资料库 最好征求许可:隐私和安全性的最佳做法

最好征求许可:隐私和安全性的最佳做法

Anonim

通过Techopedia Staff,2017年5月10日

总结:主持人Eric Kavanagh与Robin Bloor博士和IDERA的Vicky Harp讨论了安全性和权限。

您目前尚未登录。请登录或注册以观看视频。

埃里克·卡瓦纳(Eric Kavanagh):好的,女士们,先生们,您好,欢迎再次光临。 这是星期三,这是东方的四个企业技术领域,这意味着又是热门技术的时候了! 确实是的。 由Bloor Group主持,当然是由Techopedia的朋友提供支持。 今天的主题是一个非常酷的主题:“更好地征求许可:隐私和安全性的最佳实践。”是的,这是一个艰巨的主题,很多人都在谈论它,但这是一个非常严肃的主题,并且坦率地说,这真的每天都变得越来越严重。 对于许多组织而言,这在许多方面都是一个严重的问题。 我们将要讨论这一点,并且将要讨论如何保护您的组织免受当今看来遍布整个地方的邪恶角色的影响。

因此,今天的主持人是来自IDERA的Vicky Harp。 您可以在LinkedIn上看到IDERA软件–我喜欢LinkedIn上的新功能。 尽管我可以说他们以某些方式拉扯了一些条件,但不允许您与其他人接触,而是试图让您购买这些高级会员资格。 在这里,我们有我们自己的罗宾·布洛尔(Robin Bloor)拨入电话-他今天实际上在圣地亚哥地区。 而您真正的主持人/分析师。

那么,我们在说什么呢? 数据泄露。 我只是从IdentityForce.com那里获得了这些信息,现在已经可以参加比赛了。 我们当然是在今年5月,那里有大量数据泄露,当然,雅虎(Yahoo!)确实有一些非常大的数据泄露。 是一个大问题,我们当然听说美国政府遭到黑客入侵。 我们刚刚砍掉了法国大选。

正如他们所说,这在各地都在发生,而且还在持续,而且不会停止,所以这是一个现实,它是新的现实。 我们确实确实需要考虑加强系统和数据安全性的方法。 这是一个持续不断的过程,因此现在是时候考虑所有发生的不同问题了。 这只是部分列表,但这使您对当今企业系统的情况有多不稳定有一些看法。 在放映前,在放映前的戏ter中,我们谈论的是勒索软件,它袭击了我认识的某人,这是非常不愉快的经历,因为有人接管了您的iPhone并要求您退款以重新获得对手机的访问权限。 但是它发生了,它发生在计算机上,它发生在系统上,就在几天前,这发生在亿万富翁和游艇上。 想象一下有一天去您的游艇上,试图打动您所有的朋友,您甚至无法打开它,因为有些小偷偷偷了使用控制面板的控制权。 我只是在前几天对某人的采访中说,总是要有手动优先权。 就像,我不是所有联网汽车的忠实拥护者,即使汽车也可能遭到黑客入侵。 任何连接到Internet或连接到可渗透网络的东西都可能遭到黑客入侵。

因此,在为情境的严重程度制定框架时,​​这里仅需考虑几项。 如今,基于Web的系统无处不在,并且还在不断扩散。 有多少人在线购买商品? 这些天只是屋顶,这就是为什么亚马逊如今如此强大的原因。 这是因为有太多人在网上购买商品。

因此,您还记得15年前,人们非常担心将信用卡放入网络表单中以获取信息,那时的争论是:“好吧,如果您将信用卡交给服务生的服务员,餐馆,那就是同一件事。”因此,我们的答案是肯定的,这是同一件事,所有这些控制点或访问点,同一事物,同一枚硬币的不同面都可以放置人员陷入危险之中,有人可以拿走您的钱,或者有人可以从您那里窃取钱财。

然后,物联网当然将威胁范围扩大了-我喜欢这个词-数量级。 我的意思是,请考虑一下-随处可见所有这些新设备,如果有人可以侵入控制它们的系统,那么他们可以使所有这些bot都对您不利,并导致很多问题,所以这是一个非常严重的问题。 如今,我们拥有全球经济,这进一步扩大了威胁范围,而且,您在其他国家/地区的人们可以以您和我可以的方式访问网络,并且如果您不懂俄语,或其他多种语言,当他们入侵您的系统时,您将很难理解它们的运行状况。 因此,我们在网络和虚拟化方面取得了进步,这很好。

但是我在这张照片的右边有一把剑,之所以有它,是因为每把剑都是双向的。 正如他们所说,这是一把双刃剑,而且是陈词滥调,但这意味着我拥有的剑可能伤害您或伤害我。 它可以通过弹跳或有人抓住它而回到我身上。 它实际上是伊索寓言之一–我们经常给敌人以我们自己破坏的工具。 这确实是一个引人入胜的故事情节,并且与使用弓箭并击落一只鸟的人有关,当这只箭头升起时,那只鸟看到那只鸟友的羽毛在箭的边缘,在箭的背面引导它,他心想:“哦,伙计,这是我自己的羽毛,我自己的家人将被用来压倒我。”这种情况一直在发生,您会听到统计一下您的房子里有枪,小偷可以拿枪。 好吧,这都是真的。 因此,我将其作为类比考虑一下,所有这些不同的发展都具有积极的一面和消极的一面。

可以说,对于那些真正遵循企业计算前沿的人们来说,容器是最新的事物,提供功能的最新方式,这实际上是虚拟化在面向服务的体系结构中的结合,至少对于微服务而言是这样。非常有趣的东西。 您当然可以通过使用容器来混淆安全协议,应用程序协议以及数据等,这会使您在一段时间内有所进步,但坏人迟早会弄清楚这一点,并且那么要阻止他们利用您的系统将变得更加困难。 因此,全球员工队伍使网络和安全性复杂化,人们从哪里登录。

我们的浏览器之战仍在继续,并且需要不断的工作来更新和掌握最新信息。 我们不断听到有关旧版Microsoft Explorer浏览器的信息,以及它们如何被黑客入侵以及如何在其中使用。 因此,如今,黑客行业可以赚更多的钱,整个行业都有,这是我的合伙人布洛尔博士八年前教给我的–我想知道为什么我们会看到这么多,他提醒我,这是一个涉及黑客的整个行业。 从这个意义上讲,该叙事是我最不喜欢的关于安全性的词之一,实际上是非常不诚实的,因为该叙事在所有这些视频和任何新闻报道中都向您展示了一些骇客行为,使他们看到了一个穿着连帽衫的家伙,在他昏暗的房间地下室里,情况并非如此。 那根本不是现实的代表。 这是孤独的黑客,很少有孤独的黑客,他们在那里,他们在引起一些麻烦-他们不会造成大的麻烦,但是他们可以赚很多钱。 因此,发生的事情是黑客入侵并渗透到您的系统中,然后将该访问权限出售给其他人,后者又将其出售并出售给其他人,然后在某个地方,某人利用该黑客并利用了您。 并且有无数种利用被盗数据的方法。

我什至对自己如何使这个概念变得迷人而感到惊奇。 您到处都可以看到这个术语,“增长黑客”是一件好事。 您知道,成长型黑客是一件好事,如果您想为好人工作,那么可以说出来并入侵一个系统,就像我们一直在听到朝鲜及其导弹发射的消息一样,有可能被黑客入侵–那很好。 但是黑客攻击通常是一件坏事。 因此,当我们魅力十足的罗宾汉时,我们几乎像罗宾汉一样美化了它。 然后是无现金的社会,坦白地说,这关系到我的白天。 我每次听到的声音就是:“不,请不要这样做! 请不要!”我不想我们所有的钱消失。 因此,这些只是要考虑的一些问题,这又是一个猫捉老鼠的游戏。 它永远不会停止,总会需要安全协议和不断发展的安全协议。 并且为了监视您的系统,甚至了解和感知谁在外面,而且了解这甚至可能是一项内部工作。 因此,这是一个持续存在的问题,将在相当长的一段时间内成为一个持续存在的问题–对此请不要误会。

然后,我将其交给Bloor博士,他可以与我们分享有关保护数据库的一些想法。 罗宾,把它拿走。

Robin Bloor:好的,这是一个有趣的黑客事件,我认为它大约发生在五年前,但基本上它是一家被黑的卡处理公司。 并且大量卡详细信息被盗。 但是,对我而言,有趣的是,这实际上是他们真正进入的测试数据库,而且在进入实际,真实的处理卡数据库时可能遇到很大的困难。 但是您知道开发人员的情况,他们只是削减了一部分数据库,然后将其推入其中。 要防止这种情况的发生,必须更加警惕。 但是,有很多有趣的骇客故事,它在一个区域内构成了一个非常有趣的主题。

因此,我实际上将以一种或另一种方式重复Eric所说的一些事情,但是很容易将数据安全性视为静态目标。 它之所以容易,只是因为它更容易分析静态情况,然后考虑在其中放置防御,但实际上并非如此。 它是不断变化的目标,这是定义整个安全空间的事情之一。 只是所有技术都在发展,坏蛋的技术也在发展。 因此,简要概述:数据盗窃并不是什么新鲜事,实际上,数据间谍活动就是数据盗窃,而且我认为这种情况已经存在了数千年。

从这些方面来说,最大的数据抢劫案是英国违反了德国法典,美国人违反了日本法典,在这两种情况下,它们几乎都大大缩短了战争。 他们只是在窃取有用和有价值的数据,这当然非常聪明,但是您知道,现在发生的事情在很多方面都非常聪明。 网络盗窃是互联网产生的,并在2005年左右爆发。我走访了所有统计数据,当您开始变得非常认真时,从2005年左右开始,数据以某种方式变得非常高。从那以后,情况就变得更糟了。然后。 许多参与者,政府参与,企业参与,黑客团体和个人。

我去了莫斯科-大约已经五年了-实际上,我和来自英国的一个人一起度过了很多时间,他正在研究整个黑客领域。 他说–我不知道这是否是真的,我只听了他的话,但这听起来很可能–俄罗斯有一个叫做“商业网络”的东西,这是一群黑客,​​都是,您知道,它们来自克格勃的废墟。 他们推销自己,不仅仅是,我的意思是,我敢肯定,俄罗斯政府会使用它们,但他们推销给任何人,有传言,或者他说有传言说,各个外国政府都在使用商业网络合理的可否认性。 这些家伙拥有数百万台可能受到攻击的受损PC网络。 他们拥有您可以想象的所有工具。

因此,攻击和防御技术得到了发展。 无论是否拥有数据,企业都有责任注意其数据。 就实际上已经生效或正在生效的各种法规而言,这已经变得更加清晰。 而且可能会有所改善,有人以某种方式,有人必须承担黑客的代价,以至于他们被激励去关闭可能性。 我猜这是必要的。 因此,关于黑客,他们可以位于任何地方。 尤其是在您的组织内部–我听说过很多巧妙的骇客,涉及到有人打开门。 你知道,那个人,就像是银行抢劫案的情况,几乎他们总是说在一个好的银行抢劫案中有一个内部人员。 但是内部人员只需要提供信息,因此很难获取它们,知道它是谁等等。

而且可能很难将他们绳之以法,因为如果您在摩尔多瓦遭到一群人的入侵,即使您知道那是一群人,您将如何在他们周围发生某种法律事件? 从一个司法管辖区到另一个司法管辖区,这只是一种没有很好的国际措施来遏制黑客。 他们共享技术和信息; 其中很多是开源的。 如果您想构建自己的病毒,那么这里有大量的病毒包–完全开源。 而且它们拥有大量资源,在数据中心和PC等设备中,有超过100万台受感染的设备中有大量的僵尸网络。 正如我所提到的,有些企业已经盈利了很长时间,然后还有政府团体。 正如埃里克(Eric)所说,这种现象不太可能永远消失。

因此,这是一个有趣的hack,我以为我会提到它,因为这是最近的hack; 它发生在去年。 与以太坊加密货币相关的DAO合约中存在一个漏洞。 并在一个论坛上进行了讨论,并且一天之内,DAO合同被黑了,正是使用了该漏洞。 损失了5000万美元的以太币,导致DAO项目立即陷入危机,并关闭了该项目。 实际上,Etherium一直在努力阻止黑客使用这些钱,而且他们也减少了他的收入。 但是也有人认为-不确定(确切地说是)-黑客知道在以太币的价格会崩溃的情况下实际上在其攻击之前做空了以太币的价格,从而以另一种方式获利。

如果您愿意,这是黑客可以使用的另一种策略。 如果他们可以破坏您的股价,并且知道他们会这样做,那么他们只需要做空股票并进行黑客入侵,所以,这些家伙很聪明,您知道。 而且价格是完全的金钱盗窃,破坏和赎金,包括投资,您破坏和卖空股票,破坏,身份盗窃,各种骗局,仅仅是为了广告。 而且这往往是政治上的,或者显然是信息间谍活动,甚至有些人靠试图通过入侵Google,Apple,Facebook甚至是五角大楼而获得的bug赏金来谋生,实际上是五角大楼实际上提供了bug赏金。 而你只是hack; 如果成功了,那么您就去领取您的奖金,并且不会造成任何损失,所以这是一件好事。

我不妨提及合规和法规。 除了行业计划外,还有许多官方法规:HIPAA,SOX,FISMA,FERPA和GLBA都是美国法规。 有标准; PCI-DSS已成为相当普遍的标准。 然后是关于数据所有权的ISO 17799。 国家法规因国家而异,甚至在欧洲也是如此。 目前,GDPR –全球数据代表什么? 我认为这代表《全球数据保护条例》,但这将于明年生效。 有趣的是,它适用于世界各地。 如果您拥有5, 000或更多的拥有个人信息的客户,并且这些客户居住在欧洲,那么无论您的公司实际上是总部还是在哪里运营,欧洲实际上都会带您执行任务。 处罚是,最高刑罚是年收入的百分之四,这是巨大的,所以一旦生效,这将是一个有趣的转折。

值得思考的是,DBMS漏洞,大多数有价值的数据实际上都位于数据库中。 这很有价值,因为如果您实际上并未应用正确的DBMS证券,我们投入了大量的时间来使它变得可用并进行良好的组织,这会使它更容易受到攻击。 显然,如果您打算为此类事情做计划,则需要确定整个组织中存在哪些易受攻击的数据,同时要记住,数据由于各种原因而容易受到攻击。 它可以是客户数据,但也可以是内部文件,对于间谍活动等而言是有价值的。 安全政策,尤其是与访问安全有关的安全政策(在我看来,最近在新的开放源代码中,安全政策一直很薄弱),因为它相当坚如磐石,所以加密技术越来越多地投入使用。

大多数人不知道安全漏洞的代价,但是如果您实际查看遭受安全漏洞侵害的组织所发生的情况,那么事实证明,安全漏洞的代价往往比您想象的要高得多。 。 然后要考虑的另一件事是攻击面,因为与组织一起运行的任何地方的任何软件都构成了攻击面。 任何设备也是如此,无论数据如何存储,数据也是如此。 综上所述,攻击面随着物联网的增长而增长,攻击面可能会翻倍。

因此,最后是DBA和数据安全性。 数据安全性通常是DBA角色的一部分。 但这也是协作的。 而且它需要遵守公司政策,否则可能无法很好地实施。 话虽如此,我认为我可以传球。

埃里克·卡瓦纳(Eric Kavanagh):好吧,让我把钥匙给维琪。 您可以共享屏幕或移至这些幻灯片,由您自己决定,将其收起。

Vicky Harp:不,我将从这些幻灯片开始,非常感谢。 所以,是的,我只是想花点时间介绍一下自己。 我是Vicky Harp。 我是IDERA软件上SQL产品的产品管理经理,对于那些您可能不熟悉我们的人,IDERA有很多产品线,但是我在这里只是说说SQL Server。 因此,我们进行性能监控,安全合规性,备份,管理工具-只是其中的一部分。 当然,我今天要谈论的是安全性和合规性。

尽管今天我确实打算展示一些示例,但我今天要谈论的大部分并不一定是我们的产品。 我想与您更多地讨论数据库安全性,当前数据库安全性中的一些威胁,需要考虑的一些事情以及为保护SQL安全而需要考虑的一些入门思想。如上所述,服务器数据库并确保它们符合您可能要遵守的法规框架。 有许多不同的法规。 他们从事不同的行业,遍布世界各地,这些都是需要考虑的事情。

因此,我有点想花点时间谈论数据泄露的状态–而不重复此处已经讨论的太多内容–我一直在研究英特尔最近的这项安全研究,以及他们的研究–与之交谈的大约1500个组织–就数据丢失违规而言,他们平均有6个安全漏洞,其中68%的组织在某种意义上需要披露,因此它们影响了股价,或者他们不得不承担一定的信誉监视其客户或雇员等。

其他有趣的统计数据是内部参与者占其中的43%。 因此,很多人确实对黑客以及这类可疑的准政府组织或有组织犯罪等有很多看法,但是内部行为者仍然在相当大的比例下直接对雇主采取行动。 这些有时有时更难防范,因为人们可能有正当理由访问这些数据。 从某种意义上讲,其中约有一半是意外损失,占43%。 因此,例如,在有人将数据带回家然后失去对数据的跟踪的情况下,这导致我得出第三点,那就是物理介质中的内容仍然涉及40%的漏洞。 因此,这就是USB密钥,那是人们的笔记本电脑,那是刻录到物理磁盘上并从建筑物中取出的实际媒体。

如果您考虑一下,您是否有一位开发人员在其笔记本电脑上拥有生产数据库的开发副本? 然后他们上飞机,然后下飞机,然后托运行李,笔记本电脑被盗。 您现在遇到了数据泄露。 您可能不一定认为这就是为什么要使用笔记本电脑的原因,它可能永远不会出现在野外。 但这仍然算作违规,需要进行披露,由于物理媒体的丢失,您将拥有丢失该数据的所有下游影响。

另一个有趣的事情是,很多人都在考虑信用数据和信用卡信息是最有价值的,但事实已不再如此。 这些数据很有价值,信用卡号很有用,但是老实说,这些数字变化非常快,而人们的个人数据变化却不是很快。 玩具制造商VTech就是最近的新闻报道,这些玩具是为儿童设计的。 人们将拥有他们的孩子的名字,他们将获得有关孩子们住所的信息,他们将拥有父母的名字,并拥有孩子的照片。 这些都不是加密的,因为它不重要。 但是他们的密码已加密。 好吧,当违规行为不可避免地发生时,您是在说:“好吧,所以我有一个孩子的名字,父母的名字,他们住的地方的清单–所有这些信息都在那儿,您以为密码是那是最有价值的部分吗? 人们无法更改其个人数据,地址等方面的信息。因此,信息实际上非常有价值,需要加以保护。

因此,我想谈一谈正在发生的一些事情,以促进当前数据泄露的发生。 社会工程是当今最大的热点之一。 因此,人们称其为网络钓鱼,冒充他人身份等,在这种情况下,人们通常只是通过说服他们应该可以访问数据而通过内部参与者来访问数据。 因此,就在前几天,我们遇到了这种Google Docs蠕虫。 将会发生什么,尽管我没有单击它,但实际上我收到了它的副本。您从同事那里收到电子邮件,说:“这里是Google Doc链接; 您需要单击此按钮以查看我刚刚与您共享的内容。”嗯,在使用Google Docs的组织中,这是非常传统的做法,每天您会收到数十个此类请求。 如果您单击它,它会询问您访问此文档的权限,也许您会说:“嘿,这看起来有点奇怪,但是您知道,它看起来也很合法,所以我继续单击它”,然后,您就授予了该第三方访问您所有Google文档的权限,因此,创建了此外部参与者可访问您Google Drive上所有文档的链接。 这到处都是蠕虫。 它在短短几个小时内打击了数十万人。 从根本上讲,这是一次网络钓鱼攻击,谷歌本身不得不关闭,因为它执行得很好。 人们喜欢它。

我在这里提到SnapChat HR漏洞。 这只是一个简单的问题,有人发电子邮件,冒充他们是首席执行官,然后发电子邮件给人事部门,说:“我需要您向我发送此电子表格。”他们相信了这一点,并且他们将一个电子表格包含700名不同的员工薪酬信息,他们的家庭住所地址等通过电子邮件发送给了另一方,实际上这不是首席执行官。 现在,数据已经出来了,所有员工的个人,私人信息都已经存在并且可以被利用。 因此,我在数据库领域提到了社会工程学,因为您可以尝试通过教育来抵御社会工程学,但是您还必须记住,在任何人与技术进行交互的地方,以及如果您依靠他们良好的判断力来防止断电,那么您会问很多。

人们会犯错误,人们会点击本不该拥有的东西,人们会为聪明的情节所迷。 您可以非常努力地保护他们免受攻击,但是它还不够强大,您需要尝试限制人们意外地在数据库系统中泄露此信息的能力。 我想提到的另一件事是,显然我们在谈论的很多东西是勒索软件,僵尸网络,病毒–所有这些不同的自动化方式。 因此,我认为了解勒索软件很重要,因为它确实改变了攻击者的获利模式。 从某种意义上说,在您谈论违规的情况下,他们必须提取数据并自己拥有并加以利用。 而且,如果您的数据晦涩难懂,是否经过加密,是否针对特定行业,那么它们可能没有任何价值。

到现在为止,人们可能会觉得这是对他们的保护,“我不需要保护自己免受数据泄露的侵害,因为如果他们要进入我的系统,他们将拥有的一切是,我是一家摄影工作室,列出了来年的哪些日子。 谁在乎呢?”嗯,事实证明答案是你在乎那个。 您存储的是您的关键业务信息。 因此,使用勒索软件,攻击者会说:“好吧,没有其他人会为此而给我钱,但是您会的。”因此,他们利用了这样的事实,即他们甚至不必取出数据,他们不会。甚至不必违反协议,他们只需要对您使用进攻性的安全工具。 他们进入您的数据库,对数据库的内容进行加密,然后他们说:“好,我们有密码,您将需要支付5, 000美元以获取该密码,否则您就没有了。这些数据了。”

人们确实付钱; 他们发现自己必须这样做。 几个月前,MongoDB遇到了一个巨大的问题,我想是在1月份,基于一些默认设置,勒索软件在Internet上公开了超过一百万个MongoDB数据库。 更糟糕的是人们在付款,因此其他组织会进入并重新加密或声称是最初加密它的组织,所以当您付款时,我认为在这种情况下索要500美元左右的价格,人们会说:“好吧,我付的钱比付钱要多付给研究人员进入这里,以帮助我找出问题所在。 我只付这500美元。”他们甚至没有把钱付给正确的演员,所以他们会和十个不同的组织挤在一起,告诉他们“我们有密码”或“我们有“您将有机会为您解锁被赎回的数据。”而且,您必须支付所有这些费用,才能使其正常工作。

有时候勒索软件的作者也有错误,我的意思是,我们并不是说这是一个完全错误的情况,因此即使受到攻击,即使您付款后也无法保证要取回所有数据,武器化的InfoSec工具也会使其中一些变得复杂。 因此,影子经纪人集团一直在泄漏来自NSA的工具。 它们是政府实体为间谍目的设计的工具,实际上是与其他政府实体合作的工具。 其中一些是非常引人注目的零日攻击,基本上使已知的安全协议搁置了一边。 因此,例如,在最近的Shadow Brokers的转储之一中,SMB协议中存在一个重大漏洞。

因此,这些工具可以在短短几个小时内,就您的攻击面而言,真正改变您的游戏。 因此,每当我考虑此问题时,就组织层面而言,安全InfoSec都是其自身的功能,需要认真对待。 每当我们谈论数据库时,我都可以将其删除一点,作为数据库管理员,您不必一定完全了解本周影子经纪人的状况,但是您需要意识到其中的情况正在发生变化,正在发生某些事情,因此您在某种程度上保持自己的域名安全性是非常重要的,以防万一事情从您手中被窃取。

因此,在开始专门讨论SQL Server之前,我想在这里花点时间,实际上是与我们的小组成员就数据库安全性的一些注意事项进行一些公开讨论。 所以,到此为止,我还没有提到一些我想谈谈将SQL注入作为向量的问题。 因此,这就是SQL注入,显然这是人们通过某种形式的输入将命令插入数据库系统的方式。

埃里克·卡瓦纳(Eric Kavanagh):是的,我实际上遇到了一个人–我认为是在安德鲁斯空军基地–大约五年前,我在走廊上和他谈话时是一名顾问,我们只是在分享战争故事–并非双关语–他提到他是由某人带来的,要与一位军衔较高的军人进行磋商,然后那个人问他:“好吧,我们怎么知道你擅长做什么?” 。 当他与他们交谈时,他使用的是计算机,他进入了网络,他使用SQL注入功能来访问该人群以及这些人的电子邮件注册表。 然后他找到了他正在与之交谈的人的电子邮件,他只是在机器上向他显示了他的电子邮件! 那家伙就像,“你是怎么做到的?”他说,“好吧,我使用SQL注入。”

所以,那是五年前的事,当时在空军基地,对吗? 因此,我的意思是,就上下文而言,这件事仍然非常真实,可以用在真正令人恐惧的效果上。 我的意思是,我很想知道罗宾(Robin)关于该主题的任何战争故事,但是所有这些技术仍然有效。 它们在许多情况下仍在使用,这是一个自我教育的问题,对吗?

罗宾·布卢尔(Robin Bloor):好的,是的。 是的,可以通过完成这项工作来防御SQL注入。 很容易理解为什么这个想法被发明并首次推广时就很容易理解,为什么它是如此的如此成功,因为您可以将其粘贴在网页的输入字段中并获取返回的数据给您,或者它可以删除数据库中的数据或其他任何内容–您只需注入SQL代码即可。 令我感兴趣的是,您必须对输入的每条数据进行一点解析,但是很可能会发现有人在尝试这样做。 确实,我认为确实如此,因为人们仍然无法摆脱它,我的意思是,还没有一种简单的方法来对付它,这真是很奇怪。 您知道,每个人都可以轻松使用,我的意思是,据我所知,还没有Vicky,有吗?

Vicky Harp:好吧,实际上,一些人质解决方案,例如SQL Azure,我认为有一些相当不错的基于机器学习的检测方法。 这可能是我们将来将要看到的,它正在尝试提出一种适合所有人的尺寸。 我认为答案是没有一种尺寸能适合所有人,但我们确实有一些机器可以了解您的尺寸,并确保您适合该尺寸,对吗? 因此,如果您有一个误报,那是因为您实际上在做一些不寻常的事情,这不是因为您必须经历并认真确定应用程序可能会做的所有事情。

我认为它仍然如此多产的原因之一是,人们仍然依赖第三方应用程序,并且随着时间的流逝,ISV的应用程序和这些应用程序都会被抹掉。 因此,您谈论的是一个组织,该组织购买了2001年编写的工程应用程序。他们还没有更新它,因为从那时起就没有任何重大的功能更改,并且它的原始作者是,他们不是工程师,不是数据库安全专家,没有在应用程序中以正确的方式做事,最终成为了媒介。 我的理解是-我认为这是Target数据泄露,这是非常大的漏洞-攻击媒介来自其空调供应商之一,对吗? 因此,对于那些第三方的问题,您可以,如果您拥有自己的开发机构,则可以制定一些规则,并且通常在任何时候执行。 作为组织,您可能正在运行数百甚至数千个具有所有不同配置文件的应用程序。 我认为这是机器学习将要出现并开始为我们提供很多帮助的地方。

我的战争故事是寓教于乐。 我看到了SQL注入攻击,而我从未发生过的事情是使用普通可读的SQL。 我做这些事情称为模糊的P SQL假日卡。 我喜欢这样做,您使此SQL看起来尽可能混乱。 几十年来,一直在进行混淆的C ++代码竞赛,这是相同的想法。 因此,您实际上得到的是在打开的字符串字段中的SQL注入,它关闭了字符串,将其放入分号,然后将其放入exec命令中,该命令具有一系列数字,然后基本上使用了使用强制转换命令将这些数字转换为二进制,然后依次将其转换为字符值,然后执行。 因此,并不是像您看到的那样,“从生产表中删除启动”,实际上是塞入了数字字段中,因此很难看到。 甚至一旦您看到它,就可以确定正在发生的事情,还需要进行一些实际的SQL拍摄,才能弄清楚正在发生的事情,当然这是在什么时候完成的。

罗宾·布洛尔(Robin Bloor):在整个黑客世界中,只是一种现象就是,如果有人发现一个弱点,并且恰好存在于通常已售出的某个软件中,那么,早期的问题之一就是安装数据库时输入的数据库密码,实际上很多数据库只是默认值。 而且许多DBA根本就没有改变它,因此您可以设法进入网络。 您可以尝试使用该密码,如果有效,那么您就中了彩票。 有趣的是,所有这些信息都非常有效地在Darknet网站的黑客社区之间传播。 他们知道。 因此,他们几乎可以浏览其中的内容,找到几个实例,然后自动对其进行一些黑客攻击,然后他们就进入了。我认为,至少有很多人所有这一切的外围,实际上并不了解黑客网络对漏洞的响应速度。

Vicky Harp:是的,这实际上提出了我想继续讲的另一件事,这就是凭证填充的概念,这种想法已经大量涌现,一旦您的凭证被他人盗用,在任何站点上,这些凭据都将尝试在所有站点上重复使用。 因此,如果您使用重复的密码,例如,即使您的用户是这样,那么有人可能能够通过看似完全有效的一组凭据获得访问权限。 因此,假设我在亚马逊和银行以及论坛上使用了相同的密码,并且该论坛软件被黑客入侵,那么,它们具有我的用户名和密码。 然后,他们可以在亚马逊使用相同的用户名,也可以在银行使用该用户名。 就银行而言,这是完全有效的登录。 现在,您可以通过完全授权的访问来执行恶意操作。

因此,这种说法又回到了我之前所说的内部违规和内部用法。 如果您的组织中的人员使用与外部访问相同的密码进行内部访问,则很可能有人会进入您的身份并通过您不知道的其他网站上的漏洞冒充您甚至都不知道。 而且这些数据可以非常迅速地传播。 我认为有很多清单是Troy Hunt的“我被自己捏过”的最新资料,他说他有50亿套凭证,如果考虑到地球上的人数,这就是一个数字。提供给凭证填充的凭证数量确实很大。

因此,我将更深入地讨论SQL Server安全性。 现在,我想说的是,在接下来的20分钟内,我不会尝试为您提供保护SQL Server所需的一切。 这似乎有些艰巨。 因此,即使是开始,我想说的是,网上肯定有一些团体和在线资源,您当然可以使用Google,还有书籍,Microsoft上有最佳实践文档,SQL Server专业人员的安全虚拟章节,他们位于security.pass.org上,并且我相信他们每月都会进行网络广播和网络广播的录音,以便对真实,深入的SQL Server安全性做些了解。 但是,这些是我作为数据专业人员,IT专业人员和DBA与您交谈的一些事情,我希望您知道您需要了解SQL Server安全性。

因此,第一个是物理安全性。 因此,就像我之前说的,窃取物理媒体仍然非常普遍。 因此,我在开发机器上给出的场景是,开发机器上的数据库副本被盗了–这是一个非常普遍的媒介,这是您需要了解并尝试采取行动的媒介。 备份安全性也是如此,因此,无论何时备份数据,都需要以加密方式备份数据,还需要备份到安全位置。 很多时候,这些真正在数据库中受到保护的数据一开始进入外围位置,进入开发机器,进入测试机器,我们对补丁的注意就少了一些,我们得到的却少了一些小心访问它的人。 接下来您会知道,未加密的数据库备份已存储在组织的公共共享中,可供许多不同的人利用。 因此,考虑一下物理安全性,就这么简单,有人可以走过去,然后将USB密钥插入服务器吗? 您不应允许这样做。

我要让您考虑的下一项是平台安全性,因此是最新的OS,最新的补丁程序。 听到人们谈论停留在Windows的旧版本,SQL Server的旧版本上,这是非常令人厌烦的,他们认为唯一的成本是许可升级的成本,而事实并非如此。 我们拥有安全性,这是一条不断攀升的潮流,随着时间的流逝,发现了更多漏洞。 在这种情况下,Microsoft和其他小组(视情况而定)将更新旧系统,直到最终他们将失去支持,不再更新它们,因为这只是一个永无止境的过程。保养。

因此,您需要使用受支持的操作系统,并且需要更新您的修补程序,并且我们最近发现与Shadow Brokers相似,在某些情况下,Microsoft可能比之前的漏洞更深入地了解即将发生的重大安全漏洞。在公开之前被公开,所以不要让自己陷入混乱。 我宁愿不要停工,而宁愿等待并阅读其中的每一项并做出决定。 您可能不知道它的价值,直到找出导致此补丁的原因几周之后。 因此,请紧随其后。

您应该配置防火墙。 令人震惊的是,在SNB漏洞中,有多少人正在运行旧版本的SQL Server,而防火墙完全向Internet开放,因此任何人都可以进入并使用他们的服务器做他们想做的事。 您应该使用防火墙。 您偶尔需要配置规则或对业务进行特定例外的事实是可以接受的价格。 您需要控制数据库系统中的外围应用程序–是在同一台计算机上共同安装服务或Web服务器(如IIS)吗? 共享相同的磁盘空间,共享与数据库和私有数据相同的内存空间? 尽量不要这样做,尝试隔离它,保持较小的表面积,这样就不必担心确保所有这些数据在数据库顶部都是安全的。 您可以从物理上分离那些东西,平台,分离它们,给自己一点呼吸空间。

您不应该让超级管理员到处都可以访问所有数据。 操作系统管理员帐户不一定需要通过加密访问您的数据库或数据库中的基础数据,我们将在稍后讨论。 而对数据库文件的访问,也需要限制。 如果您说,有人不能通过数据库访问这些数据库,这是一种愚蠢的做法。 SQL Server本身不允许他们访问它,但是如果可以,他们可以四处走走,获取实际MDF文件的副本,简单地将其移动,然后将其附加到自己的SQL Server上,您实际上并没有真正完成许多。

加密,所以加密是著名的双向剑。 您可以在OS级别上进行很多不同级别的加密,而对于SQL和Windows而言,现代的处理方式是使用BitLocker,而在数据库级别上,则称为TDE或透明数据加密。 因此,这两种方式都可以使您的数据保持加密状态。 如果您想对数据进行更全面的加密,则可以进行加密-抱歉,我已经走了一步。 您可以进行加密的连接,以便在传输过程中仍进行加密,这样,如果有人在侦听或有人在攻击中,您就可以通过网络保护该数据。 您的备份需要进行加密,就像我说的那样,其他人可能可以访问它们,然后,如果您希望在内存中使用它进行加密,并且在使用过程中,我们已经进行了列加密,然后,SQL 2016就有“始终加密”,实际上是在磁盘,内存,网络上一直加密的,一直到实际使用数据的应用程序。

现在,所有这些加密都不是免费的:有CPU开销,有时有列加密和始终加密的情况,就性能而言,就数据查找能力而言,这是有影响的。 但是,如果正确组合了这种加密,则意味着如果有人可以访问您的数据,则损失会大大减轻,因为他们能够得到它,然后就无法对其进行任何操作。 但是,这也是勒索软件工作的方式,即有人进入并使用自己的证书或密码打开了这些项目,而您无权访问。 因此,这就是为什么重要的是要确保您正在执行此操作,并且可以访问它,但是您没有将其提供给他人和攻击者使用。

然后,安全原则–这一点我不会感到困惑,但是请确保您没有让每个用户都以超级管理员的身份在SQL Server中运行。 您的开发人员可能想要它,不同的用户可能想要它–他们因不得不要求访问单个项目而感到沮丧–但是您需要对此进行努力,即使它可能更复杂,也可以访问对象和对象。对正在进行的工作有效的数据库和模式,这有一个特殊情况,对于特殊情况的用户而言,这可能意味着特殊的登录,并不一定意味着权限的提高。

然后,有一些合规性考虑因素与此相关,某些情况实际上可能会以自己的方式发生-因此,有HIPAA,SOX,PCI –存在所有这些不同的考虑因素。 而且,当您进行审核时,您将被期望表明您正在采取行动以保持对此的遵守。 因此,要跟踪很多事情,作为DBA待办事项,您正在尝试确保安全的物理加密配置,并试图确保正在审核对这些数据的访问。为了达到合规性目的,请确保您敏感的列,您知道的内容,所在的位置以及您应该加密和查看的内容。 并确保配置符合您所遵循的法规准则。 随着情况的变化,您必须保持所有这些都是最新的。

因此,这有很多事情要做,所以如果我把它留在那儿,我会说去做。 但是有很多不同的工具,因此,如果我在过去的几分钟内,我想向您展示我们在IDERA拥有的一些工具。 我今天想谈的两个是SQL Secure和SQL Compliance Manager。 SQL Secure是我们的工具,可帮助您识别各种配置漏洞。 您的安全策略,用户权限,外围应用配置。 它具有模板,可帮助您遵守不同的法规框架。 这本身,即最后一行,可能是人们考虑它的原因。 因为通读了这些不同的法规并弄清了这些法规的含义,然后将PCI一直带到我店里的SQL Server,所以这是很多工作。 您可以为此付出大量的咨询费用。 我们已经进行了咨询,与不同的审计公司等合作,提出了这些模板的含义-如果这些模板到位,则很可能会通过审核。 然后,您可以在环境中使用这些模板并查看它们。

我们还以SQL Compliance Manager的形式提供了另一种姊妹工具,这就是SQL Secure与配置设置有关的地方。 SQL Compliance Manager是关于查看由谁,何时进行的操作。 因此,这是审核,因此它使您可以监视活动的发生,并检测和跟踪谁在访问事物。 是否有人出于好奇而有人去检查他们的信息吗?典型的例子是名人进入您的医院吗? 他们有理由这样做吗? 您可以查看审核历史记录,看看正在发生什么,谁在访问这些记录。 而且您可以确定它具有可帮助您识别敏感列的工具,因此您不一定必须通读并自己做。

因此,如果可以的话,我将在接下来的几分钟内继续向您展示其中的一些工具-请不要将其视为深入的演示。 我是产品经理,而不是销售工程师,因此我将向您展示一些我认为与此次讨论相关的内容。 因此,这是我们的SQL Secure产品。 正如您在这里看到的那样,我已经有了这种高级报告卡。 我认为是昨天进行的。 它向我展示了一些未正确设置的事情和一些正确设置的事情。 因此,您可以看到我们在这里完成了100多种不同的检查。 而且我可以看到我一直在做的备份上的备份加密,我没有使用过备份加密。 我的SA帐户(明确命名为“ SA帐户”)未禁用或重命名。 公共服务器角色具有权限,因此这些都是我可能要查看的所有更改。

我已经在此处设置了策略,因此,如果我想设置一个新策略以应用于我的服务器,我们将拥有所有这些内置策略。 因此,我将使用现有的策略模板,您会看到我拥有CIS,HIPAA,PCI,SR并正在运行,并且实际上我们正在根据人们在现场需要的东西不断添加其他策略。 您还可以创建新策略,因此,如果您知道审计师在寻找什么,则可以自己创建。 然后,当您这样做时,可以在所有这些不同的设置中进行选择,这些设置需要您进行设置,在某些情况下,您需要进行一些设置-让我回过头来找到一个预制的设置。 这很方便,我可以选择HIPAA –我已经有了HIPAA,我的缺点– PCI,然后,当我在这里单击时,实际上可以看到外部交叉引用。与之相关的法规。 这样一来,当您尝试找出我为什么要设置此设置时,这将对您有所帮助。 我为什么要看这个? 这与哪个部分有关?

这也有一个不错的工具,它可以让您进入并浏览用户,因此,探索用户角色的棘手事情之一就是,实际上,我将在这里进行研究。 因此,如果我显示我的权限,让我们看看,在这里选择一个用户。 显示权限。 我可以看到为该服务器分配的权限,但是然后我可以单击此处并计算有效权限,它会基于该列表提供完整的列表,因此在这种情况下,它是admin,因此并不那么令人兴奋,但是我可以根据他们可能属于的所有不同组,来挑选不同的用户,看看他们的有效权限是什么。 如果您尝试自己执行此操作,那么可能会很麻烦,要弄清楚,该用户是这些组的成员,因此可以通过组等访问这些内容。

因此,此产品的工作方式是获取快照,因此,定期获取服务器快照并不是很困难的过程,然后随着时间的推移保留这些快照,以便您可以比较更改。 因此,这不是像性能监视工具这样的传统意义上的连续监视。 您可能已将其设置为每晚运行一次,每周运行一次-但是您通常认为这是有效的-因此,无论何时执行分析并且执行更多操作,实际上只是在我们的工具范围内工作。 您并没有太多地连接回服务器,因此这是一个非常不错的小工具,可以用来与这些静态设置保持一致。

我想向您展示的另一个工具是我们的Compliance Manager工具。 Compliance Manager将以更连续的方式进行监视。 它将看到谁在服务器上做事,并让您对其进行查看。 所以,在过去的几个小时左右,我在这里所做的事情实际上是在尝试创建一些小问题。 因此,在这里我知道是否有问题,我可能知道,有人实际上已经创建了一个登录名并将其添加到服务器角色中。 因此,如果我进去看看,我可以看到-我想我不能右键单击那里,我可以看到发生了什么。 因此,这是我的仪表板,我可以看到今天早些时候登录失败了很多。 我有一堆安全活动,即DBL活动。

因此,让我来看一下我的审核事件并进行查看。 在这里,我已按照类别和目标对象对审核事件进行了分组,因此,如果我从较早时开始了解该安全性,则可以看到DemoNewUser,此创建​​服务器登录已发生。 我可以看到登录SA在这里下午2:42创建了这个DemoNewUser帐户,然后我看到依次将登录添加到服务器,此DemoNewUser被添加到服务器管理组中,它们被添加到了setup admin组,它们被添加到sysadmin组中。 因此,这是我想知道的事情。 我还对它进行了设置,以便跟踪表中的敏感列,从而可以看到谁在访问它。

因此,在这里,我从Adventure Works的人员表中选择了几个选项。 我可以看一下,Adventure Works桌子上的用户SA从个人点名者中选出了前十名明星。 因此,也许在我的组织中,我不希望人们从个人点人员中选择星星,或者我只希望某些用户这样做,所以我将在这里看到它。 因此,根据您的审计需要,我们可以根据框架进行设置,这是一个更加密集的工具。 根据版本,它正在使用SQL Trace或SQLX事件。 这是您必须在服务器上留出一定空间来容纳的空间,但这是其中之一,就像是保险,如果我们不必购买汽车保险,那就太好了–这将是我们不必花很多钱–但是如果您有一台服务器,需要跟踪谁在做什么,则可能需要多一点的空间和类似的工具来做到这一点。 无论您是使用我们的工具还是自己滚动工具,最终都将有责任出于监管合规目的而拥有此信息。

因此,就像我说的,这不是一个深入的演示,只是一个简短的摘要。 我还想以这种SQL列搜索的形式向您展示一个快速,免费的免费工具,您可以使用它来识别环境中的哪些列似乎是敏感信息。 因此,我们有许多搜索配置,它们正在寻找通常包含敏感数据的列的不同名称,然后,我得到了已被识别的整个列表。 我有120个,然后将它们导出到这里,以便我可以利用它们说,让我们来看一下并确保我正在跟踪对中间名,一个人的点名人士或营业税的访问费率等

我知道我们在这里的时间快要结束了。 这就是我实际上要向您展示的所有内容,所以对我有什么疑问吗?

埃里克·卡瓦纳(Eric Kavanagh):我确实有几个适合你的。 让我在这里向上滚动。 一位与会者提出了一个非常好的问题。 其中之一是询问绩效税,所以我知道它因解决方案而异,但是您对使用IDERA安全工具的绩效税有什么一般认识?

Vicky Harp:因此,就像我说的那样,在SQL Secure上,它非常低,只是偶尔拍摄一些快照。 即使您经常运行,它也会获取有关设置的静态信息,因此该信息非常低,几乎可以忽略不计。 就合规经理而言,它是-

埃里克·卡瓦纳(Eric Kavanagh):百分之一?

Vicky Harp:如果我必须给出一个百分比数字,是的,它将是1%或更低。 这是有关使用SSMS并进入“安全性”选项卡和扩展内容的顺序的基本信息。 在合规性方面,这要高得多-这就是为什么我说它需要一点空间-这有点像在性能监控方面远远超出了您的能力。 现在,我不想吓people人们,这是合规性监视的诀窍,如果要进行审核,则是确保您仅审核要采取的措施。 因此,一旦您过滤说:“嘿,我想知道何时人们访问这些特定表,并且我想知道何时人们访问这些特定表,”那么这将取决于这些事情的发生频率发生的事情以及您生成多少数据。 如果您说:“我希望这些表中的任何一个发生的所有选择的完整SQL文本,”那么可能是将存储到我们产品中的SQL Server存储必须解析的千兆字节和千兆字节数据,等等

如果您将其降低到a,它还将提供比您可能处理的更多的信息。 如果您可以将其分解为较小的集合,以便每天获得数百个事件,那么这显然要低得多。 因此,实际上,在某些方面,天空是极限。 如果您打开所有监视的所有设置中的所有设置,那么可以,这将对性能造成50%的影响。 但是,如果您打算将其转变为更温和,经过考虑的水平,我可能会把眼球提高10%? 确实,这将是非常依赖您的工作量的事情之一。

埃里克·卡瓦纳(Eric Kavanagh):是的,是的。 关于硬件还有另一个问题。 然后,有硬件供应商加入了游戏,并与软件供应商进行了真正的合作,我通过“问与答”窗口进行了回答。 我知道Cloudera与Intel合作的一个特例,Intel在Intel上进行了巨额投资,而演算的部分原因是Cloudera可以尽早使用芯片设计,从而能够将安全性提高到Intel的芯片级别。建筑,这非常令人印象深刻。 但是,尽管如此,它仍将继续存在,并且仍然可以被双方利用。 您是否知道硬件供应商在安全协议上与软件供应商合作的任何趋势或趋势?

Vicky Harp:是的,实际上,我相信Microsoft进行了合作,以便为某些加密工作提供一些存储空间,这些存储空间实际上发生在与您的主内存分开的主板上的单独芯片上,因此这些东西在物理上是分开的。 我相信这实际上是微软提出的,要求供应商说:“我们能否提出一种方法,基本上是无法寻址的内存,所以我无法通过缓冲区溢出来达到目标​​。这种记忆,因为从某种意义上说它甚至还不存在,所以我确实知道其中一些正在发生。”

埃里克·卡瓦纳(Eric Kavanagh):是的。

Vicky Harp:显然,这很有可能是真正的大供应商。

埃里克·卡瓦纳(Eric Kavanagh):是的。 我很好奇要注意,也许罗宾,如果您能很快获得帮助,我很想知道您多年来的经验,因为在硬件方面,在实际材料科学方面,从供应商的角度来看,这些信息可能会进入双方,并且理论上我们会很快进入双方,因此,从设计的角度来看,是否有某种方法可以更谨慎地使用硬件,以增强安全性? 你怎么看? 罗宾,你静音了吗?

罗宾·布卢尔(Robin Bloor):是的。 对不起,我在这里; 我只是在考虑这个问题。 老实说,我没有意见,这是我没有深入研究过的领域,所以我有点,我可以发明一种意见,但我真的不知道。 我更喜欢安全的软件,基本上,这就是我的游戏方式。

埃里克·卡瓦纳(Eric Kavanagh):是的。 好吧,伙计们,我们已经烧了一个小时,然后在这里换衣服。 非常感谢Vicky Harp的时间和关注-您的所有时间和关注; 感谢您为这些事情而出现。 这很重要; 它不会很快消失。 这是一款猫捉老鼠的游戏,它将不断发展下去。 因此,我们很高兴看到一些公司专注于实现安全性,但是正如Vicky甚至在她的演讲中提到并谈论了一点,最终,是组织中的人们需要非常谨慎地考虑有关这些网络钓鱼攻击,这种社会工程学以及便携式计算机的信息–不要将其留在咖啡厅! 更改密码,执行基本操作,您将获得80%的密码。

因此,伙计们,我们将向您告别,再次感谢您的时间和关注。 下次我们会赶上您,请注意。 再见。

Vicky Harp:再见,谢谢。

最好征求许可:隐私和安全性的最佳做法