουν, διαφορετικοί χρήστες μπορεί να το θέλουν - είναι απογοητευμένοι από την ανάγκη να ζητήσουν πρόσβαση για μεμονωμένα αντικείμενα - αλλά πρέπει να είστε επιμελής γι 'αυτό και παρόλο που μπορεί να είναι πιο περίπλοκο, να έχετε πρόσβαση στα αντικείμενα και τις βάσεις δεδομένων και τα σχήματα που ισχύουν για τις συνεχιζόμενες εργασίες και υπάρχει μια ειδική περίπτωση, ίσως αυτό να σημαίνει μια ειδική σύνδεση, αυτό δεν σημαίνει κατ 'ανάγκη αύξηση των δικαιωμάτων, για τον μέσο χρήστη του περιστατικού.
Και έπειτα, υπάρχουν συμπεράσματα σχετικά με την κανονιστική συμμόρφωση, τα οποία εντάσσονται σε αυτό και μερικές περιπτώσεις μπορεί να ξεφύγουν με τον τρόπο τους - έτσι υπάρχουν HIPAA, SOX, PCI - υπάρχουν όλες αυτές οι διαφορετικές εκτιμήσεις. Και όταν πραγματοποιείτε έναν έλεγχο, θα πρέπει να δείξετε ότι λαμβάνετε μέτρα για να παραμείνετε σε συμφωνία με αυτό. Και έτσι, αυτό είναι πολύ για να παρακολουθείτε, θα έλεγα ως μια λίστα DBA to-do, προσπαθείτε να διασφαλίσετε τη διαμόρφωση φυσικής κρυπτογράφησης ασφάλειας, προσπαθείτε να βεβαιωθείτε ότι η πρόσβαση στα δεδομένα αυτά είναι υπό έλεγχο για τους σκοπούς της συμμόρφωσής σας, διασφαλίζοντας ότι οι ευαίσθητες στήλες σας, που γνωρίζετε τι είναι, πού είναι, ποιες από αυτές πρέπει να κρυπτογραφείτε και να παρακολουθείτε την πρόσβαση. Και βεβαιωθείτε ότι οι ρυθμίσεις είναι ευθυγραμμισμένες με τις κανονιστικές οδηγίες που υποβάλλονται. Και πρέπει να κρατάτε όλα αυτά ενημερωμένα, καθώς τα πράγματα αλλάζουν.
Λοιπόν, είναι πολλά να κάνουμε και έτσι, αν το αφήσω μόνο εκεί, θα έλεγα να το κάνεις αυτό. Αλλά υπάρχουν πολλά διαφορετικά εργαλεία γι 'αυτό και, αν μου επιτρέπετε τα τελευταία λεπτά, ήθελα να σας παρουσιάσω μερικά από τα εργαλεία που διαθέτουμε στο IDERA για αυτό. Και οι δύο που ήθελα να μιλήσω σήμερα είναι SQL Secure και SQL Compliance Manager. Το SQL Secure είναι το εργαλείο που μας βοηθά να εντοπίσουμε το είδος των τρωτών σημείων διαμόρφωσης. Οι πολιτικές ασφαλείας, τα δικαιώματα των χρηστών σας, οι διαμορφώσεις επιφάνειας. Και έχει πρότυπα για να σας βοηθήσει να συμμορφώνεστε με διαφορετικά ρυθμιστικά πλαίσια. Αυτό από μόνη της, αυτή η τελευταία γραμμή, μπορεί να είναι ο λόγος για τον οποίο οι άνθρωποι θα το εξετάσουν. Επειδή διαβάζοντας μέσα από αυτούς τους διαφορετικούς κανονισμούς και προσδιορίζοντας τι σημαίνουν αυτά, την PCI και στη συνέχεια παίρνοντας ότι σε όλη τη διαδρομή προς τον SQL Server μου στο κατάστημά μου, αυτό είναι πολλή δουλειά. Αυτό είναι κάτι που θα μπορούσατε να πληρώσετε πολλά συμβουλευτικά χρήματα για να κάνετε? έχουμε προχωρήσει και κάνουμε αυτή τη διαβούλευση, έχουμε συνεργαστεί με τις διάφορες ελεγκτικές εταιρείες κ.λπ., για να καταλήξουμε σε αυτά που είναι αυτά τα πρότυπα - κάτι που είναι πιθανό να περάσει έναν έλεγχο αν αυτά υπάρχουν. Και τότε μπορείτε να χρησιμοποιήσετε αυτά τα πρότυπα και να τα δείτε, στο περιβάλλον σας.
Έχουμε επίσης ένα άλλο, είδος αδελφή εργαλείο με τη μορφή SQL Compliance Manager, και αυτό είναι όπου SQL Secure είναι σχετικά με τις ρυθμίσεις διαμόρφωσης. Ο SQL Compliance Manager πρόκειται να δει τι έγινε από ποιον, πότε. Έτσι, είναι έλεγχος, έτσι σας επιτρέπει να παρακολουθείτε τη δραστηριότητα όπως συμβαίνει και σας επιτρέπει να εντοπίζετε και να παρακολουθείτε ποιος έχει πρόσβαση σε πράγματα. Ήταν κάποιος, το πρωτότυπο παράδειγμα ήταν ένας διασημότητα που ελέγχθηκε στο νοσοκομείο σου, κάποιος πήγαινε και έψαχνε τις πληροφορίες τους, απλά από περιέργεια; Έχουν κάποιο λόγο να το κάνουν; Μπορείτε να ρίξετε μια ματιά στο ιστορικό του ελέγχου και να δείτε τι συνέβαινε, ποιος είχε πρόσβαση στα αρχεία αυτά. Και μπορείτε να αναγνωρίσετε ότι αυτό έχει εργαλεία που θα σας βοηθήσουν να εντοπίσετε ευαίσθητες στήλες, οπότε δεν χρειάζεται αναγκαστικά να διαβάσετε και να το κάνετε μόνοι σας.
Έτσι, αν μου επιτρέπετε, θα προχωρήσω και θα σας δείξω μερικά από αυτά τα εργαλεία εδώ σε αυτά τα τελευταία λεπτά - και παρακαλώ να μην το θεωρήσετε ως ένα σε βάθος demo. Είμαι υπεύθυνος προϊόντων, όχι μηχανικός πωλήσεων, γι 'αυτό θα σας παρουσιάσω ορισμένα από τα πράγματα που νομίζω ότι σχετίζονται με αυτή τη συζήτηση. Έτσι, αυτό είναι το προϊόν μας SQL Secure. Και όπως μπορείτε να δείτε εδώ, έχω ένα είδος αυτής της κάρτας αναφοράς υψηλού επιπέδου. Έτρεξα αυτό, νομίζω, χθες. Και μου δείχνει μερικά από τα πράγματα που δεν έχουν ρυθμιστεί σωστά και μερικά από τα πράγματα που έχουν ρυθμιστεί σωστά. Έτσι, μπορείτε να δείτε ότι υπάρχουν αρκετοί πάνω από 100 διαφορετικοί έλεγχοι που έχουμε κάνει εδώ. Και μπορώ να δω ότι η εφεδρική κρυπτογράφηση μου στα αντίγραφα ασφαλείας που έκανα, δεν έχω χρησιμοποιήσει εφεδρική κρυπτογράφηση. Ο λογαριασμός μου SA, που ονομάζεται ρητά "λογαριασμός SA", δεν απενεργοποιείται ή μετονομάζεται. Ο ρόλος του δημόσιου διακομιστή έχει άδεια, έτσι είναι όλα αυτά που θα ήθελα να κοιτάξω να αλλάξω.
Έχω την πολιτική που έχει ρυθμιστεί εδώ, οπότε αν ήθελα να δημιουργήσω μια νέα πολιτική, να εφαρμόσω στους διακομιστές μου, έχουμε όλες αυτές τις ενσωματωμένες πολιτικές. Έτσι, θα χρησιμοποιήσω ένα υπάρχον πρότυπο πολιτικής και μπορείτε να δείτε ότι έχω CIS, HIPAA, PCI, SR και συνεχίζω και στην πραγματικότητα είμαστε στη διαδικασία της συνεχούς προσθήκης πρόσθετων πολιτικών, με βάση τα πράγματα που χρειάζονται οι άνθρωποι στον τομέα . Και μπορείτε επίσης να δημιουργήσετε μια νέα πολιτική, οπότε αν γνωρίζετε τι ψάχνει ο ελεγκτής σας, μπορείτε να τον δημιουργήσετε μόνοι σας. Και τότε, όταν το κάνετε αυτό, μπορείτε να επιλέξετε ανάμεσα σε όλες αυτές τις διαφορετικές ρυθμίσεις, κάτι που πρέπει να έχετε θέσει, σε μερικές περιπτώσεις, έχετε μερικά - αφήστε μου να επιστρέψω και να βρω ένα από τα προ-χτισμένα. Αυτό είναι βολικό, μπορώ να επιλέξω, ας πούμε, HIPAA - Έχω ήδη πάρει HIPAA, κακό μου - PCI, και στη συνέχεια, καθώς κάνω κλικ εδώ, μπορώ πραγματικά να δω την εξωτερική παραπομπή στο τμήμα της που σχετίζεται με αυτό. Αυτό θα σας βοηθήσει αργότερα, όταν προσπαθείτε να καταλάβετε γιατί θέτω αυτό; Γιατί προσπαθώ να το δω αυτό; Σε ποιο τμήμα σχετίζεται αυτό;
Αυτό έχει επίσης ένα ωραίο εργαλείο στο ότι σας επιτρέπει να εισέρχεστε και να περιηγείστε στους χρήστες σας, έτσι ένα από τα δύσκολα πράγματα για την εξερεύνηση των ρόλων των χρηστών σας, είναι ότι, στην πραγματικότητα, θα ρίξω μια ματιά εδώ. Έτσι, αν μου επιδείξει δικαιώματα, ας δούμε, ας επιλέξουμε έναν χρήστη εδώ. Εμφάνιση αδειών. Μπορώ να δω τα εκχωρηθέντα δικαιώματα για αυτόν τον εξυπηρετητή, αλλά έπειτα μπορώ να κάνω κλικ εδώ και να υπολογίσω τα αποτελεσματικά δικαιώματα και θα μου δώσει την πλήρη λίστα με βάση, έτσι σε αυτή την περίπτωση αυτό είναι admin, έτσι δεν είναι τόσο συναρπαστικό, αλλά Θα μπορούσα να περάσω και να διαλέξω τους διαφορετικούς χρήστες και να δούμε ποιες είναι οι πραγματικές άδειες τους, με βάση όλες τις διαφορετικές ομάδες στις οποίες μπορεί να ανήκουν. Εάν προσπαθήσετε ποτέ να το κάνετε μόνοι σας, μπορεί να είναι πραγματικά μια ταλαιπωρία, για να καταλάβετε, ΟΚ αυτός ο χρήστης είναι μέλος αυτών των ομάδων και ως εκ τούτου έχει πρόσβαση σε αυτά τα πράγματα μέσω ομάδων κ.λπ.
Ο τρόπος με τον οποίο λειτουργεί αυτό το προϊόν παίρνει στιγμιότυπα, επομένως δεν είναι πραγματικά μια πολύ δύσκολη διαδικασία λήψης στιγμιότυπου του διακομιστή σε τακτική βάση και στη συνέχεια κρατά αυτά τα στιγμιότυπα με την πάροδο του χρόνου, ώστε να μπορείτε να τα συγκρίνετε για αλλαγές. Επομένως, αυτό δεν είναι μια συνεχής παρακολούθηση με την παραδοσιακή έννοια ενός εργαλείου παρακολούθησης της απόδοσης. αυτό είναι κάτι που ίσως έχετε ρυθμίσει για να τρέχετε μία φορά τη νύχτα, μία φορά την εβδομάδα - όσο συχνά νομίζετε ότι είναι έγκυρη - έτσι ώστε, κάθε φορά που κάνετε την ανάλυση και κάνετε λίγο περισσότερο, είστε στην πραγματικότητα απλά δουλεύοντας μέσα στο εργαλείο μας. Δεν συνδέεστε τόσο πολύ με το διακομιστή σας, γι 'αυτό είναι ένα πολύ ωραίο εργαλείο για να δουλέψετε, για να συμμορφώνεστε με αυτά τα είδη στατικών ρυθμίσεων.
Το άλλο εργαλείο που θέλω να σας δείξω είναι το εργαλείο μας Compliance Manager. Ο Διαχειριστής συμμόρφωσης πρόκειται να παρακολουθεί με πιο συνεχή τρόπο. Και θα δούμε ποιος κάνει τι στον server σας και σας επιτρέπει να το δείτε. Λοιπόν, αυτό που έκανα εδώ, τις τελευταίες ώρες περίπου, προσπάθησα πραγματικά να δημιουργήσω μερικά μικρά προβλήματα. Έτσι, εδώ έχω αν είναι ένα πρόβλημα ή όχι, ίσως να το ξέρω, κάποιος έχει δημιουργήσει πραγματικά ένα login και το έχει προσθέσει σε ένα ρόλο διακομιστή. Έτσι, αν πάω και ρίχνω μια ματιά σε αυτό, μπορώ να δω - υποθέτω ότι δεν μπορώ να κάνω δεξί κλικ εκεί, μπορώ να δω τι συμβαίνει. Έτσι, αυτό είναι το ταμπλό μου και μπορώ να δω ότι είχα αρκετές αποτυχημένες συνδέσεις λίγο νωρίτερα σήμερα. Είχα μια δέσμη δραστηριότητας ασφαλείας, δραστηριότητα DBL.
Έτσι, επιτρέψτε μου να πάω στα ελεγκτικά μου γεγονότα και να ρίξω μια ματιά. Εδώ έχω ομαδοποιήσει τα συμβάντα ελέγχου μου ανά αντικείμενο κατηγορίας και στόχου, οπότε αν κοιτάξω την ασφάλεια από την προηγούμενη, μπορώ να δω DemoNewUser, δημιουργήθηκε αυτός ο σύνδεσμος δημιουργίας διακομιστή. Και μπορώ να δω ότι η login SA δημιούργησε αυτόν τον λογαριασμό DemoNewUser, εδώ, στις 2:42 μ.μ. Και τότε, βλέπω ότι με τη σειρά του, προσθέστε login στο διακομιστή, αυτό το DemoNewUser προστέθηκε στην ομάδα admin server, προστέθηκαν στο ομάδα διαχειριστών ρύθμισης, προστέθηκαν στην ομάδα sysadmin. Έτσι, αυτό είναι κάτι που θα ήθελα να ξέρω είχε συμβεί. Το έχω επίσης ρυθμιστεί έτσι ώστε να παρακολουθούνται οι ευαίσθητες στήλες στα τραπέζια μου, ώστε να μπορώ να δω ποιος την έχει πρόσβαση.
Έτσι, εδώ έχω δύο επιλεγμένα που έχουν συμβεί στο τραπέζι μου, από την Adventure Works. Και μπορώ να ρίξω μια ματιά και να δω ότι ο χρήστης SA στο τραπέζι Adventure Works έκανε ένα επιλεγμένο κορυφαίο δέκα αστέρι από πρόσωπο dot πρόσωπο. Επομένως, ίσως στην οργάνωσή μου δεν θέλω οι άνθρωποι να επιλέξουν αστέρια από άτομο dot πρόσωπο, ή περιμένω μόνο ορισμένους χρήστες να το πράξουν, κι έτσι θα το δούμε εδώ. Έτσι, αυτό που χρειάζεστε όσον αφορά τον έλεγχο σας, μπορούμε να το ορίσουμε με βάση το πλαίσιο και αυτό είναι λίγο περισσότερο ένα εντατικό εργαλείο. Χρησιμοποιεί τα SQL Trace, ή τα συμβάντα SQLX, ανάλογα με την έκδοση. Και είναι κάτι που θα πρέπει να έχετε κάποιους χώρους στο διακομιστή σας για να φιλοξενήσετε, αλλά είναι ένα από αυτά τα πράγματα, όπως η ασφάλιση, η οποία είναι ωραία αν δεν έπρεπε να έχουμε ασφάλεια αυτοκινήτου - θα ήταν το κόστος που δεν θα έπρεπε να πάρουμε - αλλά αν έχετε ένα διακομιστή όπου πρέπει να παρακολουθείτε ποιος κάνει τι, ίσως χρειαστεί να έχετε λίγο επιπλέον χώρο για το κεφάλι και ένα εργαλείο όπως αυτό για να το κάνετε αυτό. Είτε χρησιμοποιείτε το εργαλείο μας είτε το κάνετε μόνοι σας, θα είστε τελικά υπεύθυνοι για την κατοχή αυτών των πληροφοριών για σκοπούς συμμόρφωσης με τους κανονισμούς.
Έτσι, όπως είπα, όχι ένα σε βάθος demo, απλά μια σύντομη, μικρή περίληψη. Ήθελα επίσης να σας δείξω ένα γρήγορο, μικρό δωρεάν εργαλείο με τη μορφή αυτής της Αναζήτησης στήλης SQL, η οποία είναι κάτι που μπορείτε να χρησιμοποιήσετε για να εντοπίσετε ποιες στήλες στο περιβάλλον σας φαίνεται να είναι ευαίσθητες πληροφορίες. Έτσι, έχουμε μια σειρά ρυθμίσεων αναζήτησης όπου ψάχνει για τα διαφορετικά ονόματα των στηλών που περιέχουν συνήθως ευαίσθητα δεδομένα και έπειτα έχω ολόκληρη τη λίστα αυτών που έχουν εντοπιστεί. Έχω 120 από αυτούς και στη συνέχεια τους εξήγαγα εδώ, έτσι ώστε να μπορέσω να τους χρησιμοποιήσω για να πω, ας πάμε να δούμε και να σιγουρευτούμε ότι παρακολουθώ την πρόσβαση στο μεσαίο όνομα, ένα πρόσωπο πρόσωπο άτομο ή φόρος επί των πωλήσεων ποσοστό, κ.λπ.
Ξέρω ότι φτάσαμε στο τέλος της εποχής μας εδώ. Και αυτό είναι ό, τι έπρεπε πραγματικά να σας δείξω, έτσι ώστε να έχετε οποιαδήποτε ερώτηση για μένα;
Eric Kavanagh: Έχω μερικές καλές για εσάς. Επιτρέψτε μου να μετακινηθώ εδώ επάνω. Ένας από τους συμμετέχοντες ρωτούσε μια πολύ καλή ερώτηση. Ένα από τα οποία ρωτά για τον φόρο επίδοσης, οπότε ξέρω ότι ποικίλλει από λύση σε λύση, αλλά έχετε γενική ιδέα για το τι είναι ο φόρος επίδοσης για τη χρήση εργαλείων ασφαλείας IDERA;
Vicky Harp: Έτσι, στο SQL Secure, όπως είπα, είναι πολύ χαμηλό, πρόκειται απλώς να πάρει κάποια περιστασιακά στιγμιότυπα. Και ακόμα κι αν τρέχετε πολύ συχνά, παίρνετε στατικές πληροφορίες σχετικά με τις ρυθμίσεις και γι 'αυτό είναι πολύ χαμηλό, σχεδόν αμελητέο. Όσον αφορά το Compliance Manager, είναι-
Eric Kavanagh: Όπως το ένα τοις εκατό;
Vicky Harp: Εάν έπρεπε να δώσω ένα ποσοστό επί τοις εκατό, ναι, θα ήταν ένα τοις εκατό ή χαμηλότερο. Είναι βασικές πληροφορίες σχετικά με τη σειρά χρήσης του SSMS και την είσοδο στην καρτέλα ασφαλείας και την επέκταση των πραγμάτων. Από την πλευρά της συμμόρφωσης, είναι πολύ υψηλότερο - γι 'αυτό είπα ότι χρειάζεται λίγο χώρο - είναι κάτι σαν να είναι πολύ πιο πέρα από αυτό που έχετε όσον αφορά την παρακολούθηση της απόδοσης. Τώρα, δεν θέλω να τρομάζω τους ανθρώπους μακριά από αυτό, το κόλπο με την παρακολούθηση της Συμμόρφωσης και εάν ο έλεγχος είναι να βεβαιωθείτε ότι ελέγχετε μόνο τι πρόκειται να αναλάβετε δράση. Έτσι, αφού φιλτράρετε για να πείτε: "Γεια σου, θέλω να μάθω πότε οι άνθρωποι έχουν πρόσβαση σε αυτά τα συγκεκριμένα τραπέζια και θέλω να ξέρω όποτε οι άνθρωποι έχουν πρόσβαση, να κάνουν αυτές τις συγκεκριμένες ενέργειες", τότε θα βασίζεται στο πόσο συχνά είναι αυτά τα πράγματα συμβάν και πόσα δεδομένα δημιουργείτε. Αν λέτε, "Θέλω το πλήρες κείμενο SQL κάθε επιλογής που θα συμβεί σε οποιονδήποτε από αυτούς τους πίνακες", αυτό ακριβώς πρόκειται να είναι πιθανώς gigabytes και gigabytes δεδομένων που πρέπει να αναλυθούν από το SQL Server που αποθηκεύτηκε μετακινήθηκε στο προϊόν μας, και τα λοιπά.
Εάν το κρατήσετε κάτω από το α-πρόκειται επίσης να είναι περισσότερες πληροφορίες από ό, τι θα μπορούσατε πιθανώς να ασχοληθείτε. Αν μπορούσατε να πάρετε ένα μικρότερο σετ, έτσι ώστε να παίρνετε μερικές εκατοντάδες εκδηλώσεις ανά ημέρα, τότε αυτό είναι προφανώς πολύ χαμηλότερο. Έτσι, πραγματικά, με κάποιο τρόπο, ο ουρανός είναι το όριο. Αν ενεργοποιήσετε όλες τις ρυθμίσεις σε όλους τους ελέγχους για όλα, τότε ναι, πρόκειται να είναι ένα 50 τοις εκατό επιτυχία χτύπημα. Αλλά εάν πρόκειται να το μετατρέψετε σε ένα είδος πιο μέτριο, θεωρείται επίπεδο, θα μπορούσα ίσως το μάτι 10 τοις εκατό; Είναι πραγματικά, είναι ένα από αυτά τα πράγματα ότι θα εξαρτηθεί πολύ από το φόρτο εργασίας σας.
Eric Kavanagh: Ναι, σωστά. Υπάρχει μια άλλη ερώτηση σχετικά με το υλικό. Και στη συνέχεια, υπάρχουν προμηθευτές υλικού που μπαίνουν στο παιχνίδι και πραγματικά συνεργάζονται με προμηθευτές λογισμικού και απάντησα μέσω του παραθύρου Ε & Α. Γνωρίζω μια συγκεκριμένη περίπτωση του Cloudera που συνεργάστηκε με την Intel, όπου η Intel έκανε την τεράστια επένδυση σε αυτές και μέρος του λογισμικού ήταν ότι η Cloudera θα αποκτούσε πρόωρη πρόσβαση στο σχεδιασμό των τσιπ και έτσι θα μπορούσε να ψήσει την ασφάλεια στο επίπεδο τσιπ του αρχιτεκτονική, η οποία είναι αρκετά εντυπωσιακή. Ωστόσο, είναι κάτι που πρόκειται να βγει εκεί και μπορεί να αξιοποιηθεί και από τις δύο πλευρές. Γνωρίζετε τις τάσεις ή τις τάσεις των προμηθευτών υλικού να συνεργαστούν με τους πωλητές λογισμικού στο πρωτόκολλο ασφαλείας;
Vicky Harp: Ναι, στην πραγματικότητα, πιστεύω ότι η Microsoft έχει συνεργαστεί για να έχει μερικούς από τους χώρους μνήμης για κάποιες από τις εργασίες κρυπτογράφησης πράγματι συμβαίνει σε χωριστές μάρκες σε μητρικές κάρτες που είναι ξεχωριστές από την κύρια μνήμη σας, από αυτά τα πράγματα χωρίζονται φυσικά. Και πιστεύω ότι αυτό ήταν πράγματι κάτι που ήρθε από τη Microsoft για να βγούμε στους πωλητές για να πούμε: "Μπορούμε να βρούμε έναν τρόπο να το κάνουμε αυτό, βασικά είναι μια αναντικατάστατη μνήμη, δεν μπορώ μέσω μιας υπερχείλισης buffer να φτάσω αυτή τη μνήμη, επειδή δεν υπάρχει καν από εκεί, κατά κάποιο τρόπο, έτσι ξέρω ότι μερικά από αυτά συμβαίνουν. "
Eric Kavanagh: Ναι.
Vicky Harp: Αυτό θα είναι προφανώς οι πολύ μεγάλοι πωλητές, πιθανότατα.
Eric Kavanagh: Ναι. Είμαι περίεργος να παρακολουθήσω για αυτό, και ίσως ο Ρόμπιν, αν έχετε ένα γρήγορο δευτερόλεπτο, θα ήθελα να είναι περίεργος να γνωρίζω την εμπειρία σας όλα αυτά τα χρόνια, γιατί και πάλι, όσον αφορά το υλικό, από την άποψη της πραγματικής επιστήμης των υλικών που πηγαίνει σε αυτό που βάζετε μαζί από την πλευρά του πωλητή, αυτές οι πληροφορίες θα μπορούσαν να πάνε και στις δύο πλευρές και θεωρητικά θα πάμε και στις δύο πλευρές αρκετά γρήγορα, έτσι υπάρχει κάποιος τρόπος να χρησιμοποιήσουμε το υλικό πιο προσεκτικά, από άποψη σχεδιασμού για να ενισχύσουμε την ασφάλεια; Τι νομίζετε; Ρόμπιν, είσαι σε σίγαση;
Robin Bloor: Ναι, ναι. Λυπάμαι, είμαι εδώ. Απλά σκέφτομαι την ερώτηση. Για να είμαι ειλικρινής, δεν έχω γνώμη, είναι μια περιοχή που δεν έχω κοιτάξει σε μεγάλο βάθος, έτσι είμαι κάπως, ξέρετε, μπορώ να εφεύρουν μια άποψη, αλλά δεν ξέρω πραγματικά. Προτιμώ τα πράγματα να είναι ασφαλή στο λογισμικό, είναι ακριβώς ο τρόπος που παίζω, βασικά.
Eric Kavanagh: Ναι. Λοιπόν, παιδιά, έχουμε κάψει μια ώρα και αλλάζουμε εδώ. Ευχαριστώ πολύ τη Vicky Harp για το χρόνο και την προσοχή της - για όλο το χρόνο και την προσοχή σας. εκτιμούμε ότι εμφανίζεστε για αυτά τα πράγματα. Είναι μεγάλη υπόθεση. δεν πρόκειται να φύγει σύντομα. Είναι ένα παιχνίδι cat-and-mouse που θα συνεχίσει να πηγαίνει και να πηγαίνει και να πηγαίνει. Και έτσι είμαστε ευγνώμονες ότι κάποιες εταιρείες είναι εκεί έξω, εστιάζοντας στην παροχή ασφάλειας, αλλά όπως η Βίκυ μιλούσε και μίλησε για λίγο στην παρουσίασή της, στο τέλος της ημέρας, είναι άνθρωποι σε οργανώσεις που πρέπει να σκεφτούν πολύ προσεκτικά σχετικά με αυτές τις επιθέσεις phishing, αυτό το είδος της κοινωνικής μηχανικής, και να κρατήσει πάνω σε φορητούς υπολογιστές σας - μην το αφήσετε στο καφενείο! Αλλάξτε τον κωδικό πρόσβασής σας, κάντε τα βασικά, και θα πάρετε το 80% του τρόπου εκεί.
Έτσι, με αυτό, οι λαοί, θα σας προσφέρουμε αποχαιρετισμό, σας ευχαριστούμε και πάλι για το χρόνο και την προσοχή σας. Θα σας καλύψουμε την επόμενη φορά, φροντίστε. Αντίο.
Vicky Harp: Σας ευχαριστώ.
