Από το προσωπικό της Techopedia, 27 Οκτωβρίου 2016
Takeaway: Ο οικοδεσπότης Eric Kavanagh συζητά την ασφάλεια της βάσης δεδομένων με τους Robin Bloor, Dez Blanchfield και τον Ignacio Rodriguez της IDERA.
Δεν έχετε εισέλθει αυτήν τη στιγμή. Συνδεθείτε ή εγγραφείτε για να δείτε το βίντεο.
Eric Kavanagh: Γεια σας και καλωσορίζω πίσω, για άλλη μια φορά, στις Hot Technologies. Το όνομά μου είναι ο Eric Kavanagh. Θα είμαι ο οικοδεσπότης σας για το webcast σήμερα και είναι ένα καυτό θέμα και ποτέ δεν πρόκειται να είναι ένα καυτό θέμα. Αυτό είναι ένα καυτό θέμα τώρα εξαιτίας, ειλικρινά, όλων των παραβιάσεων που ακούμε και μπορούμε να σας εγγυηθούμε ότι δεν πρόκειται ποτέ να πάει μακριά. Επομένως, το θέμα σήμερα, ο ακριβής τίτλος της εκπομπής που πρέπει να πω, είναι το "The New Normal: Η ενασχόληση με την πραγματικότητα ενός αβέβαιου κόσμου". Αυτό είναι ακριβώς αυτό που έχουμε να κάνουμε.
Έχουμε τον οικοδεσπότη σας, την αληθινή σας, ακριβώς εκεί. Από πριν από λίγα χρόνια, κατά νου, θα πρέπει πιθανώς να ενημερώσω τη φωτογραφία μου. αυτό ήταν το 2010. Ο χρόνος πετάει. Στείλτε μου ένα email με αν θέλετε να κάνετε κάποιες προτάσεις. Αυτή είναι η τυπική "ζεστή" διαφάνειά μας για τις Hot Technologies. Ολόκληρος ο σκοπός αυτής της εκπομπής είναι πραγματικά να ορίσει ένα συγκεκριμένο χώρο. Έτσι σήμερα μιλάμε για ασφάλεια, προφανώς. Έχουμε μια πολύ ενδιαφέρουσα γωνία σε αυτό, στην πραγματικότητα, με τους φίλους μας από IDERA.
Και θα επισημάνω ότι εσείς, ως μέλη του ακροατηρίου μας, παίζετε σημαντικό ρόλο στο πρόγραμμα. Παρακαλώ μην είστε ντροπαλός. Στείλτε μας μια ερώτηση ανά πάσα στιγμή και θα το θέσουμε σε ουρά για το Q & A εάν έχουμε αρκετό χρόνο για αυτό. Έχουμε τρεις χρήστες online σήμερα, τον Δρ Robin Bloor, τον Dez Blanchfield και τον Ignacio Rodriguez, ο οποίος καλεί από μια άγνωστη τοποθεσία. Έτσι πρώτα απ 'όλα, Ρόμπιν, είσαι ο πρώτος παρουσιαστής. Θα σας παραδώσω τα κλειδιά. Πάρε το μακριά.
Δρ. Robin Bloor: Εντάξει, ευχαριστώ γι 'αυτό, Eric. Διασφάλιση βάσης δεδομένων - Υποθέτω ότι θα μπορούσαμε να πούμε ότι η πιθανότητα ότι τα πιο πολύτιμα δεδομένα που κάθε εταιρεία προεδρεύει στην πραγματικότητα είναι σε μια βάση δεδομένων. Υπάρχει λοιπόν μια σειρά από θέματα ασφάλειας για τα οποία μπορούμε να μιλάμε. Αλλά αυτό που σκέφτηκα ότι θα έκανα είναι να μιλήσω γύρω από το θέμα της εξασφάλισης βάσης δεδομένων. Δεν θέλω να πάρω τίποτα μακριά από την παρουσίαση που θα δώσει ο Ignacio.
Ας αρχίσουμε λοιπόν, είναι εύκολο να σκεφτούμε την ασφάλεια των δεδομένων ως έναν στατικό στόχο, αλλά δεν είναι. Είναι ένας κινούμενος στόχος. Και αυτό είναι πολύ σημαντικό να κατανοηθεί με την έννοια ότι τα περιβάλλοντα πληροφορικής των περισσότερων ανθρώπων, ιδιαίτερα τα μεγάλα περιβάλλοντα πληροφορικής της εταιρείας, αλλάζουν συνεχώς. Και επειδή αλλάζουν συνεχώς, η επιφάνεια επίθεσης, οι περιοχές όπου κάποιος μπορεί να επιχειρήσει, με τον ένα ή τον άλλο τρόπο, είτε από το εσωτερικό είτε από το εξωτερικό, για να θέσει σε κίνδυνο την ασφάλεια των δεδομένων, αλλάζει συνεχώς. Και όταν κάνετε κάτι τέτοιο, αναβαθμίζετε μια βάση δεδομένων, δεν έχετε ιδέα αν έχετε κάνει ακριβώς αυτό, δημιουργώντας κάποιο είδος ευπάθειας για τον εαυτό σας. Αλλά δεν είστε ενήμεροι και ίσως να μην το μάθετε μέχρι να γίνει κάτι άσχημα.
Υπάρχει μια σύντομη επισκόπηση της ασφάλειας των δεδομένων. Πρώτα απ 'όλα, η κλοπή δεδομένων δεν είναι κάτι νέο και στοχεύει δεδομένα πολύτιμα. Συνήθως είναι εύκολο να επεξεργαστείτε για μια οργάνωση ποια είναι τα δεδομένα που χρειάζονται για την καλύτερη προστασία. Ένα περίεργο γεγονός είναι ότι ο πρώτος, ή αυτό που θα μπορούσαμε να ισχυριστούμε ότι ήταν ο πρώτος υπολογιστής, χτίστηκε από τη βρετανική υπηρεσία πληροφοριών κατά τη διάρκεια του Δευτέρου Παγκοσμίου Πολέμου με ένα σκοπό στο μυαλό και αυτό ήταν να κλέψει δεδομένα από τις γερμανικές επικοινωνίες.
Έτσι, κλοπή δεδομένων υπήρξε μέρος της βιομηχανίας πληροφορικής λίγο πολύ από τότε που άρχισε. Ήταν πολύ πιο σοβαρή με τη γέννηση του Διαδικτύου. Έψαχνα ένα ημερολόγιο του αριθμού των παραβιάσεων δεδομένων που συνέβαιναν κάθε χρόνο με το χρόνο. Και ο αριθμός είχε αυξηθεί πάνω από 100 μέχρι το 2005 και από εκεί και πέρα τείνει να χειροτερεύει και να χειροτερεύει κάθε χρόνο.
Μεγαλύτερες ποσότητες δεδομένων που κλέβονται και ένα μεγαλύτερο αριθμό hacks που λαμβάνουν χώρα. Και αυτά είναι τα hacks που αναφέρονται. Υπάρχει ένας πολύ μεγάλος αριθμός συμβάντων που συμβαίνουν όταν η εταιρεία δεν λέει τίποτα, γιατί δεν υπάρχει τίποτα που να την αναγκάζει να πει τίποτα. Επομένως, διατηρεί την παραβίαση των δεδομένων ήσυχη. Υπάρχουν πολλοί παίκτες στην επιχείρηση χάκερ: κυβερνήσεις, επιχειρήσεις, ομάδες χάκερ, άτομα.
Ένα πράγμα που πιστεύω ότι είναι ενδιαφέρον να αναφερθώ, όταν πήγα στη Μόσχα, νομίζω ότι ήταν κάποτε περίπου πριν από τέσσερα χρόνια, ήταν μια διάσκεψη λογισμικού στη Μόσχα, μιλούσα με έναν δημοσιογράφο που εξειδικεύτηκε στον τομέα της πειρατείας δεδομένων. Και ισχυρίστηκε - και είμαι βέβαιος ότι είναι σωστός, αλλά δεν το ξέρω εκτός από το ότι είναι το μόνο πρόσωπο που μου το ανέφερε ποτέ, αλλά - υπάρχει μια ρωσική επιχείρηση που ονομάζεται Το Ρωσικό Επιχειρηματικό Δίκτυο, πιθανώς πήρε ένα ρωσικό αλλά νομίζω ότι αυτή είναι η αγγλική μετάφραση του, που είναι πραγματικά μισθωμένο για να hack.
Έτσι εάν είστε ένας μεγάλος οργανισμός οπουδήποτε στον κόσμο και θέλετε να κάνετε κάτι για να προκαλέσετε ζημιά στον ανταγωνισμό σας, μπορείτε να προσλάβετε αυτούς τους ανθρώπους. Και αν προσλαμβάνεις αυτούς τους ανθρώπους, παίρνεις πολύ πιθανή αδιαφορία για το ποιος ήταν πίσω από το χάκα. Επειδή αν ανακαλυφθεί κανείς που βρίσκεται πίσω από το hack, αυτό θα δείξει ότι είναι ίσως κάποιος στη Ρωσία που το έκανε. Και δεν θα μοιάζει σαν να προσπαθείτε να βλάψετε έναν ανταγωνιστή. Και πιστεύω ότι το ρωσικό επιχειρησιακό δίκτυο έχει πράγματι προσληφθεί από κυβερνήσεις για να κάνει πράγματα όπως η απόκρουση στις τράπεζες για να προσπαθήσει να μάθει πώς κινούνται τα χρήματα της τρομοκρατίας. Και αυτό γίνεται με αξιοπρεπή δυσπιστία από κυβερνήσεις που ποτέ δεν θα παραδεχτούν ότι πράγματι το έκαναν ποτέ.
Η τεχνολογία της επίθεσης και της άμυνας εξελίσσεται. Πριν από πολύ καιρό πήγαινα στο Club Chaos. Ήταν ένα site στη Γερμανία όπου θα μπορούσατε να εγγραφείτε και θα μπορούσατε να παρακολουθήσετε απλά τις συνομιλίες διαφόρων ανθρώπων και να δείτε τι ήταν διαθέσιμο. Και το έκανα όταν έψαχνα την τεχνολογία ασφαλείας, νομίζω ότι γύρω στο 2005. Και το έκανα μόνο για να δω τι συνέβαινε τότε και το πράγμα που με έκπληξη ήταν ο αριθμός των ιών, όπου βασικά ήταν ένα σύστημα ανοιχτού κώδικα Πήγα και οι άνθρωποι που είχαν γράψει ιούς ή ενισχυμένους ιούς απλώς κολληθούν στον κώδικα επάνω εκεί για να χρησιμοποιήσουν ο καθένας. Και κατάλαβα ότι κατά τη στιγμή που οι χάκερ μπορούν να είναι πολύ, πολύ έξυπνοι, αλλά υπάρχουν πάρα πολλοί χάκερ που δεν είναι απαραιτήτως έξυπνοι, αλλά χρησιμοποιούν έξυπνα εργαλεία. Και μερικά από αυτά τα εργαλεία είναι εξαιρετικά έξυπνα.
Και το τελευταίο σημείο εδώ: οι επιχειρήσεις έχουν καθήκον να φροντίζουν τα δεδομένα τους, είτε είναι κύριοι είτε όχι. Και νομίζω ότι όλο και περισσότερο γίνεται αντιληπτό από ό, τι ήταν. Και γίνεται ολοένα και περισσότερο, ας πούμε, δαπανηρό για μια επιχείρηση να υποβληθεί πραγματικά σε ένα hack. Σχετικά με τους χάκερς, μπορούν να τοποθετηθούν οπουδήποτε, ίσως δύσκολο να προσαχθούν στη δικαιοσύνη ακόμα κι αν είναι σωστά αναγνωρισμένοι. Πολλοί από αυτούς είναι πολύ εξειδικευμένοι. Σημαντικοί πόροι, έχουν botnets σε όλη τη χώρα. Η πρόσφατη επίθεση DDoS που συνέβη πιστεύεται ότι προέρχεται από πάνω από ένα δισεκατομμύριο συσκευές. Δεν ξέρω αν αυτό είναι αλήθεια ή αν είναι απλώς ένας δημοσιογράφος που χρησιμοποιεί ένα στρογγυλό αριθμό, αλλά σίγουρα ένας μεγάλος αριθμός συσκευών ρομπότ χρησιμοποιήθηκε για να κάνει μια επίθεση στο δίκτυο DNS. Κάποιες κερδοφόρες επιχειρήσεις, υπάρχουν κυβερνητικές ομάδες, υπάρχει οικονομικός πόλεμος, υπάρχει κυβερνοκαταβία, όλα συμβαίνουν εκεί έξω και είναι απίθανο, νομίζω ότι λέγαμε στο preshow, είναι απίθανο να τελειώσει ποτέ.
Συμμόρφωση και κανονισμοί - υπάρχουν πολλά πράγματα που πραγματικά συμβαίνουν. Υπάρχουν πολλές πρωτοβουλίες συμμόρφωσης που βασίζονται στον τομέα, γνωρίζετε - ο φαρμακευτικός τομέας ή ο τραπεζικός τομέας ή ο τομέας της υγείας - μπορεί να έχουν συγκεκριμένες πρωτοβουλίες που μπορούν να ακολουθήσουν οι πολίτες, διάφορα είδη βέλτιστων πρακτικών. Υπάρχουν όμως και πολλοί επίσημοι κανονισμοί οι οποίοι, επειδή είναι νόμοι, έχουν επιβληθεί κυρώσεις σε όποιον παραβαίνει τον νόμο. Τα παραδείγματα των ΗΠΑ είναι HIPAA, SOX, FISMA, FERPA, GLBA. Υπάρχουν ορισμένα πρότυπα, το PCI-DSS είναι ένα πρότυπο για τις εταιρείες καρτών. Το ISO / IEC 17799 βασίζεται στην προσπάθεια να αποκτηθεί ένα κοινό πρότυπο. Αυτή είναι η ιδιοκτησία των δεδομένων. Οι εθνικοί κανονισμοί διαφέρουν από χώρα σε χώρα, ακόμη και στην Ευρώπη, ή ίσως να το πούμε, ειδικά στην Ευρώπη όπου είναι πολύ συγκεχυμένη. Και υπάρχει ένας GDPR, ένας παγκόσμιος κανονισμός για την προστασία των δεδομένων που βρίσκεται επί του παρόντος σε διαπραγμάτευση μεταξύ της Ευρώπης και των Ηνωμένων Πολιτειών, για να προσπαθήσει να εναρμονιστεί στους κανονισμούς, επειδή υπάρχουν τόσοι πολλοί, όπως είναι, στην πραγματικότητα, διεθνείς, και ύστερα υπάρχουν cloud υπηρεσίες μην νομίζετε ότι τα δεδομένα σας ήταν διεθνή, αλλά έγινε διεθνής αμέσως μόλις μπήκατε στο σύννεφο, επειδή μετακινήθηκε από τη χώρα σας. Επομένως, πρόκειται για ένα σύνολο κανονισμών που αποτελούν αντικείμενο διαπραγμάτευσης, με τον ένα ή τον άλλο τρόπο, για την αντιμετώπιση της προστασίας δεδομένων. Και τα περισσότερα από αυτά έχουν να κάνουν με τα δεδομένα ενός ατόμου, το οποίο φυσικά περιλαμβάνει σχεδόν όλα τα δεδομένα ταυτότητας.
Πράγματα που πρέπει να σκεφτείτε: ευπάθειες βάσης δεδομένων. Υπάρχει μια λίστα με τρωτά σημεία που είναι γνωστά και αναφέρονται από προμηθευτές βάσεων δεδομένων όταν εντοπίζονται και μπαλώνονται όσο το δυνατόν γρηγορότερα, οπότε υπάρχουν όλα αυτά. Υπάρχουν πράγματα που σχετίζονται με αυτό όσον αφορά τον εντοπισμό ευάλωτων δεδομένων. Μία από τις μεγαλύτερες και πιο επιτυχημένες αποτυχίες στα δεδομένα πληρωμών έγινε σε μια εταιρεία επεξεργασίας πληρωμών. Αυτό στη συνέχεια αναλήφθηκε επειδή έπρεπε να τεθεί υπό εκκαθάριση εάν δεν το έπραξε, αλλά τα δεδομένα δεν κλέφθηκαν από καμία από τις επιχειρησιακές βάσεις δεδομένων. Τα δεδομένα κτυπήθηκαν από βάση δεδομένων δοκιμών. Συνέβη ακριβώς ότι οι προγραμματιστές είχαν μόλις πάρει ένα υποσύνολο των δεδομένων που ήταν πραγματικά δεδομένα και το χρησιμοποίησαν, χωρίς καμία προστασία, σε μια δοκιμαστική βάση δεδομένων. Η βάση δεδομένων των δοκιμαστικών τεστ ήταν κατεστραμμένη και λήφθηκαν από αυτήν πολλές προσωπικές οικονομικές λεπτομέρειες.
Η πολιτική ασφάλειας, ειδικά σε σχέση με την ασφάλεια πρόσβασης σε βάσεις δεδομένων, ποιος μπορεί να διαβάσει, ποιος μπορεί να γράψει, ποιος μπορεί να δώσει άδειες, υπάρχει κανένας τρόπος ώστε κάποιος να καταστρατηγήσει κάτι τέτοιο; Στη συνέχεια, φυσικά, οι κρυπτογραφήσεις από τις βάσεις δεδομένων το επιτρέπουν. Υπάρχει το κόστος μιας παραβίασης της ασφάλειας. Δεν γνωρίζω αν είναι συνηθισμένη πρακτική μέσα στους οργανισμούς, αλλά ξέρω ότι κάποιοι, όπως και οι επικεφαλής αξιωματικοί ασφαλείας, προσπαθούν να παράσχουν στα στελέχη κάποια ιδέα για το τι είναι στην πραγματικότητα το κόστος μιας παραβίασης της ασφάλειας πριν συμβεί και όχι μετά. Και πρέπει να το κάνουν αυτό για να βεβαιωθούν ότι θα πάρουν το σωστό ποσό του προϋπολογισμού για να μπορέσουν να υπερασπιστούν τον οργανισμό.
Και τότε η επιφάνεια επίθεσης. Η επιφάνεια επίθεσης φαίνεται να μεγαλώνει συνεχώς. Είναι κάθε χρόνο η επιφάνεια της επίθεσης φαίνεται να μεγαλώνει. Έτσι, συνοπτικά, η εμβέλεια είναι ένα άλλο σημείο, αλλά η ασφάλεια των δεδομένων είναι συνήθως μέρος του ρόλου της DBA. Αλλά η ασφάλεια των δεδομένων είναι επίσης μια δραστηριότητα συνεργασίας. Πρέπει να έχετε, εάν κάνετε ασφάλεια, πρέπει να έχετε μια πλήρη εικόνα των προστατευτικών μέσων ασφαλείας για τον οργανισμό ως σύνολο. Και πρέπει να υπάρχει εταιρική πολιτική σε αυτό. Εάν δεν υπάρχουν εταιρικές πολιτικές, καταλήγετε απλώς σε αποσπασματικές λύσεις. Ξέρετε, η λαστιχένια ζώνη και το πλαστικό, κάπως, προσπαθούν να σταματήσουν να συμβαίνει η ασφάλεια.
Έτσι, αφού το είπα αυτό, νομίζω ότι παραδίδω στον Dez που πιθανόν θα σας δώσει διάφορες ιστορίες πολέμου.
Eric Kavanagh: Πάρτε το μακριά, Dez.
Dez Blanchfield: Σας ευχαριστώ, Robin. Είναι πάντα μια δύσκολη πράξη που πρέπει να ακολουθήσετε. Θα έρθω σε αυτό από το αντίθετο άκρο του φάσματος μόνο για να υποθέσω ότι μας δίνουν την αίσθηση της κλίμακας της πρόκλησης που αντιμετωπίζετε και γιατί πρέπει να κάνουμε κάτι περισσότερο από το να καθίσουμε και να δώσουμε προσοχή σε αυτό . Η πρόκληση που βλέπουμε τώρα με την κλίμακα και την ποσότητα και τον όγκο, την ταχύτητα με την οποία συμβαίνουν αυτά τα πράγματα, είναι ότι το πράγμα που ακούω γύρω από τον τόπο τώρα με πολλούς CXOs, όχι μόνο CIO, αλλά σίγουρα Οι CIOs είναι εκείνοι που είναι παρόντες όπου το buck σταματάει, είναι ότι θεωρούν ότι οι παραβιάσεις δεδομένων γίνονται γρήγορα ο κανόνας. Είναι κάτι που σχεδόν αναμένουν να συμβούν. Επομένως, το βλέπουν αυτό από την άποψη του "Εντάξει, λοιπόν, όταν παραβούμε - όχι αν - όταν παραβούμε, τι πρέπει να κάνουμε γι 'αυτό;" Και τότε οι συνομιλίες ξεκινούν γύρω, τι κάνουν με τα παραδοσιακά περιβάλλοντα άκρων και τους δρομολογητές, τους διακόπτες, τους διακομιστές, την ανίχνευση εισβολών, την επιθεώρηση εισβολής; Τι κάνουν με τα ίδια τα συστήματα; Τι κάνουν με τα δεδομένα; Και τότε όλα έρχονται πίσω σε αυτό που έκαναν με τις βάσεις δεδομένων τους.
Επιτρέψτε μου να αγγίξω απλώς μερικά παραδείγματα μερικών από αυτά τα πράγματα που έχουν καταγράψει τη φαντασία πολλών ανθρώπων και στη συνέχεια να τα εξάγουν, να τα διασπάσουν λίγο. Έτσι, έχουμε ακούσει στις ειδήσεις ότι το Yahoo - ίσως ο μεγαλύτερος αριθμός που έχουν ακούσει οι άνθρωποι είναι περίπου μισό εκατομμύριο, αλλά στην πραγματικότητα αποδεικνύεται ότι είναι ανεπίσημα περισσότερο από ένα δισεκατομμύριο - άκουσα ένα περίεργο αριθμό τριών δισεκατομμυρίων, αλλά αυτό είναι σχεδόν το μισό παγκόσμιο πληθυσμό, έτσι νομίζω ότι είναι λίγο ψηλό. Αλλά το έχω επαληθεύσει από μια σειρά λαϊκών σε σχετικούς χώρους που πιστεύουν ότι υπάρχουν πάνω από ένα δισεκατομμύριο αρχεία που έχουν παραβιαστεί από το Yahoo. Και αυτό είναι απλά ένας μυαλό. Τώρα, μερικοί παίκτες κοιτάζουν και σκέφτονται, καλά, είναι απλώς λογαριασμοί webmail, αλλά δεν προσθέτετε το γεγονός ότι πολλοί από αυτούς τους λογαριασμούς webmail και ένας περίεργος αριθμός, υψηλότερος από όσο περίμενα, είναι στην πραγματικότητα πληρωμένοι λογαριασμοί. Εκεί οι άνθρωποι βάζουν τα στοιχεία της πιστωτικής τους κάρτας και πληρώνουν για να καταργήσουν τις διαφημίσεις, επειδή γκρεμίζονται με τις διαφημίσεις και έτσι $ 4 ή $ 5 το μήνα είναι πρόθυμοι να αγοράσουν ένα webmail και υπηρεσία αποθήκευσης cloud που δεν έχει διαφημίσεις, και είμαι ένας από αυτούς, και έχω ότι σε τρεις διαφορετικούς παρόχους όπου συνδέω την πιστωτική μου κάρτα μέσα.
Έτσι λοιπόν η πρόκληση παίρνει λίγο περισσότερη προσοχή γιατί δεν είναι μόνο κάτι που είναι έξω εκεί, σαν μια ρίψη μιας γραμμής λέγοντας: "Ω καλά, το Yahoo έχει χάσει, ας πούμε, μεταξύ 500 εκατομμυρίων και 1.000 εκατομμυρίων λογαριασμών, " το κάνει 1.000 εκατομμύρια ήχου, πολύ μεγάλα και λογαριασμούς webmail, αλλά στοιχεία πιστωτικής κάρτας, όνομα, επώνυμο, διεύθυνση ηλεκτρονικού ταχυδρομείου, ημερομηνία γέννησης, πιστωτική κάρτα, αριθμός PIN, ό, τι θέλετε, κωδικούς πρόσβασης και στη συνέχεια γίνεται πολύ πιο τρομακτικό. Και πάλι οι άνθρωποι λένε σε με, "Ναι, αλλά είναι απλώς web υπηρεσία, είναι μόνο webmail, δεν είναι μεγάλη υπόθεση." Και τότε λέω, "Ναι, καλά, ότι ο λογαριασμός Yahoo μπορεί επίσης να έχει χρησιμοποιηθεί στις υπηρεσίες χρημάτων του Yahoo για να αγοράσει και να πουλήσει μετοχές. "Στη συνέχεια, γίνεται πιο ενδιαφέρον. Και καθώς ξεκινάτε να ασχολείστε με αυτό, συνειδητοποιείτε ότι, εντάξει, αυτό είναι κάτι περισσότερο από απλά μητέρες και μπαμπάδες στο σπίτι, και εφήβους, με λογαριασμούς μηνυμάτων, αυτό είναι στην πραγματικότητα κάτι που οι άνθρωποι κάνουν συναλλαγές.
Αυτό είναι ένα τέλος του φάσματος. Το άλλο άκρο του φάσματος είναι ότι ένας πολύ μικρός, γενικός ιατρός παροχής υπηρεσιών υγείας στην Αυστραλία είχε περίπου 1.000 αρχεία κλαπεί. Ήταν μια εσωτερική δουλειά, κάποιος έφυγε, ήταν απλώς περίεργος, βγήκαν έξω από την πόρτα, στην περίπτωση αυτή ήταν μια δισκέτα 3, 5 ιντσών. Ήταν λίγο πριν - αλλά μπορείτε να πείτε την εποχή των μέσων ενημέρωσης - αλλά ήταν στην παλιά τεχνολογία. Αλλά αποδείχθηκε ότι ο λόγος που πήραν τα δεδομένα ήταν απλώς περίεργοι για το ποιος ήταν εκεί. Επειδή είχαν πολλούς ανθρώπους σε αυτή την μικρή πόλη, που ήταν η εθνική μας πρωτεύουσα, οι οποίοι ήταν πολιτικοί. Και ενδιαφέρονται για το ποιος ήταν εκεί και πού ήταν η ζωή τους και όλα αυτά τα είδη πληροφοριών. Έτσι, με μια πολύ μικρή παραβίαση δεδομένων που πραγματοποιήθηκε εσωτερικά, ένας σημαντικά μεγάλος αριθμός πολιτικών με τα στοιχεία της αυστραλιανής κυβέρνησης υποτίθεται ότι ήταν έξω στο κοινό.
Έχουμε δύο διαφορετικά άκρα του φάσματος εκεί για να εξετάσουμε. Τώρα η πραγματικότητα είναι η τεράστια κλίμακα αυτών των πραγμάτων είναι απλά εντυπωσιακή και έχω μια διαφάνεια που πρόκειται να πηδήσουμε πολύ, πολύ γρήγορα εδώ. Υπάρχουν μερικοί ιστότοποι που απαριθμούν όλα τα είδη δεδομένων, αλλά το συγκεκριμένο είναι από έναν ειδικό ασφαλείας που είχε τον ιστότοπο όπου μπορείτε να πάτε και να αναζητήσετε τη διεύθυνση ηλεκτρονικού ταχυδρομείου σας ή το όνομά σας και θα σας δείξει κάθε περιστατικό δεδομένων παραβιάζει τα τελευταία 15 χρόνια ότι ήταν σε θέση να πάρει τα χέρια του, και στη συνέχεια να φορτώσει σε μια βάση δεδομένων και να επαληθεύσει, και θα σας πει εάν ήσασταν pwned, όπως ο όρος είναι. Αλλά όταν αρχίσετε να εξετάζετε ορισμένους από αυτούς τους αριθμούς και αυτό το screenshot δεν έχει ενημερωθεί με την τελευταία έκδοση του, η οποία περιλαμβάνει ένα ζευγάρι, όπως το Yahoo. Αλλά σκεφτείτε μόνο τους τύπους υπηρεσιών εδώ. Έχουμε το Myspace, έχουμε LinkedIn, Adobe. Το Adobe ενδιαφέρει γιατί οι άνθρωποι φαίνονται και σκέφτονται, τι σημαίνει το Adobe; Οι περισσότεροι από εμάς που κατεβάζουμε Adobe Reader σε κάποια μορφή, πολλοί από εμάς έχουμε αγοράσει προϊόντα Adobe με πιστωτική κάρτα, δηλαδή 152 εκατομμύρια άτομα.
Τώρα, στο σημείο του Ρόμπιν προηγουμένως, αυτοί είναι πολύ μεγάλοι αριθμοί, είναι εύκολο να τους συγκλονιστείτε. Τι συμβαίνει όταν έχετε 359 εκατομμύρια λογαριασμούς που έχουν παραβιαστεί; Λοιπόν, υπάρχουν μερικά πράγματα. Ο Robin υπογράμμισε το γεγονός ότι τα δεδομένα αυτά είναι πάντοτε σε μια βάση δεδομένων με κάποια μορφή. Αυτό είναι το κρίσιμο μήνυμα εδώ. Σχεδόν κανείς σε αυτόν τον πλανήτη, τον οποίο γνωρίζω, δεν τρέχει σύστημα οποιασδήποτε μορφής, δεν το αποθηκεύει σε μια βάση δεδομένων. Αλλά τι είναι ενδιαφέρον είναι ότι υπάρχουν τρεις διαφορετικοί τύποι δεδομένων σε αυτή τη βάση δεδομένων. Υπάρχουν πράγματα που σχετίζονται με την ασφάλεια, όπως τα ονόματα χρηστών και οι κωδικοί πρόσβασης, οι οποίοι είναι συνήθως κρυπτογραφημένοι, αλλά υπάρχουν πάντα παραδείγματα όπου δεν είναι. Υπάρχουν οι πραγματικές πληροφορίες για τον πελάτη γύρω από το προφίλ τους και τα δεδομένα που έχουν δημιουργήσει είτε πρόκειται για ιατρικό ιστορικό είτε για ένα μήνυμα ηλεκτρονικού ταχυδρομείου ή ένα άμεσο μήνυμα. Και τότε υπάρχει η πραγματική ενσωματωμένη λογική, οπότε αυτό θα μπορούσε να είναι αποθηκευμένες διαδικασίες, θα μπορούσε να είναι μια ολόκληρη δέσμη κανόνων, αν + αυτό + τότε + αυτό. Και αυτό είναι ακριβώς ASCII κείμενο κολλημένο στη βάση δεδομένων, πολύ λίγοι άνθρωποι κάθονται σκεπτόμενοι, "Λοιπόν, αυτοί είναι επιχειρηματικοί κανόνες, έτσι μετακινούνται τα δεδομένα μας και ελέγχονται, μπορούμε ενδεχομένως να το κρυπτογραφήσουμε όταν είναι σε ηρεμία και όταν είναι κίνηση ίσως να την αποκρυπτογραφήσουμε και να τη διατηρήσουμε στη μνήμη ", αλλά στην ιδανική περίπτωση θα έπρεπε ίσως να είναι και αυτή.
Αλλά επιστρέφει σε αυτό το βασικό σημείο ότι όλα αυτά τα δεδομένα είναι σε μια βάση δεδομένων κάποιου τύπου και συχνά δεν είναι το επίκεντρο είναι, ιστορικά, έχει σε δρομολογητές και switches και servers, ακόμη και αποθήκευση, και όχι πάντα στη βάση δεδομένων στο το πίσω άκρο. Επειδή πιστεύουμε ότι έχουμε την άκρη του δικτύου καλυμμένη και είναι σαν ένα τυπικό παλιό είδος που ζει σε ένα κάστρο και βάζετε μια τάφρο γύρω από αυτό και ελπίζετε ότι οι κακοί δεν πρόκειται να να είστε σε θέση να κολυμπήσετε. Αλλά τότε ξαφνικά οι κακοί έψαχναν να φτιάξουν εκτεταμένες σκάλες και να τους πετάξουν πάνω από την τάφρο και να ανέβουν πάνω από την τάφρο και να ανέβουν στους τοίχους. Και ξαφνικά η τάφρο σας είναι σχεδόν άχρηστη.
Έτσι λοιπόν, είμαστε τώρα στο σενάριο όπου οι οργανώσεις βρίσκονται σε κατάσταση προπόνησης σε ένα σπριντ. Κυριολεκτικά σπριντ σε όλα τα συστήματα, κατά την άποψή μου, και σίγουρα την εμπειρία μου, στο ότι δεν είναι πάντα μόνο αυτοί οι μονόκεροι στο διαδίκτυο, όπως συχνά τους αναφέρουμε, πολύ συχνά είναι οι παραδοσιακές επιχειρηματικές οργανώσεις που παραβιάζονται. Και δεν χρειάζεται να έχετε μεγάλη φαντασία για να μάθετε ποιοι είναι. Υπάρχουν ιστότοποι όπως ο ένας που ονομάζεται pastebin.net και αν πάτε στο pastebin.net και απλά πληκτρολογείτε λίστα λίστας ηλεκτρονικού ταχυδρομείου ή λίστα κωδικών πρόσβασης θα καταλήξετε με εκατοντάδες χιλιάδες καταχωρήσεις την ημέρα που προστίθενται όπου οι άνθρωποι είναι καταχωρίσεις παραδείγματα συνόλων δεδομένων έως και χίλιες εγγραφές όνομα, επώνυμο, στοιχεία πιστωτικής κάρτας, όνομα χρήστη, κωδικός πρόσβασης, αποκρυπτογραφημένους κωδικούς πρόσβασης, παρεμπιπτόντως. Όταν οι άνθρωποι μπορούν να τραβήξουν τον κατάλογο, πηγαίνουν και επαληθεύουν τρία ή τέσσερα από αυτά και αποφασίζουν ότι θέλω να αγοράσω αυτόν τον κατάλογο και συνήθως υπάρχει κάποια μορφή μηχανισμού που παρέχει κάποιο είδος ανώνυμης πύλης στο πρόσωπο που πουλά τα δεδομένα.
Τώρα που ενδιαφέρει είναι ότι όταν ο συνεργάτης συνειδητοποιήσει ότι μπορούν να το κάνουν αυτό, δεν παίρνει τόσο πολύ τη φαντασία να συνειδητοποιήσει ότι αν ξοδεύετε 1.000 δολάρια ΗΠΑ για να αγοράσετε έναν από αυτούς τους καταλόγους, ποιο είναι το πρώτο πράγμα που κάνετε με αυτό; Δεν πηγαίνετε και δοκιμάστε να παρακολουθήσετε τους λογαριασμούς, βάζετε ένα αντίγραφο αυτού πίσω στο pastbin.net και πουλάτε δύο αντίτυπα για $ 1.000 το καθένα και κερδίζετε 1.000 δολάρια. Και αυτά είναι παιδιά που το κάνουν αυτό. Υπάρχουν μερικές εξαιρετικά μεγάλες επαγγελματικές οργανώσεις σε όλο τον κόσμο που το κάνουν αυτό για να ζήσουν. Υπάρχουν ακόμη κρατικά έθνη που επιτίθενται σε άλλα κράτη. Ξέρετε, υπάρχει μεγάλη συζήτηση για την Αμερική που επιτίθεται στην Κίνα, η Κίνα επιτίθεται στην Αμερική, δεν είναι τόσο απλή, αλλά υπάρχουν σίγουρα κυβερνητικές οργανώσεις που παραβιάζουν συστήματα που βασίζονται πάντα σε βάσεις δεδομένων. Δεν είναι μόνο μια περίπτωση μικρών οργανώσεων, είναι επίσης χώρες έναντι χωρών. Μας φέρνει πίσω στο θέμα αυτό, από πού αποθηκεύονται τα δεδομένα; Είναι σε μια βάση δεδομένων. Ποιοι έλεγχοι και μηχανισμοί υπάρχουν; Ή πάντοτε δεν είναι κρυπτογραφημένα, και αν είναι κρυπτογραφημένα, δεν είναι πάντα όλα τα δεδομένα, ίσως είναι μόνο ο κωδικός πρόσβασης που είναι αλατισμένος και κρυπτογραφημένος.
Και γύρω από αυτό έχουμε μια σειρά προκλήσεων με αυτά που υπάρχουν σε αυτά τα δεδομένα και πώς παρέχουμε πρόσβαση σε δεδομένα και συμμόρφωση SOX. Έτσι, εάν σκέφτεστε για τη διαχείριση του πλούτου ή την τραπεζική, έχετε οργανισμούς που ανησυχούν για την πρόκληση πιστώσεων. έχετε οργανισμούς που ανησυχούν για τη συμμόρφωση στον εταιρικό χώρο. έχετε κυβερνητική συμμόρφωση και κανονιστικές απαιτήσεις. Έχετε σενάρια τώρα, όταν έχουμε βάσεις δεδομένων επί τόπου. έχουμε βάσεις δεδομένων σε κέντρα δεδομένων τρίτων μερών. έχουμε βάσεις δεδομένων που κάθονται σε περιβάλλοντα σύννεφων, έτσι ώστε τα περιβάλλοντα σύννεφων να μην είναι πάντοτε στη χώρα. Και έτσι αυτό γίνεται μια μεγαλύτερη και μεγαλύτερη πρόκληση, όχι μόνο από την άποψη της αμιγής ασφάλειας, αλλά όχι και από το πώς θα συναντήσουμε όλα τα διαφορετικά επίπεδα συμμόρφωσης; Όχι μόνο τα πρότυπα HIPAA και ISO, αλλά υπάρχουν κυριολεκτικά δεκάδες και δεκάδες και δεκάδες από αυτά σε κρατικό επίπεδο, εθνικό επίπεδο και παγκόσμια επίπεδα που διασχίζουν τα σύνορα. Αν κάνετε επιχειρηματικές συναλλαγές με την Αυστραλία, δεν μπορείτε να μεταφέρετε κυβερνητικά δεδομένα. Οποιαδήποτε αυστραλιανά ιδιωτικά δεδομένα δεν μπορούν να εγκαταλείψουν το έθνος. Εάν βρίσκεστε στη Γερμανία, είναι ακόμη πιο αυστηρό. Και ξέρω ότι η Αμερική κινείται πολύ γρήγορα σε αυτό για διάφορους λόγους.
Αλλά με φέρνει πίσω σε όλη αυτή την πρόκληση για το πώς ξέρετε τι συμβαίνει στη βάση δεδομένων σας, πώς το παρακολουθείτε, πώς να πείτε ποιος κάνει τι στη βάση δεδομένων, ποιος έχει τις απόψεις των διαφόρων πινάκων και σειρών και στηλών και πεδίων, πότε το διαβάζουν, πόσο συχνά το διαβάζουν και ποιος το παρακολουθεί; Και νομίζω ότι με οδηγεί στο τελευταίο μου σημείο, προτού παραδώσω στον καλεσμένο μας σήμερα ποιος θα μας βοηθήσει να μιλήσουμε για το πώς λύουμε αυτό το πρόβλημα. Αλλά θέλω να μας αφήσετε με μια τέτοια σκέψη και αυτό είναι, πολύ το επίκεντρο είναι το κόστος για την επιχείρηση και το κόστος για την οργάνωση. Και δεν πρόκειται να καλύψουμε αυτό το σημείο λεπτομερώς σήμερα, αλλά θέλω απλώς να το αφήσουμε στο μυαλό μας για να αναλογιστούμε και αυτό είναι ότι υπάρχει μια εκτίμηση περίπου μεταξύ US $ 135 και US $ 585 ανά αρχείο για να καθαρίσει μετά από μια παραβίαση. Έτσι, η επένδυση που κάνετε στην ασφάλεια σας γύρω από τους δρομολογητές και τους διακόπτες και τους διακομιστές είναι όλα καλά και καλά και τείχη προστασίας, αλλά πόσα έχετε επενδύσει στην ασφάλεια της βάσης δεδομένων σας;
Αλλά είναι μια ψεύτικη οικονομία και όταν η παραβίαση του Yahoo συνέβη πρόσφατα και το έχω στην καλή εξουσία, είναι περίπου ένα δισεκατομμύριο λογαριασμοί, όχι 500 εκατομμύρια. Όταν η Verizon αγόρασε την οργάνωση για 4, 3 δισεκατομμύρια δολάρια, μόλις έφτασε η παραβίαση, ζήτησαν ένα δισεκατομμύριο δολάρια πίσω ή έκπτωση. Τώρα, αν κάνετε τα μαθηματικά και λέτε ότι υπάρχουν περίπου ένα δισεκατομμύριο αρχεία που παραβιάστηκαν, μια έκπτωση δισεκατομμυρίων δολαρίων, η εκτίμηση $ 135 έως $ 535 για τον καθαρισμό ενός ρεκόρ γίνεται τώρα $ 1. Το οποίο, και πάλι, είναι μαχητικό. Δεν κοστίζει $ 1 για να καθαρίσει ένα δισεκατομμύριο αρχεία. Σε $ 1 ανά εγγραφή για να καθαρίσετε ένα δισεκατομμύριο ρεκόρ για μια παραβίαση αυτού του μεγέθους. Δεν μπορείτε ούτε να στείλετε ένα δελτίο τύπου για αυτό το είδος του κόστους. Συνεπώς, εστιάζουμε πάντα στις εσωτερικές προκλήσεις.
Πιστεύω, όμως, ένα από τα πράγματα και μας παρακινεί να το αντιμετωπίσουμε πολύ σοβαρά σε επίπεδο βάσης δεδομένων, γι 'αυτό είναι ένα πολύ, πολύ σημαντικό θέμα για το οποίο μπορούμε να μιλήσουμε και γι' αυτό ποτέ δεν μιλάμε για τον άνθρωπο διόδια. Ποιο είναι το ανθρώπινο φόρο που υποφέρουμε σε αυτό; Και θα πάρω ένα παράδειγμα πριν τελειώσω γρήγορα. LinkedIn: Το 2012, το σύστημα LinkedIn έχει καταστραφεί. Υπήρχαν αρκετοί φορείς και δεν θα μπω σε αυτό. Και εκατοντάδες εκατομμύρια λογαριασμών κλαπούνταν. Οι άνθρωποι λένε περίπου 160 εκατομμύρια, αλλά είναι στην πραγματικότητα πολύ μεγαλύτερος αριθμός, θα μπορούσε να είναι περίπου 240 εκατομμύρια. Αλλά αυτή η παραβίαση δεν ανακοινώθηκε μέχρι νωρίτερα φέτος. Αυτό είναι τέσσερα χρόνια που τα αρχεία εκατοντάδων εκατομμυρίων ανθρώπων είναι εκεί έξω. Τώρα, υπήρχαν μερικοί άνθρωποι που πληρώνουν για υπηρεσίες με πιστωτικές κάρτες και μερικούς ανθρώπους με δωρεάν λογαριασμούς. Αλλά το LinkedIn είναι ενδιαφέρον, επειδή όχι μόνο είχαν πρόσβαση στα στοιχεία του λογαριασμού σας αν παραβιάζονταν, αλλά έχουν επίσης πρόσβαση σε όλες τις πληροφορίες του προφίλ σας. Έτσι, με ποιον ήσασταν συνδεδεμένοι και με όλες τις συνδέσεις που είχατε και τους τύπους των θέσεων εργασίας που είχαν και τους τύπους των δεξιοτήτων που είχαν και πόσο καιρό δούλευαν σε εταιρείες και όλα αυτά τα στοιχεία και τα στοιχεία επικοινωνίας τους.
Επομένως, σκεφτείτε την πρόκληση που αντιμετωπίζουμε όσον αφορά την εξασφάλιση των δεδομένων αυτών των βάσεων δεδομένων, την εξασφάλιση και τη διαχείριση των ίδιων των συστημάτων βάσης δεδομένων και τη ροή των επιπτώσεων, καθώς και τα ανθρώπινα τέλη εκείνων των δεδομένων που υπάρχουν εδώ και τέσσερα χρόνια. Και η πιθανότητα κάποιος να εμφανιστεί για διακοπές κάπου στη Νοτιοανατολική Ασία και να έχει τα δεδομένα εκεί έξω για τέσσερα χρόνια. Και κάποιος μπορεί να έχει αγοράσει ένα αυτοκίνητο ή να πάρει ένα στεγαστικό δάνειο ή να αγοράσει δέκα τηλέφωνα κατά τη διάρκεια του έτους με πιστωτικές κάρτες, όπου δημιούργησε ένα ψεύτικο αναγνωριστικό για αυτά τα δεδομένα που ήταν εκεί έξω για τέσσερα χρόνια - επειδή ακόμα και τα δεδομένα του LinkedIn σας έδωσαν αρκετές πληροφορίες να δημιουργήσετε έναν τραπεζικό λογαριασμό και ένα ψεύτικο αναγνωριστικό - και θα φτάσετε στο αεροπλάνο, θα πάτε για διακοπές, θα προσγειωθείτε και θα πεταχτείτε στη φυλακή. Και γιατί ρίχνεις τη φυλακή; Λοιπόν, επειδή είχατε την κλοπή σας. Κάποιος δημιούργησε μια πλαστή ταυτότητα και ενήργησε σαν εσένα και εκατοντάδες χιλιάδες δολάρια και το έκαναν τέσσερα χρόνια και δεν το γνώριζες. Επειδή είναι εκεί έξω, συνέβη ακριβώς.
Πιστεύω λοιπόν ότι μας φέρνει σε αυτή την βασική πρόκληση για το πώς γνωρίζουμε τι συμβαίνει στις βάσεις δεδομένων μας, πώς το παρακολουθούμε, πώς μπορούμε να το παρακολουθούμε; Και ανυπομονώ να ακούσω πώς οι φίλοι μας στο IDERA έχουν βρει μια λύση για να το αντιμετωπίσει αυτό. Και με αυτό, θα παραδώσει.
Eric Kavanagh: Εντάξει, Ignacio, το πάτωμα είναι δικό σου.
Ignacio Rodriguez: Εντάξει. Καλά, καλωσορίζουμε όλους. Ονομάζομαι Ignacio Rodriguez, γνωστός ως Iggy. Είμαι με την IDERA και έναν διαχειριστή προϊόντων για προϊόντα ασφαλείας. Πραγματικά καλά θέματα που καλύψαμε και πραγματικά πρέπει να ανησυχούμε για τις παραβιάσεις των δεδομένων. Πρέπει να έχουμε σκληρές πολιτικές ασφάλειας, πρέπει να εντοπίσουμε τα τρωτά σημεία και να αξιολογήσουμε τα επίπεδα ασφάλειας, να ελέγξουμε τα δικαιώματα των χρηστών, να ελέγξουμε την ασφάλεια του διακομιστή και να συμμορφωθούμε με τους ελέγχους. Έχω κάνει ελέγχους στην προηγούμενη ιστορία μου, κυρίως στην πλευρά του Oracle. Έκανα μερικά πράγματα στο SQL Server και τα έκανα με εργαλεία ή ουσιαστικά με εγχώρια σενάρια, τα οποία ήταν υπέροχα, αλλά πρέπει να δημιουργήσετε ένα αποθετήριο και να βεβαιωθείτε ότι ο χώρος αποθήκευσης είναι ασφαλής, συνεχώς να διατηρείτε τα σενάρια με αλλαγές από τους ελεγκτές, τι έχεις.
Έτσι, στα εργαλεία, αν ήξερα ότι το IDERA ήταν έξω εκεί και είχε ένα εργαλείο, πιθανότατα θα το αγόραζα. Αλλά ούτως ή άλλως, πρόκειται να μιλάμε για Secure. Είναι ένα από τα προϊόντα μας στη γραμμή προϊόντων ασφαλείας μας και αυτό που κάνει βασικά είναι να εξετάσουμε τις πολιτικές ασφάλειας και να τις χαρτογραφήσουμε στις κανονιστικές οδηγίες. Μπορείτε να δείτε ένα πλήρες ιστορικό των ρυθμίσεων του SQL Server και βασικά μπορείτε να κάνετε μια βασική γραμμή αυτών των ρυθμίσεων και στη συνέχεια να συγκρίνετε τις μελλοντικές αλλαγές. Μπορείτε να δημιουργήσετε ένα στιγμιότυπο, το οποίο αποτελεί βασική γραμμή των ρυθμίσεών σας, και στη συνέχεια να μπορείτε να παρακολουθείτε αν κάποια από αυτά τα πράγματα έχουν αλλάξει και επίσης να ενημερωθείτε αν αλλάξουν.
Ένα από τα πράγματα που κάνουμε καλά είναι να αποτρέψουμε τον κίνδυνο ασφάλειας και τις παραβιάσεις. Η κάρτα αναφοράς ασφαλείας σας δίνει μια προβολή των κορυφαίων αδυναμιών ασφαλείας στους διακομιστές και, στη συνέχεια, κάθε έλεγχος ασφαλείας κατηγοριοποιείται ως υψηλός, μεσαίος ή χαμηλός κίνδυνος. Τώρα, σε αυτές τις κατηγορίες ή ελέγχους ασφάλειας, όλα αυτά μπορούν να τροποποιηθούν. Ας υποθέσουμε ότι αν έχετε κάποιους ελέγχους και χρησιμοποιείτε ένα από τα πρότυπα που διαθέτουμε και εσείς αποφασίζετε, καλά, τα στοιχεία ελέγχου μας δείχνουν ή θέλουν ότι αυτό το τρωτό σημείο δεν είναι πραγματικά ένα υψηλό αλλά ένα μέσο ή το αντίστροφο. Μπορεί να έχετε κάποια που έχουν επισημανθεί ως μεσαία αλλά στον οργανισμό σας τα στοιχεία ελέγχου που θέλετε να τα ονομάσετε ή να τα θεωρήσετε τόσο υψηλά, όλες αυτές οι ρυθμίσεις μπορούν να διαμορφωθούν από το χρήστη.
Ένα άλλο κρίσιμο ζήτημα που πρέπει να εξετάσουμε είναι η αναγνώριση των τρωτών σημείων. Κατανόηση του ποιος έχει πρόσβαση σε ό, τι και προσδιορίζει κάθε ένα από τα αποτελεσματικά δικαιώματα του χρήστη σε όλα τα αντικείμενα SQL Server. Με το εργαλείο θα μπορέσουμε να περάσουμε και να δούμε τα δικαιώματα σε όλα τα αντικείμενα του SQL Server και θα δούμε σύντομα ένα στιγμιότυπο οθόνης αυτού. Αναφέρουμε επίσης και αναλύουμε τα δικαιώματα χρήστη, ομάδας και ρόλου. Ένα από τα άλλα χαρακτηριστικά είναι ότι παραδίδουμε αναλυτικές αναφορές κινδύνου ασφαλείας. Έχουμε αναφορές εκτός πλαισίου και περιέχει ευέλικτες παραμέτρους για να δημιουργήσετε τους τύπους αναφορών και να εμφανίσετε τα δεδομένα που απαιτούν οι ελεγκτές, οι υπεύθυνοι ασφαλείας και οι διαχειριστές.
Μπορούμε επίσης να συγκρίνουμε τις αλλαγές ασφάλειας, κινδύνου και διαμόρφωσης με την πάροδο του χρόνου, όπως ανέφερα. Και αυτά είναι με τα στιγμιότυπα. Και αυτά τα στιγμιότυπα μπορούν να διαμορφωθούν όσο θέλετε να τα κάνετε - μηνιαία, τριμηνιαία, ετήσια - που μπορούν να προγραμματιστούν μέσα στο εργαλείο. Και, πάλι, μπορείτε να κάνετε συγκρίσεις για να δείτε τι άλλαξε και τι είναι καλό για αυτό είναι αν είχατε παραβίαση που θα μπορούσατε να δημιουργήσετε ένα στιγμιότυπο μετά τη διόρθωσή του, κάντε μια σύγκριση και θα δείτε ότι υπήρχε υψηλό επίπεδο ο κίνδυνος που σχετίζεται με το προηγούμενο στιγμιότυπο και στη συνέχεια να αναφέρετε, βλέπετε στην επόμενη εικόνα, αφού διορθώθηκε ότι δεν ήταν πλέον ένα ζήτημα. Είναι ένα καλό εργαλείο ελέγχου που θα μπορούσατε να δώσετε στον ελεγκτή, μια έκθεση που θα μπορούσατε να δώσετε στους ελεγκτές και να πείτε: "Κοιτάξτε, είχαμε αυτόν τον κίνδυνο, το μετριάσαμε και τώρα δεν είναι πλέον ο κίνδυνος." Και πάλι, εγώ με τα στιγμιότυπα που μπορείτε να ειδοποιήσετε όταν αλλάζει μια ρύθμιση παραμέτρων και εάν αλλάξει μια διαμόρφωση και ανιχνευθούν και παρουσιάζουν έναν νέο κίνδυνο, θα ενημερωθείτε σχετικά.
Παρέχουμε κάποιες ερωτήσεις σχετικά με την αρχιτεκτονική του SQL Server με Secure και θέλω να διορθώσω τη διαφάνεια εδώ, όπου λέει "Υπηρεσία συλλογής". Δεν έχουμε καμία υπηρεσία, θα έπρεπε να ήταν "Διαχειριστής και συλλογικός διακομιστής. "Έχουμε την κονσόλα μας και έπειτα τον Διαχειριστή και Συλλέκτη μας Server και έχουμε μια απροσδιόριστη καταγραφή που θα βγει στις βάσεις δεδομένων που έχουν καταχωρηθεί και θα συγκεντρώσει τα δεδομένα μέσω εργασιών. Και έχουμε ένα αποθετήριο SQL Server και δουλεύουμε μαζί με τις υπηρεσίες SQL Server Reporting Services για να προγραμματίζουμε αναφορές και να δημιουργούμε προσαρμοσμένες αναφορές επίσης. Τώρα σε μια κάρτα αναφοράς ασφαλείας αυτή είναι η πρώτη οθόνη που θα δείτε όταν ξεκινάει το SQL Secure. Θα δείτε εύκολα ποια κρίσιμα στοιχεία έχετε εντοπίσει. Και, πάλι, έχουμε τα υψηλά, τα μέσα και τα χαμηλά. Και έπειτα έχουμε και τις πολιτικές που βρίσκονται στο παιχνίδι με τους συγκεκριμένους ελέγχους ασφάλειας. Έχουμε ένα πρότυπο HIPAA. έχουμε πρότυπα ασφαλείας IDERA 1, 2 και 3. έχουμε οδηγίες PCI. Αυτά είναι όλα τα πρότυπα που μπορείτε να χρησιμοποιήσετε και, πάλι, μπορείτε να δημιουργήσετε το δικό σας πρότυπο, με βάση και τους δικούς σας ελέγχους. Και, πάλι, είναι τροποποιήσιμα. Μπορείτε να δημιουργήσετε τη δική σας. Οποιοδήποτε από τα υπάρχοντα πρότυπα μπορεί να χρησιμοποιηθεί ως γραμμή βάσης, τότε μπορείτε να τα τροποποιήσετε όπως θέλετε.
Ένα από τα ωραία πράγματα που πρέπει να κάνουμε είναι να δούμε ποιος έχει δικαιώματα. Και με αυτήν την οθόνη εδώ θα μπορέσουμε να δούμε τι συνδέσεις SQL Server είναι στην επιχείρηση και θα έχετε τη δυνατότητα να δείτε όλα τα εκχωρημένα και αποτελεσματικά δικαιώματα και δικαιώματα στη βάση δεδομένων του διακομιστή στο επίπεδο αντικειμένου. Αυτό το κάνουμε εδώ. Θα μπορείτε να επιλέξετε πάλι τις βάσεις δεδομένων ή τους διακομιστές και, στη συνέχεια, να μπορείτε να τραβήξετε την αναφορά των δικαιωμάτων του SQL Server. Έτσι είναι σε θέση να δούμε ποιος έχει ποια πρόσβαση σε αυτό. Ένα άλλο ωραίο χαρακτηριστικό είναι ότι θα έχετε τη δυνατότητα να συγκρίνετε τις ρυθμίσεις ασφαλείας. Ας υποθέσουμε ότι είχατε τυπικές ρυθμίσεις που έπρεπε να ρυθμιστούν σε όλη την επιχείρησή σας. Θα μπορούσατε στη συνέχεια να κάνετε μια σύγκριση όλων των διακομιστών σας και να δείτε ποιες ρυθμίσεις έχουν ρυθμιστεί στους άλλους διακομιστές της επιχείρησής σας.
Και πάλι, τα πρότυπα πολιτικής, αυτά είναι μερικά από τα πρότυπα που διαθέτουμε. Βασικά, πάλι, χρησιμοποιήστε ένα από αυτά, δημιουργήστε το δικό σας. Μπορείτε να δημιουργήσετε τη δική σας πολιτική, όπως φαίνεται εδώ. Χρησιμοποιήστε ένα από τα πρότυπα και μπορείτε να τα τροποποιήσετε όπως είναι απαραίτητο. Επίσης, μπορούμε να δούμε τα Αποτελεσματικά Δικαιώματα του SQL Server. Αυτό θα επιβεβαιώσει και θα αποδείξει ότι τα δικαιώματα έχουν ρυθμιστεί σωστά για τους χρήστες και τους ρόλους. Και πάλι, μπορείτε να πάτε εκεί έξω και να δείτε και να δείτε και να επαληθεύσετε ότι η άδεια έχει οριστεί σωστά για τους χρήστες και τους ρόλους. Στη συνέχεια, με τα δικαιώματα πρόσβασης αντικειμένου του SQL Server, μπορείτε στη συνέχεια να περιηγηθείτε και να αναλύσετε τη δομή αντικειμένων SQL Server κάτω από το επίπεδο διακομιστή προς τα κάτω στους ρόλους και τα τελικά σημεία του αντικειμένου. Και μπορείτε να προβάλετε άμεσα τα εκχωρημένα και αποτελεσματικά κληρονομούμενα δικαιώματα και ιδιότητες που σχετίζονται με την ασφάλεια στο επίπεδο αντικειμένου. Αυτό σας δίνει μια καλή εικόνα των προσπελάσεων που έχετε στα αντικείμενα της βάσης δεδομένων σας και ποιος έχει πρόσβαση σε αυτά.
Έχουμε, και πάλι, τις αναφορές μας που έχουμε. Είναι κονσέρβες αναφορές, έχουμε πολλά από τα οποία μπορείτε να επιλέξετε, για να κάνετε τις αναφορές σας. Και πολλά από αυτά μπορούν να προσαρμοστούν ή μπορείτε να έχετε τις αναφορές πελατών σας και να το χρησιμοποιείτε σε συνδυασμό με τις υπηρεσίες αναφοράς και να είστε σε θέση να δημιουργήσετε τις δικές σας προσαρμοσμένες αναφορές από εκεί. Τώρα οι Συγκρίσεις Στιγμιότυπων, αυτό είναι ένα πολύ ωραίο χαρακτηριστικό, νομίζω, όπου μπορείτε να πάτε εκεί και μπορείτε να κάνετε μια σύγκριση των στιγμιότυπων που έχετε πάρει και να κοιτάξετε για να δείτε αν υπήρξαν διαφορές στον αριθμό. Υπάρχουν προστιθέμενα αντικείμενα, υπάρχουν δικαιώματα που έχουν αλλάξει, οτιδήποτε μπορεί να δούμε τι αλλαγές έχουν γίνει μεταξύ των διαφορετικών στιγμιότυπων. Μερικοί άνθρωποι θα το δουν σε μηνιαίο επίπεδο - θα κάνουν ένα μηνιαίο στιγμιότυπο και στη συνέχεια θα κάνουν μια σύγκριση κάθε μήνα για να δουν αν άλλαξε κάτι. Και αν δεν υπήρχε τίποτα που να υποτίθεται ότι άλλαξε, οτιδήποτε πήγε στις συνεδριάσεις ελέγχου αλλαγής και βλέπετε ότι έχουν αλλάξει κάποιες άδειες, μπορείτε να επιστρέψετε για να δείτε τι συνέβη. Αυτό είναι ένα πολύ ωραίο χαρακτηριστικό εδώ όπου μπορείτε να κάνετε τη σύγκριση, πάλι, όλων όσων ελέγχονται μέσα στο στιγμιότυπο.
Στη συνέχεια, η Σύγκριση Αξιολόγησης. Αυτό είναι ένα άλλο ωραίο χαρακτηριστικό που έχουμε όπου μπορείτε να πάτε εκεί και να εξετάσετε τις εκτιμήσεις και στη συνέχεια να κάνετε μια σύγκριση αυτών και να παρατηρήσετε ότι η σύγκριση εδώ είχε έναν λογαριασμό SA που δεν ήταν απενεργοποιημένος σε αυτό το πρόσφατο στιγμιότυπο που έχω κάνει - τώρα διορθώνεται. Αυτό είναι ένα πολύ ωραίο πράγμα που μπορείτε να δείξετε ότι, εντάξει, είχαμε κάποιο κίνδυνο, εντοπίστηκαν από το εργαλείο και τώρα έχουμε μετριάσει αυτούς τους κινδύνους. Και, πάλι, αυτή είναι μια καλή έκθεση που δείχνει στους ελεγκτές ότι στην πραγματικότητα αυτοί οι κίνδυνοι έχουν μετριαστεί και έχουν ληφθεί μέριμνα.
Συνοπτικά, η ασφάλεια των βάσεων δεδομένων είναι κρίσιμη και πιστεύω ότι πολλές φορές εξετάζουμε παραβιάσεις που προέρχονται από εξωτερικές πηγές και μερικές φορές δεν δίνουμε πολύ μεγάλη προσοχή σε εσωτερικές παραβιάσεις και αυτό είναι μερικά από τα πράγματα που εμείς πρέπει να προσέξουμε. Και η Secure θα σας βοηθήσει εκεί για να βεβαιωθείτε ότι δεν υπάρχει κανένα προνόμιο που δεν χρειάζεται να ανατεθεί, ξέρετε, βεβαιωθείτε ότι όλες αυτές οι ρυθμίσεις έχουν ρυθμιστεί σωστά στους λογαριασμούς. Βεβαιωθείτε ότι οι λογαριασμοί SA έχουν κωδικούς πρόσβασης. Ελέγχει επίσης κατά πόσον έχουν εξαχθεί τα κλειδιά κρυπτογράφησης; Απλά πολλά διαφορετικά πράγματα για τα οποία ελέγξουμε και θα σας ειδοποιήσουμε για το γεγονός εάν υπήρχε ένα ζήτημα και σε ποιο επίπεδο του ζητήματος είναι. Χρειαζόμαστε ένα εργαλείο, πολλοί επαγγελματίες χρειάζονται εργαλεία για να διαχειρίζονται και να παρακολουθούν τα δικαιώματα πρόσβασης στις βάσεις δεδομένων και εμείς πραγματικά εξετάζουμε την παροχή μιας εκτεταμένης ικανότητας για τον έλεγχο των αδειών βάσης δεδομένων και την παρακολούθηση των δραστηριοτήτων πρόσβασης και την άμβλυνση του κινδύνου παραβίασης.
Τώρα ένα άλλο μέρος των προϊόντων ασφάλειας είναι ότι υπάρχει ένα WebEx που καλύφθηκε και μέρος της παρουσίασης για το οποίο συζητήσαμε νωρίτερα ήταν δεδομένα. Ξέρεις ποιος έχει πρόσβαση σε τι, τι έχετε, και αυτό είναι το εργαλείο SQL Compliance Manager. Και υπάρχει ένα εγγεγραμμένο WebEx σε αυτό το εργαλείο και αυτό θα σας επιτρέψει πραγματικά να παρακολουθείτε ποιος έχει πρόσβαση σε ποιους πίνακες, ποιες στήλες, μπορείτε να εντοπίσετε πίνακες που έχουν ευαίσθητες στήλες, όσον αφορά την ημερομηνία γέννησης, πληροφορίες για τους ασθενείς, αυτούς τους τύπους πινάκων να διαπιστώσετε ποιος έχει πρόσβαση σε αυτές τις πληροφορίες και εάν έχει πρόσβαση.
Eric Kavanagh: Εντάξει, λοιπόν, ας δούμε τις ερωτήσεις, υποθέτω, εδώ. Ίσως, Dez, θα σας το ρίξω πρώτα, και ο Ρόμπιν, θα χτυπήσει όσο μπορείτε.
Dez Blanchfield: Ναι, έχω φαγούρα να θέσω μια ερώτηση από την 2η και 3η διαφάνεια. Ποια είναι η τυπική περίπτωση χρήσης που βλέπετε για αυτό το εργαλείο; Ποιοι είναι οι πιο συνηθισμένοι τύποι χρηστών που βλέπετε που υιοθετούν αυτό και το θέτουν σε λειτουργία; Και στο πίσω μέρος του, το τυπικό, είδος, χρήση περίπτωση μοντέλο, πώς πηγαίνουν γι 'αυτό; Πώς εφαρμόζεται;
Ignacio Rodriguez: Εντάξει, η τυπική περίπτωση χρήσης που έχουμε είναι οι DBA, στους οποίους έχει ανατεθεί η ευθύνη του ελέγχου πρόσβασης για τη βάση δεδομένων, ο οποίος διασφαλίζει ότι όλα τα δικαιώματα καθορίζονται με τον τρόπο που πρέπει να είναι και στη συνέχεια παρακολουθούν και τα πρότυπά τους στη θέση. Ξέρετε, αυτοί οι συγκεκριμένοι λογαριασμοί χρηστών μπορούν να έχουν πρόσβαση μόνο σε αυτούς τους συγκεκριμένους πίνακες κ.λπ. Και αυτό που κάνουν με αυτό είναι να βεβαιωθείτε ότι τα πρότυπα αυτά έχουν καθοριστεί και τα πρότυπα αυτά δεν έχουν αλλάξει διαχρονικά. Και αυτό είναι ένα από τα μεγάλα πράγματα για τα οποία τα χρησιμοποιούν οι άνθρωποι είναι να εντοπίζουν και να εντοπίζουν αν γίνονται αλλαγές που δεν είναι γνωστές.
Dez Blanchfield: Γιατί είναι οι τρομακτικοί, έτσι δεν είναι; Μπορεί να έχετε ένα, ας πούμε, ένα έγγραφο στρατηγικής, έχετε πολιτικές που υποστηρίζουν ότι έχετε συμμόρφωση και διακυβέρνηση κάτω από αυτό και ακολουθείτε τις πολιτικές, ακολουθείτε τη διακυβέρνηση και παίρνετε πράσινο φως και στη συνέχεια όλα ξαφνικά ένα μήνα αργότερα κάποιος κάνει μια αλλαγή και για κάποιο λόγο δεν περνάει από την ίδια κριτική επιτροπή αλλαγής ή τη διαδικασία αλλαγής, ή ό, τι μπορεί να είναι, ή το έργο μόλις κινείται και κανείς δεν ξέρει.
Έχετε κάποια παραδείγματα που μπορείτε να μοιραστείτε - και ξέρω, προφανώς, δεν είναι πάντα κάτι που μοιράζεστε γιατί οι πελάτες ανησυχούν λίγο γι 'αυτό, οπότε δεν χρειάζεται να ονομάζουμε απαραίτητα ονόματα - αλλά δώστε μας ένα παράδειγμα όπου εσείς θα μπορούσε να το έχει δει πραγματικά, ξέρετε, μια οργάνωση το έθεσε σε ισχύ χωρίς να το συνειδητοποιήσει και μόλις βρήκαν κάτι και συνειδητοποίησαν: "Πω πω, αξίζει δέκα φορές, βρήκαμε κάτι που δεν συνειδητοποιήσαμε". κάθε παράδειγμα όπου οι άνθρωποι έχουν εφαρμόσει αυτό και στη συνέχεια ανακάλυψε ότι είχαν ένα μεγαλύτερο πρόβλημα ή ένα πραγματικό πρόβλημα που δεν συνειδητοποίησαν ότι είχαν και στη συνέχεια θα προστεθεί αμέσως στη λίστα των Χριστουγέννων καρτών;
Ignacio Rodriguez: Νομίζω ότι το μεγαλύτερο πράγμα που έχουμε δει ή είχαμε αναφέρει είναι αυτό που μόλις ανέφερα, όσον αφορά την πρόσβαση που είχε κάποιος. Υπάρχουν προγραμματιστές και όταν υλοποίησαν το εργαλείο δεν συνειδητοποίησαν πραγματικά ότι το X ποσό αυτών των προγραμματιστών είχε αυτή την μεγάλη πρόσβαση στη βάση δεδομένων και είχε πρόσβαση σε συγκεκριμένα αντικείμενα. Και ένα άλλο πράγμα είναι λογαριασμοί μόνο για ανάγνωση. Υπήρχαν μερικοί λογαριασμοί μόνο για ανάγνωση που είχαν, έρχονται για να διαπιστώσουν ότι αυτοί οι λογαριασμοί μόνο για ανάγνωση είναι στην πραγματικότητα, είχαν εισαγάγει δεδομένα και διαγράφηκαν προνόμια επίσης. Εκεί βλέπουμε κάποιο όφελος για τους χρήστες. Το μεγάλο πράγμα, και πάλι, που ακούσαμε ότι οι άνθρωποι αρέσουν, είναι σε θέση να παρακολουθήσουν ξανά τις αλλαγές και να σιγουρευτούν ότι τίποτα δεν τα κάνει τυφλά.
Dez Blanchfield: Όπως υπογράμμισε ο Robin, έχετε σενάρια τα οποία οι άνθρωποι συχνά δεν σκέφτονται, έτσι; Όταν κοιτάζουμε προς τα εμπρός, σκεφτόμαστε, ξέρετε, αν κάνουμε τα πάντα σύμφωνα με τους κανόνες και βρίσκω και είμαι σίγουρος ότι το βλέπετε επίσης - πείτε μου εάν διαφωνείτε με αυτό - οι οργανώσεις εστιάζουν σε μεγάλο βαθμό στην ανάπτυξη στρατηγικής και πολιτικής και συμμόρφωσης και διακυβέρνησης και KPIs και την υποβολή εκθέσεων, που συχνά καθίστανται τόσο σταθεροποιημένες σε αυτό, δεν σκέφτονται για τα υπερβολικά υψηλά ποσοστά. Και ο Robin είχε ένα πολύ καλό παράδειγμα το οποίο θα κλέψω από αυτόν - συγγνώμη τον Robin - αλλά το παράδειγμα είναι η άλλη φορά που ζωντανό αντίγραφο της βάσης δεδομένων, ένα στιγμιότυπο και να τεθεί σε δοκιμή ανάπτυξης, σωστά; Κάνουμε το dev, κάνουμε δοκιμές, κάνουμε UAT, κάνουμε ολοκλήρωση συστημάτων, όλα αυτά τα πράγματα και στη συνέχεια κάνουμε μια δέσμη δοκιμών συμμόρφωσης τώρα. Συχνά δοκιμή dev, UAT, το SIT έχει στην πραγματικότητα ένα στοιχείο συμμόρφωσης σε αυτό όπου απλά βεβαιωθείτε ότι είναι όλα υγιεινά και ασφαλή, αλλά δεν το κάνουν όλοι. Αυτό το παράδειγμα που ο Robin έδωσε με ένα αντίγραφο ενός ζωντανού αντιγράφου της βάσης δεδομένων τέθηκε σε δοκιμή με το περιβάλλον ανάπτυξης για να δει αν εξακολουθεί να λειτουργεί με τα ζωντανά δεδομένα. Πολύ λίγες εταιρίες κάθονται πίσω και σκέφτονται: "Μήπως αυτό συμβαίνει ή είναι δυνατόν;" Είναι πάντα σταθεροποιημένοι στην παραγωγή. Τι μοιάζει με το ταξίδι εφαρμογής; Μιλάμε για μέρες, εβδομάδες, μήνες; Ποια είναι η κανονική εμφάνιση για έναν οργανισμό μέσου μεγέθους;
Ignacio Rodriguez: Ημέρες. Δεν είναι καν ημέρες, εννοώ, είναι μόνο μερικές μέρες. Μόλις προσθέσαμε ένα χαρακτηριστικό γνώρισμα όπου μπορούμε να καταχωρήσουμε πολλούς, πολλούς διακομιστές. Αντί να πρέπει να πάτε εκεί μέσα στο εργαλείο και να πείτε ότι είχατε 150 διακομιστές, έπρεπε να πάτε εκεί ξεχωριστά και να καταχωρήσετε τους διακομιστές - τώρα δεν χρειάζεται να το κάνετε αυτό. Υπάρχει ένα αρχείο CSV που δημιουργείτε και το καταργούμε αυτόματα και δεν το διατηρούμε εκεί λόγω προβλημάτων ασφάλειας. Αλλά αυτό είναι ένα άλλο πράγμα που πρέπει να εξετάσουμε, πρόκειται να έχετε ένα αρχείο CSV εκεί έξω με όνομα χρήστη / κωδικό πρόσβασης.
Αυτό που κάνουμε είναι αυτόματα, το διαγράψουμε ξανά, αλλά αυτή είναι μια επιλογή που έχετε. Αν θέλετε να πάτε εκεί ξεχωριστά και να τα καταχωρήσετε και να μην θέλετε να πάρετε αυτόν τον κίνδυνο, τότε μπορείτε να το κάνετε αυτό. Αλλά αν θέλετε να χρησιμοποιήσετε ένα αρχείο CSV, τοποθετήστε το σε μια θέση που είναι ασφαλής, τοποθετήστε την εφαρμογή σε εκείνη την τοποθεσία, θα εκτελέσει αυτό το αρχείο CSV και στη συνέχεια θα ρυθμιστεί αυτόματα να διαγράψει αυτό το αρχείο μόλις ολοκληρωθεί. Και θα πάει και σιγουρευτείτε και ελέγξτε το αρχείο έχει αφαιρεθεί. Ο μακρύτερος πόλος στην άμμο που είχαμε μέχρι την υλοποίηση ήταν η καταχώρηση των πραγματικών διακομιστών.
Δεζ Blanchfield: Εντάξει. Τώρα μιλήσατε για αναφορές. Μπορείτε να μας δώσετε λίγο περισσότερη λεπτομέρεια και διορατικότητα σε ό, τι έρχεται προ-συσσωρευμένο σε ό, τι αφορά την αναφορά γύρω απλά, υποθέτω ότι η συνιστώσα της ανακάλυψης να εξετάζει τι υπάρχει και να αναφέρει σχετικά με αυτήν, την τρέχουσα κατάσταση του έθνους, χτισμένο και προκατασκευασμένο όσο αναφέρει την τρέχουσα κατάσταση συμμόρφωσης και ασφάλειας και πόσο εύκολα μπορούν να επεκταθούν; Πώς μπορούμε να οικοδομήσουμε αυτά;
Ignacio Rodriguez: Εντάξει. Μερικές από τις αναφορές που έχουμε, έχουμε αναφορές που αφορούν το cross-server, τα στοιχεία ελέγχου εισόδου, τα φίλτρα συλλογής δεδομένων, το ιστορικό δραστηριότητας και, στη συνέχεια, τις εκθέσεις αξιολόγησης κινδύνου. Και επίσης κάθε ύποπτος λογαριασμός των Windows. Υπάρχουν πολλά, πολλά εδώ. Δείτε ανακριβείς συνδέσεις SQL, συνδέσεις διακομιστών και χαρτογράφηση χρηστών, δικαιώματα χρήστη, όλα τα δικαιώματα των χρηστών, ρόλοι διακομιστών, ρόλοι βάσεων δεδομένων, κάποια ευπάθεια που έχουμε ή αναφορές ταυτότητας μεικτής λειτουργίας, βάσεις δεδομένων που επιτρέπουν guest, ευπάθεια OS μέσω XPSs, και στη συνέχεια τους ευάλωτους σταθερούς ρόλους. Αυτές είναι μερικές από τις αναφορές που έχουμε.
Dez Blanchfield: Και αναφέρατε ότι είναι αρκετά σημαντικές και αρκετές από αυτές, πράγμα που είναι λογικό. Πόσο εύκολο είναι για μένα να το προσαρμόσω; Εάν τρέχω μια αναφορά και έχω αυτό το μεγάλο μεγάλο γράφημα, αλλά θέλω να βγάλω μερικά κομμάτια που δεν είμαι πραγματικά που ενδιαφέρονται και να προσθέσω μερικά άλλα χαρακτηριστικά, υπάρχει ένας συγγραφέας αναφοράς, υπάρχει κάποιο είδος διεπαφής και εργαλείο για να ρυθμίσετε και να προσαρμόσετε ή ακόμα και να δημιουργήσετε μια άλλη αναφορά από την αρχή;
Ignacio Rodriguez: Θα κατευθυνόμασταν τότε οι χρήστες να χρησιμοποιήσουν το Microsoft SQL Report Services για να το κάνουν αυτό και έχουμε πολλούς πελάτες που θα πάρουν πραγματικά μερικές από τις αναφορές, να προσαρμόσουν και να προγραμματίσουν τους όποτε θέλουν. Μερικοί από αυτούς τους τύπους θέλουν να δουν αυτές τις αναφορές σε μηνιαία βάση ή εβδομαδιαία βάση και θα λάβουν τις πληροφορίες που έχουμε, να τις μετακινήσουμε στις υπηρεσίες αναφοράς και στη συνέχεια να το κάνουμε από εκεί. Δεν έχουμε ενσωματωμένο συγγραφέα αναφοράς με το εργαλείο μας, αλλά επωφελούμαστε από τις υπηρεσίες αναφοράς.
Dez Blanchfield: Νομίζω ότι αυτή είναι μία από τις μεγαλύτερες προκλήσεις με αυτά τα εργαλεία. Μπορείτε να φτάσετε εκεί και να βρείτε πράγματα, αλλά στη συνέχεια πρέπει να είστε σε θέση να το τραβήξετε, να το αναφέρετε σε άτομα που δεν είναι απαραιτήτως DBAs και μηχανικοί συστημάτων. Υπάρχει ένας ενδιαφέροντος ρόλος που έχει προκύψει από την εμπειρία μου και αυτό είναι, ξέρετε, οι υπεύθυνοι κινδύνου ήταν πάντα σε οργανώσεις και ότι έχουν κυριαρχεί γύρω και μια εντελώς διαφορετική σειρά κινδύνων που έχουμε δει πρόσφατα, ενώ τώρα με δεδομένα οι παραβιάσεις δεν είναι απλώς ένα πράγμα, αλλά ένα πραγματικό τσουνάμι, το CRO έχει ξεπεράσει από το να είναι, ξέρετε, το HR και η συμμόρφωση και η επαγγελματική υγεία και ασφάλεια εστιάζεται τώρα στον κυβερνοχώρο. Ξέρετε, παραβίαση, hacking, ασφάλεια - πολύ πιο τεχνικό. Και είναι ενδιαφέρον γιατί υπάρχουν πολλοί CRO που προέρχονται από ένα γενεαλογικό πρόγραμμα MBA και όχι ένα τεχνικό παιγνίδι, γι 'αυτό πρέπει να πάρουν τα κεφάλια τους γύρω, το είδος, τι σημαίνει αυτό για τη μετάβαση μεταξύ του κινδυνου στον κυβερνοχώρο που κινείται σε CRO και ούτω καθεξής. Αλλά το μεγάλο πράγμα που θέλουν είναι απλώς αναφορά ορατότητας.
Μπορείτε να μας πείτε τίποτα γύρω από την τοποθέτηση όσον αφορά τη συμμόρφωση; Προφανώς, ένα από τα μεγάλα πλεονεκτήματα αυτού του γεγονότος είναι ότι μπορείτε να δείτε τι συμβαίνει, μπορείτε να το παρακολουθήσετε, να μάθετε, να μπορείτε να αναφέρετε, να αντιδράτε σε αυτό, μπορείτε να αποφύγετε κάποια πράγματα. Η πρωταρχική πρόκληση είναι η συμμόρφωση με τη διακυβέρνηση. Υπάρχουν βασικά τμήματα αυτού που συνδέονται σκόπιμα με τις υπάρχουσες απαιτήσεις συμμόρφωσης ή τη συμμόρφωση της βιομηχανίας όπως η PCI ή κάτι τέτοιο επί του παρόντος ή είναι κάτι που κατεβαίνει στον οδικό χάρτη; Μήπως, το είδος, ταιριάζει στο πλαίσιο των όμοιων με τα πρότυπα COBIT, ITIL και ISO; Εάν αναπτύξαμε αυτό το εργαλείο, μας δίνουν μια σειρά ελέγχων και ισορροπιών που ταιριάζουν σε αυτά τα πλαίσια ή πώς τα χτίζουμε σε αυτά τα πλαίσια; Πού είναι η θέση με αυτά τα πράγματα;
Ignacio Rodriguez: Ναι, υπάρχουν πρότυπα που έχουμε που παραδίδουμε με το εργαλείο. Και φτάνουμε στο σημείο πάλι όπου επαναξιολογούμε τα πρότυπα μας και θα προσθέσουμε και θα υπάρξουν περισσότερα σύντομα. FISMA, FINRA, μερικά επιπλέον πρότυπα που έχουμε και συνήθως εξετάζουμε τα πρότυπα και κοιτάζουμε να δούμε τι άλλαξε, τι πρέπει να προσθέσουμε; Και θέλουμε πραγματικά να φτάσουμε στο σημείο όπου, γνωρίζουμε, οι απαιτήσεις ασφάλειας έχουν αλλάξει αρκετά, γι 'αυτό εξετάζουμε έναν τρόπο να κάνουμε αυτό το επεκτάσιμο εν πτήσει. Αυτό είναι κάτι που εξετάζουμε στο μέλλον.
Αλλά τώρα κοιτάμε ίσως να δημιουργούμε πρότυπα και να μπορούμε να πάρουμε τα πρότυπα από έναν ιστότοπο. μπορείτε να τα κατεβάσετε. Και έτσι χειριζόμαστε αυτό - τα χειριζόμαστε μέσω προτύπων και αναζητούμε τρόπους στο μέλλον εδώ για να το κάνουμε αυτό εύκολα επεκτάσιμο και γρήγορα. Διότι, όταν κάνανε τον έλεγχο, ξέρετε, τα πράγματα αλλάζουν. Ένας ελεγκτής θα έρθει ένα μήνα και τον επόμενο μήνα θέλουν να δουν κάτι διαφορετικό. Τότε αυτή είναι μια από τις προκλήσεις με τα εργαλεία, είναι σε θέση να κάνει αυτές τις αλλαγές και να πάρει αυτό που χρειάζεστε, και αυτό είναι, είδος, όπου θέλουμε να φτάσουμε.
Dez Blanchfield: Υποθέτω ότι η πρόκληση ενός ελεγκτή αλλάζει σε τακτική βάση, δεδομένου ότι ο κόσμος κινείται γρηγορότερα. Και μια φορά την φορά η απαίτηση από άποψη ελέγχου, από την εμπειρία μου, θα ήταν απλά εμπορική συμμόρφωση, και στη συνέχεια έγινε τεχνική συμμόρφωση και τώρα είναι λειτουργική συμμόρφωση. Και υπάρχουν όλα αυτά τα άλλα, ξέρετε, κάθε μέρα κάποιος εμφανίζεται και δεν σας μετρά μόνο σε κάτι όπως η λειτουργία ISO 9006 και 9002, εξετάζουν όλα τα είδη των πραγμάτων. Και βλέπω τώρα ότι οι σειρές 38.000 γίνονται ένα μεγάλο πράγμα στο ISO. Φαντάζομαι ότι πρόκειται απλώς να γίνει όλο και πιο δύσκολο. Είμαι έτοιμος να παραδώσει τον Robin, επειδή έχω hogging το εύρος ζώνης.
Σας ευχαριστώ πολύ που βλέπετε αυτό, και σίγουρα θα περάσω περισσότερο χρόνο για να το γνωρίσω, γιατί δεν συνειδητοποίησα πραγματικά ότι ήταν πραγματικά αυτό το βάθος. Γι 'αυτό, ευχαριστώ, Ignacio, θα δώσω τώρα στον Robin. Μια μεγάλη παρουσίαση, σας ευχαριστώ. Ρόμπιν, απέναντί σου.
Δρ Robin Bloor: Εντάξει, Iggy, θα σας καλέσω Iggy, αν αυτό είναι εντάξει. Αυτό που μου έρχεται και νομίζω ότι, υπό το πρίσμα ορισμένων από τα πράγματα που είπε η Dez στην παρουσίασή του, υπάρχει ένα πάρα πολύ που συμβαίνει έξω εκεί που πρέπει να πείτε ότι οι άνθρωποι δεν φροντίζουν πραγματικά τα δεδομένα. Ξέρεις, ειδικά όταν έρχεται κάτω στο γεγονός ότι βλέπεις μόνο ένα μέρος του παγόβουνου και πιθανότατα συμβαίνει πολλά που κανείς δεν αναφέρει. Ενδιαφέρομαι για την προοπτική σας ως προς το πόσους από τους πελάτες που γνωρίζετε ή τους πιθανούς πελάτες που γνωρίζετε, έχουν το επίπεδο προστασίας που είστε, είδος, προσφέροντας όχι μόνο αυτό, αλλά και την τεχνολογία πρόσβασης δεδομένων σας; Θέλω να πω, ποιος έξω εκεί είναι κατάλληλα εξοπλισμένος για να αντιμετωπίσει την απειλή, είναι η ερώτηση;
Ignacio Rodriguez: Ποιος είναι κατάλληλα εξοπλισμένος; Θέλω να πω, πολλοί πελάτες που πραγματικά δεν έχουμε αντιμετωπίσει κανένα είδος ελέγχου, ξέρετε. Έχουν κάποια, αλλά το μεγάλο πράγμα προσπαθεί να συμβαδίσει με αυτό και να προσπαθεί να το διατηρήσει και να σιγουρευτεί. Το μεγάλο ζήτημα που έχουμε δει είναι - και έχω ακόμη και όταν έκανα τη συμμόρφωση, είναι - αν έτρεχε τα σενάριά σας, θα το κάνατε μία φορά κάθε τρίμηνο, όταν θα έμπαιναν οι ελεγκτές και θα βρήκες κάποιο πρόβλημα. Λοιπόν, μαντέψτε τι, αυτό είναι ήδη πολύ αργά, ο έλεγχος είναι εκεί, οι ελεγκτές είναι εκεί, θέλουν την έκθεσή τους, το σημαίνουν. Και τότε είτε θα έχουμε ένα σημάδι είτε μας είπαν, hey, πρέπει να διορθώσουμε αυτά τα ζητήματα και αυτό είναι που θα έμπαινε μέσα. Θα ήταν περισσότερο ένα ενεργητικό είδος όπου μπορείτε να βρείτε τον κίνδυνο και να μετριάσετε τον κίνδυνο και αυτό είναι τι αναζητούν οι πελάτες μας. Ένας τρόπος να είμαστε κάπως προληπτικοί σε αντίθεση με το να είμαστε αντιδραστικοί όταν έρθουν οι ελεγκτές και να βρούμε κάποιες από τις προσπελάσεις δεν είναι εκεί που πρέπει να είναι, άλλοι άνθρωποι έχουν διοικητικά προνόμια και δεν πρέπει να έχουν αυτά, αυτά τα είδη των πραγμάτων. Και από εκεί έχουμε δει πολλά σχόλια, που οι χρήστες σαν το εργαλείο και χρησιμοποιούν για.
Δρ. Robin Bloor: Εντάξει, μια άλλη ερώτηση που έχω που είναι, κατά μία έννοια, μια προφανής ερώτηση επίσης, αλλά είμαι απλώς περίεργος. Πόσοι άνθρωποι έρχονται πραγματικά σε σας μετά από ένα hack; Όπου γνωρίζετε, παίρνετε την επιχείρηση, όχι γιατί κοίταξαν το περιβάλλον τους και σκέφτηκαν ότι έπρεπε να εξασφαλιστούν με πολύ πιο οργανωμένο τρόπο, αλλά στην πραγματικότητα είσαι εκεί απλά επειδή έχουν ήδη υποστεί μερικές από τις πόνος.
Ignacio Rodriguez: Στην εποχή μου εδώ στο IDERA δεν έχω δει κανένα. Για να είμαι ειλικρινής μαζί σας, το μεγαλύτερο μέρος της αλληλεπίδρασης που είχα με τους πελάτες με τους οποίους ασχολήθηκα είναι περισσότερο προσβλέπουσα και προσπαθώντας να ξεκινήσω τον έλεγχο και να αρχίσω να εξετάζω προνόμια κ.λπ. Όπως είπα, έχω τον εαυτό μου, δεν είχα βιώσει την εποχή μου εδώ, ότι είχαμε κάποιον που έρχεται μετά την παραβίαση που ξέρω.
Δρ Robin Bloor: Ω, αυτό είναι ενδιαφέρον. Θα πίστευα ότι θα υπήρχαν τουλάχιστον μερικές. Εξετάζω πραγματικά αυτό, αλλά και προσθέτοντας σε αυτό, όλες τις πολυπλοκότητες που καθιστούν πραγματικά ασφαλή τα δεδομένα σε όλη την επιχείρηση με κάθε τρόπο και σε κάθε δραστηριότητα που κάνετε. Προσφέρετε άμεσα συμβουλευτικές υπηρεσίες για να βοηθήσετε τους ανθρώπους; Θέλω να πω, είναι σαφές ότι μπορείτε να αγοράσετε εργαλεία, αλλά από την εμπειρία μου, συχνά οι άνθρωποι αγοράζουν εξελιγμένα εργαλεία και τα χρησιμοποιούν πολύ άσχημα. Προσφέρετε συγκεκριμένη συμβουλευτική - τι να κάνετε, ποιον να εκπαιδεύσετε και τέτοια πράγματα;
Ignacio Rodriguez: Υπάρχουν κάποιες υπηρεσίες που θα μπορούσατε, όσον αφορά τις υπηρεσίες υποστήριξης, που θα επιτρέψουν κάποια από αυτά να συμβούν. Όμως, όσον αφορά τη συμβουλευτική, δεν παρέχουμε συμβουλευτικές υπηρεσίες, αλλά εκπαίδευση, ξέρετε, πώς να χρησιμοποιήσετε τα εργαλεία και τέτοια πράγματα, μερικά από τα οποία θα αντιμετωπίζονταν με το επίπεδο υποστήριξης. Αλλά από μόνο του δεν έχουμε ένα τμήμα υπηρεσιών που να βγαίνει και να το κάνει αυτό.
Δρ Robin Bloor: Εντάξει. Από την άποψη της βάσης δεδομένων που καλύπτετε, η παρουσίαση εδώ αναφέρει μόνο τον Microsoft SQL Server - κάνετε και την Oracle;
Ignacio Rodriguez: Θα επεκταθούμε στην περιοχή της Oracle με το Compliance Manager πρώτα. Θα ξεκινήσουμε ένα έργο με αυτό, έτσι θα εξετάσουμε την επέκταση αυτού του σε Oracle.
Δρ Robin Bloor: Και είναι πιθανό να πάτε αλλού;
Ignacio Rodriguez: Ναι, αυτό είναι κάτι που πρέπει να εξετάσουμε στους οδικούς χάρτες και να δούμε πώς είναι τα πράγματα, αλλά αυτό είναι μερικά από τα πράγματα που εξετάζουμε, είναι ό, τι χρειάζονται άλλες πλατφόρμες βάσης δεδομένων για να επιτεθούν.
Δρ. Robin Bloor: Μου άρεσε και ο διαχωρισμός, δεν έχω καμιά προκαταρκτική εικόνα γι 'αυτό, αλλά από την άποψη της ανάπτυξης, πόσο από αυτά είναι στην πραγματικότητα αναπτυχθεί στο σύννεφο, ή είναι σχεδόν όλα στην υπόθεση ;
Ignacio Rodriguez: Όλοι οι επί τόπου. Εξετάζουμε την επέκταση της Secure και για την κάλυψη του Azure, ναι.
Δρ. Robin Bloor: Αυτό ήταν το Azure ερώτημα, δεν είσαι ακόμα εκεί αλλά πηγαίνεις εκεί, έχει πολύ νόημα.
Ignacio Rodriguez: Ναι, θα πάμε εκεί πολύ σύντομα.
Δρ. Robin Bloor: Ναι, λοιπόν, η κατανόησή μου από τη Microsoft είναι ότι υπάρχει πάρα πολλή δράση με τον Microsoft SQL Server στην Azure. Γίνεται, αν θέλετε, ένα βασικό μέρος του τι προσφέρουν. Η άλλη ερώτηση που σας ενδιαφέρει - δεν είναι τεχνική, είναι περισσότερο σαν μια ερώτηση πώς-κάνετε-εσείς-ασχολείστε - ποιος είναι ο αγοραστής γι 'αυτό; Απευθύνεστε στο τμήμα πληροφορικής ή απευθύνονται σε οργανώσεις της κοινωνίας των πολιτών ή είναι διαφορετική ποικιλία ανθρώπων; Όταν εξετάζεται κάτι τέτοιο, είναι μέρος της εξέτασης μιας ολόκληρης σειράς πράξεων για την εξασφάλιση του περιβάλλοντος; Ποια είναι η κατάσταση εκεί;
Ignacio Rodriguez: Είναι ένα μείγμα. Έχουμε ΟΚΠ, πολλές φορές η ομάδα πωλήσεων θα φτάσει έξω και θα μιλήσει με DBAs. Και στη συνέχεια οι DBAs, και πάλι, έχουν ναυλωθεί με τη λήψη κάποιου είδους πολιτικές διαδικασία ελέγχου. Και από εκεί θα αξιολογήσουν τα εργαλεία και θα αναφέρουν την αλυσίδα και θα αποφασίσουν ποιο μέρος θέλουν να αγοράσουν. Αλλά είναι μια μικτή τσάντα του ποιος θα επικοινωνήσει μαζί μας.
Δρ Robin Bloor: Εντάξει. Νομίζω ότι θα επιστρέψω στον Eric τώρα επειδή έχουμε, κάπως, κάνει την ώρα, αλλά μπορεί να υπάρχουν κάποιες ερωτήσεις στο κοινό. Eric;
Eric Kavanagh: Ναι, βέβαια, κάναμε πολύ καλό περιεχόμενο εδώ. Εδώ είναι μια πραγματικά καλή ερώτηση που θα σας πετάξω από έναν από τους συμμετέχοντες. Μιλάει για το blockchain και για τι μιλάς και αυτός ρωτάει, υπάρχει ένας πιθανός τρόπος για να μεταναστεύσει ένα μέρος μόνο μιας ανάγνωσης μιας βάσης δεδομένων SQL σε κάτι παρόμοιο με αυτό που προσφέρει το blockchain; Είναι κάπως σκληρό.
Ignacio Rodriguez: Ναι, θα είμαι ειλικρινής μαζί σας, δεν έχω απάντηση σε αυτό.
Eric Kavanagh: Θα το πετάξω στον Robin. Δεν ξέρω αν άκουσα αυτή την ερώτηση, Robin, αλλά απλά ρωτάει, υπάρχει κάποιος τρόπος να μετεγκατασταθεί το τμήμα της βάσης δεδομένων μόνο για ανάγνωση σε κάτι παρόμοιο με αυτό που προσφέρει το blockchain; Τι πιστεύετε γι 'αυτό;
Δρ. Robin Bloor: Είναι σαν να μεταφέρετε τη βάση δεδομένων και να μεταφέρετε την κίνηση της βάσης δεδομένων. Υπάρχει μια ολόκληρη σειρά πολυπλοκότητας που εμπλέκονται στο να γίνει αυτό. Αλλά δεν θα το κάνατε για οποιονδήποτε άλλο λόγο παρά για να καταστήσετε τα δεδομένα απαραβίαστα. Επειδή μια μπλοκ αλυσίδα θα είναι πιο αργή για την πρόσβαση, έτσι, ξέρετε, αν η ταχύτητα είναι το πράγμα σας - και σχεδόν πάντα είναι το πράγμα - τότε δεν θα το κάνατε. Αλλά αν θέλατε να παράγετε, σε κάποιο βαθμό, κρυπτογραφημένη πρόσβαση σε κάποιο μέρος σε άτομα που κάνουν τέτοιου είδους πράγματα, θα μπορούσατε να το κάνετε, αλλά θα έπρεπε να έχετε έναν πολύ καλό λόγο. Είστε πολύ πιο πιθανό να το αφήσετε εκεί που είναι και να το ασφαλίσετε όπου είναι.
Dez Blanchfield: Ναι, συμφωνώ σε αυτό, αν μπορώ να ζυγίσω γρήγορα. Νομίζω ότι η πρόκληση του blockchain, ακόμα και του blockchain που είναι δημόσια εκεί έξω, χρησιμοποιείται για το bitcoin - το βρίσκουμε δύσκολο να το κατατάξουμε πέραν των τεσσάρων συναλλαγών σε ένα λεπτό με πλήρη κατανεμημένο τρόπο. Όχι μόνο εξαιτίας της πρόβλεψης υπολογισμών, αν και είναι εκεί, οι πλήρεις κόμβοι το βρίσκουν δύσκολο να συμβαδίσει με τους όγκους της βάσης δεδομένων που κινούνται προς τα πίσω και προς τα εμπρός και το ποσό των δεδομένων που αντιγράφονται επειδή είναι συναυλίες τώρα, όχι μόνο τα megs.
Αλλά επίσης, νομίζω ότι η βασική πρόκληση είναι να αλλάξετε την αρχιτεκτονική της εφαρμογής, επειδή σε μια βάση δεδομένων πρόκειται κατά κύριο λόγο να φέρετε τα πάντα σε μια κεντρική τοποθεσία και έχετε αυτό το μοντέλο τύπου client-server. Το blockchain είναι το αντίστροφο. πρόκειται για κατανεμημένα αντίγραφα. Είναι περισσότερο όπως το BitTorrent με πολλούς τρόπους, και αυτό είναι ότι πολλά αντίγραφα είναι έξω από τα ίδια δεδομένα. Και, όπως γνωρίζετε, όπως οι βάσεις δεδομένων της Cassandra και της μνήμης όπου τη διανέμετε, και πολλοί διακομιστές μπορούν να σας δώσουν αντίγραφα των ίδιων δεδομένων από ένα κατανεμημένο ευρετήριο. Νομίζω ότι τα δύο βασικά μέρη, όπως είπατε, ο Robin, είναι: ένα, εάν θέλετε να το εξασφαλίσετε και να βεβαιωθείτε ότι δεν μπορεί να κλαπεί ή να πειραχτεί, αυτό είναι μεγάλο, αλλά δεν είναι απαραίτητα μια συναλλακτική πλατφόρμα ακόμα και εμείς 'έχω βιώσει αυτό με το έργο bitcoin. Αλλά θεωρητικά άλλοι το έχουν λύσει. Αλλά επίσης, αρχιτεκτονικά πολλές από τις εφαρμογές εκεί έξω απλά δεν ξέρουν πώς να ζητήσουν και να διαβάσουν από ένα blockchain.
Υπάρχει πολλή δουλειά που πρέπει να γίνει εκεί. Αλλά νομίζω ότι το βασικό σημείο με την ερώτηση εκεί, μόνο κι αν μπορώ, είναι η λογική της μετακίνησης σε ένα blockchain, νομίζω ότι το ερώτημα που τίθεται είναι, μπορείτε να πάρετε τα δεδομένα από μια βάση δεδομένων και να τα βάζετε σε κάποια μορφή που είναι πιο ασφαλής? Και η απάντηση είναι ότι μπορείτε να την αφήσετε στη βάση δεδομένων και να την κρυπτογραφήσετε. Υπάρχουν πολλές τεχνολογίες τώρα. Απλά κρυπτογραφείτε τα δεδομένα σε ηρεμία ή σε κίνηση. Δεν υπάρχει κανένας λόγος για τον οποίο δεν μπορείτε να έχετε κρυπτογραφημένα δεδομένα στη μνήμη και στη βάση δεδομένων στο δίσκο, κάτι που είναι πολύ απλούστερη πρόκληση επειδή δεν έχετε μια ενιαία αρχιτεκτονική αλλαγή. Πάντα οι περισσότερες πλατφόρμες βάσεων δεδομένων, είναι στην πραγματικότητα μόνο ένα χαρακτηριστικό που ενεργοποιείται.
Eric Kavanagh: Ναι, έχουμε μια τελευταία ερώτηση που θα σας πετάξω, την Iggy. Είναι πολύ καλό. Από τη σκοπιά του SLA και του σχεδιασμού χωρητικότητας, τι είδους φόρος υπάρχει μέσω του συστήματός σας; Με άλλα λόγια, οποιαδήποτε πρόσθετη λανθάνουσα ή γενική επιβάρυνση εάν, σε ένα σύστημα βάσης δεδομένων παραγωγής, κάποιος θέλει να εμπλέξει την τεχνολογία IDERA εδώ;
Ignacio Rodriguez: Δεν βλέπουμε πραγματικά μεγάλο αντίκτυπο. Και πάλι, είναι ένα μη πρακτικό προϊόν και όλα εξαρτώνται από, όπως ανέφερα προηγουμένως, τα στιγμιότυπα. Το Secure βασίζεται σε στιγμιότυπα. Θα πάει εκεί έξω και στην πραγματικότητα θα δημιουργήσει μια δουλειά που θα πάει εκεί με βάση τα διαστήματα που έχετε επιλέξει. Είτε θέλετε να το κάνετε, πάλι, εβδομαδιαία, ημερήσια, μηνιαία. Θα πάει εκεί έξω και θα εκτελέσει αυτή τη δουλειά και στη συνέχεια θα συλλέξει τα δεδομένα από τις περιπτώσεις. Σε εκείνο το σημείο τότε το φορτίο επανέρχεται στις υπηρεσίες διαχείρισης και συλλογής, μόλις αρχίσετε να κάνετε τις συγκρίσεις και όλα αυτά, το φορτίο της βάσης δεδομένων δεν παίζει ρόλο σε αυτό. Όλο αυτό το φορτίο είναι τώρα στο διακομιστή διαχείρισης και συλλογής, όσον αφορά τις συγκρίσεις και όλες τις αναφορές και όλα αυτά. Η μόνη φορά που χτυπάς τη βάση δεδομένων είναι πάντα όταν κάνει το πραγματικό snapshotting. Και δεν είχαμε πραγματικά αναφορές για το ότι είναι πραγματικά επιζήμιο για τα περιβάλλοντα παραγωγής.
Eric Kavanagh: Ναι, αυτό είναι ένα πολύ καλό σημείο που κάνετε εκεί. Βασικά, μπορείτε απλά να ρυθμίσετε πόσα στιγμιότυπα που έχετε τραβήξει ποτέ, τι χρονικό διάστημα είναι και ανάλογα με το τι μπορεί να συμβεί, αλλά αυτή είναι μια πολύ έξυπνη αρχιτεκτονική. Αυτό είναι καλό, άνθρωπος. Λοιπόν εσείς είστε έξω στα frontlines προσπαθώντας να μας προστατεύσετε από όλους τους hackers που μιλήσαμε στα πρώτα 25 λεπτά της εκπομπής. Και είναι έξω εκεί, οι λαοί, δεν κάνουν λάθος.
Λοιπόν, ακούστε, θα δημοσιεύσουμε έναν σύνδεσμο προς αυτό το webcast, τα αρχεία, στο site μας insideanalysis.com. Μπορείτε να βρείτε υλικό στο SlideShare, μπορείτε να το βρείτε στο YouTube. Και παιδιά, καλό πράγμα. Ευχαριστώ για το χρόνο σας, Iggy, μου αρέσει το ψευδώνυμό σας, παρεμπιπτόντως. Με αυτό θα σας αποχαιρετήσουμε, παιδιά. Σας ευχαριστώ πολύ για το χρόνο και την προσοχή σας. Θα σας καλύψουμε την επόμενη φορά. Αντίο.