يبعد: يناقش المضيف إريك كافاناغ الأمن والأذونات مع الدكتور روبن بلور و IDERAs Vicky Harp.
أنت لم تسجل الدخول حاليًا. يرجى تسجيل الدخول أو التسجيل لمشاهدة الفيديو.
إريك كافانا: حسنا ، سيداتي وسادتي ، أهلا ومرحبا بكم مرة أخرى. إنه يوم الأربعاء ، الأربعة الشرقية وفي عالم تكنولوجيا المؤسسات وهذا يعني أن الوقت قد حان مرة أخرى لشركة Hot Technologies! نعم فعلا قدمته مجموعة بلور بالطبع ، بدعم من أصدقائنا في Techopedia. موضوع اليوم رائع حقًا: "الأفضل أن تطلب الإذن: أفضل الممارسات للخصوصية والأمن". هذا صحيح ، إنه نوع من المواضيع الصعبة ، والكثير من الناس يتحدثون عنه ، ولكنه موضوع خطير للغاية ، و انها حقا تزداد خطورة كل يوم ، وبصراحة تامة. انها قضية خطيرة في نواح كثيرة لكثير من المنظمات. كانوا يتحدثون عن ذلك وكانوا يتحدثون عما يمكنك فعله لحماية مؤسستك من الشخصيات الشائنة التي يبدو أنها موجودة في كل مكان هذه الأيام.
حتى مقدم اليوم هو فيكي هارب من الدعوة من IDERA. يمكنك رؤية برنامج IDERA على LinkedIn - أحب الوظيفة الجديدة على LinkedIn. على الرغم من أنني أستطيع أن أقول أنهم يقومون بسحب بعض السلاسل بطرق معينة ، دون السماح لك بالوصول إلى الأشخاص ، في محاولة لجعلك تشتري هذه العضويات المميزة. هناك تذهب ، لدينا روبن بلور ، الذي يقوم بالاتصال - في الواقع في منطقة سان دييغو اليوم. ولكم حقًا كمشرف / محلل.
اذا مالذي نتحدث عنه؟ خروقات البيانات. لقد أخذت هذه المعلومات من موقع IdentityForce.com ، حيث تم إيقافها بالفعل إلى السباقات. في أيار (مايو) من هذا العام ، وهناك فقط طن من خروقات البيانات ، هناك بعض الانتهاكات الضخمة حقًا ، بالطبع ، بواسطة Yahoo! كانت واحدة كبيرة ، وسمعنا بالطبع عن اختراق حكومة الولايات المتحدة. لقد اخترقنا الانتخابات الفرنسية.
هذا يحدث في كل مكان ، واستمراره ولن يتوقف ، لذلك هو واقع ، هو واقع جديد ، كما يقولون. نحتاج حقًا إلى التفكير في طرق لفرض أمان أنظمتنا وبياناتنا. إنها عملية مستمرة ، لذا فقد حان الوقت للتفكير في جميع القضايا المختلفة التي تدخل حيز التنفيذ. هذه مجرد قائمة جزئية ، ولكن هذا يمنحك بعض المنظور حول مدى خطورة الموقف في هذه الأيام مع أنظمة المؤسسة. وقبل هذا العرض ، كنا نتحدث في برنامجنا قبل العرض عن برنامج الفدية الذي أصاب شخصًا أعلمه ، وهي تجربة غير سارة للغاية ، عندما يتولى شخص ما جهاز iPhone الخاص بك ويطلب منك المال من أجل العودة إلى هاتفك. لكن هذا يحدث ، ويحدث لأجهزة الكمبيوتر ، ويحدث للأنظمة ، ورأيت في اليوم الآخر ، وهو يحدث لمليارات أصحاب اليخوت الخاصة بهم. تخيل الذهاب إلى يختك في يوم من الأيام ، ومحاولة إقناع جميع أصدقائك ولا يمكنك تشغيله ، لأن بعض اللص سرق الوصول إلى عناصر التحكم ، لوحة التحكم. قلت للتو في اليوم الآخر في مقابلة مع شخص ما ، ودائما يكون تجاوز اليدوي. مثل ، أنا لست معجبًا كبيرًا بجميع السيارات المتصلة - حتى السيارات يمكن اختراقها. أي شيء متصل بالإنترنت ، أو متصلاً بشبكة يمكن اختراقها ، يمكن اختراقه ، أي شيء.
لذلك ، إليك بعض العناصر التي يجب مراعاتها فيما يتعلق بتأطير الاشتراكات حول مدى خطورة الوضع. الأنظمة المستندة إلى الويب موجودة في كل مكان هذه الأيام ، فإنها تستمر في الانتشار. كم من الناس يشترون الأشياء عبر الإنترنت؟ من خلال السقف في هذه الأيام ، لهذا السبب تعتبر أمازون قوة قوية هذه الأيام. ذلك لأن الكثير من الناس يشترون الأشياء عبر الإنترنت.
لذلك ، أنت تتذكر ذلك الوقت ، قبل 15 عامًا ، كان الناس متوترين جدًا من وضع بطاقة الائتمان الخاصة بهم في نموذج ويب للحصول على معلوماتهم ، وفي ذلك الوقت ، كانت الحجة ، "حسنًا ، إذا سلمت بطاقتك الائتمانية إلى نادل في مطعم ، ثم هذا هو نفس الشيء. "لذا ، جوابنا هو نعم ، هو نفس الشيء ، هناك كل نقاط التحكم هذه ، أو نقاط الوصول ، نفس الشيء ، جانب مختلف لعملة واحدة ، حيث يمكن وضع الأشخاص في خطر ، حيث يمكن لأي شخص أن يأخذ أموالك ، أو شخص ما يمكن أن يسرق منك.
ثم يقوم إنترنت الأشياء بالطبع بتوسيع التهديدات - أنا أحب هذه الكلمة - بأوامر ضخمة. أقصد ، فكر في الأمر - مع وجود كل هذه الأجهزة الجديدة في كل مكان ، إذا تمكن شخص ما من اختراق نظام يتحكم فيها ، فيمكنه تحويل كل هذه الروبوتات ضدك والتسبب في الكثير والكثير من المشاكل ، لذا فهذه مشكلة خطيرة للغاية. لدينا اقتصاد عالمي هذه الأيام ، وهو ما يوسع نطاق التهديدات بشكل أكبر ، والأكثر من ذلك ، لديك أشخاص في بلدان أخرى يمكنهم الوصول إلى الويب بنفس الطريقة التي يمكنك أنت بها ، وإذا كنت لا تعرف كيفية التحدث باللغة الروسية ، أو أي عدد من اللغات الأخرى ، ستواجه صعوبة في فهم ما يحدث عند اختراق نظامك. لذلك لدينا تطورات في الشبكات والمحاكاة الافتراضية ، وهذا جيد.
لكن لدي على الجانب الأيمن من هذه الصورة هنا ، سيف والسبب في ذلك هو وجود كل سيف يقطع في كلا الاتجاهين. إنه سيف ذو حدين كما يقولون ، وهو كليشيه قديم ، لكن هذا يعني أن السيف الذي أمتلكه يمكن أن يؤذيك أو يمكن أن يؤذيني. يمكن أن يعود بي ، إما عن طريق الارتداد ، أو عن طريق شخص يأخذها. في الواقع واحدة من أساطير إيسوبس - نحن في كثير من الأحيان نعطي أعدائنا أدوات تدميرنا. انها حقا قصة جذابة ولها علاقة مع شخص يستخدم القوس والسهم وأسقط طائر ورأى الطيور ، كما كان السهم يخرج ، تلك الريشة من أحد أصدقائها الطيور على حافة السهم ، في الجزء الخلفي من السهم لإرشادها ، وفكر لنفسه ، "يا رجل ، ها هي الريش الخاص بي ، سوف تستخدم عائلتي لإنزالي." هذا يحدث طوال الوقت ، تسمع إحصائيات عن وجود بندقية في المنزل ، يمكن أن يأخذ اللص البندقية. حسنا ، هذا كله صحيح. لذا ، فالتخلي عن هذا الأمر تشبيهًا فقط ، كل هذه التطورات المختلفة لها جوانب إيجابية وجوانب سلبية.
وتحدث عن ، حاويات لأولئك منكم الذين يتبعون حقًا أحدث تقنيات الحوسبة في المؤسسات ، والحاويات هي أحدث شيء ، وأحدث وسيلة لتوفير وظائف ، وهي حقًا زواج الزواج من المحاكاة الافتراضية في الهندسة الموجهة للخدمة ، على الأقل للخدمات الميكروية والخدمات أشياء مثيرة للاهتمام للغاية. يمكنك بالتأكيد تشويش بروتوكولات الأمان وبروتوكولات التطبيق الخاصة بك وبياناتك وما إلى ذلك ، باستخدام الحاويات ، والتي تمنحك تقدمًا لفترة من الوقت ، ولكن عاجلاً أم آجلاً ، سيقوم الأشرار بتحديد ذلك ، ثم سيكون من الصعب منعهم من الاستفادة من أنظمتك. لذلك ، هناك ، القوى العاملة العالمية التي تعقد الشبكة والأمن ، ومن أين يسجل المستخدمون الدخول.
لقد حصلنا على حروب المتصفح التي تستمر بسرعة ، وتتطلب عملاً ثابتًا للتحديث والبقاء على رأس الأمور. نستمع إلى متصفحات Microsoft Explorer القديمة ، وكيفية اختراقها ومتاحتها هناك. لذلك ، هناك المزيد من الأموال التي يجب جنيها من القرصنة هذه الأيام ، هناك صناعة بأكملها ، وهذا شيء علّمني شريكي ، الدكتور بلور ، قبل ثماني سنوات - كنت أتساءل لماذا نرى الكثير منه ، وذكرنا لي ، لها صناعة كاملة تشارك في القرصنة. وبهذا المعنى ، فإن السرد ، الذي يعد واحدًا من أقل كلماتي المفضلة عن الأمن ، هو أمر غير أمين حقًا ، لأن السرد يظهر لك في جميع مقاطع الفيديو هذه وأي تغطية إخبارية ، بعض الاختراقات التي يعرضها شخص ما يرتدي هوديًا ويجلس في الطابق السفلي له في غرفة مضاءة الظلام ، وهذا ليس على الإطلاق القضية. هذا ليس ممثلا على الإطلاق للواقع. المتسللين وحدهم ، وهناك عدد قليل جدا من المتسللين وحدهم ، هناك خارج ، وتسبب بعض المتاعب - لن تسبب مشكلة كبيرة ، ولكن يمكنهم جمع الكثير من المال. إذاً ما يحدث هو أن المتسللين يدخلون ، ويخترقون نظامك ثم يبيعون ذلك الوصول إلى شخص آخر ، يستدير ويبيعه لشخص آخر ، ثم في مكان ما أسفل الخط ، يستغل شخص ما هذا الاختراق ويستفيد منك. وهناك طرق لا حصر لها للاستفادة من البيانات المسروقة.
لقد تعجبت من نفسي حول كيف كنا نستمتع بهذا المفهوم. ترى هذا المصطلح في كل مكان ، "اختراق القرصنة" أمر جيد. اختراق القرصنة ، كما تعلم ، يمكن أن يكون القرصنة أمرًا جيدًا ، إذا كنت تحاول العمل من أجل الأشخاص الصالحين للتحدث والاختراق في نظام ، مثلما نسمع عن كوريا الشمالية وإطلاقها الصاروخي ، وربما يكون هذا اختراقًا - هذا أمر جيد . لكن القرصنة في كثير من الأحيان أمر سيء. لذا ، الآن تم تألقها ، مثل روبن هود تقريبًا ، عندما قمنا بسحر روبن هود. ثم هناك مجتمع غير نقدي ، هناك شيء ما يتعلق بصراحة في وضح النهار. كل ما أعتقد أنه في كل مرة أسمع فيها ، "لا ، من فضلك لا تفعل ذلك! من فضلك لا! "لا أريد أن تختفي كل أموالنا. لذلك ، هذه بعض المشكلات التي يجب مراعاتها ، ومرة أخرى ، لعبة القط والفأر. لن تتوقف أبدًا ، ستكون هناك دائمًا حاجة إلى بروتوكولات الأمان ولتطوير بروتوكولات الأمان. ولمراقبة أنظمتك حتى لمعرفة واستشعار من هناك ، مع الفهم أنه يمكن أن يكون وظيفة داخلية. لذلك ، إنها قضية مستمرة ، ستكون مشكلة مستمرة لبعض الوقت - لا تخطئ في ذلك.
ومع ذلك ، سأقوم بتسليمها إلى الدكتور بلور ، الذي يمكنه أن يشاطرنا بعض الأفكار حول تأمين قواعد البيانات. روبن ، خذها بعيدا.
روبن بلور: حسنًا ، أحد المتسللين المثيرين للاهتمام ، أعتقد أنه حدث قبل حوالي خمس سنوات ، ولكن في الأساس كانت شركة لمعالجة البطاقات تم اختراقها. وسرق عدد كبير من تفاصيل البطاقة. ولكن الشيء المثير للاهتمام حول هذا الموضوع ، بالنسبة لي ، هو حقيقة أن قاعدة البيانات الخاصة بالاختبار هي التي دخلوا إليها بالفعل ، وربما كان الأمر كذلك أنهم واجهوا صعوبة كبيرة في الوصول إلى قاعدة البيانات الحقيقية والحقيقية لمعالجة البطاقات. لكنك تعرف كيف هو الحال مع المطورين ، فهم يأخذون فقط جزءًا من قاعدة البيانات ، ويقومون بإدخالها هناك. كان يجب أن يكون هناك قدر أكبر من اليقظة لوقف ذلك. لكن هناك الكثير من قصص القرصنة المثيرة للاهتمام ، فهي تصنع في منطقة واحدة ، وتنتج موضوعًا مثيرًا جدًا.
لذا سأكرر في الواقع ، بطريقة أو بأخرى ، بعض الأشياء التي قالها إريك ، لكن من السهل التفكير في أمان البيانات كهدف ثابت ؛ من الأسهل لمجرد أنه من السهل تحليل المواقف الثابتة ثم التفكير في وضع الدفاعات فيها ، لكن الدفاعات ليست كذلك. هدفها المتحرك وهذا هو أحد الأشياء التي تحدد مجال الأمن بأكمله. إنه فقط في الطريقة التي تتطور بها كل التكنولوجيا ، تتطور تقنية الأشرار أيضًا. لذلك ، نظرة عامة موجزة: سرقة البيانات ليست جديدة ، في الواقع الفعلي ، تجسس البيانات هو سرقة البيانات وهذا ما يحدث منذ آلاف السنين ، على ما أعتقد.
أكبر سرقة البيانات في هذه الشروط كان البريطانيون كسر الرموز الألمانية والأميركيين كسر الرموز اليابانية ، وتقصير الحرب إلى حد كبير في كلتا الحالتين. لقد كانوا يسرقون البيانات المفيدة والقيمة ، لقد كان ذكيًا جدًا بالطبع ، لكنك تعلم أن ما يحدث الآن هو ذكي للغاية من نواح كثيرة. وُلدت سرقة الإنترنت عبر الإنترنت وانفجرت في حوالي عام 2005. ذهبت ونظرت إلى جميع الإحصائيات ، وعندما بدأت في أن تصبح جادة حقًا ، وبطريقة أو بأخرى ، أعداد كبيرة بشكل ملحوظ ابتداءً من عام 2005. ثم. يشارك العديد من اللاعبين والحكومات والشركات المعنية ومجموعات القراصنة والأفراد.
ذهبت إلى موسكو - كان يجب أن يكون ذلك حوالي خمس سنوات - وقضيت كثيرًا من الوقت مع شاب من المملكة المتحدة ، حيث كنت أبحث في مجال القرصنة بالكامل. وقال ذلك - وليس لدي أي فكرة عما إذا كان هذا صحيحًا ، لقد حصلت على كلمته فقط ، ولكن يبدو من المحتمل جدًا - في روسيا أن هناك ما يسمى بشبكة الأعمال ، وهي مجموعة من المتسللين كلها ، أنت تعرف ، خرجوا من أنقاض KGB. وهم يبيعون أنفسهم ، ليس فقط ، أعني ، أنا متأكد من أن الحكومة الروسية تستخدمهم ، لكنهم يبيعون أنفسهم لأي شخص ، وقد ترددت شائعات ، بأن حكومات أجنبية مختلفة كانت تستخدم شبكة الأعمال للحصول على إنكار معقول . كان لدى هؤلاء الأشخاص شبكات تضم ملايين أجهزة الكمبيوتر التي قد يتعرضون لها للخطر من خلالها. وكان لديهم كل الأدوات التي يمكنك تخيلها.
لذلك ، تطورت تكنولوجيا الهجوم والدفاع. وعلى الشركات واجب العناية ببياناتها ، سواء كانت تمتلكها أم لا. وهذا ما بدأ يصبح أكثر وضوحًا فيما يتعلق بمختلف اللوائح التنظيمية المعمول بها بالفعل ، أو التي دخلت حيز التنفيذ. وعلى الأرجح أن يتحسن أحدهم ، بطريقة أو بأخرى ، يتحمل تكلفة القرصنة بطريقة تحفزهم على إغلاق هذا الاحتمال. هذا واحد من الأشياء التي أعتقد أنها ضرورية. حتى عن المتسللين ، يمكن أن تكون موجودة في أي مكان. لا سيما داخل مؤسستك - هناك عدد هائل من المتسللين المبتكرين الذين سمعت عن تورط شخص ما في فتح الباب. كما تعلمون ، الشخص الذي يشبه وضع السارق البنكي ، كان دائمًا يقوله في عمليات السطو على البنوك الجيدة من الداخل. لكن المطلع الداخلي يحتاج فقط إلى إعطاء معلومات ، لذلك من الصعب الحصول عليها ، لمعرفة من كانت ، وما إلى ذلك.
وقد يكون من الصعب تقديمهم للعدالة ، لأنه إذا تعرضت للاختراق من قبل مجموعة من الأشخاص في مولدوفا ، حتى لو كنت تعلم أنها كانت تلك المجموعة ، كيف ستجعلون حدثًا قانونيًا يحدث حولهم؟ هذا النوع من ، من ولاية قضائية إلى أخرى ، ليس هناك مجموعة جيدة جدا من الترتيبات الدولية لتحديد المتسللين. يتشاركون في التكنولوجيا والمعلومات ؛ الكثير منه مفتوح المصدر. إذا كنت ترغب في إنشاء فيروس خاص بك ، فهناك الكثير من مجموعات الفيروسات الموجودة - المصدر المفتوح تمامًا. ولديهم موارد كبيرة ، وهناك عدد يحتوي على شبكات روبوت في أكثر من مليون جهاز مخترق في مراكز البيانات وأجهزة الكمبيوتر وما إلى ذلك. بعض الأعمال التجارية المربحة مستمرة منذ فترة طويلة ، ثم هناك مجموعات حكومية ، كما ذكرت.من غير المحتمل ، كما قال إريك ، من غير المرجح أن تنتهي هذه الظاهرة على الإطلاق.
لذلك ، هذا هو الاختراق مثيرة للاهتمام أنا فقط أعتقد معرف أذكر ذلك ، لأنه كان الاختراق في الآونة الأخيرة إلى حد ما. لقد حدث العام الماضي. كان هناك ثغرة أمنية في عقد DAO المرتبط بعملة تشفير Etherium. وتمت مناقشته في أحد المنتديات ، وخلال يوم واحد ، تم اختراق عقد DAO ، باستخدام مشكلة عدم الحصانة هذه بدقة. تم صرف مبلغ 50 مليون دولار من الأثير ، مما تسبب في أزمة فورية في مشروع DAO وإغلاقه. وقد ناضل Etherium في الواقع لمحاولة منع المتسلل من الوصول إلى الأموال ، وقد قاموا بتخفيض نوعيته. ولكن كان هناك اعتقاد أيضًا - غير معروف على وجه اليقين - أن القراصنة قام بالفعل بتخفيض سعر الأثير قبل هجومه ، مع العلم أن سعر الأثير سينهار ، وبالتالي حقق ربحًا بطريقة أخرى.
وهذا هو الآخر ، إذا أردت ، حيلة يمكن للمتسللين استخدامها. إذا كان بإمكانهم إتلاف سعر سهمك ، وهم يعلمون أنهم سيفعلون ذلك ، فليس من الضروري بالنسبة لهم تقصير سعر السهم والقيام بالاختراق ، لذلك نوعه ، هؤلاء الرجال أذكياء ، كما تعلمون. والثمن هو السرقة الفادحة للأموال والفوضى والفدية ، بما في ذلك الاستثمارات ، حيث تقوم بتعطيل وتقصير الأسهم والتخريب وسرقة الهوية وجميع أنواع الخدع ، فقط من أجل الإعلان. وهو يميل إلى أن يكون تجسسًا سياسيًا أو واضحًا للمعلومات ، وهناك حتى أشخاص يكسبون عيشهم من خيرات الأخطاء التي يمكنك الحصول عليها من خلال محاولة اختراق Google و Apple ، وحتى البنتاغون ، يمنح مكافآت الأخطاء بالفعل. وأنت فقط اختراق. إذا نجحت ، فما عليك سوى أن تطالب بجائزتك ، ولا يحدث أي ضرر ، لذلك هذا شيء جميل ، كما تعلم.
قد أذكر كذلك الامتثال والتنظيم. بصرف النظر عن مبادرات القطاع ، هناك الكثير من اللوائح الرسمية: HIPAA ، SOX ، FISMA ، FERPA و GLBA كلها قوانين أمريكية. هناك معايير أصبح PCI-DSS معيارًا عامًا إلى حد ما. ثم هناك ISO 17799 حول ملكية البيانات. تختلف اللوائح الوطنية من بلد إلى آخر ، حتى في أوروبا. وحالياً إجمالي الناتج المحلي - البيانات العالمية ، ماذا تعني؟ نظام حماية البيانات العالمي ، أعتقد أن هذا يمثل - ولكن هذا سيدخل حيز التنفيذ في العام المقبل ، كما قال. والشيء المثير للاهتمام هو أنه ينطبق في جميع أنحاء العالم. إذا كان لديك 5000 عميل أو أكثر ، والذين لديك معلومات شخصية عنهم ويعيشون في أوروبا ، فإن أوروبا ستأخذك في الواقع إلى المهمة ، بصرف النظر عن مقر شركتك بالفعل ، أو أين تعمل. والعقوبات ، الحد الأقصى للعقوبة هو أربعة في المائة من الإيرادات السنوية ، وهي ضخمة فقط ، لذلك سيكون هذا تحولا مثيرا للاهتمام في العالم ، عندما يدخل حيز التنفيذ.
الأشياء التي يجب التفكير فيها ، حسناً ، نقاط الضعف DBMS ، معظم البيانات القيمة موجودة بالفعل في قواعد البيانات. إنه ذو قيمة لأننا وضعنا الكثير من الوقت في إتاحته وتنظيمه بشكل جيد مما يجعله أكثر عرضة للخطر ، إذا لم تقم بالفعل بتطبيق الأوراق المالية الصحيحة لنظام إدارة قواعد البيانات. من الواضح ، إذا كنت تخطط لأشياء من هذا القبيل ، فأنت بحاجة إلى تحديد البيانات الضعيفة في جميع أنحاء المنظمة ، مع الأخذ في الاعتبار أن البيانات يمكن أن تكون عرضة لأسباب مختلفة. يمكن أن تكون بيانات العميل ، لكن يمكن أن تكون مستندات داخلية بنفس القدر تكون ذات قيمة لأغراض التجسس وما إلى ذلك. إن سياسة الأمن ، خاصة فيما يتعلق بالوصول إلى الأمان - والتي كانت في رأيي ضعيفة للغاية في الآونة الأخيرة ، في تشفير المصادر المفتوحة الجديدة - أصبح التشفير أكثر استخدامًا لأنه صخري جميل.
تكلفة خرق الأمان ، لم يعرفها معظم الأشخاص ، ولكن إذا نظرت فعليًا إلى ما حدث مع المنظمات التي عانت من خروقات أمنية ، فقد تبيّن أن تكلفة الخرق الأمني أعلى غالبًا مما تعتقد. ثم الشيء الآخر الذي يجب التفكير فيه هو سطح الهجوم ، لأن أي جزء من البرامج في أي مكان ، يعمل مع مؤسساتك يقدم سطح هجوم. كذلك تفعل أي من الأجهزة ، وكذلك البيانات ، بغض النظر عن كيفية تخزينها. كل شيء ، سطح الهجوم ينمو مع إنترنت الأشياء ، سطح الهجوم ربما سيتضاعف.
لذلك ، وأخيرا ، ديسيبل وأمن البيانات. عادة ما يكون أمان البيانات جزءًا من دور DBAs. لكن التعاونية ، أيضا. ويجب أن تخضع لسياسة الشركة ، وإلا فلن يتم تنفيذها بشكل جيد. بعد قولي هذا ، أعتقد أنني أستطيع تمرير الكرة.
إريك كافانا: كل الحق ، اسمحوا لي أن أعطي مفاتيح لفيكي. ويمكنك مشاركة شاشتك أو الانتقال إلى هذه الشرائح ، والأمر متروك لك ، وخذها بعيدا.
فيكي هارب: لا ، سأبدأ بهذه الشرائح ، شكراً جزيلاً لك. لذا ، نعم ، أردت فقط أن أتوقف لحظة سريعة وأن أقدم نفسي. ايم فيكي القيثارة. أنا مدير ، وإدارة منتجات لمنتجات SQL في برنامج IDERA ، ولأولئك الذين قد لا يكونون على دراية بنا ، لدى IDERA عدد من خطوط الإنتاج ، ولكن أنا هنا أتحدث عن جانب SQL Server من الأشياء. وهكذا ، فإننا نقوم بمراقبة الأداء ، والامتثال الأمني ، والنسخ الاحتياطي ، وأدوات الإدارة - ونوعها الوحيد من قوائمها. وبالطبع ، ما أنا هنا للحديث عنه اليوم هو الأمن والامتثال.
الجزء الأكبر من ما أريد التحدث عنه اليوم ليس بالضرورة منتجاتنا ، على الرغم من أنني أعتزم عرض بعض الأمثلة على ذلك لاحقًا. أردت أن أتحدث إليكم أكثر حول أمان قاعدة البيانات ، وبعض التهديدات في عالم أمن قاعدة البيانات في الوقت الحالي ، وبعض الأشياء التي يجب التفكير فيها ، وبعض الأفكار التمهيدية حول ما تحتاج إلى النظر إليه من أجل تأمين مزودك قواعد بيانات الخادم وأيضًا للتأكد من أنها متوافقة مع الإطار التنظيمي الذي قد تخضع له ، كما ذكر. هناك العديد من اللوائح المختلفة المعمول بها. إنهم يذهبون إلى صناعات مختلفة ، وأماكن مختلفة حول العالم ، وهذه أشياء يجب التفكير فيها.
لذا ، فأنا أريد أن أتوقف لحظة وأتحدث عن حالة خروقات البيانات - وليس لتكرار الكثير مما تمت مناقشته هنا بالفعل - كنت أبحث عن دراسة أبحاث الأمن Intel هذه مؤخرًا ، وعبر ذلك - أعتقد 1500 منظمة أو نحو ذلك تحدثت معهم - كان لديهم ستة انتهاكات أمنية في المتوسط ، فيما يتعلق بانتهاكات فقد البيانات ، و 68 في المائة من تلك المؤسسات كانت تتطلب الإفصاح بمعنى ما ، لذلك أثرت على سعر السهم ، أو اضطروا إلى القيام ببعض الائتمان مراقبة عملائها أو موظفيهم ، إلخ.
بعض الإحصاءات الأخرى المثيرة للاهتمام هي أن الجهات الفاعلة الداخلية التي كانت مسؤولة عن 43 في المئة من هؤلاء. لذا ، يعتقد الكثير من الناس الكثير عن المتسللين وهذا النوع من المنظمات شبه الحكومية المظللة أو الجريمة المنظمة ، وما إلى ذلك ، لكن الجهات الفاعلة الداخلية لا تزال تتخذ إجراءات مباشرة ضد أصحاب عملهم ، في نسبة عالية جدًا من الحالات. وهذه في بعض الأحيان تكون أصعب من الحماية ، لأن الناس قد يكون لديهم أسباب مشروعة للوصول إلى تلك البيانات. حوالي نصف ذلك ، كان 43 في المئة خسارة عرضية في بعض المعنى. لذلك ، على سبيل المثال ، في حالة قيام شخص ما بأخذ البيانات إلى المنزل ، ثم فقد تعقب تلك البيانات ، وهو ما يقودني إلى هذه النقطة الثالثة ، وهي أن الوسائط المادية ما زالت متورطة بنسبة 40 في المائة من الانتهاكات. لذلك ، وهذا هو مفاتيح USB ، وهذا هو أجهزة الكمبيوتر المحمولة الشعوب ، وهذا هو وسائل الإعلام الفعلية التي أحرقت على أقراص المادية وأخذت من المبنى.
إذا فكرت ، هل لديك مطور لديه نسخة مطورة من قاعدة بيانات الإنتاج الخاصة بك على الكمبيوتر المحمول الخاص بهم؟ ثم يذهبون على متن طائرة وينطلقون من الطائرة ، ويحصلون على الأمتعة التي تم فحصها وسُرق كمبيوترهم المحمول. لديك الآن خرق البيانات. قد لا تظن بالضرورة أن هذا هو السبب وراء التقاط هذا الكمبيوتر المحمول ، فقد لا يظهر على الإطلاق في البرية. ولكن هذا لا يزال يعتبر شيئًا خاطئًا ، حيث سيتطلب الكشف عنه ، فستحصل على جميع الآثار النهائية لفقدان تلك البيانات ، لمجرد فقدان هذه الوسائط المادية.
والشيء الآخر المثير للاهتمام هو أن الكثير من الناس يفكرون في بيانات الائتمان ، ومعلومات بطاقة الائتمان باعتبارها الأكثر قيمة ، ولكن هذا ليس هو الحال بعد الآن. أن البيانات ذات قيمة ، وأرقام بطاقات الائتمان مفيدة ، ولكن بصراحة ، يتم تغيير هذه الأرقام بسرعة كبيرة ، في حين أن البيانات الشخصية للأشخاص لا تتغير بسرعة كبيرة. شيء يحتويه عنصر الأخبار الحديثة ، حديث العهد نسبيًا ، VTech ، صانع ألعاب هذه الألعاب المصممة للأطفال. وكان الناس ، لديهم أسماء أطفالهم ، لديهم معلومات حول مكان الأطفال ، وكان لديهم أسماء آبائهم ، وكان لديهم صور فوتوغرافية للأطفال. لم يتم تشفير أي من ذلك ، لأنه لم يعتبر مهمًا. ولكن تم تشفير كلمات المرور الخاصة بهم. حسنًا ، عندما حدث الاختراق لا محالة ، فأنت تقول ، "حسنًا ، لذلك لدي قائمة بأسماء الأطفال ، وأسماء آبائهم ، ومكان إقامتهم - كل هذه المعلومات موجودة هناك ، وكنت تعتقد أن كلمة المرور هي الجزء الأكثر قيمة. من ذلك؟ " لا يمكن للأشخاص تغيير تلك الجوانب المتعلقة ببياناتهم الشخصية ، وعنوانهم ، وما إلى ذلك ، وبالتالي فإن هذه المعلومات هي في الواقع قيمة للغاية ويجب حمايتها.
لذا ، أردت التحدث عن بعض الأشياء الجارية ، للمساهمة في الطريقة التي تحدث بها خروقات البيانات في الوقت الحالي. واحدة من النقاط الساخنة الكبيرة ، والمساحات الآن هي الهندسة الاجتماعية. لذلك يسميها الناس التصيد الاحتيالي ، يوجد انتحال شخصية ، وما إلى ذلك ، حيث يحصل الأشخاص على إمكانية الوصول إلى البيانات ، غالبًا من خلال الجهات الفاعلة الداخلية ، عن طريق إقناعهم بأنهم يفترض أنهم يستطيعون الوصول إليها. لذلك ، في اليوم الآخر ، كان لدينا دودة مستندات Google هذه التي كانت موجودة. وما سيحدث - وتلقيت بالفعل نسخة منه ، على الرغم من أنني لحسن الحظ لم أنقر عليه - كنت تحصل عليه من زميلك ، قائلًا ، "هيريس رابط جوجل دوك ؛ تحتاج إلى النقر فوق هذا لعرض ما قمت بمشاركته معك للتو. "حسنًا ، في مؤسسة تستخدم مُحرر مستندات Google ، هذا أمر تقليدي جدًا ، ستحصل على العشرات من هذه الطلبات يوميًا. إذا قمت بالنقر فوقها ، فستطلب منك إذنًا بالوصول إلى هذا المستند ، وربما تقول: "هذا يبدو غريباً بعض الشيء ، لكنك تعلم أنه يبدو شرعيًا أيضًا ، لذا المضي قدمًا وانقر فوقه ، "وبمجرد قيامك بذلك ، كنت تمنح هذا الطرف الثالث حق الوصول إلى جميع مستندات Google الخاصة بك ، وبالتالي ، يمكنك إنشاء هذا الرابط لهذا الممثل الخارجي للوصول إلى جميع مستنداتك على Google Drive. هذا دودة في كل مكان. لقد أصابت مئات الآلاف من الناس في غضون ساعات. وكان هذا في الأساس هجوم تصيد احتيالي انتهى به الأمر إلى توقف Google نفسها ، لأنه تم تنفيذه جيدًا. سقط الناس لذلك.
أذكر هنا خرق سناب شات للموارد البشرية. كانت هذه مجرد مسألة بسيطة بالنسبة لشخص ما ، مما يدل على أنهم الرئيس التنفيذي لشركة جي إتش ، حيث قال: "أحتاج إليكم في جدول البيانات هذا." لقد آمنوا بهم ، وقاموا بوضع جدول بيانات به 700 تعويض مختلف للموظفين. المعلومات ، وعناوينها الرئيسية ، وما إلى ذلك ، أدخلت هذا الطرف الآخر ، لم يكن في الواقع الرئيس التنفيذي. الآن ، كانت البيانات خارج ، وجميع موظفيها المعلومات الشخصية والخاصة كانت هناك ومتاحة للاستغلال. لذا ، فإن الهندسة الاجتماعية هي شيء أذكره في عالم قواعد البيانات ، لأن هذا شيء يمكنك محاولة الدفاع عنه من خلال التعليم ، ولكن عليك أيضًا أن تتذكر أنه في أي مكان يتفاعل فيه شخص مع التكنولوجيا الخاصة بك ، إذا كنت تعتمد على حسن تقديرها لمنع انقطاع التيار الكهربائي ، فأنت تطلب الكثير منهم.
الناس يرتكبون أخطاء ، والناس ينقرون على أشياء لا ينبغي أن يكون لديهم ، والناس يسقطون عن حيل ذكية. ويمكنك أن تحاول جاهدة حمايتها ضدها ، ولكن ليس بقوة كافية ، تحتاج إلى محاولة الحد من قدرة الناس على إعطاء هذه المعلومات عن طريق الخطأ في أنظمة قاعدة البيانات الخاصة بك. الشيء الآخر الذي أردت أن أذكر أنه من الواضح أنه كان يتحدث عن الكثير هو الفدية ، والروبوتات ، والفيروسات - كل هذه الطرق الآلية المختلفة. وما أعتقد أنه من المهم فهمه حول رانسومواري هو أنه يغير حقًا نموذج الربح للمهاجمين. في حالة أنك تتحدث عن خرق ، يتعين عليهم ، إلى حد ما ، استخراج البيانات والحصول عليها لأنفسهم والاستفادة منها. وإذا كانت بياناتك غامضة ، أو إذا كانت مشفرة ، أو خاصة بمجالها ، فربما لا يكون لها أي قيمة لها.
حتى هذه النقطة ، ربما شعر الناس أن ذلك كان بمثابة حماية لهم ، "لا أحتاج إلى حماية نفسي من خرق البيانات ، لأنه إذا دخلوا إلى نظامي ، فكل ما سيحصلون عليه هو ، Im a studio studio ، لدي قائمة بمن سيأتي في أي أيام للعام المقبل. من يهتم بذلك؟ "حسنًا ، اتضح أن الإجابة هي أنك تهتم بذلك ؛ إنك تقوم بتخزين هذه المعلومات ، وهي معلوماتك المهمة للأعمال. لذلك ، باستخدام فدية ، سيقول المهاجم: "حسنًا ، لن يعطيني أي شخص آخر أموالًا مقابل ذلك ، لكنك ستفعل ذلك". لذا ، فإنهم يستفيدون من حقيقة أنهم لا يضطرون حتى إلى إخراج البيانات ، ولا يتعين عليهم حتى لديك خرق ، يحتاجون فقط إلى استخدام أدوات الأمن الهجومية ضدك. يدخلون في قاعدة البيانات الخاصة بك ، ويقومون بتشفير محتوياتها ، ثم يقولون ، "حسنًا ، لدينا كلمة المرور ، وسيتعين علينا دفع 5000 دولار أمريكي للحصول على كلمة المرور هذه ، وإلا فإنك لم تعد تملك هذه البيانات بعد الآن. "
والناس يدفعون يجدون أنفسهم مضطرين للقيام بذلك. لقد واجهت MongoDB مشكلة كبيرة نوعًا ما قبل شهرين ، وأعتقد أن هذا كان في يناير ، حيث ضربت برامج الفدية ، على ما أعتقد ، أكثر من مليون قاعدة بيانات MongoDB لديهم بشكل عام على الإنترنت ، استنادًا إلى بعض الإعدادات الافتراضية. وما زاد الأمر سوءًا هو أن الناس كانوا يدفعون ، لذا فإن المنظمات الأخرى ستدخل وتعيد التشفير أو تدعي أنها كانت هي التي قامت بتشفيرها في الأصل ، لذلك عندما دفعت أموالك ، وأعتقد في هذه الحالة أنهم كانوا عندما يسأل عن شيء مثل 500 دولار ، يمكن للناس أن يقولوا ، "حسنًا ، سأدفع أكثر من ذلك لأدفع باحثًا للدخول إلى هنا لمساعدتي في اكتشاف الخطأ الذي حدث. لم تدفع سوى 500 دولار. "وقد شعروا بالقلق حتى من دفعها إلى الممثل الصحيح ، لذلك كانوا يتراكمون مع عشر منظمات مختلفة تخبرهم ،" لقد حصلنا على كلمة المرور "، أو" لقد حصلنا على الطريق لك لإلغاء تأمين بياناتك الفدية وعليك أن تدفع لهم جميعاً من أجل الحصول عليها للعمل.
كانت هناك أيضًا حالات كان فيها مؤلفو رانسومواري لديهم أخطاء ، وأعني بذلك ، لم يتحدثوا عنها كونها موقفًا مثاليًا ، لذا حتى عندما يتم مهاجمتها ، حتى بعد دفعها ، لا يوجد ضمان بأنك ستحصل على كل ما تبذلونه البيانات مرة أخرى ، يتم تعقيد بعض هذا أيضًا بواسطة أدوات InfoSec المُسلحة. لذا فإن The Shadow Brokers هي مجموعة تم تسريب الأدوات التي كانت من وكالة الأمن القومي. كانت أدوات صممها كيان حكومي لأغراض التجسس وفي الواقع تعمل ضد كيانات حكومية أخرى. بعض هذه الهجمات كانت بالفعل هجمات بارزة في يوم الصفر ، والتي تجعل من بروتوكولات الأمان المعروفة تنحسر جانبا. وهكذا كان هناك ثغرة أمنية كبيرة في بروتوكول SMB على سبيل المثال ، في أحد مقالب Shadow Brokers الحديثة.
وبالتالي ، يمكن لهذه الأدوات التي تأتي إلى هنا ، في غضون بضع ساعات ، تغيير اللعبة عليك ، من حيث سطح الهجوم. لذلك كلما فكرت Im في هذا الأمر ، وهو أمر على المستوى التنظيمي ، يعد أمن InfoSec هو وظيفته الخاصة ، ويجب أن يؤخذ على محمل الجد. كلما كنت تتحدث عن قواعد البيانات ، يمكنني أن أنزلها قليلاً ، لا يلزم بالضرورة أن يكون لديك كمسؤول قاعدة بيانات فهمًا تامًا لما يحدث مع "وسطاء الظل" هذا الأسبوع ، لكن عليك أن تدرك أن كل هذه الأمور تتغير ، هناك أشياء جارية ، وبالتالي الدرجة التي تحافظ بها على مجالك الخاص محكم وآمن ، سوف يساعدك حقًا في حالة تعرضك للأشياء من تحتك.
لذلك ، أردت أن أتوقف لحظة هنا ، قبل الانتقال إلى الحديث عن SQL Server على وجه التحديد ، لإجراء مناقشة مفتوحة مع أعضاء فريقنا حول بعض الاعتبارات المتعلقة بأمان قاعدة البيانات. لذا ، لقد وصلت إلى هذه النقطة ، بعض الأشياء التي ذكرناها ، أردت أن أتحدث عن حقن SQL كمتجه. لذلك ، هذا هو حقن SQL ، ومن الواضح أنه الطريقة التي يدخل بها الأشخاص الأوامر في نظام قاعدة البيانات ، حسب نوع تشوه المدخلات.
إريك كافانا: نعم ، لقد قابلت بالفعل شخصًا - أعتقد أنه كان في قاعدة أندروز الجوية - قبل حوالي خمس سنوات ، وهو مستشار كنت أتحدث معه في الردهة وكنا نوعًا من تبادل قصص الحرب - لا يقصد التورية - وهو ذكر أنه قد تم إحضاره من قبل شخص ما للتشاور مع عضو رفيع المستوى إلى حد ما في الجيش وسأله الرجل ، "حسنًا ، كيف نعرف أنك جيد في ما تفعله؟" وهذا وذاك. وبينما كان يتحدث إليهم كان يستخدمه على جهاز الكمبيوتر الخاص به ، حيث وصل إلى الشبكة ، استخدم حقن SQL للدخول إلى السجل لتلك القاعدة ولأولئك الأشخاص. ووجد الأشخاص الذين تحدث إليهم وأظهره له فقط على آليته! وكان الرجل مثل ، "كيف فعلت ذلك؟" ، قال ، "حسنًا ، لقد استخدمت حقن SQL".
لذلك ، هذا قبل خمس سنوات فقط ، وكان في قاعدة للقوات الجوية ، أليس كذلك؟ لذلك ، من حيث الخداع ، لا يزال هذا الشيء حقيقيًا ويمكن استخدامه بتأثيرات مرعبة حقًا. أعني ، معرف أن يكون فضوليا لمعرفة أي قصص الحرب التي لديها روبن حول هذا الموضوع ، ولكن كل هذه التقنيات لا تزال صالحة. ما زالوا يستخدمون في كثير من الحالات ، وهو مسألة تثقيف نفسك ، أليس كذلك؟
روبن بلور: نعم. نعم ، من الممكن الدفاع عن حقنة SQL عن طريق القيام بالعمل. من السهل أن نفهم لماذا عندما تم اختراع الفكرة وانتشارها لأول مرة ، من السهل أن نفهم سبب نجاحها الملعون ، لأنه يمكنك فقط لصقها في حقل إدخال على صفحة ويب وجعلها تُرجع بيانات لك ، أو تحصل عليها حذف البيانات في قاعدة البيانات أو أي شيء - يمكنك فقط حقن كود SQL للقيام بذلك. لكن الشيء الذي أثار اهتمامي هو أنه كما تعلمون ، عليك أن تفعل القليل من التحليل ، لكل جزء من البيانات التي تم إدخالها ، لكن من الممكن أن تكتشف أن هناك شخصًا يحاول القيام بذلك. وفي الحقيقة ، أعتقد أنها في الحقيقة ، لأن الناس ما زالوا يفلتون من العقاب ، يعني أنه من الغريب حقًا أنه لم تكن هناك طريقة سهلة لمكافحة ذلك. أنت تعرف ، أن الجميع يمكن أن تستخدم بسهولة ، يعني ، بقدر ما أعرف ، لم يكن هناك ، فيكي ، هناك؟
فيكي هارب: حسنًا ، في الواقع بعض حلول الرهائن ، مثل SQL Azure ، أعتقد أن لديها بعض أساليب الكشف الجيدة التي تستند إلى التعلم الآلي. ربما هذا ما كان سيراه في المستقبل ، هو شيء تحاول الوصول إليه بحجم واحد يناسب الجميع. أعتقد أن الإجابة كانت لا يوجد مقاس واحد يناسب الجميع ، ولكن لدينا آلات يمكنها معرفة حجمك وتأكد من أنك مناسب له ، أليس كذلك؟ وهكذا إذا كان لديك إيجابية خاطئة ، فهذا لأنك تفعل شيئًا غير عادي في الواقع ، ليس لأنك اضطررت إلى المرور وتحديد كل ما قد يفعله تطبيقك.
أعتقد أن أحد الأسباب التي تجعله لا يزال غزيرًا حقًا هو أن الناس ما زالوا يعتمدون على تطبيقات الطرف الثالث ، والتطبيقات من مزودي البرامج المستقلون وتلك التي يتم تشويهها بمرور الوقت.لذلك ، أنت تتحدث عن منظمة اشترت تطبيقًا هندسيًا كتب في عام 2001. ولم يجرِ تحديثه ، لأنه لم تحدث أي تغييرات وظيفية كبيرة منذ ذلك الحين ، وكان المؤلف الأصلي منه نوعًا ما ، فقد كان مهندسًا. ، وهم werent خبير أمان قاعدة البيانات ، لم يفعلوا الأشياء بالطريقة الصحيحة في التطبيق وانتهى بهم الأمر كونهم ناقل. أفهم أنه - أعتقد أنه كان خرق البيانات المستهدف ، الخلاف الكبير حقًا - لقد كان ناقل الهجوم عبر أحد موردي أجهزة تكييف الهواء ، أليس كذلك؟ لذا ، فإن المشكلة مع تلك الجهة الخارجية ، يمكنك ، إذا كنت تملك متجرك الخاص بالتطوير ، فربما يمكنك وضع بعض هذه القواعد في مكانها الصحيح ، والقيام بذلك بشكل عام كلما كمؤسسة ، قد يكون لديك مئات أو حتى الآلاف من التطبيقات قيد التشغيل ، مع جميع الملفات الشخصية المختلفة. أعتقد أن هذا هو المكان الذي سيأتي فيه التعلم الآلي ويبدأ في مساعدتنا كثيرًا.
كانت قصتي في الحرب حياة تعليمية. حصلت على رؤية هجوم حقن SQL ، والشيء الذي لم يحدث لي هو استخدام SQL سهل القراءة. أفعل هذه الأشياء تسمى بطاقات عطلة P SQL المبهمة. أود القيام به ، وجعل هذه SQL تبدو مربكة قدر الإمكان. هناك ثورة غامضة في مسابقة رمز C ++ التي استمرت لعقود حتى الآن ، ونوعها من نفس الفكرة. لذلك ، ما حصلت عليه بالفعل هو حقن SQL الذي كان في حقل سلسلة مفتوحة ، وأغلق السلسلة ، ووضعها في فاصلة منقوطة ، ثم وضع أمر exec في ذلك الوقت وكان لديه سلسلة من الأرقام ، ثم كان يستخدم بشكل أساسي أمر casting لتحويل هذه الأرقام إلى ثنائي ثم تحويل تلك القيم بدورها إلى قيم شخصية ثم تنفيذ ذلك. لذا ، فليس من المفترض أن ترى شيئًا يقول ، "حذف بدء التشغيل من جدول الإنتاج" ، لقد كان محشوًا بالفعل في حقول رقمية مما جعل رؤيته أكثر صعوبة. وحتى بعد أن رأيته ، لتحديد ما كان يحدث ، استغرق الأمر بعض اللقطات الحقيقية لـ SQL ، لتتمكن من معرفة ما كان يحدث ، وفي أي وقت تم بالفعل إنجاز العمل.
روبن بلور: وأحد الأشياء التي تعتبر مجرد ظاهرة في عالم القرصنة بأكمله هو أنه إذا وجد شخص ما نقطة ضعف وتصادف وجوده في برنامج تم بيعه عمومًا ، كما تعلمون ، فإن إحدى المشكلات المبكرة هي كلمة مرور قاعدة البيانات التي أعطيت لك عندما تم تثبيت قاعدة بيانات ، كان الكثير من قواعد البيانات في الواقع الفعلي مجرد الافتراضي. والكثير من DBAs ببساطة لم يغير ذلك ، وبالتالي يمكنك إدارة الوصول إلى الشبكة بعد ذلك ؛ يمكنك فقط تجربة كلمة المرور هذه ، وإذا نجحت ، فقد فزت للتو في اليانصيب. والشيء المثير للاهتمام هو أن كل هذه المعلومات يتم تداولها بكفاءة وفعالية كبيرة بين مجتمعات القرصنة على مواقع darknet. وهم يعرفون. لذلك ، يمكن أن يقوموا بقدر كبير بعملية مسح لما يوجد هناك ، والعثور على عدد قليل من الحالات ، وإلقاء بعض عمليات القرصنة استغلالًا تلقائيًا عليها ، ويقومون بذلك. وأعتقد ، أن الكثير من الأشخاص على الأقل على الهامش من هذا كله ، لا تفهم حقًا مدى سرعة استجابة شبكة القرصنة للضعف.
فيكي هارب: نعم ، هذا يثير في الواقع شيئًا آخر أردت أن أذكره قبل أن أنتقل إلى الأمام ، وهو فكرة حشو أوراق الاعتماد هذه ، وهذا شيء كان يظهر كثيرًا ، وهو أنه بمجرد سرقة بيانات اعتمادك لشخص ما في أي مكان وفي أي الموقع ، سيتم محاولة إعادة استخدام بيانات الاعتماد هذه في جميع المجالات. لذا ، إذا كنت تستخدم كلمات مرور مكررة ، على سبيل المثال ، إذا كان المستخدمون لديك ، حتى يتيح لك وضع ذلك بهذه الطريقة ، فقد يتمكن شخص ما من الوصول إلى ما يبدو أنه مجموعة بيانات اعتماد صالحة تمامًا. لذلك ، لنفترض أن Ive استخدمت نفس كلمة المرور الخاصة بي في Amazon وفي البنك الخاص بي ، وأيضًا في المنتدى وتم اختراق برنامج المنتدى ، حسنًا ، لديهم اسم المستخدم وكلمة المرور الخاصة بي. ويمكنهم بعد ذلك استخدام نفس اسم المستخدم في Amazon ، أو يمكنهم استخدامه في البنك. وبقدر ما يتعلق الأمر بالبنك ، كان تسجيل الدخول صالحًا تمامًا. الآن ، يمكنك اتخاذ الإجراءات الشائنة عبر الوصول المصرح به بالكامل.
لذلك ، يعود هذا النوع مرة أخرى إلى ما كنت أقوله عن الانتهاكات الداخلية والأعراف الداخلية. إذا كنت قد حصلت على أشخاص في مؤسستك يستخدمون نفس كلمة المرور للوصول الداخلي التي يقومون بها للوصول الخارجي ، فلديك إمكانية أن يأتي شخص ما وينتحل شخصيتك عبر اختراق في موقع آخر لا تعرفه حتى. ويتم نشر هذه البيانات بسرعة كبيرة. هناك قوائم ، أعتقد أن أحدث تحميل لـ "لقد تم تأثرني" من قبل Troy Hunt ، قال إن لديه نصف مليار مجموعة من أوراق الاعتماد ، والتي - إذا كنت تفكر في عدد الأشخاص على هذا الكوكب - هذا هو عدد كبير جدًا من بيانات الاعتماد التي تم توفيرها لحشو بيانات الاعتماد.
لذا ، سأذهب خطوة أعمق قليلاً ونتحدث عن أمان SQL Server. الآن أريد أن أقول إن Im لن أحاول أن أعطيك كل ما تحتاج إلى معرفته لتأمين SQL Server في 20 دقيقة التالية ؛ هذا يبدو قليلا من أجل طويل القامة. لذلك ، حتى للبدء ، أريد أن أقول أن هناك مجموعات على الإنترنت وموارد عبر الإنترنت يمكنك بالتأكيد من Google ، أن هناك كتبًا ، وهناك مستندات حول أفضل الممارسات على Microsoft ، وهناك فصل افتراضي للأمان للمعاونين المحترفين في SQL Server ، إنهم في security.pass.org ولديهم ، على ما أعتقد ، عمليات بث على شبكة الإنترنت وتسجيلات للبث عبر الإنترنت إلى حد ما على كيفية القيام بأمن SQL Server الحقيقي. لكن هذه بعض الأشياء التي تحدثت إليّ ، كمتحدثين معك كمحترفي بيانات ، ومحترفي تكنولوجيا المعلومات ، كموظفين DBA ، أريدك أن تعرف أنك بحاجة إلى معرفتها باستخدام أمان SQL Server.
لذلك أول واحد هو الأمن المادي. هكذا ، كما قلت سابقًا ، لا تزال سرقة الوسائط المادية شائعة للغاية. وبالتالي فإن السيناريو الذي قدمته مع الجهاز dev ، مع نسخة من قاعدة البيانات الخاصة بك على الجهاز dev والتي تمت سرقتها - وهذا هو ناقل شائع للغاية ، وهذا هو ناقل تحتاج إلى أن تكون على علم ومحاولة اتخاذ إجراءات ضد. هذا صحيح أيضًا بالنسبة لأمان النسخ الاحتياطي ، لذا كلما احتجت إلى نسخ بياناتك احتياطيًا ، فأنت بحاجة إلى نسخها احتياطيًا مشفرًا ، فأنت بحاجة إلى عمل نسخة احتياطية إلى موقع آمن. في كثير من الأحيان هذه البيانات التي كانت محمية حقًا في قاعدة البيانات ، بمجرد أن تبدأ في الخروج إلى المواقع الطرفية ، على أجهزة dev ، إلى آلات الاختبار ، نحصل على القليل من الحذر بشأن الترقيع ، نحصل على أقل قليلاً احرص على الأشخاص الذين يمكنهم الوصول إليها. الشيء التالي الذي تعرفه هو أنك حصلت على نسخ احتياطية من قاعدة بيانات غير مشفرة مخزنة على مشاركة عامة في مؤسستك متاحة للاستغلال من الكثير من الأشخاص المختلفين. لذا ، فكر في الأمان المادي وبساطة ذلك ، هل يمكن لشخص ما السير ووضع مفتاح USB في الخادم الخاص بك؟ يجب أن لا تسمح بذلك.
العنصر التالي الذي أريدك أن تفكر فيه هو أمان النظام الأساسي ، وبالتالي نظام التشغيل المحدث ، والتصحيحات الحديثة. من الممتع جدًا سماع الأشخاص الذين يتحدثون عن البقاء على الإصدارات القديمة من Windows ، والإصدارات القديمة من SQL Server ، معتقدين أن التكلفة الوحيدة في اللعب هي تكلفة ترقية الترخيص ، وهذا ليس هو الحال. نحن مع الأمن ، وهو مجرى يواصل النزول إلى أسفل التل ومع مرور الوقت ، تم العثور على مزيد من المآثر. Microsoft في هذه الحالة ، ومجموعات أخرى حسب الحالة ، ستقوم بتحديث الأنظمة الأقدم إلى حد ما ، وفي النهاية سوف تتوقف عن الدعم ولن يتم تحديثها بعد الآن ، لأنها مجرد عملية صيانة لا تنتهي أبدًا.
وبالتالي ، يجب أن تكون على نظام تشغيل مدعوم ، ويجب أن تكون محدّثًا على تصحيحاتك ، وقد وجدنا مؤخرًا كما هو الحال مع Shadow Brokers ، في بعض الحالات ، قد يكون لدى Microsoft نظرة ثاقبة على الانتهاكات الأمنية الرئيسية المقبلة ، قبل إجرائها عام ، قبل الكشف ، لذلك لا تدع لنفسك الحصول على كل الملتوية خارج الترتيب. معرف بدلاً من ذلك لا تأخذ التوقف ، معرف بدلاً من الانتظار وقراءة كل واحد منهم وتقرر. قد لا تعرف ما هي قيمتها حتى بضعة أسابيع أسفل السطر بعد معرفة سبب حدوث هذا التصحيح. لذلك ، والبقاء على رأس ذلك.
يجب أن يكون لديك جدار الحماية تكوين. كان من المثير للصدمة في البنك المركزي السويسري خرق عدد الأشخاص الذين كانوا يقومون بتشغيل إصدارات قديمة من SQL Server مع جدار الحماية مفتوح بالكامل للإنترنت ، لذلك يمكن لأي شخص الدخول والقيام بكل ما يريد مع خوادمهم. يجب أن تستخدم جدار الحماية. حقيقة أن عليك في بعض الأحيان تكوين القواعد أو تقديم استثناءات محددة للطريقة التي كنت تقوم بها عملك هو سعر جيد للدفع. تحتاج إلى التحكم في المساحة السطحية في أنظمة قاعدة البيانات الخاصة بك - هل أنت مشترك في تثبيت الخدمات أو خوادم الويب مثل IIS على نفس الجهاز؟ هل تشارك نفس مساحة القرص ومشاركة نفس مساحة الذاكرة مثل قواعد البيانات والبيانات الخاصة بك؟ حاول ألا تفعل ذلك ، حاول عزله ، واحتفظ بمساحة السطح أصغر ، بحيث لا داعي للقلق كثيرًا حول التأكد من أن كل ذلك آمن في أعلى قاعدة البيانات. يمكنك نوعًا ما من الفصل بين تلك المنصة ، ومنصة ، وفصلها ، وإعطاء نفسك قليلاً من غرفة التنفس.
يجب أن لا يكون لديك مدراء متميزين يركضون في كل مكان قادرين على الوصول إلى جميع البيانات الخاصة بك. قد لا تحتاج حسابات مسؤول نظام التشغيل بالضرورة إلى الوصول إلى قاعدة البيانات الخاصة بك ، أو إلى البيانات الأساسية في قاعدة البيانات عن طريق التشفير ، والتي تتحدث عنها جيدًا في دقيقة واحدة. والوصول إلى ملفات قاعدة البيانات ، تحتاج إلى تقييد ذلك أيضا. إنه نوع من السخافة إذا أردت أن تقول ، حسناً ، شخص ما لا يستطيع الوصول إلى قواعد البيانات هذه عبر قاعدة البيانات ؛ لن يسمح لهم SQL Server بنفسهم بالوصول إليه ، لكن إذا كان بإمكانهم الالتفاف ، فاخذ نسخة من ملف MDF الفعلي ، انقله ببساطة ، وقم بإرفاقه بـ SQL Server الخاص بهم ، لقد نجحت في تحقيق الكثير.
التشفير ، لذلك التشفير هو ذلك السيف الشهير في اتجاهين. يوجد الكثير من مستويات التشفير المختلفة التي يمكنك إجراؤها على مستوى نظام التشغيل والطريقة المعاصرة لفعل الأشياء لـ SQL و Windows مع BitLocker وعلى مستوى قاعدة البيانات ، يسمى TDE أو تشفير البيانات الشفاف. لذا ، فهذه طريقتان لإبقاء بياناتك مشفرة في حالة من الراحة. إذا كنت تريد الاحتفاظ بتشفير بياناتك بشكل أكثر شمولية ، فيمكنك القيام بها مشفرة - آسف ، لقد تقدمت إلى الأمام. يمكنك إجراء اتصالات مشفرة بحيث كلما كان في طريقها ، لا يزال مشفرًا بحيث إذا كان شخص ما يستمع إليه ، أو لديه رجل في منتصف الهجوم ، فإنك تحصل على بعض الحماية لتلك البيانات عبر السلك. يجب تشفير النسخ الاحتياطية الخاصة بك ، كما قلت ، فقد تكون في متناول الآخرين ، ثم إذا كنت تريد تشفيرها في الذاكرة وأثناء الاستخدام ، فقد حصلنا على تشفير الأعمدة ، ثم ، لدى SQL 2016 فكرة "تشفير دائمًا" حيث يتم تشفيره فعليًا على القرص ، في الذاكرة ، على السلك ، وصولاً إلى التطبيق الذي يستخدم بالفعل البيانات.
الآن ، كل هذا التشفير ليس مجانيًا: حمل Theres CPU ، أحيانًا لتشفير العمود والحالة المشفرة دائمًا ، هناك آثار على الأداء من حيث قدرتك على القيام بالبحث عن تلك البيانات. ومع ذلك ، فإن هذا التشفير ، إذا تم تجميعه بشكل صحيح ، فهذا يعني أنه إذا تمكن شخص ما من الوصول إلى بياناتك ، فإن التلف يتم تقليله إلى حد كبير ، لأنه كان قادراً على الحصول عليه ومن ثم لا يستطيعون فعل أي شيء به. ومع ذلك ، فهذه هي الطريقة التي تعمل بها رانسومواري ، حيث يقوم شخص ما بتشغيل هذه العناصر وتشغيلها ، بشهادته الخاصة أو كلمة المرور الخاصة به ولا يمكنك الوصول إليها. لذلك ، هذا هو السبب في أنه من المهم التأكد من أنك تفعل هذا ، وأنك تستطيع الوصول إليه ، لكنك لا تعطيه ، مفتوح أمام الآخرين والمهاجمين للقيام به.
وبعد ذلك ، مبادئ الأمان - لن أقوم بتثبيط هذه النقطة ، لكن تأكد من عدم تشغيل كل مستخدم في SQL Server كمشرف فائق. قد يرغب مطوروك في ذلك ، قد يرغب مستخدمون مختلفون في ذلك - يشعرون بالإحباط من الحاجة إلى طلب الوصول إلى العناصر الفردية - لكن عليك أن تكون حريصًا على ذلك ، وعلى الرغم من أنه قد يكون أكثر تعقيدًا ، يمكنك منح الوصول إلى الكائنات وقواعد البيانات والمخططات الصالحة للعمل الجاري ، وهناك حالة خاصة ، ربما هذا يعني تسجيل دخول خاص ، ولا يعني بالضرورة رفع الحقوق بالنسبة إلى مستخدم الحالة العادي.
ثم ، هناك اعتبارات الامتثال التنظيمي التي تتوافق مع هذا وبعض الحالات قد تنفجر في الواقع بطريقتها الخاصة - لذلك HIPAA ، SOX ، PCI - هناك كل هذه الاعتبارات المختلفة. وعندما تمر بعملية تدقيق ، يُتوقع منك أن تظهر أنك تتخذ إجراءات لتبقى متفقًا مع هذا. ولهذا ، هناك الكثير مما يجب متابعته ، وأود أن أقول كقائمة مهام DBA ، إنك تحاول التأكد من تكوين تشفير الأمان الفعلي ، تحاول التأكد من أن الوصول إلى تلك البيانات قيد تدقيق لأغراض التوافق الخاصة بك ، والتأكد من أن أعمدتك الحساسة ، وأنك تعرف ما هي ، وأين توجد ، وتلك التي يجب تشفيرها ومراقبتها. والتأكد من أن التكوينات تتوافق مع الإرشادات التنظيمية التي تخضع لها. وعليك أن تبقي كل هذا محدثًا لأن الأمور تتغير.
لذا ، هناك الكثير مما يمكنني فعله ، ولذا إذا أردت ترك الأمر هناك ، فسأقول "اذهب". ولكن هناك الكثير من الأدوات المختلفة لذلك ، وهكذا ، إذا جاز لي في الدقائق القليلة الماضية ، أردت أن أريك بعض الأدوات التي لدينا في IDERA لذلك. والاثنان الذي أردت التحدث عنه اليوم هما SQL Secure و SQL Compliance Manager. SQL Secure هي أداة لدينا للمساعدة في تحديد نوع الثغرات الأمنية في التكوين. سياسات الأمان الخاصة بك ، أذونات المستخدم الخاصة بك ، تكوينات مساحة السطح الخاصة بك. ولديه قوالب لمساعدتك على الامتثال لأطر تنظيمية مختلفة. هذا في حد ذاته ، هذا السطر الأخير ، قد يكون السبب وراء تفكير الناس فيه. لأن قراءة هذه اللوائح المختلفة وتحديد ما يعنيه ذلك ، PCI ومن ثم أخذ ذلك وصولاً إلى SQL Server الخاص بي في متجري ، هذا كثير من العمل. هذا شيء يمكنك أن تدفع الكثير من المال للاستشارات القيام به ؛ لقد ذهبنا وقمنا بذلك الاستشارات ، لقد عملنا مع شركات التدقيق المختلفة ، وما إلى ذلك ، للتوصل إلى ما هي هذه القوالب - شيء من المرجح أن يجتاز التدقيق إذا كانت هذه موجودة. وبعد ذلك يمكنك استخدام هذه القوالب ورؤيتها في بيئتك.
لدينا أيضًا أداة شقيقة أخرى في شكل SQL Compliance Manager ، وهنا يكمن SQL Secure في إعدادات التكوين. SQL Compliance Manager يدور حول رؤية ما تم بواسطة من ومتى. لذا ، فإن تدقيقها ، لذلك يسمح لك بمراقبة النشاط كما يحدث وتتيح لك اكتشاف وتتبع من الذي يصل إلى الأشياء. هل كان شخص ما ، على سبيل المثال النموذجي لكونه من المشاهير الذين دخلوا المستشفى ، هل كان شخص ما يبحث عن معلوماتهم بدافع الفضول؟ هل لديهم سبب للقيام بذلك؟ يمكنك إلقاء نظرة على سجل التدقيق ومعرفة ما كان يجري ، من الذي كان يقوم بالوصول إلى هذه السجلات. ويمكنك التعرف على أن لديها أدوات لمساعدتك في تحديد الأعمدة الحساسة ، لذلك ليس بالضرورة عليك أن تقرأ وتفعل ذلك بنفسك.
لذا ، إذا جاز لي ذلك ، فسوف أذهب إلى الأمام وأريك بعض هذه الأدوات هنا في الدقائق القليلة الماضية - ويرجى ألا تفكر في ذلك على أنه عرض توضيحي متعمق. أنا مدير منتج ، وليس مهندس مبيعات ، لذا سأعرض لك بعض الأشياء التي أعتقد أنها ذات صلة بهذه المناقشة. لذلك ، هذا هو منتج SQL Secure الخاص بنا. وكما ترون هنا ، لقد حصلت على نوع من بطاقة التقرير عالية المستوى. جريت هذا ، على ما أعتقد ، أمس. وهذا يوضح لي بعض الأشياء التي لم يتم إعدادها بشكل صحيح وبعض الأشياء التي تم إعدادها بشكل صحيح. لذلك ، يمكنك أن ترى هناك عددًا كبيرًا من أكثر من 100 شيكًا مختلفًا قمنا به هنا. وأستطيع أن أرى أن تشفير النسخ الاحتياطي الخاص بي على النسخ الاحتياطي الذي أقوم به ، لم أكن باستخدام تشفير النسخ الاحتياطي. حساب SA الخاص بي ، المسمى بوضوح "حساب SA" غير معطل أو معاد تسميته. يحتوي دور الخادم العام على إذن ، لذا فهذه كلها أشياء قد أرغب في تغييرها.
لقد حصلت على السياسة الموضوعة هنا ، لذلك إذا أردت إعداد سياسة جديدة ، للتطبيق على خوادمي ، فلدينا جميع هذه السياسات المدمجة. لذا ، استخدم Ill نموذج سياسة حاليًا ويمكنك أن ترى أن لدي CIS و HIPAA و PCI و SR ومازالت مستمرة ، ونحن بالفعل بصدد إضافة سياسات إضافية بشكل مستمر ، استنادًا إلى الأشياء التي يحتاجها الناس في هذا المجال. ويمكنك أيضًا إنشاء سياسة جديدة ، لذلك إذا كنت تعرف ما الذي يبحث عنه مدقق الحسابات ، فيمكنك إنشاؤه بنفسك. وبعد ذلك ، عند القيام بذلك ، يمكنك الاختيار من بين كل هذه الإعدادات المختلفة ، والتي تحتاج إلى تعيينها ، في بعض الحالات ، لديك بعض — دعني أعود وأجد أحد الإعدادات التي تم إنشاؤها مسبقًا. هذا مناسب ، يمكنني اختيار ، على سبيل المثال ، HIPAA - Ive حصلت بالفعل على HIPAA ، يا سيئ - PCI ، وبعد ذلك ، عندما أقوم بالنقر هنا ، أستطيع أن أرى في الواقع المرجع التبادلي الخارجي إلى قسم اللوائح وهو أن متعلق ب. هذا سيساعدك لاحقًا ، عندما تحاول معرفة لماذا أقوم بإعداد هذا؟ لماذا أحاول أن أنظر إلى هذا؟ ما هو القسم المتعلق بهذا؟
يحتوي هذا أيضًا على أداة لطيفة من حيث أنه يتيح لك الدخول وتصفح المستخدمين ، لذا فإن أحد الأشياء الصعبة حول استكشاف أدوار المستخدم الخاصة بك ، هو أنه في الواقع ، أنا ذاهب لإلقاء نظرة هنا. لذلك ، إذا عرضت أذونات لـ my ، لنرى ، يتيح اختيار مستخدم هنا. إظهار الأذونات. أستطيع أن أرى الأذونات المعينة لهذا الخادم ، ولكن بعد ذلك يمكنني النقر هنا وحساب الأذونات الفعالة ، وسيمنحني القائمة الكاملة بناءً على ذلك ، لذلك في هذه الحالة يكون هذا المشرف ، لذلك ليس هذا مثيرًا ، ولكن يمكنني تفضل باختيار المستخدمين المختلفين وشاهد أذوناتهم الفعالة ، استنادًا إلى جميع المجموعات المختلفة التي قد ينتمون إليها. إذا حاولت القيام بذلك بنفسك ، فيمكن أن يكون الأمر في الواقع من المتاعب ، لمعرفة ذلك ، حسناً ، هذا المستخدم عضو في هذه المجموعات ، وبالتالي يمكنه الوصول إلى هذه الأشياء عبر المجموعات ، إلخ.
لذلك ، الطريقة التي يعمل بها هذا المنتج ، هي أنه يأخذ لقطات ، لذلك فهو في الواقع ليس عملية صعبة للغاية لالتقاط لقطة من الخادم على أساس منتظم ، ثم يحتفظ بهذه لقطات مع مرور الوقت حتى تتمكن من مقارنة التغييرات. لذلك ، هذا ليس مراقبة مستمرة بالمعنى التقليدي لمثل أداة مراقبة الأداء ؛ هذا شيء ربما تكون قد قمت بإعداده لتشغيله مرة واحدة في الليلة ، مرة واحدة في الأسبوع - ولكن غالبًا ما تعتقد أنه صالح - لذلك ، كلما فعلت ذلك التحليل وكنت تفعل أكثر قليلاً ، فأنت في الواقع تعمل ضمن أداتنا. أنت لا تتصل بالخادم الخاص بك كثيرًا ، لذا فهذه أداة صغيرة لطيفة يجب التعامل معها ، من أجل التوافق مع هذا النوع من الإعدادات الثابتة.
الأداة الأخرى التي أريد أن أوضحها لك هي أداة مدير التوافق الخاصة بنا. مدير الامتثال سوف يراقب بطريقة أكثر استمرارية. وسوف نرى من يفعل ما على الخادم الخاص بك ويسمح لك بإلقاء نظرة عليه. لذا ، ما فعلته هنا ، خلال الساعات القليلة الماضية أو نحو ذلك ، حاولت إيف فعلًا إنشاء بعض المشكلات الصغيرة. لذلك ، لقد حصلت هنا على مشكلة سواء كانت مشكلة أم لا ، فقد أعلم عنها ، قام شخص ما بالفعل بإنشاء تسجيل دخول وإضافته إلى دور خادم. لذلك ، إذا دخلت وألقيت نظرة على ذلك ، يمكنني أن أرى - أعتقد أنني غير قادر على النقر بزر الماوس الأيمن هناك ، أستطيع أن أرى ما يحدث.لذلك ، هذه هي لوحة المعلومات الخاصة بي وأستطيع أن أرى أنني تلقيت عددًا من عمليات تسجيل الدخول الفاشلة في وقت مبكر اليوم. كان لدي مجموعة من النشاط الأمني ، نشاط DBL.
لذلك ، اسمحوا لي أن أذهب إلى أحداث التدقيق الخاصة بي وألقي نظرة. لقد قمت هنا بتجميع أحداث التدقيق الخاصة بي مجمعة حسب الفئة والكائن المستهدف ، لذلك إذا ألقيت نظرة على ذلك الأمان من قبل ، يمكنني أن أرى DemoNewUser ، حدث تسجيل الدخول إلى الخادم هذا. وأستطيع أن أرى أن تسجيل الدخول SA أنشأ حساب DemoNewUser ، هنا ، الساعة 2:42 مساءً. وبعد ذلك ، أستطيع أن أرى أنه ، إضافة تسجيل الدخول إلى الخادم ، تمت إضافة DemoNewUser إلى مجموعة مسؤول الخادم ، وتمت إضافتهم إلى مجموعة مسؤول الإعداد ، وتمت إضافتهم إلى مجموعة مسؤول النظام. لذلك ، هذا شيء أود أن أعرف قد حدث. لقد قمت أيضًا بإعداده بحيث يتم تتبع الأعمدة الحساسة في الجداول الخاصة بي ، حتى يتسنى لي معرفة من قام بالوصول إليها.
لذلك ، لقد حصلت هنا على مجموعة مختارة تم تحديدها على طاولة شخصيتي ، من Adventure Works. وأستطيع أن ألقي نظرة وأرى أن المستخدم SA على طاولة Adventure Works قام باختيار أفضل عشرة نجوم من شخص نقطة شخص. لذا ، ربما في مؤسستي ، لا أريد أن يقوم الأشخاص باختيار نجوم من شخص dot person ، أو أتوقع أن يقوم بعض المستخدمين فقط بذلك ، ولذا فإنني أرى ذلك هنا. لذلك ، - ما تحتاجه فيما يتعلق بتدقيقك ، يمكننا إعداد ذلك استنادًا إلى الإطار وهذا يعد أكثر من أداة مكثفة. يستخدم تتبع SQL أو أحداث SQLX ، اعتمادًا على الإصدار. والشيء الذي يجب أن يكون لديك بعض المقاعد الأمامية على الخادم الخاص بك لاستيعاب ، ولكن واحدة من تلك الأشياء ، مثل نوع من التأمين ، وهو أمر لطيف إذا لم يكن لدينا التأمين على السيارات - ستكون تكلفة أننا لن يجب أن تأخذ - ولكن إذا كان لديك خادم حيث تحتاج إلى تتبع من يفعلون ذلك ، فقد تضطر إلى الحصول على مساحة رأس إضافية قليلاً وأداة من هذا القبيل للقيام بذلك. سواء كنت تستخدم أداتنا أو تقوم بتدويرها بنفسك ، ستكون مسؤولاً في النهاية عن امتلاك هذه المعلومات لأغراض الامتثال التنظيمي.
هكذا قلت ، ليس عرضًا متعمقًا ، مجرد ملخص سريع وقليل. أردت أيضًا أن أوضح لك أداة سريعة وقليلة في شكل بحث أعمدة SQL ، وهو شيء يمكنك استخدامه لتحديد الأعمدة في بيئتك التي تبدو معلومات حساسة. لذلك ، لدينا عدد من تكوينات البحث حيث يبحث عن أسماء مختلفة من الأعمدة التي تحتوي عادةً على بيانات حساسة ، وبعد ذلك حصلت على هذه القائمة الكاملة منها التي تم تحديدها. لقد حصلت على 120 منهم ، ثم قمت بتصديرها هنا ، حتى أتمكن من الاستفادة منها ليقولوا ، دعنا نلقي نظرة ونتأكد من أن تتبع تتبع الوصول إلى الاسم الأوسط أو شخص واحد أو معدل ضريبة المبيعات ، إلخ.
أعلم أنه تم الحصول على حق في نهاية عصرنا هنا. وهذا هو كل ما كان علي فعلاً أن أريكه لك ، لذا أي أسئلة بالنسبة لي؟
إريك كافانا: لدي بضعة جيدة منها لك. اسمحوا لي أن انتقل هذا هنا. كان أحد الحاضرين يطرح سؤالًا جيدًا حقًا. أحدها يسأل عن ضريبة الأداء ، لذلك أعرف أنها تختلف من حل إلى حل ، لكن هل لديك أي فكرة عامة عن ماهية ضريبة الأداء لاستخدام أدوات أمان IDERA؟
فيكي هارب: لذلك ، على SQL Secure ، كما قلت ، منخفضة للغاية ، فستتخذ بعض اللقطات العرضية. وحتى إذا كنت تعمل في كثير من الأحيان ، فإن الحصول على معلومات ثابتة حول الإعدادات ، ومن ثم فهو منخفض جدًا ، ولا يكاد يذكر. فيما يتعلق بمدير الامتثال ،
إريك كافانا: مثل واحد في المئة؟
فيكي هارب: إذا كان لا بد لي من إعطاء عدد في المئة ، نعم ، سيكون واحد في المئة أو أقل. معلوماتها الأساسية حول ترتيب استخدام SSMS والانتقال إلى علامة تبويب الأمان وتوسيع نطاق الأشياء. من ناحية الامتثال ، أعلى من ذلك بكثير - ولهذا السبب قلت إنه يحتاج إلى مساحة صغيرة جدًا - يبدو الأمر وكأنه يتجاوز بكثير ما لديك من حيث مراقبة الأداء. الآن ، لا أريد تخويف الناس بعيدًا عنها ، الخدعة من خلال مراقبة الامتثال ، وإذا كان التدقيق هو التأكد من أنك تقوم فقط بتدقيق ما ستتخذ إجراء بشأنه. لذا ، بمجرد التصفية ليقول ، "مرحبًا ، أريد أن أعرف متى يصل الأشخاص إلى هذه الجداول المحددة ، وأريد أن أعرف متى قام الناس بالوصول ، واتخذ هذه الإجراءات المحددة" ، فسيكون ذلك بناءً على عدد المرات التي تكون فيها هذه الأشياء يحدث وكم البيانات التي تقوم بتوليدها. إذا قلت ، "أريد SQL كاملة من كل تحديد يحدث على أي من هذه الجداول" ، فهذا ربما يكون غيغا بايت وبيانات غيغابايت من البيانات التي يجب تحليلها بواسطة SQL Server المخزنة نقلها إلى منتجاتنا ، إلخ .
إذا احتفظت به إلى - فسيكون أيضًا معلومات أكثر مما قد تتعامل معه. إذا كنت تستطيع نقلها إلى مجموعة أصغر ، بحيث تحصل على بضع مئات من الأحداث يوميًا ، فمن الواضح أن هذا أقل كثيرًا. لذلك ، حقا ، في بعض النواحي ، الزحافات هي الحد الأقصى. إذا قمت بتشغيل جميع الإعدادات على كل مراقبة لكل شيء ، ثم نعم ، سيكون نجاحه في الأداء 50 في المئة. ولكن إذا كنت ستقلبها إلى مستوى أكثر اعتدالًا ، فستكون مقبلًا ، ربما سأقلب 10 بالمائة؟ انها حقا ، واحدة من تلك الأشياء التي سوف تعتمد اعتمادا كبيرا على عبء العمل الخاص بك.
إريك كافانا: نعم صحيح. هناك سؤال آخر حول الأجهزة. وبعد ذلك ، يدخل بائعو الأجهزة إلى اللعبة ويتعاونون حقًا مع موردي البرامج وقد أجبت من خلال نافذة الأسئلة والأجوبة. أعرف حالة واحدة معينة ، وهي أن Cloudera تعمل مع Intel حيث قامت Intel باستثمار ضخم فيها ، وكان جزء من حساب التفاضل والتكامل هو أن Cloudera ستتمكن من الوصول مبكرًا إلى تصميم الرقاقات ، وبالتالي تكون قادرة على جعل الأمان في مستوى الشريحة الخاص بـ الهندسة المعمارية ، وهي مؤثرة جدا. لكن مع ذلك ، فإن شيئًا ما سيصل إلى هناك ، وما زال يمكن استغلاله من قبل الجانبين. هل تعرف أي اتجاهات أو أي اتجاهات لبائعي الأجهزة للتعاون مع بائعي البرامج على بروتوكول الأمان؟
فيكي هارب: نعم ، في الواقع ، أعتقد أن Microsoft قد تعاونت من أجل الحصول على بعض ، على سبيل المثال ، مساحة الذاكرة لبعض أعمال التشفير تحدث فعليًا على شرائح منفصلة على لوحات رئيسية منفصلة عن ذاكرتك الرئيسية ، حتى أن بعض هذه الأشياء مفصول جسديا. وأعتقد أن هذا في الواقع كان شيئًا جاء من Microsoft فيما يتعلق بالخروج إلى البائعين ليقولوا: "هل يمكننا التوصل إلى طريقة لجعل هذا ، أساسًا ذاكرتها غير القابلة للمعالجة ، لا أستطيع الوصول إلى هذه الذاكرة المؤقتة عبر سعة تجاوز سعة المخزن المؤقت لأنه ليس هناك ، بمعنى ما ، لذلك أنا أعرف أن بعض ذلك يحدث ".
إريك كافانا: بلى.
فيكي هارب: هذا سيكون من الواضح أن البائعين الكبار حقا ، على الأرجح.
إريك كافانا: بلى. أشعر بالفضول لمشاهدة ذلك ، وربما روبن ، إذا كان لديك ثانية سريعة ، فاحرص على معرفتك بتجربتك على مر السنين ، لأنه مرة أخرى ، من حيث الأجهزة ، من حيث علم المواد الفعلي الذي يذهب إلى ما تضعه من جانب البائع ، يمكن أن تنتقل هذه المعلومات إلى كلا الجانبين ، ومن الناحية النظرية نذهب إلى كلا الجانبين بسرعة إلى حد ما ، فهل هناك طريقة لاستخدام الجهاز بعناية أكبر ، من منظور التصميم لتعزيز الأمان؟ ما رأيك؟ روبن ، هل أنت كتم؟
روبن بلور: نعم نعم. أنا آسف ، أنا هنا ؛ أنا مجرد التفكير في السؤال. أن أكون صادقًا ، لقد حصلت على رأي ، إنه مجال لم أتعامل معه نظرًا لعمق كبير ، لذلك أنا أعرف ، يمكنني أن أخترع رأيًا ، لكنني لا أعرف حقًا. أفضل أن تكون الأشياء آمنة في البرامج ، إنها الطريقة التي ألعب بها بشكل أساسي.
إريك كافانا: بلى. حسنًا ، أيها الناس ، لقد احترقنا لمدة ساعة وتغيرنا هنا. شكراً جزيلاً لـ Vicky Harp على وقتها واهتمامها - طوال وقتك واهتمامك ؛ نحن نقدر لك تظهر لهذه الأشياء. انها صفقة كبيرة؛ لن يذهب في أي وقت قريب. انها لعبة القط والفار التي سوف تستمر في الذهاب والذهاب والذهاب. وشكرنا أن بعض الشركات موجودة هناك ، وتركز على تمكين الأمن ، ولكن كما ألمحت فيكي وتحدثت قليلاً في عرضها التقديمي ، في نهاية اليوم ، فإن موظفيها في المنظمات الذين يحتاجون إلى التفكير بعناية شديدة حول هذه هجمات التصيد ، هذا النوع من الهندسة الاجتماعية ، وتمسك بأجهزة الكمبيوتر المحمولة الخاصة بك - لا تتركها في المقهى! تغيير كلمة المرور الخاصة بك ، والقيام بالأساسيات ، وستحصل على 80 في المئة من الطريق إلى هناك.
لذلك ، مع ذلك ، كان الناس يودعونك وداعًا ، شكرًا لك مرة أخرى على وقتك واهتمامك. حسنا اللحاق بك في المرة القادمة ، وتوخي الحذر. مع السلامة.
فيكي هارب: الى اللقاء شكرا لك