Av Techopedia Staff, 10 maj 2017
Takeaway: Värd Eric Kavanagh diskuterar säkerhet och behörigheter med Dr. Robin Bloor och IDERA: s Vicky Harp.
Du är för närvarande inte inloggad. Logga in eller registrera dig för att se videon.
Eric Kavanagh: OK, mina damer och herrar, hej och välkommen tillbaka igen. Det är en onsdag, det är fyra östra och i världen av företagsteknik som betyder att det är dags igen för Hot Technologies! Ja verkligen. Presenteras av Bloor Group naturligtvis, drivs av våra vänner på Techopedia. Ämnet för idag är väldigt coolt: "Bättre att be om tillstånd: Bästa praxis för integritet och säkerhet." Det stämmer, det är ett tufft ämne, många pratar om det, men det är ganska allvarligt och det blir verkligen mer allvarligt varje dag, helt uppriktigt. Det är en allvarlig fråga på många sätt för många organisationer. Vi ska prata om det och vi kommer att prata om vad du kan göra för att skydda din organisation från de besvärliga karaktärerna som verkar vara överallt i dessa dagar.
Så dagens presentatör är Vicky Harp som ringer in från IDERA. Du kan se IDERA-programvaran på LinkedIn - jag älskar den nya funktionen på LinkedIn. Även om jag kan säga att de drar några strängar på vissa sätt, inte låter dig komma åt människor, försöker få dig att köpa dessa premiummedlemskap. Där går du, vi har vår helt egen Robin Bloor som ringer in - han är faktiskt i San Diego-området idag. Och din verkligen som din moderator / analytiker.
Så vad pratar vi om? Dataöverträdelser. Jag tog just denna information från IdentityForce.com, den är redan igång till tävlingarna. Vi är i maj naturligtvis i år, och det finns bara massor av dataöverträdelser, det finns några riktigt enorma, naturligtvis, av Yahoo! var en stor, och vi hörde naturligtvis att USA: s regering hackades. Vi hade bara hackat det franska valet.
Detta händer överallt, det fortsätter och det kommer inte att stoppa, så det är en verklighet, det är den nya verkligheten, som de säger. Vi behöver verkligen fundera över sätt att säkerställa säkerheten i våra system och våra uppgifter. Och det är en pågående process, så det är precis i tid att tänka på alla de olika frågorna som spelar in. Detta är bara en delvis lista, men det ger dig ett perspektiv på hur osäker situationen är i dag med företagssystem. Och före den här showen, i vår pre-show skämtar vi talade om ransomware som har drabbat någon jag känner, vilket är en mycket obehaglig upplevelse, när någon tar över din iPhone och kräver pengar för dig att få åtkomst till din telefon. Men det händer, det händer med datorer, det händer med system, jag såg just häromdagen, det händer med miljardärer med sina båtar. Föreställ dig att åka till din yacht en dag, försöka imponera på alla dina vänner och du kan inte ens slå på den, för någon tjuv har stulit åtkomst till kontrollerna, kontrollpanelen. Jag sa just häromdagen i en intervju till någon, har alltid den manuella åsidosättningen. Jag är inte ett stort fan av alla anslutna bilar - även bilar kan hackas. Allt som är anslutet till internet eller anslutet till ett nätverk som kan penetreras kan hackas, vad som helst.
Så här är bara några saker att tänka på när det gäller att inrama sammanhanget för hur allvarlig situationen är. Webbaserade system finns överallt i dessa dagar, de fortsätter att spridas. Hur många köper saker online? Det är bara genom taket i dessa dagar, det är därför Amazon är en så kraftfull kraft i dessa dagar. Det beror på att så många människor köper saker online.
Så kommer du ihåg då, för 15 år sedan, människor var ganska nervösa för att lägga in sitt kreditkort i ett webbformulär för att få sin information, och då var argumentet: ”Tja, om du lämnar ditt kreditkort till en servitör på en restaurang, då är det samma sak. ”Så, vårt svar är ja, det är samma sak, det finns alla dessa kontrollpunkter, eller åtkomstpunkter, samma sak, olika sidor av samma mynt, där människor kan placeras i fara, där någon kan ta dina pengar, eller någon kan stjäla från dig.
Då utvidgar IoT givetvis hotbilden - jag älskar det ordet - med storleksordrar. Jag menar, tänk på det - med alla dessa nya enheter överallt, om någon kan hacka till ett system som kontrollerar dem, kan de vända alla dessa bots mot dig och orsaka massor av problem, så det är en mycket allvarlig fråga. Vi har en global ekonomi i dag, som utökar hotbilden ännu mer, och dessutom har du människor i andra länder som kan komma åt webben på samma sätt som du och jag kan, och om du inte vet hur man talar ryska, eller valfritt antal andra språk, kommer du att ha svårt att förstå vad som händer när de hackar till ditt system. Så vi har framsteg inom nätverk och virtualisering, det är bra.
Men jag har på höger sida om den här bilden här, ett svärd och anledningen till att jag har det där är för att varje svärd klipper båda vägarna. Det är ett dubbelkantigt svärd, som de säger, och det är en gammal kliché, men det betyder att svärdet jag har kan skada dig eller att det kan skada mig. Det kan komma tillbaka på mig, antingen genom att studsa tillbaka eller genom att någon tar det. Det är faktiskt ett av Aesops fabler - vi ger ofta våra fiender verktygen för vår egen förstörelse. Det är verkligen ganska övertygande historia och har att göra med någon som använde en båge och pil och sköt ner en fågel och fågelsagen, när pilen var på väg upp, att fjädern från en dess fågelvänner var på kanten av pilen, på baksidan av pilen för att vägleda den, och han tänkte till sig själv, "Åh man, här är det, mina egna fjädrar, min egen familj kommer att användas för att ta mig ner." Det händer hela tiden, hör du statistik om att du har en pistol i huset, tjuven kan ta pistolen. Det här är allt sant. Så jag kastar det här som en analogi bara för att överväga, alla dessa olika utvecklingar har positiva sidor och negativa sidor.
Och talar om, containrar för er av er som verkligen följer banbrytande företags computing, containrar är det senaste, senaste sättet att leverera funktionalitet, det är verkligen äktenskapet med virtualisering i den serviceorienterade arkitekturen, åtminstone för mikroservicen och det är mycket intressanta grejer. Du kan verkligen dölja dina säkerhetsprotokoll och dina applikationsprotokoll och dina data och så vidare genom att använda containrar, och det ger dig ett förskott under en tid, men förr eller senare kommer de dåliga killarna att räkna ut det, och då kommer det att bli ännu svårare att förhindra att de utnyttjar dina system. Så det finns det, det finns global arbetskraft som komplicerar nätverket och säkerheten, och var människor loggar in från.
Vi har webbläsarkrig som fortsätter snabbt och kräver ständigt arbete för att uppdatera och hålla oss uppdaterade. Vi fortsätter att höra om de gamla webbläsarna i Microsoft Explorer, hur de hackades och finns där. Så det finns mer pengar att tjäna på att hacking i dag, det finns en hel bransch, det här är något som min partner, Dr. Bloor, lärde mig för åtta år sedan - jag undrade varför ser vi så mycket av det, och han påminde mig, det är en hel bransch som är involverad i hacking. Och i den meningen är berättelsen, som är ett av mina minst favoritord om säkerhet, verkligen väldigt oärligt, eftersom berättelsen visar dig i alla dessa videor och alla typer av nyhetsberättelser, något hacking de visar någon kille i en hoodie, sittande i hans källare i ett mörkt upplyst rum är det inte alls fallet. Det är inte alls representativt för verkligheten. Det är ensamma hackare, det finns väldigt få ensamma hackare, de är ute, de orsakar några problem - de kommer inte att orsaka stora problem, men de kan tjäna en hel del pengar. Så vad som händer är att hackarna kommer in och tränger igenom ditt system och sedan säljer den tillgången till någon annan, som vänder sig och säljer den till någon annan, och sedan någonstans längs linjen utnyttjar någon det hacket och drar nytta av dig. Och det finns otaliga sätt att dra nytta av stulna data.
Jag har till och med undrat mig över hur vi har glamoriserat detta koncept. Du ser detta begrepp överallt, "tillväxthackning" som om det är bra. Tillväxthackning, du vet, hacking kan vara bra, om du försöker arbeta för de goda killarna så att säga och hacka in i ett system, som vi fortsätter att höra om med Nordkorea och deras missilutskott, eventuellt hackas - det är bra. Men hacking är ofta en dålig sak. Så nu glamoriserar vi det, nästan som Robin Hood, när vi glamoriserade Robin Hood. Och sedan finns det kontantlösa samhället, något som ärligt talat berör dagsljuset från mig. Allt jag tror varje gång jag hör det är: ”Nej, snälla gör det inte! Snälla inte! ”Jag vill inte att alla våra pengar ska försvinna. Så det här är bara några frågor att tänka på, och återigen är det ett katt-och-mus-spel; det kommer aldrig att stoppa, det kommer alltid att finnas ett behov av säkerhetsprotokoll och för att främja säkerhetsprotokoll. Och för att övervaka dina system för att ens veta och avkänna vem som är där ute, med förståelsen att det till och med kan vara ett inre jobb. Så det är en pågående fråga, det kommer att vara en pågående fråga under ganska lång tid - gör inga misstag med det.
Och med det ska jag överlämna det till Dr. Bloor, som kan dela med oss några tankar om att säkra databaser. Robin, ta bort den.
Robin Bloor: OK, en av de intressanta hackarna, jag tror att det inträffade för cirka fem år sedan, men i princip var det ett kortbehandlingsföretag som hackades. Och ett stort antal kortinformation stalna. Men det intressanta med det, för mig, var det faktum att det var testdatabasen som de faktiskt kom in i, och det var förmodligen så att de hade mycket svårt att komma in i den verkliga, verkliga databasen för behandlingskort. Men du vet hur det är med utvecklare, de tar bara en bit av en databas, skjuter in den där. Det hade varit att ha varit mycket mer vaksam för att stoppa det. Men det finns massor av intressanta hackhistorier, det gör i ett område, det gör ett mycket intressant ämne.
Så jag ska faktiskt, på ett eller annat sätt, upprepa några av de saker som Eric sa, men det är lätt att tänka på datasäkerhet som ett statiskt mål; det är lättare bara för att det är lättare att analysera statiska situationer och sedan tänka på att sätta in försvar, försvar där, men det är det inte. Det är rörligt mål och det är en av de saker som den typen definierar hela säkerhetsutrymmet. Det är precis på det sättet som all teknik utvecklas, också de dåliga killarnas teknik utvecklas. Så kort översikt: Datastöld är inget nytt, faktiskt är dataspionage datastöld och det har pågått i tusentals år, tror jag.
Den största datainsamlingen i dessa termer var briterna som bryter de tyska koderna och amerikanerna som bröt de japanska koderna, och i båda fallen förkortade de kriget väldigt mycket. Och de stjal bara användbara och värdefulla data, det var naturligtvis mycket smart, men du vet, vad som händer just nu är väldigt smart på många sätt. Cyberstöld föddes med internet och exploderade runt 2005. Jag gick och tittade på all statistik och när du började bli riktigt allvarlig, eller på något sätt, anmärkningsvärt höga siffror från och med 2005. Det har bara blivit värre sedan sedan. Många spelare, regeringar är involverade, företag är involverade, hackergrupper och individer.
Jag åkte till Moskva - det måste ha varit ungefär fem år - och jag tillbringade faktiskt mycket tid med en kille från Storbritannien, som undersöker hela hackutrymmet. Och han sa det - och jag har ingen aning om detta är sant, jag har bara fått sitt ord för det, men det låter mycket troligt - att i Ryssland finns det något som heter Business Network, som är en grupp hackare som alla är, du vet, de kom ut från ruinerna av KGB. Och de säljer sig själva, inte bara, jag menar, jag är säker på att den ryska regeringen använder dem, men de säljer sig själva till vem som helst, och det ryktes, eller han sade att det ryktes, att olika utländska regeringar använde affärsnätverket för plausibel förnöjbarhet. Dessa killar hade nätverk med miljoner komprometterade datorer som de kunde attackera från. Och de hade alla verktygen du kan föreställa dig.
Så tekniken för attack och försvar utvecklades. Och företag har en omsorgsplikt över sina uppgifter, oavsett om de äger dem eller inte. Och det börjar bli mycket tydligare när det gäller de olika reglerna som redan är i kraft eller träder i kraft. Och förmodligen att förbättra, någon är på ett eller annat sätt, måste någon bära kostnaderna för att hacking på ett sådant sätt att de stimuleras att stänga av möjligheten. Det är en av de saker som jag antar är nödvändig. Så om hackarna kan de vara placerade var som helst. Särskilt inom din organisation - mycket fruktansvärda hackar som jag har hört talas om att någon öppnade dörren. Du vet, personen, det är som bankrånarsituationen, nästan alltid brukade de säga i goda bankrån att det finns en insider. Men insideren behöver bara ge ut information, så det är svårt att få dem, att veta vem det var, och så vidare.
Och det kan vara svårt att väcka dem för rättvisa, för om du har hackats av en grupp människor i Moldavien, även om du vet att det var den gruppen, hur tänker du göra någon form av laglig händelse kring dem? Det är typ av, från en jurisdiktion till en annan, det är bara, det finns inte en mycket bra uppsättning internationella arrangemang för att fästa hackarna. De delar teknik och information; mycket av det är öppen källkod. Om du vill bygga ditt eget virus finns det massor av viruspaket där ute - helt öppen källkod. Och de har stora resurser, det har funnits ett antal som har haft botnät i mer än en miljon komprometterade enheter i datacentra och på datorer och så vidare. Vissa är lönsamma företag som har pågått länge, och sedan finns det regeringsgrupper, som jag nämnde. Det är osannolikt, som Eric sa, det är osannolikt att detta fenomen någonsin kommer att ta slut.
Så det här är ett intressant hack, jag trodde bara att jag skulle nämna det, för det var en ganska ny hack; det hände förra året. Det var en sårbarhet i DAO-kontraktet förknippat med Etherium-kryptomyntet. Och det diskuterades på ett forum, och inom en dag hackades DAO-kontraktet med exakt användning av den sårbarheten. 50 miljoner dollar i eter överfördes, vilket orsakade en omedelbar kris i DAO-projektet och stängde det. Och Etherium kämpade faktiskt för att försöka hålla hackaren från tillgång till pengarna, och de minskade på något sätt hans tag. Men man trodde också - inte känt med säkerhet - att hackaren faktiskt kortade priset på eter före sin attack, med vetskap om att priset på eter skulle kollapsa, och därmed gjorde vinst på ett annat sätt.
Och det är en annan, om du vill, stratagem som hackarna kan använda. Om de kan skada ditt aktiekurs, och de vet att de kommer att göra det, är det bara nödvändigt för dem att förkorta aktiekursen och göra hacket, så det är typ av, dessa killar är smarta, du vet. Och priset är direkt stöld av pengar, störningar och lösen, inklusive investeringar, där du stör och korta lager, sabotage, identitetsstöld, alla typer av bedrägerier, bara för reklamens skull. Och det tenderar att vara politisk, eller uppenbarligen, spionering av information, och det finns till och med människor som försörjer sig av bounties som du kan få genom att försöka hacka Google, Apple, Facebook - till och med Pentagon, ger faktiskt bounties. Och du hackar bara; om det är framgångsrikt, går du bara och ansöker om ditt pris, och ingen skada görs, så det är en trevlig sak, du vet.
Jag kan lika gärna nämna efterlevnad och reglering. Förutom sektorinitiativ finns det massor av officiella föreskrifter: HIPAA, SOX, FISMA, FERPA och GLBA är alla amerikanska lagar. Det finns standarder; PCI-DSS har blivit en ganska allmän standard. Och sedan finns ISO 17799 om ägandet av data. Nationella bestämmelser skiljer sig från land till land, även i Europa. Och för närvarande GDPR - Global Data, vad står det för? Den globala dataskyddsförordningen tror jag att den står för - men den träder i kraft nästa år, sade till. Och det intressanta med det är att det gäller över hela världen. Om du har 5 000 eller fler kunder, som du har personlig information om och de bor i Europa, kommer Europa faktiskt att ta dig till uppgiften, oavsett om ditt företag faktiskt har sitt huvudkontor eller var det verkar. Och påföljderna, den maximala påföljden är fyra procent av de årliga intäkterna, vilket bara är enormt, så det blir en intressant twist på världen när det träder i kraft.
Saker att tänka på, väl, DBMS-sårbarheter, det mesta av värdefull data sitter faktiskt i databaser. Det är värdefullt eftersom vi har lagt mycket tid på att göra det tillgängligt och organisera det väl och det gör det mer sårbart om du inte tillämpar rätt DBMS-värdepapper. Uppenbarligen, om du planerar för saker som det här, måste du identifiera vilka sårbara data som finns i hela organisationen, med tanke på att data kan vara sårbara av olika skäl. Det kan vara kunddata, men det kan också vara interna dokument som skulle vara värdefulla för spioneringsändamål och så vidare. Säkerhetspolitiken, särskilt när det gäller åtkomstsäkerhet - som under senare tid har varit mycket svag i de nya open source-sakerna - kommer kryptering mer i bruk eftersom den är ganska bunnsolid.
Kostnaden för ett säkerhetsöverträdelse visste de flesta inte, men om du faktiskt tittar på vad som hände med organisationer som har drabbats av säkerhetsöverträdelser, visar det sig att kostnaderna för ett säkerhetsöverträdelse ofta är mycket högre än du tror att det skulle vara . Och den andra saken att tänka på är attackytan, eftersom alla programvara var som helst, som körs med dina organisationer, utgör en attackyta. Så gör någon av enheterna, det gör data, oavsett hur de lagras. Det är allt, attackytan växer med tingenes internet, attackytan kommer förmodligen att fördubblas.
Så äntligen DBA och datasäkerhet. Datasäkerhet är vanligtvis en del av DBA: s roll. Men det är också samarbete. Och det måste vara föremål för företagspolitik, annars kommer det förmodligen inte att implementeras bra. Med det sagt tror jag att jag kan passera bollen.
Eric Kavanagh: Okej, låt mig ge nycklarna till Vicky. Och du kan dela din skärm eller flytta till dessa bilder, det är upp till dig, ta bort den.
Vicky Harp: Nej, jag börjar med dessa bilder, tack så mycket. Så ja, jag ville bara ta ett snabbt ögonblick och presentera mig själv. Jag är Vicky Harp. Jag är chef, produkthantering för SQL-produkter på IDERA-programvara, och för de av er som kanske inte känner till oss, har IDERA ett antal produktlinjer, men jag talar här för SQL Server-sidan. Och så gör vi prestandaövervakning, säkerhetskrav, säkerhetskopiering, administrationsverktyg - och det är bara en lista över dem. Och naturligtvis, det jag är här för att prata om idag är säkerhet och efterlevnad.
Huvuddelen av det jag vill prata om idag är inte nödvändigtvis våra produkter, men jag tänker visa några exempel på det senare. Jag ville prata med dig mer om databassäkerhet, några av hoten i världen för databassäkerhet just nu, några saker att tänka på och några av de inledande idéerna om vad du behöver titta på för att säkra din SQL Serverdatabaser och även för att se till att de överensstämmer med det regelverk som du kan bli föremål för, som nämnts. Det finns många olika förordningar. de går på olika branscher, olika platser runt om i världen, och det är saker att tänka på.
Så jag vill gärna ta ett ögonblick och prata om tillståndet för dataintrång - och inte att upprepa för mycket av det som redan har diskuterats här - jag tittade på denna Intel-säkerhetsstudie nyligen, och över deras - tror jag 1500 organisationer som de pratade med - de hade i genomsnitt sex säkerhetsöverträdelser, när det gäller överträdelser av dataförluster, och 68 procent av dem hade krävt offentliggörande i någon mening, så de påverkade aktiekursen, eller de var tvungna att göra lite kredit övervakning för sina kunder eller deras anställda etc.
En del intressant annan statistik är att interna aktörer som svarade för 43 procent av dessa. Så många tycker mycket om hackare och denna typ av skuggiga kvasistiska organisationer eller organiserad brottslighet etc., men interna aktörer agerar fortfarande direkt mot sina arbetsgivare, i en ganska hög andel av fallen. Och dessa är ibland svårare att skydda mot, eftersom människor kan ha legitima skäl att ha tillgång till den informationen. Ungefär hälften av detta var 43 procent av misstag i någon mening. Så, till exempel i fallet där någon tog data hem och sedan tappade reda på den informationen, vilket leder mig till denna tredje punkt, vilket är att saker till fysiska medier fortfarande var involverade i 40 procent av överträdelserna. Så det är USB-nycklar, det är människors bärbara datorer, det är faktiska media som brändes på fysiska skivor och tagits ut ur byggnaden.
Om du tänker på, har du en utvecklare som har en dev-kopia av din produktionsdatabas på sin bärbara dator? Sedan går de upp på ett plan och de stiger ur planet, och de får det kontrollerade bagaget och deras bärbara dator är stulen. Du har nu fått ett dataintrång. Du kanske inte nödvändigtvis tror att det är därför den bärbara datorn togs, den kanske inte dyker upp i naturen. Men det är fortfarande något som räknas som ett överträdelse, det kommer att kräva avslöjande, du kommer att få alla nedströmseffekterna av att ha förlorat den informationen, bara på grund av förlusten av det fysiska mediet.
Och det andra intressanta är att många tänker på kreditdata och kreditkortsinformation som den mest värdefulla, men det är inte riktigt fallet längre. Dessa uppgifter är värdefulla, kreditkortsnummer är användbara, men ärligt talat ändras dessa nummer mycket snabbt, medan människors personuppgifter inte ändras så snabbt. Något som den senaste nyheten, relativt nyligen, VTech, en leksakstillverkare, hade dessa leksaker som var designade för barn. Och folk skulle, de skulle ha sina barns namn, de skulle ha information om var barnen bor, de hade sina föräldrars namn, de hade fotografier av barnen. Inget av det var krypterat, eftersom det inte ansågs vara viktigt. Men deras lösenord var krypterade. Tja, när överträdelsen oundvikligen inträffade, säger du, "OK, så jag har en lista med barnnamn, deras föräldrars namn, där de bor - all denna information finns där ute, och du tänker att lösenordet var den mest värdefulla delen av det? ”Det var det inte; människor kan inte ändra dessa aspekter om deras personuppgifter, deras adress osv. Och så att informationen faktiskt är mycket värdefull och den måste skyddas.
Så ville prata om några av de saker som pågår, att bidra till hur dataintrång sker just nu. En av de stora hotspots, utrymmen just nu är socialteknik. Så folk kallar det phishing, det finns efterliknande osv. Där människor får tillgång till data, ofta genom interna aktörer, genom att bara övertyga dem om att de ska ha tillgång till det. Så härom dagen hade vi den här Google Docs-masken som pågår. Och vad det skulle hända - och jag fick faktiskt en kopia av det, även om jag lyckligtvis inte klickade på det - du fick e-post från en kollega och sa: ”Här är en Google Doc-länk; måste du klicka på det här för att se vad jag just delade med dig. ”Tja, att i en organisation som använder Google Docs, det är mycket konventionellt, kommer du att få dussintals av dessa förfrågningar per dag. Om du klickade på det, skulle det be dig om tillåtelse att få tillgång till det här dokumentet, och du kanske skulle säga: "Hej, det ser lite konstigt ut, men du vet, det ser legit ut också, så jag ska gå vidare och klicka på den, ”och så snart du gjorde det gav du den här tredje parten åtkomst till alla dina Google-dokument, och så skapade du den här länken för att denna externa aktör ska få tillgång till alla dina dokument på Google Drive. Detta ormade överallt. Det drabbade hundratusentals människor på några timmar. Och detta var i grunden en phishing-attack som Google själv slutade behöva stänga av, eftersom den var mycket väl genomförd. Folk föll för det.
Jag nämner här SnapChat HR-brottet. Det här var bara en enkel fråga om att någon skickade ett e-postmeddelande, föreställer sig att de var VD, e-postade till HR-avdelningen och sa: "Jag behöver att du skickar det här kalkylbladet." Och de trodde dem och de satte ett kalkylblad med 700 olika anställda "kompensationsinformation, deras hemadresser, etc., skickade den till den andra parten, det var inte verkställande direktören. Nu var uppgifterna ute, och all anställdas personliga, privata information var ute och var tillgänglig för utnyttjande. Så socialteknik är något som jag nämner i databasvärlden, eftersom det är något du kan försöka försvara dig genom utbildning, men du måste också komma ihåg att var du än har en person som interagerar med din teknik, och om du litar på deras goda bedömning för att förhindra ett strömavbrott, frågar du mycket av dem.
Människor gör misstag, människor klickar på saker som de inte borde ha, människor faller för smarta rusk. Och du kan försöka mycket hårt för att skydda dem mot det, men det är inte tillräckligt starkt, du måste försöka begränsa förmågan för människor att av misstag ge ut denna information i dina databasesystem. Det andra jag ville nämna att uppenbarligen vi talar mycket om är ransomware, botnät, virus - alla dessa olika automatiserade sätt. Och vad jag tycker är viktigt att förstå om ransomware är att det verkligen ändrar vinstmodellen för angripare. Om du pratar om ett överträdelse måste de på något sätt extrahera data och ha det för sig själva och använda dem. Och om dina data är otydliga, om de är krypterade, om de är branschspecifika, kanske de inte har något värde för det.
Fram till denna tidpunkt kanske människor har känt att det var ett skydd för dem, ”Jag behöver inte skydda mig mot ett dataintrång, för om de kommer att komma in i mitt system, allt de kommer att ha är, jag är en fotograferingsstudio, jag har en lista över vem som kommer att komma på vilka dagar för nästa år. Vem bryr sig om det? ”Det visar sig att svaret är att du bryr dig om det; du lagrar den informationen, det är din affärskritiska information. Så med hjälp av ransomware kommer en angripare att säga, "Nå, ingen annan kommer att ge mig pengar för det här, men du kommer att göra det." Så de utnyttjar det faktum att de inte ens behöver ta ut uppgifterna, de don ' t måste till och med ha ett överträdelse, de behöver bara använda säkerhetsverktyg offensivt mot dig. De kommer in i din databas, de krypterar innehållet i den, och sedan säger de: ”OK, vi har lösenordet, och du måste betala oss 5 000 dollar för att få det lösenordet, annars har du bara inte denna information längre. ”
Och folk betalar upp; de tycker att de måste göra det. MongoDB hade ett slags stort problem för ett par månader sedan, antar jag att det var i januari, där ransomware drabbades, tror jag, över en miljon MongoDB-databaser de har offentligt på internet, baserat på vissa standardinställningar. Och det som gjorde det ännu värre är att människor betalade och så andra organisationer skulle komma in och kryptera eller hävda att ha varit de som ursprungligen hade krypterat det, så när du betalade dina pengar, och jag tror i så fall att de var efterfrågan på något som 500 dollar, skulle folk säga, ”OK, jag skulle betala mer än det för att betala en forskare för att komma in här för att hjälpa mig ta reda på vad som gick fel. Jag ska bara betala 500 dollar. ”Och de betalade inte ens det till rätt skådespelare, så de skulle gå på stapel med tio olika organisationer som sa till dem, ” Vi har lösenordet ”eller” Vi har fick vägen för dig att låsa upp dina lösta data. ”Och du måste betala dem alla för att möjligen få dem att fungera.
Det har också förekommit fall där ransomware-författarna hade buggar, jag menar, vi pratar inte om att det är en perfekt situation över bordet, så även när den har attackerats, även när du har betalat, finns det ingen garanti för att du är kommer att få tillbaka alla dina data, en del av detta kompliceras också med vapeninfo InfoSec-verktyg. Så Shadow Brokers är en grupp som har läckt ut verktyg från NSA. De var verktyg utformade av myndigheterna för spionage och fungerar faktiskt mot andra statliga enheter. Några av dessa har varit riktigt högprofilerade nolldagarsattacker, som i princip gör att de kända säkerhetsprotokollen bara faller åt sidan. Och så fanns det en stor sårbarhet i SMB-protokollet, till exempel i en av de senaste Shadow Brokers dumpning.
Och så kan dessa verktyg som kommer ut här inom några timmar verkligen förändra spelet på dig när det gäller din attackyta. Så när jag tänker på det så är det något som på organisatorisk nivå, säkerhetsinfoSec är dess egen funktion, det måste tas på allvar. När vi pratar om databaser kan jag ta ner det lite, du behöver inte nödvändigtvis ha som databasadministratör full förståelse för vad som händer med Shadow Brokers den här veckan, men du måste vara medveten om att allt av dessa förändras, det finns saker som händer, och så i vilken grad du håller ditt eget domän stramt och säkert, kommer det verkligen att hjälpa dig i det fall att saker och ting rippas ut under dig.
Så jag ville ta ett ögonblick här, innan jag började prata specifikt om SQL Server, för att faktiskt ha lite av en öppen diskussion med våra paneldeltagare om några överväganden med databassäkerhet. Så jag har kommit till detta, några av de saker som vi inte har nämnt, jag ville prata om SQL-injektion som en vektor. Så det här är SQL-injektion, uppenbarligen är det sättet på vilket människor sätter in kommandon i ett databasesystem, genom att de formaterar ingångarna.
Eric Kavanagh: Ja, jag träffade faktiskt en kille - jag tror att det var vid Andrews Air Force-basen - för cirka fem år sedan, en konsult som jag pratade med honom i korridoren och vi delade bara slags krigshistorier - ingen ordspel avsedd - och han nämnde att han hade förts in av någon för att rådfråga en ganska högt rankad medlem i militären och killen frågade honom, "Tja, hur vet vi att du är bra på det du gör?" Och detta och det . Och när han pratade med dem som han använde på sin dator, hade han kommit in i nätverket, han använde SQL-injektion för att komma in i e-postregistret för den basen och för dessa människor. Och han hittade personens e-postmeddelande som han pratade med och han visade bara honom sin e-post på sin maskin! Och killen var som, "Hur gjorde du det?" Han sa, "Tja, jag använde SQL-injektion."
Så det är bara för fem år sedan, och det var på en flygvapenbasis, eller hur? Så jag menar, när det gäller sammanhang, är den här saken fortfarande väldigt verklig och den kan användas med riktigt skrämmande effekter. Jag menar, jag skulle vara nyfiken på att veta alla krigshistorier som Robin har om ämnet, men alla dessa tekniker är fortfarande giltiga. De används fortfarande i många fall, och det är en fråga om att utbilda dig själv, eller hur?
Robin Bloor: Tja, ja. Ja, det är möjligt att försvara sig mot SQL-injektion genom att göra arbetet. Det är lätt att förstå varför när idén uppfanns och först spridits, är det lätt att förstå varför den var så fördömd framgångsrik, eftersom du bara kunde fästa den i ett inmatningsfält på en webbsida och få den att returnera data för dig, eller få det för att ta bort data i databasen, eller vad som helst - du kan bara injicera SQL-kod för att göra det. Men det är det som intresserade mig, är att det är du vet, du skulle behöva göra en liten bit av analys, av alla data som lagts in, men det är fullt möjligt att upptäcka att någon försöker göra det. Och det är verkligen, jag tror att det verkligen är, eftersom människor fortfarande slipper undan med det, jag menar att det bara är riktigt konstigt att det inte har funnits ett enkelt sätt att bekämpa det. Du vet att alla lätt skulle kunna använda, jag menar, så vitt jag vet har det inte varit, Vicky, har det?
Vicky Harp: Tja, faktiskt några av gisslanlösningarna, som SQL Azure, tror jag har några ganska bra detekteringsmetoder som är baserade på maskininlärning. Det är förmodligen vad vi kommer att se i framtiden, är något som den försöker komma med en storlek passar alla. Jag tror att svaret har funnits att det inte är en storlek som passar alla, men vi har maskiner som kan lära sig vad din storlek är och se till att du passar till det, eller hur? Och så att om du har ett falskt positivt resultat, beror det på att du faktiskt gör något ovanligt, det är inte för att du har varit tvungen att gå igenom och noggrant identifiera allt som din applikation någonsin kan göra.
Jag tror att en av orsakerna till att det verkligen fortfarande är så produktivt är att människor fortfarande litar på tredjepartsapplikationer och applikationer från ISV: er och de smutsas ut över tiden. Så, du pratar om en organisation som har köpt en teknisk applikation som skrevs 2001. Och de har inte uppdaterat den, för det har inte skett några större funktionsförändringar sedan dess, och den ursprungliga författaren till den var typ av, de var inte ingenjör, de var inte expert på databassäkerhet, de gjorde inte saker på rätt sätt i applikationen och de avslutade med att vara en vektor. Min förståelse är att - jag tror att det var Target-dataöverträdelsen, det riktigt stora, - attackvektorn hade varit via en av deras luftkonditioneringsleverantörer, eller hur? Så problemet med den tredje parten kan du, om du äger din egen utvecklingsbutik kan du kanske ha några av dessa regler på plats och göra det generiskt när som helst. Som organisation kan du ha hundratals eller till och med tusentals applikationer som körs med alla olika profiler. Jag tror att det är där maskininlärning kommer att komma och börja hjälpa oss mycket.
Min krigshistoria var pedagogiskt levande. Jag fick se en SQL-injektionsattack, och något som aldrig hade inträffat för mig är att använda vanlig läsbar SQL. Jag gör dessa saker som kallas fördunklade P SQL-semesterkort; Jag gillar att göra, du får denna SQL att se så förvirrande som möjligt. Det finns fördunklade C ++ -kodstävling som pågått i decennier nu, och det är typ av samma idé. Så vad du faktiskt fick var SQL-injektionen som fanns i ett öppet strängfält, det stängde strängen, det satte i semikolonet och sedan satte det in exec-kommando som sedan hade en serie siffror och sedan använde den i princip casting-kommando för att kasta dessa siffror i binär och sedan kasta dem, i sin tur till teckenvärden och sedan köra det. Så det är inte som du fick se något som sa: "Radera start från produktionstabellen", det var faktiskt fyllda i numeriska fält som gjorde det mycket svårare att se. Och även när du såg det, för att identifiera vad som hände, tog det några riktiga SQL-skott, för att kunna räkna ut vad som hände, vid vilken tid naturligtvis arbetet redan hade gjorts.
Robin Bloor: Och en av de saker som bara är ett fenomen i hela hackingvärlden är att om någon finner en svaghet och det råkar vara i en mjukvara som generellt har sålts, vet du, ett av de tidiga problemen är databaslösenordet som du fick när en databas installerades, en hel del databaser var faktiskt bara ett standard. Och en hel del DBA ändrade helt enkelt aldrig det, och därför kunde du lyckas komma in i nätverket då; du kan bara prova det lösenordet och om det fungerade, så vann du bara lotteriet. Och det intressanta är att all den informationen sprids mycket effektivt och effektivt bland hackningssamhällena på darknet-webbplatser. Och de vet. Så, de kan ganska mycket göra en svep av det som finns där ute, hitta några fall och bara automatiskt kasta lite hacking utnyttja det, och de är i. Och det är, tror jag, att många människor som är åtminstone på periferin av allt detta, förstår inte riktigt hur snabbt hackningsnätverket svarar på sårbarhet.
Vicky Harp: Ja, det ger faktiskt upp en annan sak som jag ville nämna innan jag går vidare, vilket är den här uppfattningen om referensstoppning, vilket är något som dyker upp mycket, vilket är att när dina referenser har stulits för någonstans någonstans, på vilken plats som helst, kommer dessa referenser att försökas återanvändas över hela linjen. Så om du använder duplicerade lösenord, säger, om dina användare är, till och med, låt oss uttrycka det på det sättet, kanske någon kan få tillgång via det som verkar vara en helt giltig uppsättning av uppgifter. Så låt oss säga att jag har använt samma lösenord hos Amazon och i min bank, och även på ett forum och att forumprogramvaran hackades, de har mitt användarnamn och mitt lösenord. Och de kan sedan använda samma användarnamn hos Amazon, eller så använder de det vid banken. Och när det gäller banken var det en helt giltig inloggning. Nu kan du vidta avskräckliga åtgärder via den helt auktoriserade åtkomsten.
Så den typen av går tillbaka till vad jag sa om de interna överträdelserna och de interna användningarna. Om du har människor i din organisation som använder samma lösenord för intern åtkomst som de gör för extern åtkomst, har du möjligheten att någon kommer att komma in och utjämna dig via ett intrång på någon annan webbplats som du inte vet inte ens om. Och denna information sprids mycket snabbt. Det finns listor över, jag tror att den senaste belastningen med "har jag blivit pwned" av Troy Hunt, sade han att han hade en halv miljard uppsättningar, vilket är - om du tänker på antalet människor på planeten - det är en verkligen stort antal referenser som har gjorts tillgängliga för referensstoppning.
Så jag kommer att gå lite djupare och prata om SQL Server-säkerhet. Nu vill jag säga att jag inte kommer att försöka ge dig allt du behöver veta för att säkra din SQL Server under de kommande 20 minuterna; det verkar lite av en hög ordning. Så för att till och med börja vill jag säga att det finns grupper online och resurser online som du säkert kan Google, det finns böcker, det finns dokument för bästa praxis på Microsoft, det finns ett virtuellt säkerhetskapitel för professionella medarbetare på SQL Server, de är på security.pass.org och de har, tror jag, månatliga webbsändningar och inspelningar av webbsändningar för att på ett sätt gå över den verkliga, djupgående hur man gör SQL Server-säkerhet. Men det här är några av de saker som jag talar till dig som datapersonal, som IT-proffs, som DBA: er, jag vill att du ska veta att du behöver veta om med SQL Server-säkerhet.
Så den första är fysisk säkerhet. Så, som jag sa tidigare, är fortfarande extremt vanligt att stjäla fysiska medier. Och så det scenario som jag gav med dev-maskinen, med en kopia av din databas på dev-maskinen som blir stulen - det är en extremt vanlig vektor, det är en vektor du måste vara medveten om och försöka vidta åtgärder mot. Det gäller också säkerhetskopieringen, så när du säkerhetskopierar dina data, måste du säkerhetskopiera den krypterad, måste du säkerhetskopiera till en säker plats. Många gånger denna information som verkligen var skyddad i databasen, så snart den börjar komma ut i periferilokaliseringar, på dev-maskiner, på testmaskiner, vi blir lite mindre försiktiga med att lappa, vi blir lite mindre vara försiktig med de människor som har tillgång till det. Nästa sak du vet, du har okrypterade databas-säkerhetskopior lagrade på en offentlig del i din organisation tillgängliga för exploatering från många olika människor. Så, tänk på fysisk säkerhet och lika enkelt som, kan någon gå upp och bara sätta en USB-nyckel på din server? Du borde inte tillåta det.
Nästa artikel jag vill att du ska tänka på är plattformsäkerhet, så uppdaterat operativsystem, uppdaterade korrigeringar. Det är väldigt tröttsamt att höra människor prata om att stanna på äldre versioner av Windows, äldre versioner av SQL Server och tänka att den enda kostnaden för spel är kostnaden för licensuppgraderingen, vilket inte är fallet. Vi är med säkerhet, det är en ström som fortsätter att gå nerför backen och när tiden går, hittas fler exploater. Microsoft i det här fallet, och i andra grupper efter behov, kommer de att uppdatera äldre system till en punkt, och så småningom kommer de att falla ur support och de kommer inte att uppdatera dem längre, eftersom det bara är en oändlig process av underhåll.
Och så måste du vara på ett stött operativsystem och du måste vara uppdaterad om dina korrigeringar, och vi har hittat nyligen som med Shadow Brokers, i vissa fall kan Microsoft ha insikt i kommande större säkerhetsbrott, före dem att offentliggöras före avslöjande, så låt dig inte få alla vridna i ordning. Jag skulle hellre inte ta stilleståndet, jag skulle hellre vänta och läsa var och en och bestämma. Du kanske inte vet vad värdet av det är förrän några veckor längs linjen efter att du fått reda på varför denna lapp inträffade. Så håll dig uppe på det.
Du bör ha din brandvägg konfigurerad. Det var chockerande i SNB-brottet hur många som kör äldre versioner av SQL Server med brandväggen helt öppen för internet, så vem som helst kunde komma in och göra vad de ville med sina servrar. Du bör använda en brandvägg. Det faktum att du ibland måste konfigurera reglerna eller göra specifika undantag för hur du gör ditt företag är ett OK pris att betala. Du måste kontrollera ytan i dina databasesystem - installerar du tjänster eller webbservrar som IIS på samma maskin? Dela samma diskutrymme, dela samma minnesutrymme som dina databaser och din privata data? Försök att inte göra det, försök att isolera det, hålla ytan mindre, så att du inte behöver oroa dig så mycket för att se till att allt detta är säkert ovanpå databasen. Du kan typ fysiskt separera dem, plattform, separera dem, ge dig själv lite andningsrum.
Du borde inte ha superadminer som springer runt överallt och kan ha tillgång till alla dina uppgifter. OS-administratörskontona behöver inte nödvändigtvis ha åtkomst till din databas eller till de underliggande uppgifterna i databasen via kryptering, som vi kommer att prata om om en minut. Och åtkomsten till databasfilerna måste du också begränsa det. Det är ganska dumt om du skulle säga, ja, någon kan inte komma åt dessa databaser via databasen; SQL Server själv tillåter inte dem att få åtkomst till den, men om de då kan gå runt, ta en kopia av själva MDF-filen, flytta den helt enkelt så, koppla den till sin egen SQL Server, du har inte riktigt åstadkommit mycket mycket.
Kryptering, så kryptering är det berömda tvåvägssvärdet. Det finns många olika nivåer av kryptering som du kan göra på operativnivå och det moderna sättet att göra saker för SQL och Windows är med BitLocker och på databasnivå kallas det TDE eller transparent datakryptering. Så dessa är båda sätten att hålla dina data krypterade i vila. Om du vill hålla dina data krypterade mer omfattande kan du göra krypterad - ledsen, jag har lite tagit framåt. Du kan göra krypterade anslutningar så att den fortfarande är krypterad så att om någon lyssnar in eller har en man mitt i en attack så har du ett visst skydd av informationen över kabeln. Dina säkerhetskopior måste vara krypterade, som sagt, de kan vara tillgängliga för andra och sedan, om du vill att den ska krypteras i minnet och under användning, har vi kolumnkryptering och sedan har SQL 2016 denna uppfattning om "alltid krypterad ”där den faktiskt är krypterad på skiva, i minnet, på kabeln, ända till applikationen som faktiskt använder data.
Nu är all denna kryptering inte gratis: Det finns CPU-overhead, det finns ibland för kolumnkrypteringen och det alltid krypterade fallet, det har konsekvenser för prestandan när det gäller din förmåga att söka informationen. Men den här krypteringen, om den är korrekt sammansatt, betyder det att om någon skulle få tillgång till dina data, skadorna minskas kraftigt, eftersom de kunde hämta dem och då kan de inte göra något med det. Men detta är också det sätt som ransomware fungerar, är att någon går in och slår på dessa objekt, med sitt eget certifikat eller sitt eget lösenord och du har inte tillgång till det. Så det är därför det är viktigt att se till att du gör detta och att du har tillgång till det, men du ger inte det, öppet för andra och angripare att göra.
Och sedan, säkerhetsprinciper - Jag kommer inte att utarbeta denna punkt, men se till att du inte har alla användare som kör i SQL Server som superadministratör. Dina utvecklare kanske vill ha det, olika användare kanske vill ha det - de är frustrerade över att behöva be om åtkomst för enskilda artiklar - men du måste vara flitig med det, och även om det kan vara mer komplicerat, ge tillgång till objekten och databaser och scheman som är giltiga för pågående arbete, och det finns ett specialfall, kanske det betyder en speciell inloggning, det betyder inte nödvändigtvis en höjning av rättigheterna för den genomsnittliga fallanvändaren.
Och sedan finns det överväganden av överensstämmelse med lagstiftningen som passar samman i detta och i vissa fall kan det faktiskt bli något på deras eget sätt - så det finns HIPAA, SOX, PCI - det finns alla dessa olika överväganden. Och när du går igenom en revision förväntas du visa att du vidtar åtgärder för att förbli i enlighet med detta. Och så, det här är mycket att hålla reda på, jag skulle säga som en DBA-att-lista, du försöker säkerställa säkerhetens fysiska krypteringskonfiguration, du försöker se till att åtkomst till den informationen granskas för din överensstämmelse ändamål, se till att dina känsliga kolumner, att du vet vad de är, var de är, vilka du ska kryptera och titta på åtkomst till. Och se till att konfigurationerna är i linje med de reglerande riktlinjerna som du är föremål för. Och du måste hålla detta uppdaterat när saker och ting förändras.
Så det är mycket att göra, och så om jag skulle lämna det bara där, skulle jag säga gå gör det. Men det finns många olika verktyg för det, och så, om jag kanske under de senaste minuterna, ville jag visa er några av de verktyg vi har på IDERA för det. Och de två jag ville prata om idag är SQL Secure och SQL Compliance Manager. SQL Secure är vårt verktyg för att identifiera typ av konfigurationssårbarheter. Dina säkerhetspolicyer, dina användarrättigheter, dina ytytekonfigurationer. Och den har mallar som hjälper dig att följa olika regelverk. Det i sig själv, den sista raden, kan vara anledningen för människor att överväga den. Eftersom du läser igenom dessa olika regler och identifierar vad de betyder, PCI och sedan tar det hela vägen ner till min SQL Server i min butik, är det mycket arbete. Det är något du kan betala mycket för att konsultera pengar för att göra; Vi har gått och gjort det samråd, vi har arbetat med de olika revisionsföretagen osv. för att hitta vad dessa mallar är - något som sannolikt kommer att klara en revision om dessa är på plats. Och sedan kan du använda dessa mallar och se dem i din miljö.
Vi har också ett annat slags systerverktyg i form av SQL Compliance Manager, och det är här SQL Secure handlar om konfigurationsinställningar. SQL Compliance Manager handlar om att se vad som gjordes av vem, när. Så det är revision, så det låter dig övervaka aktiviteten när den sker och låter dig upptäcka och spåra vem som kommer åt saker. Var det någon, det prototypiska exemplet som en kändis som checkades in på ditt sjukhus, gick någon och letade efter deras information, bara av nyfikenhet? Hade de en anledning att göra det? Du kan titta på revisionshistoriken och se vad som hände, vem som fick åtkomst till dessa poster. Och du kan identifiera att detta har verktyg som hjälper dig att identifiera känsliga kolumner, så du behöver inte nödvändigtvis läsa igenom och göra det själv.
Så om jag får, kommer jag att gå vidare och visa er några av dessa verktyg här under de senaste minuterna - och snälla anser det inte som en djupgående demo. Jag är en produktchef, inte en försäljningsingenjör, så jag ska visa dig några av de saker som jag tycker är relevanta för denna diskussion. Så detta är vår SQL Secure-produkt. Och som ni kan se här har jag ett slags rapportkort på hög nivå. Jag körde detta, tror jag, igår. Och det visar mig några av de saker som inte är korrekt inställda och några av de saker som är korrekt inställda. Så du kan se att det finns ett stort antal över 100 olika kontroller som vi har gjort här. Och jag kan se att min backupkryptering på säkerhetskopiorna jag har gjort, inte har använt backupkryptering. Mitt SA-konto, som uttryckligen heter "SA-konto" är inte inaktiverat eller bytt namn. Den offentliga serverrollen har tillstånd, så det här är allt jag kanske vill titta på att ändra.
Jag har skapat policyn här, så om jag ville ställa in en ny policy för att gälla för mina servrar har vi alla dessa inbyggda policyer. Så jag kommer att använda en befintlig policymall och du kan se att jag har CIS, HIPAA, PCI, SR och pågår, och vi är faktiskt i processen att kontinuerligt lägga till ytterligare policyer, baserat på de saker som människor behöver ute i fältet . Och du kan också skapa en ny policy, så om du vet vad din revisor letar efter kan du skapa den själv. Och när du gör det kan du välja bland alla dessa olika inställningar, vad du behöver ha ställt in, i vissa fall har du några - låt mig gå tillbaka och hitta en av de förbyggda. Detta är bekvämt, jag kan välja, säga, HIPAA - Jag har redan fått HIPAA, min dåliga - PCI, och sedan, när jag klickar här inne, kan jag faktiskt se den externa korsreferensen till avsnittet i reglering som detta är relaterat till. Så det hjälper dig senare, när du försöker ta reda på varför ställer jag in det här? Varför försöker jag titta på det här? Vilket avsnitt är det här relaterat till?
Detta har också ett trevligt verktyg genom att det låter dig gå in och bläddra bland dina användare, så en av de knepiga sakerna med att utforska dina användarroller, är att jag faktiskt kommer att ta en titt här. Så om jag visar behörigheter för mina, låt oss se, låt oss välja en användare här. Visa behörigheter. Jag kan se de tilldelade behörigheterna för den här servern, men sedan kan jag klicka här och beräkna de effektiva behörigheterna, och det ger mig hela listan baserad på, så i det här fallet är det admin, så det är inte så spännande, men Jag kunde gå igenom och välja de olika användarna och se vad deras effektiva behörigheter är, baserat på alla de olika grupperna som de kan tillhöra. Om du någonsin försöker göra detta på egen hand kan det faktiskt vara lite besvärligt, för att räkna ut, OK, den här användaren är medlem i dessa grupper och har därför tillgång till dessa saker via grupper, etc.
Så det här sättet att denna produkt fungerar är att det tar stillbilder, så det är verkligen inte en mycket svår process att ta en stillbild av servern regelbundet och sedan håller de dessa stillbilder över tiden så att du kan jämföra för ändringar. Så detta är inte en kontinuerlig övervakning i traditionell betydelse som ett prestationsövervakningsverktyg; detta är något du kanske har satt upp för att köras en gång per natt, en gång i veckan - hur ofta du tycker är giltig - så att du, när du gör analysen och gör lite mer, faktiskt bara arbetar inom vårt verktyg. Du ansluter inte tillbaka så mycket till din server, så det här är ett ganska trevligt litet verktyg att arbeta med, för att följa den typen av statiska inställningar.
Det andra verktyget jag vill visa er vårt Compliance Manager-verktyg. Compliance Manager kommer att övervaka på ett mer kontinuerligt sätt. Och det kommer att se vem som gör vad på din server och låta dig titta på det. Så vad jag har gjort här, de senaste timmarna eller så har jag faktiskt försökt skapa några små problem. Så här har jag oavsett om det är ett problem eller inte, jag kanske känner till det, någon har faktiskt skapat en inloggning och lagt till den i en serverrolle. Så om jag går in och tittar på det kan jag se - jag antar att jag inte kan högerklicka där, jag kan se vad som händer. Så detta är min instrumentbräda och jag kan se att jag hade ett antal misslyckade inloggningar lite tidigare i dag. Jag hade ett gäng säkerhetsaktiviteter, DBL-aktivitet.
Så låt mig gå till mina revisionshändelser och ta en titt. Här har jag fått mina revisionshändelser grupperade efter kategori och målobjekt, så om jag tittar på den säkerheten från tidigare kan jag se DemoNewUser, detta skapade server-inloggning inträffade. Och jag kan se att inloggnings-SA skapade detta DemoNewUser-konto, här kl. 14.42. Sedan kan jag se att i sin tur lägger till inloggning till servern, denna DemoNewUser lades till serveradministratörsgruppen, de lades till inställningsadministratörsgrupp, de lades till sysadmingruppen. Så det är något som jag skulle vilja veta hade hänt. Jag har också fått den konfigurerad så att de känsliga kolumnerna i mina tabeller spåras, så jag kan se vem som har åtkomst till den.
Så här har jag ett par utvalda som har inträffat på mitt personbord från Adventure Works. Och jag kan ta en titt och se att användaren SA på Adventure Works-bordet gjorde en utvald tiostjärna från person dot person. Så kanske i min organisation vill jag inte att folk ska välja stjärnor från person dot person, eller jag förväntar mig att bara vissa användare ska göra det, och så kommer jag att se detta här. Så, det du behöver i fråga om din revision, vi kan ställa in det baserat på ramverket och detta är lite mer ett intensivt verktyg. Den använder SQL Trace eller SQLX-händelser, beroende på version. Och det är något som du kommer att behöva ha lite utrymme på din server för att rymma, men det är en av dessa saker, typ av liknande försäkringar, vilket är trevligt om vi inte skulle behöva ha en bilförsäkring - det skulle vara en kostar att vi inte skulle behöva ta - men om du har en server där du behöver hålla reda på vem som gör vad, kan du behöva ha lite extra utrymme och ett verktyg som detta för att göra detta. Oavsett om du använder vårt verktyg eller rullar det själv, kommer du i slutändan att vara ansvarig för att ha denna information för lagstiftningens efterlevnad.
Så som jag sa, inte en djupgående demo, bara en snabb, liten sammanfattning. Jag ville också visa dig ett snabbt, litet gratis verktyg i form av denna SQL-kolumnsökning, vilket är något du kan använda för att identifiera vilka kolumner i din miljö som verkar vara känslig information. Så vi har ett antal sökkonfigurationer där det letar efter de olika namnen på kolumner som vanligtvis innehåller känslig data, och sedan har jag hela listan över dem som har identifierats. Jag har 120 av dem, och sedan exporterade jag dem hit, så att jag kan använda dem för att säga, låt oss gå och se till att jag spårar åtkomst till mellannamnet, en person prickperson eller moms pris etc.
Jag vet att vi kommer rätt i slutet av vår tid här. Och det är allt jag faktiskt var tvungen att visa dig, så några frågor för mig?
Eric Kavanagh: Jag har ett par bra för dig. Låt mig bläddra upp här. En av de deltagande ställde en riktigt bra fråga. En av dem frågar om prestationsskatten, så jag vet att den varierar från lösning till lösning, men har du någon allmän uppfattning om vad resultatskatten är för att använda IDERA-säkerhetsverktyg?
Vicky Harp: Så på SQL Secure är det, som sagt, mycket lågt, det kommer bara att ta några tillfälliga ögonblicksbilder. Och även om du har kört ganska ofta får den statisk information om inställningar, och därför är den väldigt låg, nästan försumbar. När det gäller Compliance Manager är det-
Eric Kavanagh: Som en procent?
Vicky Harp: Om jag var tvungen att ge ett procenttal, ja, skulle det vara en procent eller lägre. Det är grundläggande information om hur man använder SSMS och gå in i säkerhetsfliken och utvidga saker. På överensstämmelssidan är det mycket högre - det är därför jag sa att den behöver lite utrymme - det är liksom det är långt utöver vad du har när det gäller prestationsövervakning. Nu vill jag inte skrämma människor bort från det, tricket med övervakning av överensstämmelse, och om det är revision är att se till att du bara granskar vad du ska vidta åtgärder. Så när du filtrerar ner för att säga: "Hej, jag vill veta när folk har åtkomst till dessa tabeller, och jag vill veta när människor kommer åt, vidta just dessa åtgärder, " kommer det att baseras på hur ofta dessa saker är händer och hur mycket data du genererar. Om du säger: "Jag vill ha den fullständiga SQL-texten för alla markeringar som någonsin händer på någon av dessa tabeller", det kommer bara att bli möjligen gigabyte och gigabyte data som måste analyseras av SQL Server lagrad flyttad till vår produkt, etc.
Om du håller det ner till ett - kommer det också att vara mer information än du antagligen skulle kunna hantera. Om du kan ta ner det till en mindre uppsättning, så att du får ett par hundra evenemang per dag, är det uppenbarligen mycket lägre. Så, på vissa sätt är himlen gränsen. Om du sätter på alla inställningar på all övervakning för allt, ja, det kommer att bli en 50-procentig prestandahit. Men om du ska förvandla det till en mer måttlig, ansedd nivå, skulle jag kanske ögongloben 10 procent? Det är verkligen en av de saker som det kommer att vara mycket beroende av din arbetsbelastning.
Eric Kavanagh: Ja, rätt. Det finns en annan fråga om hårdvara. Och sedan finns det hårdvaruförsäljare som kommer in i spelet och samarbetar verkligen med mjukvaruförsäljare och jag svarade genom fönstret Frågor och svar. Jag känner till ett särskilt fall, av Cloudera som arbetade med Intel där Intel gjorde så enorma investeringar i dem, och en del av beräkningen var att Cloudera skulle få tidig tillgång till chipdesign och därmed kunna sätta säkerhet i chipnivån för arkitektur, vilket är ganska imponerande. Men det är ändå, det är något som kommer att komma ut där och fortfarande kan utnyttjas av båda sidor. Känner du till några trender eller tendenser hos hårdvaruförsäljare att samarbeta med mjukvaruleverantörer om säkerhetsprotokoll?
Vicky Harp: Ja, jag tror faktiskt att Microsoft har samarbetat för att ha lite av, till exempel, minnesutrymmet för något av krypteringsarbetet som faktiskt händer på separata chips på moderkort som är separata från ditt huvudminne, så att vissa av de sakerna är fysiskt separerade. Och jag tror att det faktiskt var något som kom från Microsoft när det gäller att gå ut till leverantörerna för att säga, "Kan vi komma med ett sätt att göra det här, i princip är det ett oadresserbart minne, jag kan inte genom ett buffertöverskridande komma till detta minne, för det är inte ens där, i någon mening, så jag vet att något av det händer. ”
Eric Kavanagh: Ja.
Vicky Harp: Det kommer uppenbarligen att vara de riktigt stora leverantörerna, troligen.
Eric Kavanagh: Ja. Jag är nyfiken på att titta efter det, och kanske Robin, om du har en kort sekund, skulle jag vara nyfiken på din erfarenhet genom åren, för igen, när det gäller hårdvara, i termer av den faktiska materialvetenskap som går i vad du sätter ihop från leverantörssidan, den informationen kan gå till båda sidor, och teoretiskt går vi till båda sidor ganska snabbt, så finns det något sätt att använda hårdvaran mer noggrant, från ett designperspektiv för att stärka säkerheten? Vad tror du? Robin, är du på stum?
Robin Bloor: Ja, ja. Jag är ledsen, jag är här; Jag funderar bara på frågan. För att vara ärlig har jag inte fått en åsikt, det är ett område som jag inte har tittat på i betydande djup, så jag är typ, du vet, jag kan uppfinna en åsikt, men jag vet inte riktigt. Jag föredrar att saker är säkra i mjukvara, det är precis som jag spelar, i princip.
Eric Kavanagh: Ja. Tja, folkens, vi har bränt igenom en timme och förändrats här. Stort tack till Vicky Harp för hennes tid och uppmärksamhet - för all din tid och uppmärksamhet; vi uppskattar att du dyker upp för dessa saker. Det är en stor sak; det kommer inte att försvinna när som helst snart. Det är ett katt-och-mus-spel som kommer att fortsätta att gå och gå och gå. Och så är vi tacksamma för att vissa företag är där ute, fokuserade på att möjliggöra säkerhet, men som Vicky till och med hänvisade till och pratade lite om i sin presentation, i slutet av dagen, är det människor i organisationer som behöver tänka mycket noggrant om dessa phishing-attacker, den typen av social teknik och håll fast i dina bärbara datorer - lämna det inte på kaféet! Ändra ditt lösenord, gör grunderna så får du 80 procent av vägen dit.
Så med det, folk, vi kommer att ge dig farväl, tack än en gång för din tid och uppmärksamhet. Vi kommer att komma ihåg dig nästa gång, ta hand. Hejdå.
Vicky Harp: Hej, tack.