通过Techopedia Staff,2016年10月27日
要点:主持人Eric Kavanagh与Robin Bloor,Dez Blanchfield和IDERA的Ignacio Rodriguez讨论了数据库安全性。
您目前尚未登录。请登录或注册以观看视频。
埃里克·卡瓦纳(Eric Kavanagh):您好,欢迎再次回到Hot Technologies。 我叫埃里克·卡瓦纳(Eric Kavanagh); 我将成为您今天网络广播的主持人,这是一个热门话题,并且永远不会成为热门话题。 坦率地说,这是一个热门话题,因为我们听说过所有的漏洞,我可以向您保证,它永远不会消失。 因此,今天的话题(该节目的确切标题)是“新常态:应对不安全世界的现实”。这正是我们正在处理的问题。
我们已经在那里,确实有您的房东。 请注意,几年前,我应该更新我的照片; 那是2010年。时光飞逝。 给我发电子邮件,如果您想提出一些建议。 因此,这是我们针对热技术的标准“热”幻灯片。 该节目的整个目的实际上是定义一个特定的空间。 因此,显然,今天我们谈论的是安全性。 实际上,我们与IDERA的朋友对此持非常有趣的角度。
我要指出的是,作为我们的听众成员,您在该计划中扮演着重要角色。 请不要害羞。 随时向我们发送问题,如果有足够的时间我们将排队等待问答。 今天我们有三个人在线,分别是Robin Bloor博士,Dez Blanchfield和Ignacio Rodriguez,他们正在从一个未公开的位置打电话。 首先,罗宾,您是第一个演示者。 我把钥匙交给你。 把它拿开。
Robin Bloor博士:好的,谢谢Eric。 保护数据库的安全–我想我们可以说,任何公司实际掌握的最有价值的数据都存在于数据库中。 因此,我们可以谈论一整套安全问题。 但是我认为我要做的是谈论保护数据库的主题。 我不想从Ignacio将要发表的演讲中删除任何东西。
因此,让我们开始吧,很容易将数据安全性视为静态目标,但事实并非如此。 这是一个移动的目标。 从大多数人的IT环境(尤其是大型公司的IT环境)一直在变化的意义上来说,理解这一点很重要。 而且由于它们一直在变化,因此攻击面,人们可以从内部或外部以一种或多种方式尝试破坏数据安全性的区域一直在变化。 而当您执行类似的操作时,您升级数据库时,就不知道自己是否通过这种方式为自己创建了某种漏洞。 但是您不会意识到,直到糟糕的事情发生之前,您可能永远也找不到。
简要介绍了数据安全性。 首先,数据盗窃并不是什么新鲜事物,而有价值的数据则是针对性的。 对于组织而言,通常很容易得出他们需要最大程度保护的数据是什么。 一个奇怪的事实是,第一台计算机,或者我们可以说是第一台计算机,是第二次世界大战期间由英国情报人员制造的,其初衷是为了从德国通信中窃取数据。
因此,数据盗窃自开始以来就几乎已经成为IT行业的一部分。 随着互联网的诞生,它变得更加严重。 我正在查看年复一年发生的数据泄露数量的日志。 到2005年,这一数字已飙升至100以上,并且从那时起,这个数字每年都在变得越来越差。
大量的数据被盗,并发生大量的黑客攻击。 这些就是所报道的骇客。 在很多事件中,公司从来没有说什么,因为没有什么迫使它说什么。 因此,它使数据泄露保持安静。 黑客业务中有许多参与者:政府,企业,黑客团体,个人。
我只是想提到一件事,我去莫斯科的时候,我想大约是在四年前的某个时候,那是一次在莫斯科举行的软件会议,当时我正在和一位专门从事数据黑客领域的记者交谈。 他声称-我确信他是正确的,但除了他是我唯一向他提及过的唯一人之外,我不知道这件事,但是-有一家名为“俄罗斯商业网络”的俄罗斯公司,可能是俄罗斯人名称,但我认为这是它的英文翻译,实际上是用来破解的。
因此,如果您是世界上任何地方的大型组织,并且想要做一些破坏竞争的事情,则可以雇用这些人。 而且,如果您雇用这些人,您将很清楚地了解谁是黑客的幕后黑手。 因为如果它被发现是黑客的幕后黑手,那么这表明它可能是俄罗斯的某个人做的。 而且看起来好像不是您要破坏竞争对手。 而且我相信,实际上,俄罗斯政府已经聘请了俄罗斯商业网络来做诸如入侵银行之类的事情,以试图找出恐怖分子的钱是如何流动的。 那些政府永远不会承认自己确实曾经这样做过,因此,通过合理的可否认性来做到这一点。
攻防技术不断发展。 很久以前,我曾经去过混沌俱乐部。 这是一个在德国的站点,您可以在此注册,也可以跟随各种人的交谈,然后查看可用的内容。 当我研究安全技术时,我是在2005年左右完成的。我这样做只是为了看看当时的情况正在下降,而令我惊讶的是病毒的数量,它基本上是一个开源系统我一直在继续,写过病毒或增强型病毒的人只是将代码粘贴在那里供任何人使用。 当时我确实想到黑客可以非常非常聪明,但是有很多黑客不一定完全聪明,但是他们正在使用智能工具。 其中一些工具非常聪明。
最后一点:无论是否拥有数据,企业都有责任谨慎对待其数据。 而且我认为这已经变得比以往越来越多。 可以说,对于企业而言,遭受黑客攻击的代价越来越高。 关于黑客,他们可以被放置在任何地方,即使被正确识别,也可能很难将其绳之以法。 他们中许多人非常熟练。 大量的资源,他们到处都有僵尸网络。 据信,最近发生的DDoS攻击来自十亿多个设备。 我不知道这是真的还是那只是使用整数的记者,但是可以肯定,大量的机器人设备被用来对DNS网络进行攻击。 一些有利可图的企业,有政府团体,有经济战,有网络战,一切都在发生,而且我想在预展中说这不太可能永远结束。
合规性和法规–实际发生了许多事情。 您知道,有很多基于部门的合规性计划,例如制药业,银行业或卫生部门,可能会有人们可以遵循的特定计划以及各种最佳实践。 但是也有许多官方法规,因为它们是法律,所以对任何违反法律的人都处以罚款。 美国的例子是HIPAA,SOX,FISMA,FERPA,GLBA。 有一些标准,PCI-DSS是卡公司的标准。 ISO / IEC 17799基于试图获得通用标准的基础。 这是数据的所有权。 国家法规因国家而异,甚至在欧洲也可能有所不同,尤其是在欧洲,这非常令人困惑。 而且有一部GDPR,目前正在欧美之间就一项全球数据保护法规进行谈判,以尝试与法规进行协调,因为实际上有许多此类(实际上是国际性的),然后您可能会使用云服务并不认为您的数据是国际性的,但是一旦您进入云中,它就会国际化,因为它已移出您的国家。 因此,这些法规正在以某种方式进行谈判以处理数据保护。 其中大部分与个人数据有关,当然,其中几乎包括所有身份数据。
要考虑的事情:数据库漏洞。 尽快发现并修补数据库供应商会发现并报告一系列漏洞,因此,所有这些都将得到解决。 在识别易受攻击的数据方面有一些与之相关的事物。 对支付数据的最大,最成功的黑客攻击之一是发生在一家支付处理公司。 随后,该业务被接管,因为如果不这样做,就必须进行清算,但是数据并未从任何运营数据库中窃取。 数据从测试数据库中被盗。 碰巧的是,开发人员只是在测试数据库中获取了真实数据的一个子集,并在没有任何保护的情况下使用了它。 测试数据库遭到黑客入侵,并从中窃取了很多人的个人财务详细信息。
该安全策略,特别是有关数据库的访问安全性,谁可以读取,谁可以写入,谁可以授予权限,是否有任何方法可以使任何人规避? 然后,当然,数据库加密允许这样做。 有安全漏洞的代价。 我不知道这在组织内部是否是标准做法,但是我确实知道,有些首席安全官确实试图向执行人员提供一些信息,以了解安全漏洞发生之前而不是之后的实际成本。 而且,他们需要这样做,以确保他们获得适当的预算,以能够保卫组织。
然后是攻击面。 攻击面似乎一直在增长。 与去年同期相比,攻击面似乎有所增加。 因此,总而言之,范围是另一点,但是数据安全性通常是DBA角色的一部分。 但是数据安全也是一项协作活动。 如果要执行安全性,则需要具有对整个组织的安全保护的完整了解。 并且需要对此制定公司政策。 如果没有公司政策,您最终会得到零碎的解决方案。 您知道,橡皮筋和塑料会阻止安全发生。
话虽如此,我想我会交给Dez,他可能会给您各种各样的战争故事。
埃里克·卡瓦纳(Eric Kavanagh):把它拿走,德兹。
Dez Blanchfield:谢谢Robin。 这始终是一个艰难的举动。 我想从频谱的另一端着手,我想让我们对您所面临的挑战有一个深刻的认识,以及为什么我们要做的不只是坐下来并注意这一点。 。 我们现在看到的挑战是规模,数量和体积,以及这些事物发生的速度,这是我现在在周围听到的许多CXO,不仅是CIO,而且当然是首席信息官们是其中的佼佼者,他们认为数据泄露已迅速成为常态。 他们几乎期望发生这种事情。 因此,他们从以下观点着眼:“好吧,当我们受到破坏时-而不是-当我们受到破坏时,我们需要为此做些什么?”然后对话开始,他们在传统边缘环境以及路由器,交换机,服务器,入侵检测,入侵检查中正在做什么? 他们在系统本身中正在做什么? 他们在处理数据吗? 然后,一切都回到他们对数据库所做的工作。
让我仅列举其中一些例子,这些例子已经引起了很多人的想象,然后深入研究了一下,将它们分解了一些。 因此,我们在新闻中听说,雅虎(可能是人们听到的最大数字),大约是50万,但实际上,非正式地说,它更像是10亿。我听到的数字很奇怪,只有30亿,但这几乎世界人口的一半,所以我认为这有点高。 但是我已经从相关领域的许多人那里进行了验证,他们相信雅虎违反了10亿条记录。 这只是一个令人难以置信的数字。 现在有些玩家开始思考并认为,这只是Web邮件帐户,没什么大不了的,但是,您添加了一个事实,那就是这些Webmail帐户中有很多,而且数量之多超出我的预期,这实际上是付费帐户。 人们在那里放了信用卡详细信息,然后付费删除广告,因为他们厌倦了广告,因此每月愿意花4到5美元购买不包含广告的网络邮件和云存储服务,我就是其中的一员,并且我已经在我插入信用卡的三个不同的提供商之间做到了这一点。
这样一来,挑战就吸引了更多的注意力,因为它不仅仅只是一句话而已:“哦,雅虎损失了5亿到10亿个帐户,” 10亿使它成为现实。听起来非常大,并且具有Webmail帐户,但是信用卡详细信息,名字,姓氏,电子邮件地址,出生日期,信用卡,PIN码,您想要的任何内容,密码,然后变得更加可怕。 然后人们又对我说:“是的,但这只是Web服务,只是webmail,没什么大不了的。”然后我说:“是的,Yahoo帐户可能也已在Yahoo货币服务中用于购买商品。然后出售股票。”然后变得更加有趣。 并且,当您开始深入研究它时,您会意识到,不仅是在家中的父母,还有拥有通讯帐户的青少年,这实际上是人们进行业务交易的地方。
这就是光谱的一端。 另一方面,澳大利亚的一家很小的,全科医疗服务提供者大约有1000条记录被盗。 是一项内部工作,有人离开了,他们只是好奇,他们走出了门,在这种情况下,它是一张3.5英寸的软盘。 不久前-但您可以说出媒体时代-但它们使用的是旧技术。 但是事实证明,他们获取数据的原因是他们只是好奇谁在里面。 因为他们在这个小镇上有很多人,那里是我们的国家首都,是政客。 他们对那里的人,他们的生活以及所有这些信息感兴趣。 因此,由于内部进行的数据泄露很小,因此,澳大利亚政府详细信息中的大量政客据称已经公开。
我们要考虑两个不同的方面。 现在,现实是这些事情的规模是惊人的,我已经有了一张幻灯片,我们将在这里非常非常快地跳到幻灯片。 有几个网站列出了各种数据,但其中一个来自安全专家,您可以在该网站上访问并搜索您的电子邮件地址或姓名,它会向您显示所有数据事件在过去的15年中,他得以成功操作,然后将其加载到数据库中并进行验证,它会告诉您是否已被伪造,如术语所示。 但是,当您开始查看其中一些数字时,此屏幕快照尚未更新为他的最新版本,其中包括Yahoo等夫妇。 但是,请考虑此处的服务类型。 我们有Myspace,有LinkedIn,Adobe。 Adobe之所以有趣,是因为人们看起来并认为Adobe是什么意思? 我们大多数人正在下载某种形式的Adobe Reader,我们中的许多人已经用信用卡购买了Adobe产品,这一数字为1.52亿。
现在,就Robin之前的观点而言,这些数字非常大,很容易被它们淹没。 如果您有3.59亿个帐户被泄露,会发生什么? 好吧,有几件事。 罗宾强调了这样一个事实,即数据总是以某种形式存在于数据库中。 这是关键信息。 我知道,这个星球上几乎没有人运行任何形式的系统,也不将其存储在数据库中。 但是有趣的是,该数据库中存在三种不同类型的数据。 用户名和密码等与安全性有关的东西通常会被加密,但是总是有很多例子没有加密。 无论是健康记录还是电子邮件或即时消息,围绕着他们创建的个人资料和数据都有实际的客户信息。 然后是实际的嵌入式逻辑,因此这可以是存储过程,也可以是一堆规则,如果+ this + then + that。 而且总是将ASCII文本卡在数据库中,很少有人坐在那里,“嗯,这些是业务规则,这就是我们的数据移动和控制的方式,我们应该在静止状态和处于静止状态时对其进行加密。运动,也许我们将其解密并保存在内存中。”但理想情况下,它也应该如此。
但是回到了关键点,所有这些数据都以某种形式存在于数据库中,而且从历史上看,重点通常并非总是集中在路由器,交换机和服务器甚至存储上,而并不总是集中在后端。 因为我们认为我们已经覆盖了网络的边缘,并且它有点像典型的古老建筑,住在城堡中,并且在其周围设置了一条护城河,希望坏人不会会游泳。 但是随后突然间,坏家伙们想出了如何制作加长的梯子,然后将它们扔到护城河上,然后越过护城河,再爬上墙壁。 突然之间,您的护城河几乎毫无用处。
因此,我们现在处于组织处于sprint追赶模式的情况下。 在我看来,从我看来,当然还有在我的经验中,它们确实在所有系统中奔跑,因为,正如我们经常提到的那样,不仅仅是这些Web独角兽,而且经常是被破坏的传统企业组织。 而且,您不必想像就知道他们是谁。 有一个类似pastebin.net的网站,如果您转到pastebin.net并输入电子邮件列表或密码列表,则每天都会有成千上万的条目被添加,人们在其中列出示例数据集。顺便说一下,多达一千条名字,姓氏,信用卡详细信息,用户名,密码,解密密码的记录。 人们可以在其中获取该列表,然后去验证其中的三个或四个,然后决定,是的,我想购买该列表,通常存在某种形式的机制,该机制为出售数据的人提供了某种匿名网关。
现在有趣的是,一旦联盟企业家意识到他们可以做到这一点,就不需要花太多的想象力就可以意识到,如果您花1, 000美元购买其中一张名单,那么您要做的第一件事是什么? 您无需尝试跟踪帐户,而是将其副本放回pastbin.net上,然后以1, 000美元的价格出售两份副本,即可获利1, 000美元。 这些是孩子们正在做的。 世界上有一些非常庞大的专业组织从事这项工作。 甚至还有攻击其他国家的国家。 您知道,关于美国攻击中国,中国攻击美国的讨论并不那么简单,但是肯定有一些政府组织违反了总是由数据库驱动的系统。 这不仅是小型组织的情况,而且是国家与国家之间的对立。 让我们回到那个问题,数据存储在哪里? 在数据库中。 那里有什么控制和机制? 或者总是将它们未加密,如果已加密,则并不总是所有数据,也许只是加密和加密的密码。
围绕这一点,我们在数据内容以及如何提供对数据和SOX合规性的访问方面面临一系列挑战。 因此,如果您考虑财富管理或银行业务,就会有组织担心证书挑战。 您有组织担心公司空间的合规性; 您具有政府合规性和法规要求; 现在,您已经有了我们拥有本地数据库的场景; 我们在第三方数据中心中有数据库; 我们已经将数据库放在云环境中,因此其云环境总是不总是在国家/地区内。 因此,这不仅成为纯粹的安全性,而且正成为越来越大的挑战,我们如何满足所有不同级别的合规性? 不仅是HIPAA和ISO标准,而且在州,国家和全球范围内确实有数十种跨界。 如果您与澳大利亚有业务往来,则不能移动政府数据。 任何澳大利亚私人数据都不能离开澳大利亚。 如果您在德国,那就更严格了。 我知道美国也在许多方面迅速采取行动。
但这又使我再次面临整个挑战,即如何知道数据库中正在发生的事情,如何监视它,如何知道数据库中谁在做什么,谁知道各种表,行,列和字段的视图,他们何时阅读,他们多久阅读一次以及由谁追踪? 而且我认为这将我带到了最后一点,今天我将交给我们的客人,后者将帮助我们讨论如何解决此问题。 但是,我想让我们留下一个想法,那就是,很多注意力都集中在业务成本和组织成本上。 我们今天不打算详细介绍这一点,但我只是想让我们考虑一下,那就是每条记录在违约后清理的费用大约在135美元至585美元之间。 因此,您在路由器,交换机和服务器的安全性方面所做的投资都是不错的选择,在防火墙方面也是如此,但是您在数据库安全性方面投入了多少?
但这是一种虚假的经济,当雅虎的违约行为最近发生时,我拥有良好的权威,这大约是10亿个帐户,而不是5亿个帐户。 当Verizon以43亿美元的价格收购该组织时,一旦发生违规,他们便要求退回10亿美元或折扣。 现在,如果您做数学运算,并说大约有10亿条记录被泄露,有10亿美元的折扣,则清理记录的135美元至535美元的估计值现在变为1美元。 再次,这是荒谬的。 清理十亿条记录不需要花费1美元。 以每条记录1美元的价格清理违反该规模的十亿条记录。 您甚至无法以这种成本发布新闻稿。 因此,我们始终专注于内部挑战。
但是,我认为其中之一是,我们应该在数据库级别认真对待这一点,这就是为什么这是我们要谈论的非常非常重要的话题,那就是,我们从不谈论人类收费。 我们为此造成的人员伤亡是什么? 在快速总结之前,我将举一个例子。 LinkedIn:2012年,LinkedIn系统遭到黑客入侵。 有很多向量,我将不赘述。 数亿个帐户被盗。 人们说大约有1.6亿,但实际上是更大的数字,可能多达2.4亿。 但是直到今年早些时候才宣布违反。 那是四年了,成千上万人的记录。 现在,有些人使用信用卡付费,有些人则使用免费帐户。 但是,LinkedIn很有趣,因为如果您遭到破坏,他们不仅可以访问您的帐户详细信息,而且还可以访问您的所有个人资料信息。 因此,您与谁建立了联系,并且拥有所有联系,他们拥有的工作类型,所拥有的技能类型以及在公司工作了多长时间以及所有这些信息以及他们的联系方式。
因此,请考虑一下我们在保护这些数据库中的数据,保护和管理数据库系统本身以及面临的影响流方面所面临的挑战,这些数据已经造成了四年的人员伤亡。 而且有人可能会去东南亚某个地方度假,而他们将数据存放在那里已有四年了。 有人一年中可能用信用卡购买了汽车,房屋贷款或购买了十部电话,他们在那里使用了四年的数据创建了一个伪造的ID,因为即使LinkedIn数据也为您提供了足够的信息,创建一个银行帐户和一个伪造的身份证件-上飞机,去度假,降落,然后被判入狱。 你为什么被关进监狱? 好吧,因为您的身份证被盗了。 有人创造了一个伪造的身份证,并像你一样行事,成千上万美元,而他们这样做了四年,你甚至都不知道。 因为它在那里,所以就发生了。
因此,我认为这给我们带来了这一核心挑战,即我们如何知道数据库中正在发生的事情,如何跟踪它,如何监视它? 我很期待听到IDERA的朋友如何提出解决方案。 然后,我将移交。
埃里克·卡瓦纳(Eric Kavanagh):好吧,伊格纳西奥(Ignacio),地板在您的手中。
伊格纳西奥·罗德里格斯(Ignacio Rodriguez):好。 好吧,欢迎大家。 我叫Ignacio Rodriguez,俗称Iggy。 我在IDERA和安全产品的产品经理一起工作。 我们刚刚讨论了非常好的主题,我们确实必须担心数据泄露。 我们需要加强安全策略,我们需要识别漏洞并评估安全级别,控制用户权限,控制服务器安全并遵守审核。 我过去的历史一直在进行审计,主要是在Oracle方面。 我已经在SQL Server上做了一些工作,并且使用工具或基本上是本地脚本来完成,这很棒,但是您必须创建一个存储库并确保该存储库是安全的,并不断地使用审核员的更改来维护脚本, 你有什么。
因此,在工具方面,如果我知道IDERA在那里并拥有工具,那么我很有可能会购买它。 但是无论如何,我们将谈论安全。 这是我们安全产品线中的产品之一,它的主要作用是查看安全策略并将其映射到监管准则。 您可以查看SQL Server设置的完整历史记录,也可以基本上为这些设置做基准,然后与将来的更改进行比较。 您可以创建快照,将其作为设置的基准,然后可以跟踪其中的任何内容是否已更改,并且如果更改了这些内容,也会收到警报。
我们擅长做的事情之一就是防止安全风险和违规行为。 安全报告卡使您可以查看服务器上的主要安全漏洞,然后将每个安全检查也分为高,中或低风险。 现在,在这些类别或安全检查上,所有这些都可以修改。 假设如果您有一些控件并使用我们拥有的模板之一,并且您确定,我们的控件确实表明或希望此漏洞不是很高,而是中等,反之亦然。 您可能有一些标签被标记为“中”,但是在您的组织中,要标记它们或认为它们很高的控件,所有这些设置都可以由用户配置。
我们需要研究的另一个关键问题是确定漏洞。 了解谁有权访问什么,并识别所有SQL Server对象中用户的每个有效权限。 使用该工具,我们将能够遍历所有SQL Server对象的权限,并且很快就会在此处看到其截图。 我们还将报告和分析用户,组和角色权限。 其他功能之一是我们提供详细的安全风险报告。 我们提供了现成的报告,并包含灵活的参数供您创建报告的类型并显示审核员,安全员和管理人员所需的数据。
正如我提到的,我们还可以比较安全性,风险和配置随时间的变化。 这些都是快照。 这些快照可以按您想要的方式进行配置(每月,每季度,每年),并且可以在工具中进行计划。 再一次,您可以进行比较以查看发生了什么变化,以及它有什么好处,如果您确实有违规行为,则可以在更正快照后创建快照,进行比较,然后您会发现其中有一个高层次的快照。风险与上一个快照有关,然后再报告,您实际上在更正后的下一个快照中已发现它不再是问题。 您可以将它提供给审计师,这是一个很好的审计工具,您可以向审计师提供一份报告,并说:“看,我们有这种风险,我们已经减轻了风险,现在不再是风险。”而且,我在快照中提到的情况,您可以在配置发生更改时发出警报,并且如果更改并检测到配置存在新风险,则也会收到通知。
我们确实对使用Secure的SQL Server体系结构提出了一些疑问,并且我想对此处的幻灯片进行更正,该幻灯片上写着“收集服务”。我们没有任何服务,应该是“管理和收集服务器”。 ”我们有一个控制台,然后有我们的Management and Collection Server,并且确实有一个无代理捕获,它将捕获到已注册的数据库并通过作业收集数据。 而且我们确实有一个SQL Server存储库,并且与SQL Server Reporting Services一起工作,以便安排报告并创建自定义报告。 现在,在安全报告卡上,这是启动SQL Secure时将看到的第一个屏幕。 您将轻松查看检测到的关键项目。 而且,我们又有高点,中点和低点。 然后,我们还有与特定安全检查配合使用的策略。 我们有一个HIPAA模板; 我们拥有IDERA安全级别1、2和3模板; 我们有PCI准则。 这些都是您可以使用的模板,同样,您也可以基于自己的控件创建自己的模板。 而且,它们是可修改的。 您可以创建自己的。 任何现有模板都可以用作基准,然后可以根据需要修改它们。
要做的一件好事是查看谁拥有权限。 并通过此屏幕,我们将能够查看企业中的SQL Server登录名,并且您将能够在对象级别查看服务器数据库上所有已分配的有效权限。 我们在这里做。 您将能够再次选择数据库或服务器,然后能够拉出SQL Server权限的报告。 这样就能看到谁拥有什么访问权限。 另一个不错的功能是您将能够比较安全设置。 假设您有需要在整个企业范围内设置的标准设置。 然后,您可以比较所有服务器,并查看企业中其他服务器上设置了哪些设置。
同样,策略模板,这是我们拥有的一些模板。 基本上,您还是再次使用其中之一来创建自己的。 您可以创建自己的策略,如下所示。 使用其中一个模板,您可以根据需要对其进行修改。 我们还可以查看SQL Server有效权限。 这将验证并证明为用户和角色正确设置了权限。 同样,您可以走到那里,看看并确认为用户和角色正确设置了权限。 然后,通过“ SQL Server对象访问权限”,您可以浏览和分析SQL Server对象树,从服务器级别到对象级别的角色和端点。 您可以立即在对象级别查看分配的有效继承权限和与安全相关的属性。 这使您可以很好地了解对数据库对象的访问权限以及有权访问这些对象的人员。
同样,我们确实拥有我们的报告。 它们是固定报告,我们可以从中选择几种以进行报告。 其中许多可以自定义,或者您可以拥有客户报告,并将其与报告服务结合使用,并可以从那里创建自己的自定义报告。 我认为现在是快照比较,这是一个非常酷的功能,您可以在其中进行比较,然后可以对已拍摄的快照进行比较,以查看数量是否存在差异。 是否添加了任何对象,是否更改了权限,或者我们可以看到在不同快照之间进行了哪些更改的任何内容? 有些人会每月查看一次-他们会每月制作快照,然后每月进行比较以查看是否有任何更改。 如果没有什么应该更改的,那么所有更改控制会议的内容都可以更改,并且您看到某些权限已更改,那么您可以回头查看发生了什么。 这是一个非常不错的功能,您可以在其中再次比较快照中审核的所有内容。
然后是您的评估比较。 这是另一个不错的功能,我们可以在那里进行评估,然后进行比较,并注意到这里的比较具有我最近完成的快照中未禁用的SA帐户–现在已更正。 这是一件非常不错的事情,在这里您可以证明,确实存在一些风险,这些风险已由工具识别出来,现在我们已经减轻了这些风险。 而且,这是一份很好的报告,向审计师表明,实际上这些风险已得到缓解并得到了解决。
总而言之,数据库安全至关重要,我认为很多时候我们都在研究来自外部来源的漏洞,有时我们对内部漏洞的关注不是很多,而这正是我们要做的事情需要提防。 而且Secure会帮助您确保没有不需要分配的特权(您知道),请确保为帐户正确设置了所有这些安全性。 确保您的SA帐户具有密码。 还检查您的加密密钥是否已导出? 我们会检查多种不同的事物,并且会提醒您是否存在问题以及问题的严重程度。 我们需要一个工具,许多专业人士需要工具来管理和监视数据库访问权限,并且我们实际上是在提供一种广泛的功能来控制数据库权限和跟踪访问活动并降低违规风险。
现在,我们的安全产品的另一部分是涵盖了WebEx,我们之前讨论的演示文稿的一部分是数据。 您知道谁在访问什么,您在访问什么,这就是我们的SQL Compliance Manager工具。 在该工具上有一个已记录的WebEx,它实际上将使您可以监视谁在访问哪些表,哪些列,可以识别出具有敏感列的表,包括出生日期,患者信息,这些表的类型以及实际查看谁有权访问该信息以及是否正在访问该信息。
埃里克·卡瓦纳(Eric Kavanagh):好吧,我想在这里深入探讨这些问题。 也许Dez,我先把它扔给你,Robin尽你所能。
Dez Blanchfield:是的,我一直很想问第二张和第三张幻灯片的问题。 您在此工具上看到的典型用例是什么? 您所看到的最常见的用户类型是谁? 在此基础上,典型的用例模型又如何解决呢? 如何实施?
Ignacio Rodriguez:好的,我们有一个典型的用例是DBA,他被分配了数据库访问控制的责任,他要确保所有权限都按照需要设置的方式进行设置,然后进行跟踪及其标准到位。 您知道,这些特定用户帐户只能访问这些特定表等。 他们正在做的是确保已设置这些标准,并且这些标准不会随着时间的推移而更改。 这是人们使用它的主要目的之一就是跟踪并确定是否进行了未知的任何更改。
Dez Blanchfield:因为他们是恐怖的,不是吗? 就是说,您可能拥有一份战略文档,您拥有作为其基础的策略,您在其下具有合规性和治理,并且您遵循这些策略,遵守了治理,因此获得了绿灯。然后一个月后突然有人提出了一项变更,由于某种原因,它没有经历相同的变更审查委员会或变更流程,或者可能没有经过,或者项目只是继续进行而没人知道。
您有什么可以分享的例子吗?我知道,很显然,这并不总是您分享的,因为客户对此有些担心,因此我们不必一定要命名-而是提供一个示例,说明您在哪里您可能知道实际上已经看到了这一点,一个组织没有意识到就将它放到位,他们只是发现了一些东西,然后意识到:“哇,这是值得的十倍,我们只是发现了一些我们没有意识到的东西。”有没有人执行此操作,然后发现他们遇到了更大的问题或他们没有意识到自己遇到的实际问题,然后您立即被添加到了圣诞贺卡列表中,
伊格纳西奥·罗德里格斯(Ignacio Rodriguez):好吧,我认为,就某人获得的访问权而言,我们所见或曾报道的最大事情就是我刚才提到的内容。 有开发人员,当他们实施该工具时,实际上并没有意识到X数量的开发人员具有对数据库的大量访问权,并且可以访问特定的对象。 另一件事是只读帐户。 他们拥有一些只读帐户,后来发现这些只读帐户实际上是具有插入数据和删除特权的。 那就是我们看到给用户带来一些好处的地方。 同样,我们听到人们喜欢的最大的事情是,能够再次跟踪更改,并确保没有任何事情使它们蒙混过关。
Dez Blanchfield:正如Robin所强调的那样,您有一些人们不经常思考的场景,对吗? 当我们展望未来时,我们会思考,如果我们按照规则做所有事情,我会发现,而且我敢肯定,您也会看到它-告诉我您是否不同意-组织专注于在制定战略和政策,合规性,治理,KPI和报告方面投入了很多精力,以至于他们常常将注意力集中在此上,因此他们不会考虑离群值。 罗宾(Robin)有一个非常好的例子,我要从他那里偷走-对不起,罗宾(Robin)。但是这个例子是另一次,它是数据库的实时副本,快照并将其用于开发测试,对吗? 我们进行开发,进行测试,进行UAT,进行系统集成以及所有类似的工作,然后我们现在进行一系列合规性测试。 通常情况下,开发测试,UAT,SIT实际上都包含一个合规性组件,我们只是确保它是健康安全的,但并不是每个人都这样做。 Robin给出的该示例将数据库的实时副本放入开发环境测试中,以查看该数据库是否仍适用于实时数据。 很少有公司坐下来思考:“这是否会发生或有可能?”他们总是将注意力集中在生产上。 实施过程是什么样的? 我们是在谈论几天,几周,几个月吗? 对于中等规模的组织来说,常规部署是什么样的?
伊格纳西奥·罗德里格斯(Ignacio Rodriguez):天。 我的意思是,这甚至不是几天,而是几天。 我们刚刚添加了一项功能,可以注册很多服务器。 不必不必在工具中放入那里,而要说您有150台服务器,而是必须单独进入那里并注册服务器-现在您不必这样做。 您创建了一个CSV文件,出于安全考虑,我们会自动将其删除,因此我们不会将其保存在该文件中。 但这是我们必须考虑的另一件事,就是您要准备一个带有用户名/密码的CSV文件。
我们要做的是自动执行,是否要再次删除它,但这是您的选择。 如果您想单独进入那里并注册他们,并且不想冒险,那么可以这样做。 但是,如果要使用CSV文件,请将其放置在安全的位置,将应用程序指向该位置,它将运行该CSV文件,然后将其自动设置为在完成后自动删除该文件。 然后它将确保并检查文件是否已删除。 到目前为止,实现过程中最长的时间就是实际服务器的注册。
Dez Blanchfield:好的。 现在您谈到了报告。 您能为我们提供一些更详细的信息和洞察力吗?我想大概是报告中发现的内容,即发现其中的内容并进行报告的发现内容,国家的现状,根据有关合规性和安全性的当前状态构建和预烘焙报告,然后扩展这些证书有多容易? 我们如何在这些基础上发展?
伊格纳西奥·罗德里格斯(Ignacio Rodriguez):好的。 我们拥有一些报告,其中一些报告涉及跨服务器,登录检查,数据收集过滤器,活动历史记录以及风险评估报告。 还有任何可疑的Windows帐户。 这里有很多很多。 查看可疑的SQL登录名,服务器登录名和用户映射,用户权限,所有用户权限,服务器角色,数据库角色,我们拥有的一定数量的漏洞或混合模式身份验证报告,来宾启用数据库,通过XPS的OS漏洞,扩展过程,然后是脆弱的固定角色。 这些是我们的一些报告。
Dez Blanchfield:您提到它们足够重要,而且其中有很多,这是合乎逻辑的。 我量身定制它有多容易? 如果我运行报告并得到这个很大的图表,但是我想删除一些我并不真正感兴趣的片段,并添加其他一些功能,是否有报告编写者,是否有某种界面以及用于配置和定制甚至可能从头构建另一个报告的工具?
伊格纳西奥·罗德里格斯(Ignacio Rodriguez):然后,我们将指导用户使用Microsoft SQL报表服务来执行此操作,我们有许多客户实际上将获取一些报告,并在需要时自定义和计划它们。 其中一些人希望每月或每周查看这些报告,他们将获取我们拥有的信息,将其移至Reporting Services,然后从那里进行处理。 我们没有将报告编写器与我们的工具集成在一起,但是我们确实利用了Reporting Services。
Dez Blanchfield:我认为这是这些工具面临的最大挑战之一。 您可以进入那里找到东西,但是然后您需要能够将其拿出来,并向不一定是DBA和系统工程师的人报告。 根据我的经验,有一个有趣的角色,那就是,风险管理人员一直在组织中工作,并且他们主要在公司周围,而我们最近所看到的风险范围则完全不同,而现在有了数据CRO已不再是一件事情,而是一场实际的海啸,CRO已从人力资源,合规性,职业健康和安全类型变为现在的网络风险。 您知道,违规,黑客入侵,安全性-涉及更多技术。 它之所以变得有趣,是因为有很多CRO来自MBA系谱而不是技术系谱,因此他们必须保持头脑清醒,这意味着在网络风险过渡到技术风险之间的过渡意味着什么。 CRO,依此类推。 但是他们想要的最大的事情就是可见性报告。
您能告诉我们有关合规性定位的任何信息吗? 显然,此功能的最大优势之一是您可以查看正在发生的事情,可以对其进行监视,可以学习,可以对其进行报告,可以对其做出反应,甚至可以抢占某些东西。 首要挑战是治理合规性。 是否有这些关键部分故意链接到现有的合规性要求或行业合规性(例如PCI)或当前的类似内容,或者是否正在沿途发展? 它是否某种程度上适合于COBIT,ITIL和ISO标准之类的框架? 如果我们部署了此工具,它是否可以为我们提供一系列适合这些框架的制衡方法,或者我们如何将其构建到那些框架中? 考虑到这类事情的位置在哪里?
Ignacio Rodriguez:是的,我们提供了随工具一起提供的模板。 而且我们又回到了要重新评估模板的地步,我们将要添加模板,并且很快还会有更多。 FISMA,FINRA,我们拥有的其他一些模板,我们通常会查看这些模板并查看发生了什么变化,我们需要添加什么? 实际上,我们希望达到安全要求已经发生很大变化的地步,因此我们正在寻找一种使这种可扩展性即时变化的方法。 这是我们将来要考虑的问题。
但是现在,我们正在考虑创建模板并能够从网站获取模板。 您可以下载它们。 这就是我们的处理方式-我们通过模板来处理它们,并且我们正在寻找未来的方式来使其易于扩展和快速。 因为当我过去进行审计时,情况会发生变化。 审核员会在一个月和下个月来,他们希望看到不同的东西。 这就是工具的挑战之一,就是要进行这些更改并获得您所需要的东西,这就是我们想要达到的目标。
Dez Blanchfield:我想鉴于世界运行的越来越快,审计师的挑战会定期发生变化。 从我的经验来看,从审计的角度来看,很久以前,该要求只是纯粹的商业合规性,后来又变成了技术合规性,现在是运营合规性。 还有其他所有这些,您知道,每天都有人出现,他们不仅在像ISO 9006和9002操作这样的标准上对您进行测量,而且还在研究各种事物。 我现在看到38, 000系列在ISO中也正变得越来越重要。 我想这将变得越来越有挑战性。 我将要移交给Robin,因为我一直在占用带宽。
非常感谢您看到这一点,我肯定会花更多的时间来了解它,因为我并没有真正意识到它实际上是那么深入。 所以,谢谢你,伊格纳西奥,我现在要交给罗宾。 精彩的演讲,谢谢。 罗宾,对着你。
Robin Bloor博士:好的,Iggy,如果可以的话,我叫你Iggy。 令我感到困惑的是,根据Dez在演讲中说的一些话,我认为那里发生了很多事情,您不得不说人们真的不在照顾数据。 您知道的,尤其是当您只看到冰山的一部分并且可能有很多事情在没人报告时。 我对您所了解的有多少客户或潜在客户所具有的保护水平(不只是此方面)的观点感兴趣,还有您的数据访问技术? 我的意思是,有谁能适当应对威胁,这是问题吗?
伊格纳西奥·罗德里格斯(Ignacio Rodriguez):谁配备得当? 我的意思是,您知道,我们确实有很多客户尚未进行任何形式的审核。 他们有一些东西,但是最大的事情是试图跟上它,并试图维护它并确保它。 我们看到的最大问题是-甚至在我执行合规性时遇到的问题是-如果您运行了脚本,那么当审核员进来时发现问题时,您每季度都要执行一次。 好吧,猜猜是什么时候,已经太晚了,审核在那儿,审核员在那儿,他们想要他们的报告,他们举报它。 然后我们要么被打分,要么被告知,嘿,我们需要解决这些问题,这就是要解决的问题。这更像是一种主动式的事情,您可以找到风险并减轻风险,那就是我们的客户正在寻找什么。 某种方式是主动的,而不是在审计员进入时发现某些访问权限不是他们需要的位置时是被动的,其他人具有管理特权,而他们不应该拥有这些特权。 这就是我们收到很多反馈的地方,人们喜欢该工具并将其用于该工具。
Robin Bloor博士:好的,从某种意义上讲,我还有一个明显的问题,但我很好奇。 黑客入侵后实际上有多少人来找您? 您知道在哪里开展业务,不是因为他们查看了他们的环境并认为他们需要以一种更有条理的方式来保护他们的安全,而是实际上您在这里仅仅是因为他们已经遭受了一些疼痛。
伊格纳西奥·罗德里格斯(Ignacio Rodriguez):在我在IDERA的那段时间里,我还没有看到一个。 坦白地说,我与参与过的客户进行的大多数互动都充满期待,并试图开始审核并开始查看特权等。 就像我说的那样,我有我自己,在我这里的时间中没有经历过,有我认识的有人在婚后来访。
Robin Bloor博士:哦,这很有趣。 我本以为至少会有一些。 我实际上正在研究这个问题,但同时也添加了所有复杂性,这些复杂性实际上使您以各种方式和活动进行的整个企业中的数据安全。 您是否直接提供咨询服务来帮助人们? 我的意思是,很明显,您可以购买工具,但是根据我的经验,人们通常会购买复杂的工具,并且非常糟糕地使用它们。 您是否提供特定的咨询服务-怎么办,培训谁以及类似的事情?
伊格纳西奥·罗德里格斯(Ignacio Rodriguez):就支持服务而言,您可以提供一些服务,这些服务将使其中的一些事情发生。 但是就咨询服务而言,我们不提供任何咨询服务,但是您要培训如何使用这样的工具和东西,其中一些将在支持级别得到解决。 但是就其本身而言,我们没有服务部门可以这样做。
罗宾·布洛尔博士:好的。 就您覆盖的数据库而言,此处的演示仅提及Microsoft SQL Server –您是否也使用Oracle?
Ignacio Rodriguez:我们将首先使用Compliance Manager扩展到Oracle领域。 我们将以此启动一个项目,因此我们打算将其扩展到Oracle中。
Robin Bloor博士:您可能会去其他地方吗?
伊格纳西奥·罗德里格斯(Ignacio Rodriguez):是的,我们必须在路线图上加以观察,看看情况如何,但这就是我们正在考虑的一些事情,这也是我们需要攻击的其他数据库平台。
Robin Bloor博士:我也对拆分感兴趣,我对此没有任何先入为主的了解,但是就部署而言,其中有多少实际上是在云中部署的,或者几乎全部是本地部署的?
伊格纳西奥·罗德里格斯(Ignacio Rodriguez):所有前提。 是的,我们正在考虑将Secure扩展到Azure。
Robin Bloor博士:那是Azure问题,您还没有,但是要去那里,这很有意义。
伊格纳西奥·罗德里格斯(Ignacio Rodriguez):是的,我们很快就会去那儿。
Robin Bloor博士:是的,嗯,我对Microsoft的了解是,Azure中的Microsoft SQL Server采取了很多措施。 如果您愿意,它已成为它们提供的产品的关键部分。 我感兴趣的另一个问题-不是技术问题,更像是“如何参与”问题-谁是这个问题的买方? 您是否正在与IT部门联系,或者您正在与CSO联系,或者是各种各样的人? 当考虑这样的事情时,这是否是研究一系列确保环境安全的事情的一部分? 那是什么情况
伊格纳西奥·罗德里格斯(Ignacio Rodriguez):是混合的。 我们确实有CSO,很多时候销售团队会与DBA联系。 然后,再次授权DBA制定某种审计过程策略。 然后,他们将从那里评估工具并报告整个链,并决定要购买哪一部分。 但这是与谁联系我们的好坏参半。
罗宾·布洛尔博士:好的。 我想我现在会回到Eric,因为我们已经完成了一个小时的工作,但是可能会有一些观众的疑问。 埃里克?
埃里克·卡瓦纳(Eric Kavanagh):是的,我们在这里烧掉了很多很好的内容。 这是一个非常好的问题,我将由一位与会者向您提出。 他在谈论区块链以及您在谈论什么,他在问,是否有可能将SQL数据库的只读部分迁移到类似于区块链提供的内容? 这是一个艰难的过程。
伊格纳西奥·罗德里格斯(Ignacio Rodriguez):是的,我对你说老实话,我没有答案。
埃里克·卡瓦纳(Eric Kavanagh):我将其交给罗宾。 我不知道您是否听到过这个问题,Robin,但他只是问,有没有办法将SQL数据库的只读部分迁移到类似于区块链提供的内容? 您对此有何看法?
Robin Bloor博士:就像,如果您要迁移数据库,您也将要迁移数据库流量。 这样做涉及一整套复杂性。 但是除了使数据不可侵犯之外,您不会出于任何其他原因这样做。 因为区块链的访问速度会变慢,所以,您知道,如果速度是您的事情–而且几乎总是事情–那么您就不会这样做。 但是,如果您想为进行此类操作的某些人提供某种加密的密钥访问,则可以做到这一点,但是您必须有一个很好的理由。 您更有可能将其保留在原处并固定在原处。
Dez Blanchfield:是的,我同意这一点,只要我能迅速说出话。 我认为,区块链的挑战,甚至是公开发布的区块链,都已在比特币上使用-我们发现很难以完全分布式的方式每分钟扩展超过四笔交易。 并不是因为计算方面的挑战,尽管它存在,但整个节点却发现很难跟上数据库卷的来回移动和复制的数据量的困难,因为现在它是演出,而不仅仅是梅格斯。
而且,我认为关键的挑战是您需要更改应用程序的体系结构,因为在数据库中,主要是将所有内容都放在一个中央位置,并且您已经拥有了客户端-服务器类型模型。 区块链是相反的; 这是关于分布式副本。 从许多方面来看,它更像BitTorrent,也就是说,相同的数据存在很多副本。 而且,您知道,例如Cassandra和用于分发它的内存数据库,许多服务器可以从分布式索引中为您提供相同数据的副本。 我认为,正如您所说的,罗宾(Robin)的两个关键部分是:一个,如果您想保护它并确保它不会被盗或被黑客入侵,那很好,但这还不一定是一个交易平台,我们已经在比特币项目中体会到了。 但是理论上其他人已经解决了。 但是,从结构上讲,许多应用程序在架构上只是不知道如何查询和读取区块链。
那里有很多工作要做。 但是我认为问题的关键在于,如果可以的话,是将其移至区块链的理由,我认为所要问的问题是,能否将数据从数据库中取出并以某种形式更安全? 答案是,您可以将其保留在数据库中并对其进行加密。 现在有很多技术。 只需加密静态或动态数据即可。 没有理由不能在内存中和磁盘上的数据库中拥有加密数据,这是一个简单得多的挑战,因为您没有单一的体系结构更改。 在大多数数据库平台上,它始终都是启用的功能。
埃里克·卡瓦纳(Eric Kavanagh):是的,我们还有最后一个问题,伊基,我会交给你。 这是一个相当不错的。 从SLA和容量规划的角度来看,使用系统会产生什么样的税收? 换句话说,如果有人想要在生产数据库系统中使用IDERA的技术,那么还会有其他延迟或吞吐量开销吗?
伊格纳西奥·罗德里格斯(Ignacio Rodriguez):我们的影响并不大。 同样,这是一种无代理产品,而且正如我之前提到的,这全都取决于快照。 安全基于快照。 它会去那里,并实际上根据您选择的间隔创建一个工作,然后会去那里。 您想每周一次,每天一次,每月一次。 它会在那里执行任务,然后从实例中收集数据。 那时,负载便又回到了管理和收集服务,一旦开始进行比较之类的工作,那么数据库的负载就不会起作用。 现在,所有负载都在管理和收集服务器上,包括进行比较,所有报告以及所有这些工作。 始终只有在数据库进行实际快照时才命中数据库。 而且我们还没有任何关于它确实对生产环境有害的报告。
埃里克·卡瓦纳(Eric Kavanagh):是的,那是您所说的一个很好的观点。 基本上,您可以设置要拍摄的快照数量,该时间间隔是多少,并取决于可能发生的情况,但这是非常智能的体系结构。 那是好东西,伙计。 好吧,你们在前线试图保护我们免受节目开头25分钟提到的所有黑客的攻击。 他们在那里,伙计们,不要误会。
好吧,听着,我们将在我们的网站insideanalysis.com上发布此网络广播的链接,即存档。 您可以在SlideShare上找到内容,也可以在YouTube上找到它们。 和伙计们,好东西。 顺带一提,谢谢您的宝贵时间,Iggy,我爱您的昵称。 亲爱的,我们将以此告别您。 非常感谢您的时间和关注。 下次我们会与您联系。 再见。