Para llevar: El anfitrión Eric Kavanagh habla sobre la seguridad y los permisos con el Dr. Robin Bloor y Vicky Harp de IDERA.
Actualmente no has iniciado sesión. Inicia sesión o regístrate para ver el video.
Eric Kavanagh: Bien, damas y caballeros, hola y bienvenidos de nuevo. Es un miércoles, sus cuatro tecnologías orientales y en el mundo de la empresa, lo que significa que es el momento una vez más para Hot Technologies. Si, de hecho. Presentado por el Grupo Bloor, por supuesto, impulsado por nuestros amigos de Techopedia. El tema de hoy es realmente genial: "Mejor pedir permiso: mejores prácticas para la privacidad y la seguridad". Es cierto, es un tema difícil, mucha gente habla de ello, pero es bastante serio, y es cada vez más serio cada día, francamente. Es un problema grave en muchos sentidos para muchas organizaciones. Hablaríamos de eso y hablaríamos sobre lo que puede hacer para proteger a su organización de los personajes nefastos que parecen estar por todas partes en estos días.
Así que la presentadora de hoy es Vicky Harp llamando desde IDERA. Puede ver el software IDERA en LinkedIn: me encanta la nueva funcionalidad en LinkedIn. Aunque puedo decir que están moviendo algunas cadenas de ciertas maneras, no permitiéndote acceder a las personas, tratando de hacerte comprar esas membresías premium. Ahí tienes, tenemos a nuestro propio Robin Bloor, que está llamando. Actualmente está en el área de San Diego. Y el suyo verdaderamente como moderador / analista.
¿De qué estamos hablando? Violaciones de datos. Acabo de tomar esta información de IdentityForce.com, ya está lista para las carreras. Fue en mayo, por supuesto, este año, y hay solo una tonelada de violaciones de datos, hay algunas realmente grandes, por supuesto, por Yahoo! fue grande, y supimos que, por supuesto, el gobierno de los Estados Unidos fue pirateado. Acabamos de hackear las elecciones francesas.
Esto está sucediendo en todo el lugar, continúa y no se detendrá, por lo que es una realidad, es la nueva realidad, como dicen. Realmente necesitamos pensar en formas de hacer cumplir la seguridad de nuestros sistemas y de nuestros datos. Y es un proceso continuo, por lo que es justo a tiempo para pensar en todos los diferentes temas que entran en juego. Esta es solo una lista parcial, pero le da una perspectiva de cuán precaria es la situación en estos días con los sistemas empresariales. Y antes de este show, en nuestras bromas previas al show, estábamos hablando de ransomware que ha afectado a alguien que conozco, lo cual es una experiencia muy desagradable, cuando alguien se hace cargo de su iPhone y le exige dinero para que pueda volver a acceder a su teléfono. Pero sucede, le sucede a las computadoras, le sucede a los sistemas, vi el otro día, les está sucediendo a los multimillonarios con sus yates. Imagínese ir a su yate un día, tratando de impresionar a todos sus amigos y ni siquiera puede encenderlo, porque un ladrón ha robado el acceso a los controles, el panel de control. Acabo de decir el otro día en una entrevista a alguien, siempre tenga la anulación manual. Como, no soy un gran admirador de todos los autos conectados, incluso los autos pueden ser pirateados. Cualquier cosa que esté conectada a Internet o conectada a una red que pueda ser penetrada puede ser pirateada, cualquier cosa.
Entonces, aquí hay algunos elementos a considerar en términos de enmarcar la estafa de la gravedad de la situación. Los sistemas basados en la web están en todas partes en estos días, continúan proliferando. ¿Cuántas personas compran cosas en línea? Es solo por las nubes en estos días, por eso Amazon es una fuerza tan poderosa en estos días. Es porque mucha gente está comprando cosas en línea.
Entonces, recuerdan en aquel entonces, hace 15 años, la gente estaba bastante nerviosa por poner su tarjeta de crédito en un formulario web para obtener su información, y en ese entonces, el argumento era: "Bueno, si le entrega su tarjeta de crédito a un camarero en un restaurante, entonces eso es lo mismo ”. Entonces, nuestra respuesta es sí, es lo mismo, hay todos estos puntos de control, o puntos de acceso, lo mismo, diferente lado de la misma moneda, donde las personas pueden ser puestas en peligro, donde alguien puede tomar su dinero, o alguien puede robarle.
Luego, IoT, por supuesto, expande el panorama de amenazas, me encanta esa palabra, por órdenes de magnitud. Quiero decir, piénsalo: con todos estos dispositivos nuevos en todas partes, si alguien puede hackear un sistema que los controla, puede poner a todos esos bots en tu contra y causar muchos problemas, por lo que es un problema muy grave. Tenemos una economía global en estos días, que expande el panorama de amenazas aún más, y lo que es más, tiene personas en otros países que pueden acceder a la web de la misma manera que usted y yo, y si no sabe hablar ruso, o En cualquier otro idioma, tendrá dificultades para comprender qué sucede cuando piratean su sistema. Así que tenemos avances en redes y virtualización, bueno, eso es bueno.
Pero tengo en el lado derecho de esta imagen aquí, una espada y la razón por la que la tengo allí es porque cada espada corta en ambos sentidos. Es una espada de doble filo, como dicen, y es un viejo cliché, pero significa que la espada que tengo puede hacerte daño o me puede hacer daño a mí. Puede volver a mí, ya sea al recuperarse o por alguien que lo toma. En realidad, es una de las fábulas de Esopo: a menudo damos a nuestros enemigos las herramientas de nuestra propia destrucción. Es realmente una historia convincente y tiene que ver con alguien que usó un arco y una flecha y derribó un pájaro y el pájaro vio, cuando la flecha se acercaba, esa pluma de uno de sus amigos de aves estaba en el borde de la flecha, en la parte posterior de la flecha para guiarlo, y pensó para sí mismo: "Oh hombre, aquí está, mis propias plumas, mi propia familia van a ser utilizadas para derribarme". Eso sucede todo el tiempo, oyes estadísticas sobre si tienes un arma en la casa, el ladrón puede tomar el arma. Bueno, todo esto es cierto. Entonces, estoy lanzando esto como una analogía solo para considerar, todos estos desarrollos diferentes tienen lados positivos y negativos.
Y hablando de, los contenedores para aquellos de ustedes que realmente siguen la vanguardia de la informática empresarial, los contenedores son lo último, la última forma de ofrecer funcionalidad, es realmente la unión de la virtualización en la arquitectura orientada a servicios, al menos para microservicios y sus cosas muy interesantes Ciertamente, puede ofuscar sus protocolos de seguridad y sus protocolos de aplicación y sus datos, etc., mediante el uso de contenedores, y eso le da un avance por un período de tiempo, pero tarde o temprano, los malos lo descubrirán, y entonces será aún más difícil evitar que aprovechen sus sistemas. Entonces, hay eso, hay una fuerza laboral global que complica la red y la seguridad, y desde donde las personas inician sesión.
Tenemos guerras en los navegadores que continúan a buen ritmo y requieren un trabajo constante para actualizar y estar al tanto de todo. Seguimos escuchando sobre los viejos navegadores Microsoft Explorer, cómo fueron pirateados y disponibles allí. Por lo tanto, hay más dinero para ganar en la piratería en estos días, hay toda una industria, esto es algo que mi compañero, el Dr. Bloor, me enseñó hace ocho años. Me preguntaba por qué estamos viendo tanto, y me recordó yo, es toda una industria involucrada en la piratería. Y en ese sentido, la narrativa, que es una de mis palabras menos favoritas sobre seguridad, es realmente muy deshonesta, porque la narración te muestra en todos estos videos y en cualquier tipo de cobertura de noticias alguna piratería que muestran a un tipo con capucha, sentado en su sótano en una habitación oscura iluminada, ese no es el caso en absoluto. Eso no es en absoluto representativo de la realidad. Son hackers solitarios, hay muy pocos hackers solitarios, están ahí afuera, están causando algunos problemas, no van a causar el gran problema, pero pueden ganar mucho dinero. Entonces, lo que sucede es que los piratas informáticos entran y penetran en su sistema y luego venden ese acceso a otra persona, que se da vuelta y se lo vende a otra persona, y luego, en algún momento, alguien explota ese pirateo y se aprovecha de usted. Y hay innumerables formas de aprovechar los datos robados.
Incluso me he estado maravillando de mí mismo acerca de cómo hemos estado glamorizando este concepto. Usted ve este término en todas partes, "piratería de crecimiento" como si fuera algo bueno. La piratería de crecimiento, ya sabes, la piratería puede ser algo bueno, si estás tratando de trabajar para los buenos, por así decirlo, y hackear un sistema, como si estuviéramos escuchando sobre Corea del Norte y sus lanzamientos de misiles, potencialmente pirateado, eso es bueno . Pero la piratería es a menudo algo malo. Así que ahora estábamos glamorizándolo, casi como Robin Hood, cuando glamorábamos a Robin Hood. Y luego está la sociedad sin efectivo, algo que francamente se refiere a la luz del día. Todo lo que pienso cada vez que escucho eso es: “¡No, por favor no lo hagas! ¡Por favor no! ”No quiero que todo nuestro dinero desaparezca. Por lo tanto, estos son solo algunos temas a considerar, y nuevamente, es un juego de gato y ratón; nunca se detendrá, siempre habrá una necesidad de protocolos de seguridad y de protocolos de seguridad avanzados. Y para monitorear sus sistemas, incluso para conocer y sentir quién está allí, con el entendimiento de que incluso podría ser un trabajo interno. Entonces, es un problema continuo, será un problema continuo durante bastante tiempo, no se equivoquen al respecto.
Y con eso, se lo entregaré al Dr. Bloor, quien puede compartir con nosotros algunas ideas sobre cómo proteger las bases de datos. Robin, llévatelo.
Robin Bloor: OK, uno de los hacks interesantes, creo que ocurrió hace unos cinco años, pero básicamente fue una compañía de procesamiento de tarjetas que fue pirateada. Y una gran cantidad de detalles de la tarjeta fueron robados. Pero lo interesante al respecto, para mí, fue el hecho de que era la base de datos de prueba en la que realmente se metieron, y probablemente fue el caso de que tuvieron muchas dificultades para ingresar a la base de datos real y real de tarjetas de procesamiento. Pero ya sabes cómo es con los desarrolladores, simplemente toman un corte de una base de datos y la introducen allí. Hubiera tenido que haber mucha más vigilancia para detener eso. Pero hay muchas historias de hackeo interesantes, hace que en un área, sea un tema muy interesante.
Así que voy a repetir, de una forma u otra, algunas de las cosas que dijo Eric, pero es fácil pensar en la seguridad de los datos como un objetivo estático; es más fácil solo porque es más fácil analizar situaciones estáticas y luego pensar en poner defensas, defensas allí, pero no lo es. Su objetivo en movimiento y esa es una de las cosas que define la totalidad del espacio de seguridad. Es solo en la forma en que evoluciona toda la tecnología, la tecnología de los malos también evoluciona. Entonces, breve descripción general: el robo de datos no es nada nuevo, de hecho, el espionaje de datos es un robo de datos y eso ha estado sucediendo durante miles de años, creo.
El mayor robo de datos en esos términos fue que los británicos rompieron los códigos alemanes y los estadounidenses rompieron los códigos japoneses, y prácticamente en ambos casos acortaron la guerra considerablemente. Y solo estaban robando datos útiles y valiosos, era muy inteligente, por supuesto, pero ya sabes, lo que está sucediendo ahora es muy inteligente de muchas maneras. El robo cibernético nació con Internet y explotó alrededor de 2005. Fui y miré todas las estadísticas y cuando comenzaste a ponerte realmente serio y, de una forma u otra, cifras notablemente altas a partir de 2005. Ha empeorado desde entonces. Muchos jugadores, gobiernos están involucrados, empresas involucradas, grupos de hackers e individuos.
Fui a Moscú, que debe haber sido alrededor de cinco años, y de hecho pasé mucho tiempo con un tipo del Reino Unido, que investiga todo el espacio de piratería. Y dijo que, y no tengo idea de si esto es cierto, solo tengo su palabra, pero parece muy probable, que en Rusia hay algo llamado Business Network, que es un grupo de piratas informáticos que son todos, usted Sabes, salieron de las ruinas de la KGB. Y se venden a sí mismos, no solo, quiero decir, estoy seguro de que el gobierno ruso los usa, sino que se venden a cualquiera, y se rumoreaba, o él dijo que se rumoreaba, que varios gobiernos extranjeros estaban usando la Red de Negocios para una negación plausible . Estos tipos tenían redes de millones de PC comprometidas desde las que podían atacar. Y tenían todas las herramientas que puedas imaginar.
Entonces, la tecnología de ataque y defensa evolucionó. Y las empresas tienen el deber de cuidar sus datos, ya sea que los posean o no. Y eso está comenzando a hacerse mucho más claro en términos de las diversas piezas de regulación que en realidad ya están vigentes o que entran en vigencia. Y es probable que mejore, alguien de una forma u otra, alguien tiene que asumir el costo de la piratería de tal manera que se incentive a cerrar la posibilidad. Esa es una de las cosas que supongo que es necesaria. Entonces, sobre los piratas informáticos, se pueden ubicar en cualquier lugar. Particularmente dentro de su organización, una gran cantidad de los trucos ingeniosos que he oído hablar involucraron a alguien abriendo la puerta. Ya sabes, la persona, es como la situación del ladrón de bancos, casi siempre solían decir que en los buenos robos de bancos hay una información privilegiada. Pero la información privilegiada solo necesita dar información, por lo que es difícil obtenerla, saber quién era, y así sucesivamente.
Y puede ser difícil llevarlos ante la justicia, porque si ha sido pirateado por un grupo de personas en Moldavia, incluso si sabe que fue ese grupo, ¿cómo va a hacer que ocurra algún tipo de evento legal a su alrededor? Es una especie de, de una jurisdicción a otra, es justo, no hay un conjunto muy bueno de arreglos internacionales para precisar a los piratas informáticos. Comparten tecnología e información; Mucho de esto es de código abierto. Si desea crear su propio virus, hay un montón de kits de virus disponibles, completamente de código abierto. Y tienen recursos considerables, ha habido un número que ha tenido botnets en más de un millón de dispositivos comprometidos en centros de datos y en PC, etc. Algunos son negocios rentables que han estado funcionando durante mucho tiempo, y luego hay grupos gubernamentales, como mencioné.Es poco probable, como dijo Eric, es poco probable que este fenómeno vaya a terminar.
Entonces, este es un truco interesante, solo pensé en mencionarlo, porque era un truco bastante reciente; Sucedió el año pasado. Hubo una vulnerabilidad en el contrato DAO asociado con la moneda criptográfica Etherium. Y se discutió en un foro, y en un día, el contrato DAO fue pirateado, utilizando esa vulnerabilidad con precisión. Se extrajeron $ 50 millones en éter, causando una crisis inmediata en el proyecto DAO y cerrándolo. Y el Etherium realmente luchó para tratar de evitar que el pirata informático tuviera acceso al dinero, y redujeron su toma. Pero también se creía, no se sabía con certeza, que el pirata informático realmente redujo el precio del éter antes de su ataque, sabiendo que el precio del éter colapsaría y, por lo tanto, obtendría ganancias de otra manera.
Y esa es otra estratagema, si lo desea, que los hackers pueden usar. Si pueden dañar el precio de su acción, y saben que lo harán, entonces solo es necesario que reduzcan el precio de la acción y hagan el pirateo, por lo que es algo así, estos tipos son inteligentes, ya sabes. Y el precio es el robo total de dinero, la interrupción y el rescate, incluidas las inversiones, donde interrumpe y acorta el stock, el sabotaje, el robo de identidad, todo tipo de estafas, solo por el bien de la publicidad. Y tiende a ser político, o obviamente, espionaje de información e incluso hay personas que se ganan la vida con las recompensas de errores que puedes obtener al tratar de piratear Google, Apple, incluso el Pentágono, en realidad da recompensas de errores. Y tú simplemente pirateas; si tiene éxito, entonces solo ve y reclama tu premio, y no se hace daño, así que eso es algo bueno, ya sabes.
También podría mencionar el cumplimiento y la regulación. Además de las iniciativas del sector, hay una gran cantidad de regulaciones oficiales: HIPAA, SOX, FISMA, FERPA y GLBA son todas leyes de los Estados Unidos. Hay normas; PCI-DSS se ha convertido en un estándar bastante general. Y luego está ISO 17799 sobre la propiedad de los datos. Las regulaciones nacionales difieren de un país a otro, incluso en Europa. Y actualmente el RGPD: los datos globales, ¿qué significa? Creo que representa la Regulación Global de Protección de Datos, pero eso entrará en vigencia el próximo año, dijo. Y lo interesante de esto es que se aplica en todo el mundo. Si tiene 5.000 o más clientes, sobre los cuales tiene información personal y vive en Europa, Europa realmente lo llevará a la tarea, sin importar si su corporación tiene su sede central o dónde opera. Y las sanciones, la pena máxima es el cuatro por ciento de los ingresos anuales, que es enorme, por lo que será un giro interesante en el mundo, cuando entre en vigor.
Cosas para pensar, bueno, las vulnerabilidades de DBMS, la mayoría de los datos valiosos en realidad se encuentran en bases de datos. Es valioso porque hemos dedicado mucho tiempo a ponerlo a disposición y organizarlo bien y eso lo hace más vulnerable, si en realidad no aplica los valores DBMS correctos. Obviamente, si va a planificar cosas como esta, debe identificar qué datos vulnerables hay en toda la organización, teniendo en cuenta que los datos pueden ser vulnerables por diferentes razones. Pueden ser datos del cliente, pero igualmente podrían ser documentos internos que serían valiosos para fines de espionaje, etc. La política de seguridad, particularmente en relación con la seguridad de acceso, que en los últimos tiempos ha sido muy débil en el nuevo material de código abierto, el cifrado se está volviendo más de uso porque es bastante sólida.
El costo de una violación de seguridad, la mayoría de la gente no lo sabía, pero si realmente observa lo que sucedió con las organizaciones que han sufrido violaciones de seguridad, resulta que el costo de una violación de seguridad es a menudo mucho más alto de lo que cree que sería. Y luego, otra cosa en la que pensar es en la superficie de ataque, porque cualquier pieza de software en cualquier lugar que se ejecute con sus organizaciones presenta una superficie de ataque. Al igual que cualquiera de los dispositivos, también lo hacen los datos, sin importar cómo estén almacenados. Es todo, la superficie de ataque está creciendo con Internet de las cosas, la superficie de ataque probablemente se va a duplicar.
Entonces, finalmente, DBA y seguridad de datos. La seguridad de los datos suele ser parte del rol de los DBA. Pero también es colaborativo. Y debe estar sujeto a la política corporativa, de lo contrario, probablemente no se implementará bien. Dicho esto, creo que puedo pasar el balón.
Eric Kavanagh: Muy bien, déjame darle las llaves a Vicky. Y puede compartir su pantalla o moverse a estas diapositivas, depende de usted, quítela.
Vicky Harp: No, comenzaré con estas diapositivas, muchas gracias. Entonces, sí, solo quería tomar un momento rápido y presentarme. Soy Vicky Harp. Soy gerente, gestión de productos para productos SQL en el software IDERA, y para aquellos de ustedes que no estén familiarizados con nosotros, IDERA tiene una serie de líneas de productos, pero aquí estoy hablando del lado del servidor SQL. Y así, hacemos monitoreo de rendimiento, cumplimiento de seguridad, respaldo, herramientas de administración, y es solo una especie de lista de ellos. Y, por supuesto, de lo que estoy aquí para hablar hoy es de seguridad y cumplimiento.
La mayor parte de lo que quiero hablar hoy no es necesariamente sobre nuestros productos, aunque tengo la intención de mostrar algunos ejemplos de eso más adelante. Quería hablarle más sobre la seguridad de la base de datos, algunas de las amenazas en el mundo de la seguridad de la base de datos en este momento, algunas cosas para pensar y algunas de las ideas introductorias de lo que debe estar buscando para proteger su SQL Bases de datos del servidor y también para asegurarse de que cumplen con el marco regulatorio al que puede estar sujeto, como se mencionó. Hay muchas regulaciones diferentes en el lugar; van a diferentes industrias, diferentes lugares del mundo, y estas son cosas en las que pensar.
Por lo tanto, quiero tomarme un momento y hablar sobre el estado de las infracciones de datos, y no repetir demasiado de lo que ya se ha discutido aquí, estuve revisando este estudio de investigación de seguridad de Intel recientemente, y a través de ellos, creo Alrededor de 1500 organizaciones con las que hablaron: tenían un promedio de seis violaciones de seguridad, en términos de violaciones de pérdida de datos, y el 68 por ciento de ellas habían requerido divulgación en algún sentido, por lo que afectaron el precio de las acciones o tuvieron que hacer algún crédito monitoreo para sus clientes o sus empleados, etc.
Algunas otras estadísticas interesantes son los actores internos que fueron responsables del 43 por ciento de ellos. Por lo tanto, mucha gente piensa mucho en los piratas informáticos y este tipo de organizaciones cuasigubernamentales sospechosas o el crimen organizado, etc., pero los actores internos aún están tomando medidas directas contra sus empleadores, en una proporción bastante alta de los casos. Y a veces son más difíciles de proteger, porque las personas pueden tener razones legítimas para tener acceso a esos datos. Alrededor de la mitad de eso, el 43 por ciento fue pérdida accidental en algún sentido. Entonces, por ejemplo, en el caso de que alguien se llevara datos a casa y luego perdiera el rastro de esos datos, lo que me lleva a este tercer punto, que es que las cosas en los medios físicos todavía estaban involucradas en el 40 por ciento de las violaciones. Entonces, esas son las llaves USB, las computadoras portátiles de las personas, esos son los medios reales que se grabaron en discos físicos y se sacaron del edificio.
Si lo piensa, ¿tiene un desarrollador que tenga una copia de desarrollo de su base de datos de producción en su computadora portátil? Luego suben a un avión y se bajan del avión, obtienen el equipaje facturado y les roban su computadora portátil. Ahora ha tenido una violación de datos. Es posible que no pienses necesariamente que por eso se tomó esa computadora portátil, es posible que nunca aparezca en la naturaleza. Pero eso todavía es algo que cuenta como una violación, va a requerir divulgación, va a tener todos los efectos posteriores de haber perdido esos datos, solo por la pérdida de ese medio físico.
Y la otra cosa interesante es que muchas personas piensan que los datos de crédito y la información de la tarjeta de crédito son los más valiosos, pero ese ya no es el caso. Esos datos son valiosos, los números de tarjetas de crédito son útiles, pero honestamente, esos números se cambian muy rápidamente, mientras que los datos personales de las personas no se cambian muy rápidamente. Algo que noticia reciente, relativamente reciente, VTech, un fabricante de juguetes tenía estos juguetes que fueron diseñados para niños. Y las personas tendrían, tendrían los nombres de sus hijos, tendrían información sobre dónde viven los niños, tenían los nombres de sus padres, tenían fotografías de los niños. Nada de eso estaba encriptado, porque no se consideraba importante. Pero sus contraseñas estaban encriptadas. Bueno, cuando la violación sucedió inevitablemente, estás diciendo: "Está bien, así que tengo una lista de los nombres de los niños, los nombres de sus padres, el lugar donde viven: toda esta información está ahí afuera, y estás pensando que la contraseña era la parte más valiosa". de eso? ”No fue así; las personas no pueden cambiar esos aspectos sobre sus datos personales, su dirección, etc. Y, por lo tanto, la información es realmente muy valiosa y debe protegerse.
Entonces, quería hablar sobre algunas de las cosas que están sucediendo, para contribuir a la forma en que están ocurriendo las brechas de datos en este momento. Uno de los grandes puntos críticos, los espacios en este momento es la ingeniería social. Entonces, la gente lo llama phishing, hay suplantación, etc., donde las personas obtienen acceso a los datos, a menudo a través de actores internos, simplemente convenciéndoles de que se supone que tienen acceso a ellos. Entonces, justo el otro día, tuvimos este gusano de Google Docs que estaba dando vueltas. Y lo que sucedería, y de hecho recibí una copia de él, aunque afortunadamente no hice clic en él, recibía de un colega que decía: "Aquí hay un enlace de Google Doc; debe hacer clic en esto para ver lo que acabo de compartir con usted ”. Bueno, en una organización que usa Google Docs, eso es muy convencional, recibirá docenas de esas solicitudes por día. Si hiciera clic en él, le pediría permiso para acceder a este documento, y tal vez diría: "Oye, eso parece un poco extraño, pero ya sabes, también parece legítimo, así que seguiré y haré clic en él, "Y tan pronto como lo hizo, le estaba dando acceso a este tercero a todos sus documentos de Google, y así, creando este enlace para que este actor externo tenga acceso a todos sus documentos en Google Drive. Esto gusó por todo el lugar. Golpeó a cientos de miles de personas en cuestión de horas. Y esto fue fundamentalmente un ataque de phishing que Google mismo tuvo que cerrar, porque estaba muy bien ejecutado. La gente se enamoró de eso.
Menciono aquí la violación de SnapChat HR. Esto fue solo una simple cuestión de alguien, suplantando que eran el CEO, dirigiéndose al departamento de recursos humanos, diciendo: "Te necesito esta hoja de cálculo". Y ellos les creyeron, y pusieron una hoja de cálculo con una compensación de 700 empleados diferentes información, sus domicilios, etc., se la enviaron a esta otra parte, en realidad no era el CEO. Ahora, los datos estaban fuera, y la información personal y privada de todos sus empleados estaba disponible y disponible para su explotación. Entonces, la ingeniería social es algo que lo menciono en el mundo de las bases de datos, porque es algo de lo que puedes tratar de defenderte a través de la educación, pero también debes recordar que en cualquier lugar en el que tienes una persona interactuando con tu tecnología, y si confía en su buen juicio para evitar un corte de energía, les está preguntando a muchos de ellos.
Las personas cometen errores, hacen clic en cosas que no deberían tener, caen en artimañas inteligentes. Y puede esforzarse mucho para protegerlos contra él, pero no es lo suficientemente fuerte, debe tratar de limitar la capacidad de las personas de dar accidentalmente esta información en sus sistemas de bases de datos. La otra cosa que quería mencionar que obviamente hablamos mucho es ransomware, botnets, virus, todas estas diferentes formas automatizadas. Entonces, lo que creo que es importante entender sobre el ransomware es que realmente cambia el modelo de ganancias para los atacantes. En el caso de que esté hablando de una violación, tienen que, en cierto sentido, extraer datos y tenerlos para sí mismos y hacer uso de ellos. Y si sus datos son oscuros, si están cifrados, si son específicos de la industria, tal vez no tengan ningún valor para ellos.
Hasta este punto, la gente puede haber sentido que eso era una protección para ellos: "No necesito protegerme de una violación de datos, porque si van a entrar en mi sistema, todo lo que van a tener es que soy un estudio de fotografía". , Tengo una lista de los que vendrán en qué días para el próximo año. ¿A quién le importa eso? ”Bueno, resulta que la respuesta es que te importa eso; está almacenando esa información, es su información crítica para el negocio. Entonces, usando el ransomware, un atacante dirá: "Bueno, nadie más me va a dar dinero por esto, pero tú lo harás". Entonces, aprovechan el hecho de que ni siquiera tienen que sacar los datos, ni siquiera tienen que hacerlo. tienen una violación, solo necesitan usar herramientas de seguridad ofensivamente contra usted. Entran en su base de datos, cifran el contenido de la misma y luego dicen: "OK, tenemos la contraseña, y tendrá que pagarnos $ 5,000 para obtener esa contraseña, o simplemente ya no tendrá estos datos". "
Y la gente paga; se encuentran teniendo que hacer eso. MongoDB tuvo un gran problema hace un par de meses, supongo que fue en enero, donde el ransomware golpeó, creo, más de un millón de bases de datos MongoDB que tienen en público en Internet, según algunas configuraciones predeterminadas. Y lo que lo hizo aún peor es que las personas estaban pagando, por lo que otras organizaciones entrarían y volverían a cifrar o afirmarían haber sido las que originalmente lo habían cifrado, así que cuando pagaste tu dinero, y creo que en ese caso fueron pidiendo algo así como $ 500, la gente decía: "OK, pagaría más que eso para pagarle a un investigador que ingrese aquí y me ayude a descubrir qué salió mal. Solo pagaré los $ 500 ". Y ni siquiera se lo estaban pagando al actor adecuado, por lo que se vieron amontonados con diez organizaciones diferentes que les decían:" Tenemos la contraseña "o" Tenemos el camino para que desbloquee sus datos rescatados ". . ”Y tendrías que pagarlos todos para que posiblemente funcione.
También ha habido casos en los que los autores del ransomware tenían errores, quiero decir, no hablaban de que fuera una situación perfecta, por lo que incluso una vez que ha sido atacado, incluso una vez que haya pagado, no hay garantía de que obtendrá todos sus De vuelta a los datos, algunas de las herramientas armadas de InfoSec también están complicando parte de esto. Entonces, Shadow Brokers es un grupo que ha estado filtrando herramientas que eran de la NSA. Eran herramientas diseñadas por una entidad gubernamental con fines de espionaje y que en realidad trabajaban contra otras entidades gubernamentales. Algunos de estos han sido ataques de día cero de alto perfil, que básicamente hacen que los protocolos de seguridad conocidos simplemente se hagan a un lado. Y, por lo tanto, hubo una gran vulnerabilidad en el protocolo SMB, por ejemplo, en uno de los últimos volcados de Shadow Brokers.
Y así, estas herramientas que aparecen aquí pueden, en cuestión de un par de horas, realmente cambiar el juego sobre ti, en términos de tu superficie de ataque. Entonces, cada vez que estoy pensando en esto, es algo que a nivel organizacional, la seguridad InfoSec es su propia función, debe tomarse en serio. Cuando hablamos de bases de datos, puedo resumirlo un poco, no necesariamente tiene que tener como administrador de la base de datos una comprensión completa de lo que está sucediendo con los Shadow Brokers esta semana, pero debe ser consciente de que todo esto está cambiando. , hay cosas que suceden y, por lo tanto, el grado en que mantengas tu propio dominio estricto y seguro, realmente te ayudará en el caso de que las cosas te sean arrancadas.
Entonces, quería tomarme un momento aquí, antes de pasar a hablar específicamente sobre SQL Server, para tener una discusión abierta con nuestros panelistas sobre algunas de las consideraciones con la seguridad de la base de datos. Entonces, he llegado a este punto, algunas de las cosas que no hemos mencionado, quería hablar sobre la inyección SQL como un vector. Entonces, esta es la inyección SQL, obviamente es la forma en que las personas insertan comandos en un sistema de base de datos, por malformación de las entradas.
Eric Kavanagh: Sí, en realidad conocí a un tipo, creo que fue en la base Andrews de la Fuerza Aérea, hace unos cinco años, un consultor con el que estaba hablando en el pasillo y estábamos compartiendo historias de guerra, sin juego de palabras, y él mencionó que alguien lo había traído para consultar con un miembro militar de alto rango y el tipo le preguntó: "Bueno, ¿cómo sabemos que eres bueno en lo que haces?" y esto y aquello. Y mientras hablaba con ellos, los usaba en su computadora, ingresó a la red, usó inyección SQL para ingresar al registro de esa base y de esas personas. ¡Y encontró a las personas con las que estaba hablando y simplemente le mostró la suya en su máquina! Y el tipo dijo: "¿Cómo hiciste eso?". Dijo: "Bueno, usé inyección SQL".
Entonces, eso fue hace solo cinco años, y fue en una base de la Fuerza Aérea, ¿verdad? Entonces, quiero decir, en términos de estafa, esta cosa todavía es muy real y podría usarse con efectos realmente terroríficos. Quiero decir, me gustaría saber si hay historias de guerra que Robin tenga sobre el tema, pero todas estas técnicas siguen siendo válidas. Todavía se usan en muchos casos, y es una cuestión de educarse, ¿verdad?
Robin Bloor: Bueno, sí. Sí, es posible defenderse contra la inyección de SQL haciendo el trabajo. Es fácil entender por qué cuando la idea se inventó y proliferó por primera vez, es fácil de entender por qué fue tan exitoso, porque simplemente podría pegarlo en un campo de entrada en una página web y obtener que le devuelva datos, u obtener para eliminar datos en la base de datos, o cualquier cosa, simplemente puede inyectar código SQL para hacerlo. Pero es lo que me interesó, es que es, ya sabes, que tendrías que analizar un poco cada pieza de información que se ingresó, pero es muy posible detectar que alguien intenta hacer eso. Y es realmente, creo que es realmente el, porque la gente todavía se sale con la suya, quiero decir que es realmente extraño que no haya habido una manera fácil de combatir eso. Sabes, que todos podrían usar fácilmente, quiero decir, hasta donde yo sé, no ha habido, Vicky, ¿o sí?
Vicky Harp: Bueno, en realidad algunas de las soluciones de rehenes, como SQL Azure, creo que tienen algunos métodos de detección bastante buenos que se basan en el aprendizaje automático. Probablemente, eso es lo que veríamos en el futuro, es algo que está tratando de encontrar una talla única para todos. Creo que la respuesta ha sido que no hay una talla única para todos, pero tenemos máquinas que pueden aprender cuál es su talla y asegurarse de que se ajuste a ella, ¿verdad? Y si tiene un falso positivo, es porque realmente está haciendo algo inusual, no es porque haya tenido que pasar e identificar minuciosamente todo lo que su aplicación podría hacer.
Creo que una de las razones por las que sigue siendo tan prolífico es que las personas aún dependen de aplicaciones de terceros, y las aplicaciones de ISV y esas se borran con el tiempo.Entonces, usted habla de una organización que compró una aplicación de ingeniería que fue escrita en 2001. Y no la han actualizado, porque no ha habido cambios funcionales importantes desde entonces, y el autor original de la misma fue un ingeniero. , no eran expertos en seguridad de bases de datos, no hicieron las cosas correctamente en la aplicación y terminaron siendo un vector. Tengo entendido que, creo que fue la violación de datos de Target, la realmente grande, el vector de ataque había sido a través de uno de sus proveedores de aire acondicionado, ¿verdad? Entonces, el problema con esos terceros, puede, si posee su propia tienda de desarrollo, tal vez pueda tener algunas de estas reglas, haciéndolo genéricamente cada vez. Como organización, puede tener cientos o incluso miles de aplicaciones ejecutándose, con todos los diferentes perfiles. Creo que ahí es donde vendrá el aprendizaje automático y comenzará a ayudarnos mucho.
Mi historia de guerra fue la vida educativa. Llegué a ver un ataque de inyección SQL, y algo que nunca se me había ocurrido es usar SQL simple y legible. Hago estas cosas llamadas tarjetas de vacaciones P SQL ofuscadas; Me gusta hacerlo, haces que este SQL parezca lo más confuso posible. Hay un concurso de código C ++ ofuscado que ha estado sucediendo durante décadas, y es la misma idea. Entonces, lo que realmente obtuvo fue la inyección SQL que estaba en un campo de cadena abierto, cerró la cadena, puso el punto y coma, y luego puso el comando exec que luego tenía una serie de números y básicamente estaba usando el comando de conversión para convertir esos números en binario y luego convertirlos, a su vez, en valores de caracteres y luego ejecutarlos. Por lo tanto, no es como si pudieras ver algo que decía: "Eliminar inicio de la tabla de producción", en realidad estaba relleno en campos numéricos que lo hacían mucho más difícil de ver. E incluso una vez que lo viste, para identificar lo que estaba sucediendo, tomó algunas tomas reales de SQL, para poder calcular lo que estaba sucediendo, en qué momento, por supuesto, el trabajo ya estaba hecho.
Robin Bloor: Y una de las cosas que es solo un fenómeno en todo el mundo de la piratería es que si alguien encuentra una debilidad y se encuentra en un software que generalmente se vende, uno de los primeros problemas es la contraseña de la base de datos que se le dio cuando se instaló una base de datos, muchas bases de datos en realidad eran solo un valor predeterminado. Y muchos DBA simplemente nunca lo cambiaron y, por lo tanto, podría lograr ingresar a la red en ese momento; podrías probar esa contraseña y si funcionó, bueno, acabas de ganar la lotería. Y lo interesante es que toda esa información circula de manera muy eficiente y efectiva entre las comunidades de hackers en los sitios web de darknet. Y ellos lo saben. Por lo tanto, pueden hacer un barrido de lo que hay por ahí, encontrar algunas instancias y simplemente lanzar automáticamente alguna hazaña de piratería, y están dentro. Y eso, creo, que mucha gente que está al menos en la periferia De todo esto, en realidad no entiendo qué tan rápido la red de piratería responde a la vulnerabilidad.
Vicky Harp: Sí, eso realmente trae a colación otra cosa que quería mencionar antes de continuar, que es esta noción de relleno de credenciales, que es algo que ha estado apareciendo mucho, y que una vez que sus credenciales han sido robadas para alguien en cualquier lugar, en cualquier sitio, esas credenciales se intentarán reutilizar en todos los ámbitos. Entonces, si está utilizando contraseñas duplicadas, por ejemplo, si sus usuarios lo son, incluso, digámoslo de esa manera, alguien podría tener acceso a través de lo que parece ser un conjunto de credenciales completamente válido. Entonces, digamos que he usado mi misma contraseña en Amazon y en mi banco, y también en un foro y que el software del foro fue pirateado, bueno, tienen mi nombre de usuario y mi contraseña. Y luego pueden usar ese mismo nombre de usuario en Amazon, o lo usan en el banco. Y en lo que respecta al banco, fue un inicio de sesión completamente válido. Ahora, puede tomar acciones nefastas a través del acceso completamente autorizado.
Entonces, eso se remonta a lo que estaba diciendo sobre las infracciones internas y los usos internos. Si tiene personas en su organización que usan su misma contraseña para acceso interno que para acceso externo, tiene la posibilidad de que alguien entre y lo suplante a través de una violación en algún otro sitio que ni siquiera conoce. Y estos datos se difunden muy rápidamente. Hay listas de, creo que la carga más reciente de "he sido pwned" por Troy Hunt, dijo que tenía medio billón de credenciales, lo que es, si considera la cantidad de personas en el planeta, eso es un gran cantidad de credenciales que se han puesto a disposición para el relleno de credenciales.
Entonces, voy a profundizar un poco más y hablar sobre la seguridad de SQL Server. Ahora quiero decir que no voy a tratar de darle todo lo que necesita saber para proteger su servidor SQL en los próximos 20 minutos; eso parece un poco difícil. Entonces, incluso para comenzar, quiero decir que hay grupos en línea y recursos en línea que ciertamente puede Google, hay libros, hay documentos de mejores prácticas en Microsoft, hay un capítulo virtual de seguridad para los asociados profesionales en SQL Server, están en security.pass.org y creo que tienen webcasts mensuales y grabaciones de webcasts para repasar la forma real y profunda de cómo hacer la seguridad de SQL Server. Pero estas son algunas de las cosas que, hablando con usted como profesionales de datos, como profesionales de TI, como DBA, quiero que sepa que necesita saber sobre la seguridad de SQL Server.
Entonces, el primero es la seguridad física. Entonces, como dije antes, el robo de medios físicos sigue siendo extremadamente común. Y así, el escenario que di con la máquina de desarrollo, con una copia de su base de datos en la máquina de desarrollo que es robada, ese es un vector extremadamente común, ese es un vector que debe conocer e intentar tomar medidas. También es cierto para la seguridad de la copia de seguridad, por lo que siempre que haga una copia de seguridad de sus datos, debe hacer una copia de seguridad cifrada, debe hacer una copia de seguridad en una ubicación segura. Muchas veces, estos datos que realmente estaban protegidos en la base de datos, tan pronto como comienzan a salir a ubicaciones periféricas, a máquinas de desarrollo, a máquinas de prueba, tenemos un poco menos de cuidado con el parcheo, un poco menos cuidado con las personas que tienen acceso a él. Lo siguiente que sabe es que tiene copias de seguridad de la base de datos sin cifrar almacenadas en un recurso público en su organización disponibles para la explotación de muchas personas diferentes. Entonces, piense en la seguridad física y tan simple como, ¿alguien puede caminar y simplemente poner una llave USB en su servidor? No deberías permitir eso.
El siguiente elemento en el que quiero que pienses es en la seguridad de la plataforma, sistema operativo actualizado, parches actualizados. Es muy cansado escuchar a la gente hablar sobre quedarse con versiones anteriores de Windows, versiones anteriores de SQL Server, pensando que el único costo en juego es el costo de la actualización de la licencia, que no es el caso. Estamos con seguridad, es un arroyo que sigue bajando la colina y a medida que pasa el tiempo, se encuentran más hazañas. Microsoft en este caso, y otros grupos según sea el caso, actualizarán los sistemas más antiguos hasta cierto punto, y eventualmente dejarán de ser compatibles y ya no los actualizarán más, porque es solo un proceso de mantenimiento sin fin.
Por lo tanto, debe estar en un sistema operativo compatible y debe estar actualizado con sus parches, y hemos descubierto recientemente, como con Shadow Brokers, en algunos casos Microsoft puede tener una idea de las próximas brechas de seguridad importantes, antes de que se realicen público, antes de la divulgación, así que no te dejes desordenar. Prefiero no tomar el tiempo de inactividad, prefiero esperar y leer cada uno de ellos y decidir. Es posible que no sepa cuál es el valor hasta algunas semanas después de descubrir por qué se produjo este parche. Entonces, mantente al tanto de eso.
Debe tener su firewall configurado. Fue sorprendente en la brecha de SNB cuántas personas estaban ejecutando versiones anteriores de SQL Server con el firewall completamente abierto a Internet, por lo que cualquiera podía entrar y hacer lo que quisieran con sus servidores. Deberías estar usando un firewall. El hecho de que ocasionalmente tenga que configurar las reglas o hacer excepciones específicas para la forma en que está haciendo su negocio es un buen precio a pagar. Necesita controlar el área de superficie en sus sistemas de bases de datos: ¿está coinstalando servicios o servidores web como IIS en la misma máquina? ¿Compartiendo el mismo espacio en disco, compartiendo el mismo espacio de memoria que sus bases de datos y sus datos privados? Intente no hacerlo, intente aislarlo, mantenga el área de superficie más pequeña, para que no tenga que preocuparse tanto por asegurarse de que todo eso esté seguro en la parte superior de la base de datos. Puede separarlos físicamente, plataforma, separarlos, darse un poco de espacio para respirar.
No debería tener superadministradores corriendo por todas partes capaces de tener acceso a todos sus datos. Es posible que las cuentas de administrador del sistema operativo no necesariamente necesiten tener acceso a su base de datos, ni a los datos subyacentes en la base de datos a través del cifrado, del que hablaremos en un minuto. Y el acceso a los archivos de la base de datos, debe restringir eso también. Es un poco tonto si dijeras, bueno, alguien no puede acceder a estas bases de datos a través de la base de datos; SQL Server en sí mismo no les permitirá acceder a él, pero si pueden hacerlo, tomar una copia del archivo MDF real, moverlo simplemente, adjuntarlo a su propio SQL Server, realmente no ha logrado mucho.
Cifrado, por lo que el cifrado es esa famosa espada de doble sentido. Hay muchos niveles diferentes de cifrado que puede hacer a nivel de sistema operativo y la forma contemporánea de hacer cosas para SQL y Windows es con BitLocker y a nivel de base de datos se llama TDE o cifrado de datos transparente. Por lo tanto, estas son dos formas de mantener sus datos cifrados en reposo. Si desea mantener sus datos cifrados de manera más completa, puede hacerlo cifrado, lo siento, he dado un paso adelante. Puede hacer conexiones encriptadas para que cada vez que esté en tránsito, aún esté encriptada, de modo que si alguien está escuchando o tiene un hombre en medio de un ataque, tiene alguna protección de esos datos por cable. Sus copias de seguridad deben estar encriptadas, como dije, podrían estar accesibles para otros y luego, si desea que estén encriptadas en la memoria y durante el uso, tenemos encriptación de columnas y luego, SQL 2016 tiene esta noción de "siempre encriptado" donde está encriptado en el disco, en la memoria, en el cable, hasta la aplicación que realmente está utilizando los datos.
Ahora, todo este cifrado no es gratuito: hay una sobrecarga de la CPU, a veces existe para el cifrado de columna y el caso siempre cifrado, hay implicaciones en el rendimiento en términos de su capacidad de hacer búsquedas en esos datos. Sin embargo, este cifrado, si se combina correctamente, significa que si alguien tuviera acceso a sus datos, el daño se reduciría considerablemente, porque pudieron obtenerlo y luego no pudieron hacer nada con él. Sin embargo, esta es también la forma en que funciona el ransomware, es que alguien entra y enciende estos elementos, con su propio certificado o su propia contraseña y no tiene acceso a él. Entonces, por eso es importante asegurarse de que estás haciendo esto, y tienes acceso a él, pero no lo estás dando, abierto para que lo hagan otros y atacantes.
Y luego, principios de seguridad: no voy a explicar este punto, pero asegúrese de no tener a todos los usuarios que se ejecutan en SQL Server como súper administrador. Sus desarrolladores pueden quererlo, diferentes usuarios pueden quererlo, se sienten frustrados por tener que pedir acceso a elementos individuales, pero debe ser diligente al respecto y, aunque sea más complicado, dé acceso a los objetos y las bases de datos. y los esquemas que son válidos para el trabajo en curso, y hay un caso especial, tal vez eso significa un inicio de sesión especial, no necesariamente significa una elevación de derechos, para el usuario promedio del caso.
Y luego, hay consideraciones de cumplimiento normativo que encajan en esto y algunos casos podrían en realidad funcionar a su manera, por lo que hay HIPAA, SOX, PCI, hay todas estas consideraciones diferentes. Y cuando realice una auditoría, se espera que demuestre que está tomando medidas para seguir cumpliendo con esto. Por lo tanto, esto es mucho para llevar un registro, diría que como una lista de tareas del DBA, está tratando de garantizar la configuración de cifrado físico de seguridad, está tratando de asegurarse de que el acceso a esos datos se audite para sus propósitos de cumplimiento , asegurándose de que sus columnas sensibles, que usted sepa cuáles son, dónde están, a cuáles debe cifrar y ver el acceso. Y asegurándose de que las configuraciones estén alineadas con las pautas regulatorias a las que está sujeto. Y tiene que mantener todo esto actualizado a medida que las cosas están cambiando.
Entonces, es mucho por hacer, y si tuviera que dejarlo allí, diría que hagas eso. Pero hay muchas herramientas diferentes para eso, por lo que, si puedo en los últimos minutos, quería mostrarles algunas de las herramientas que tenemos en IDERA para eso. Y los dos de los que quería hablar hoy son SQL Secure y SQL Compliance Manager. SQL Secure es nuestra herramienta para ayudar a identificar el tipo de vulnerabilidades de configuración. Sus políticas de seguridad, sus permisos de usuario, sus configuraciones de superficie. Y tiene plantillas para ayudarlo a cumplir con los diferentes marcos regulatorios. Eso en sí mismo, esa última línea, podría ser la razón para que la gente lo considere. Porque leer estas diferentes regulaciones e identificar lo que significan, PCI y luego llevarlo a mi servidor SQL en mi tienda, eso es mucho trabajo. Eso es algo por lo que podrías pagar mucho dinero de consultoría; hemos ido y realizado esa consulta, hemos trabajado con las diferentes compañías de auditoría, etc., para encontrar cuáles son esas plantillas, algo que probablemente pasará una auditoría si están en su lugar. Y luego puede usar esas plantillas y verlas en su entorno.
También tenemos otro tipo de herramienta hermana en forma de SQL Compliance Manager, y aquí es donde SQL Secure se trata de la configuración. SQL Compliance Manager se trata de ver qué hizo quién y cuándo. Por lo tanto, es una auditoría, por lo que le permite monitorear la actividad a medida que ocurre y le permite detectar y rastrear quién está accediendo a las cosas. ¿Alguien, el ejemplo prototípico de ser una celebridad ingresada en su hospital, estaba yendo y buscando su información, solo por curiosidad? ¿Tenían alguna razón para hacerlo? Puede echar un vistazo al historial de auditoría y ver qué estaba sucediendo, quién estaba accediendo a esos registros. Y puede identificar que esto tiene herramientas para ayudarlo a identificar columnas sensibles, por lo que no necesariamente tiene que leer y hacerlo todo usted mismo.
Entonces, si puedo, voy a seguir adelante y mostrarles algunas de esas herramientas aquí en estos últimos minutos, y por favor no lo consideren como una demostración en profundidad. Soy gerente de producto, no ingeniero de ventas, por lo que le mostraré algunas de las cosas que creo que son relevantes para esta discusión. Entonces, este es nuestro producto SQL Secure. Y como puede ver aquí, tengo una especie de este informe de alto nivel. Corrí esto, creo, ayer. Y me muestra algunas de las cosas que no están configuradas correctamente y algunas de las que están configuradas correctamente. Por lo tanto, puede ver que hay más de 100 controles diferentes que hemos hecho aquí. Y puedo ver que mi cifrado de respaldo en los respaldos que he estado haciendo, no he estado usando el cifrado de respaldo. Mi cuenta SA, explícitamente llamada "cuenta SA" no está deshabilitada o renombrada. La función de servidor público tiene permiso, por lo que estas son todas las cosas que me gustaría cambiar.
Tengo la política configurada aquí, así que si quería configurar una nueva política, para aplicarla a mis servidores, tenemos todas estas políticas integradas. Por lo tanto, usaré una plantilla de política existente y puede ver que tengo CIS, HIPAA, PCI, SR y en curso, y en realidad estamos en el proceso de agregar continuamente políticas adicionales, basadas en las cosas que las personas necesitan en el campo. Y también puede crear una nueva política, por lo que si sabe lo que está buscando su auditor, puede crearla usted mismo. Y luego, cuando lo haga, puede elegir entre todas estas configuraciones diferentes, lo que necesita establecer, en algunos casos, tiene algunas: déjeme regresar y encontrar una de las preconstruidas. Esto es conveniente, puedo elegir, por ejemplo, HIPAA - Ya tengo HIPAA, mi mal - PCI, y luego, al hacer clic aquí, puedo ver la referencia cruzada externa a la sección de la regulación que es relacionado con. Entonces eso te ayudará más tarde, cuando intentes averiguar por qué estoy configurando esto. ¿Por qué estoy tratando de ver esto? ¿Con qué sección está relacionado esto?
Esto también tiene una buena herramienta, ya que te permite entrar y explorar a tus usuarios, por lo que una de las cosas difíciles de explorar tus roles de usuario es que, en realidad, voy a echar un vistazo aquí. Entonces, si muestro permisos para mi, veamos, escojamos un usuario aquí. Mostrar permisos. Puedo ver los permisos asignados para este servidor, pero luego puedo hacer clic aquí y calcular los permisos efectivos, y me dará la lista completa basada en, así que en este caso este es el administrador, así que no es tan emocionante, pero podría revise y elija los diferentes usuarios y vea cuáles son sus permisos efectivos, en función de todos los diferentes grupos a los que podrían pertenecer. Si alguna vez intenta hacer esto por su cuenta, en realidad puede ser un poco complicado, averiguar, OK, este usuario es miembro de estos grupos y, por lo tanto, tiene acceso a estas cosas a través de grupos, etc.
Entonces, la forma en que funciona este producto es que toma instantáneas, por lo que realmente no es un proceso muy difícil tomar una instantánea del servidor de forma regular y luego guarda esas instantáneas con el tiempo para que pueda comparar los cambios. Por lo tanto, este no es un monitoreo continuo en el sentido tradicional de una herramienta de monitoreo de desempeño; Esto es algo que podría haber configurado para que se ejecute una vez por noche, una vez por semana, sin embargo, a menudo cree que es válido, de modo que cuando realice el análisis y haga un poco más, en realidad solo está trabajando dentro de nuestra herramienta. No se está conectando demasiado a su servidor, por lo que esta es una pequeña herramienta bastante agradable para trabajar, para cumplir con ese tipo de configuración estática.
La otra herramienta que quiero mostrarles es nuestra herramienta Administrador de cumplimiento. Compliance Manager va a monitorear de una manera más continua. Y verá quién está haciendo qué en su servidor y le permitirá echarle un vistazo. Entonces, lo que he hecho aquí, en las últimas dos horas, he intentado crear algunos pequeños problemas. Entonces, aquí tengo si es un problema o no, podría saberlo, alguien realmente ha creado un inicio de sesión y lo ha agregado a un rol de servidor. Entonces, si entro y miro eso, puedo ver, supongo que no puedo hacer clic derecho allí, puedo ver lo que está sucediendo.Por lo tanto, este es mi tablero y puedo ver que tuve una cantidad de inicios de sesión fallidos un poco antes hoy. Tuve un montón de actividad de seguridad, actividad DBL.
Entonces, déjenme ir a mis eventos de auditoría y echar un vistazo. Aquí tengo mis eventos de auditoría agrupados por categoría y objeto de destino, por lo que si miro esa seguridad de antes, puedo ver DemoNewUser, este inicio de sesión de creación de servidor se produjo. Y puedo ver que el SA de inicio de sesión creó esta cuenta DemoNewUser, aquí, a las 2:42 p.m. Y luego, puedo ver que a su vez, agregue inicio de sesión al servidor, este DemoNewUser se agregó al grupo de administración del servidor, se agregaron al grupo de configuración de administración, se agregaron al grupo sysadmin. Entonces, eso es algo que me gustaría saber que sucedió. También lo configuré para que se rastreen las columnas sensibles de mis tablas, de modo que pueda ver quién ha estado accediendo a ellas.
Entonces, aquí tengo un par de seleccionados que han ocurrido en mi mesa personal, de Adventure Works. Y puedo echar un vistazo y ver que el usuario SA en la tabla Adventure Works hizo una selección de las diez mejores estrellas de persona punto persona. Entonces, tal vez en mi organización no quiero que las personas seleccionen estrellas de persona a persona, o espero que solo ciertos usuarios lo hagan, así que voy a ver esto aquí. Entonces, lo que necesita en términos de su auditoría, podemos configurarlo en función del marco y esta es una herramienta un poco más intensiva. Está utilizando SQL Trace, o eventos SQLX, dependiendo de la versión. Y es algo que tendrá que tener algo de espacio libre en su servidor para acomodar, pero es una de esas cosas, como un seguro, lo cual es bueno si no tuviéramos que tener un seguro de automóvil; sería un costo que no tendríamos tiene que tomar, pero si tiene un servidor en el que necesita realizar un seguimiento de quién hace qué, es posible que tenga que tener un poco más de margen y una herramienta como esta para hacer esto. Ya sea que esté utilizando nuestra herramienta o la esté implementando usted mismo, en última instancia, será responsable de tener esta información para fines de cumplimiento normativo.
Entonces, como dije, no es una demostración en profundidad, solo un resumen breve y rápido. También quería mostrarle una pequeña herramienta rápida y gratuita en forma de Búsqueda de columnas SQL, que es algo que puede usar para identificar qué columnas en su entorno parecen ser información confidencial. Entonces, tenemos una serie de configuraciones de búsqueda en las que busca los diferentes nombres de columnas que comúnmente contienen datos confidenciales, y luego obtuve esta lista completa de las que se han identificado. Tengo 120 de ellos, y luego los exporté aquí, para que pueda usarlos para decir, vamos a ver y asegurarme de que estoy rastreando el acceso al segundo nombre, una persona punto persona o la tasa de impuesto a las ventas, etc.
Sé que estábamos llegando al final de nuestro tiempo aquí. Y eso es todo lo que realmente tenía que mostrarte, ¿alguna pregunta para mí?
Eric Kavanagh: Tengo un par de buenas para ti. Déjame desplazar esto aquí arriba. Uno de los asistentes estaba haciendo una muy buena pregunta. Una de las preguntas es sobre el impuesto sobre el rendimiento, por lo que sé que varía de una solución a otra, pero ¿tiene alguna idea general de cuál es el impuesto sobre el rendimiento para usar las herramientas de seguridad de IDERA?
Vicky Harp: Entonces, en el SQL Secure, como dije, es muy bajo, solo tomará algunas instantáneas ocasionales. E incluso si ha estado funcionando con bastante frecuencia, está obteniendo información estática sobre la configuración, por lo que es muy baja, casi insignificante. En términos de Compliance Manager, es:
Eric Kavanagh: ¿Como el uno por ciento?
Vicky Harp: Si tuviera que dar un número porcentual, sí, sería un uno por ciento o menos. Su información básica sobre el orden de uso de SSMS y entrar en la pestaña de seguridad y expandir las cosas. Por el lado del cumplimiento, es mucho más alto, es por eso que dije que necesita un poco de margen de maniobra, es algo así como mucho más allá de lo que tiene en términos de monitoreo del rendimiento. Ahora, no quiero asustar a la gente, el truco con el monitoreo de Cumplimiento, y si su auditoría es asegurarme de que solo audites sobre lo que vas a tomar medidas. Entonces, una vez que se filtre para decir: "Oye, quiero saber cuándo las personas acceden a estas tablas en particular, y quiero saber cuando las personas acceden, tomar estas acciones en particular", entonces se basará en la frecuencia con la que estas cosas sucediendo y cuántos datos estás generando. Si dice: "Quiero el SQL completo de cada selección que alguna vez ocurra en cualquiera de estas tablas", eso será posiblemente gigabytes y gigabytes de datos que SQL Server debe analizar y almacenar almacenados en nuestro producto, etc. .
Si lo reduce a un— también habrá más información de la que probablemente podría tratar. Si pudieras llevarlo a un conjunto más pequeño, de modo que obtengas un par de cientos de eventos por día, obviamente eso es mucho más bajo. Entonces, realmente, de alguna manera, los cielos son el límite. Si activa todas las configuraciones en todo el monitoreo de todo, entonces sí, será un éxito de rendimiento del 50 por ciento. Pero si vas a convertirlo en un nivel más moderado y considerado, ¿quizás miraría al 10 por ciento? Realmente, es una de esas cosas que dependerá mucho de su carga de trabajo.
Eric Kavanagh: Sí claro. Hay otra pregunta sobre el hardware. Y luego, hay vendedores de hardware entrando en el juego y realmente colaborando con vendedores de software y respondí a través de la ventana de preguntas y respuestas. Sé de un caso particular, de Cloudera trabajando con Intel, donde Intel hizo una gran inversión en ellos, y parte del cálculo fue que Cloudera tendría acceso temprano al diseño de chips y, por lo tanto, podría incorporar seguridad al nivel de chip de arquitectura, que es bastante impresionante. Pero no obstante, es algo que va a salir a la luz, y aún puede ser explotado por ambas partes. ¿Conoces alguna tendencia o tendencia de los proveedores de hardware para colaborar con los proveedores de software en el protocolo de seguridad?
Vicky Harp: Sí, en realidad, creo que Microsoft ha colaborado para tener algo de, como, el espacio de memoria para parte del trabajo de cifrado en realidad está sucediendo en chips separados en placas base que están separadas de su memoria principal, de modo que algunas de esas cosas está físicamente separado Y creo que en realidad eso fue algo que vino de Microsoft en términos de ir a los proveedores para decirles: "¿Podemos encontrar una manera de hacer esto, básicamente su memoria no direccionable? No puedo a través de un desbordamiento de búfer llegar a esta memoria , porque ni siquiera está allí, en cierto sentido, así que sé que algo de eso está sucediendo ".
Eric Kavanagh: Sí.
Vicky Harp: Obviamente serán los vendedores realmente grandes, muy probablemente.
Eric Kavanagh: Sí. Tengo curiosidad por ver eso, y tal vez Robin, si tienes un segundo rápido, me gustaría saber tu experiencia a lo largo de los años, porque una vez más, en términos de hardware, en términos de la ciencia de los materiales reales que entra en lo que estás poniendo juntos desde el lado del vendedor, esa información podría ir a ambos lados, y teóricamente vamos a ambos lados con bastante rapidez, entonces, ¿hay alguna forma de usar el hardware con más cuidado, desde una perspectiva de diseño para reforzar la seguridad? ¿Qué piensas? Robin, ¿estás mudo?
Robin Bloor: Sí, sí. Lo siento, estoy aquí; Solo estoy reflexionando sobre la pregunta. Para ser honesto, no tengo una opinión, es un área que no he examinado en profundidad significativa, así que soy una especie de, ya sabes, puedo inventar una opinión, pero realmente no lo sé. Prefiero que las cosas sean seguras en el software, básicamente es la forma en que juego.
Eric Kavanagh: Sí. Bueno, amigos, hemos quemado durante una hora y cambiamos aquí. Muchas gracias a Vicky Harp por su tiempo y atención, por todo su tiempo y atención; Agradecemos que se presente para estas cosas. Tiene mucha importancia; No va a desaparecer pronto. Es un juego de gato y ratón que va a seguir y seguir y seguir. Y, por lo tanto, agradecimos que algunas compañías estén allí, enfocadas en habilitar la seguridad, pero como Vicky incluso aludió y habló un poco en su presentación, al final del día, su gente en las organizaciones que necesitan pensar muy cuidadosamente sobre esto ataques de phishing, ese tipo de ingeniería social, y aferrarse a sus computadoras portátiles, ¡no lo deje en la cafetería! Cambie su contraseña, haga lo básico y obtendrá el 80 por ciento del camino.
Entonces, con eso, amigos, nos despediremos, gracias una vez más por su tiempo y atención. Bueno, la próxima vez, cuídate. Adiós.
Vicky Harp: Adiós gracias.